※ 引述《HamalAri (哈马‧阿里)》之铭言：
: ※ 引述《filiaslayers (司马云)》之铭言：
: : 本来想回文，不过怕以后找不到，开新标题好了
: : 在这篇文章代码(AID): #1K0hPZkW (Storage_Zone) 里有稍微说明
: : 原文一样是我写的，不过当初没写好，漏了说明为什么bitlocker需要多一个100MB磁区
: : win7在分割会多这100MB磁区，是因为要放开机资料(bootloader)
: : 开机资料里就是在告诉电脑我要怎么把系统打开
: : 电脑的开机顺序为BIOS->MBR->bootloader->system
: : 而一般来说，开机资讯不需要特别独立一个磁区来放，只要MBR知道你放在哪就好
: : 不过对有bitlock的电脑来说就不一样了
: : bitlocker的功用就是针对磁盘做加密
: : 如果你把系统加密了(一般来说就是你的c槽)，那MBR就不知道去哪找你的开机资料
: : 就算找到了，也无法解密，MBR无法存放那么多的资料
: : 所以才需要先分出那100MB的磁区放你开机用的资料
: : 以免你的系统加密之后，找不到你的开机资料，然后你就进不了windows
: 这就是 bitlocker 最大的败笔
: 和为什么 truecrypt (请改用 veracrypt) 比较好一点点的原因
: /boot 没加密代表什么？ 代表我今天可以随便放个有 keylogger 的假 bootloader
: 然后你一打密码就 gg 了
这东西明明就是防你笔电或随身碟万一不见的情况下的解决方案
如果你要塞keylogger，我们来讨论一下要怎么塞
1.远端：我都能远端在bootloader塞keylogger了，干麻不直接放木马干你资料就好
2.小偷趁你不在的时候在你笔电上塞了keylogger，然后等你下次输入完密码再偷你笔电
一样，我能塞keylogger我干麻不塞木马
3.小偷偷了笔电，发现有加密，只好塞keylogger后还你，等你输入过密码再偷走...
这个....嗯....我是不知道啦....
: "truecrypt bootloader" 可以直接装在 mbr ，这样才是真正的全碟加密
: : 这东西不只windows有，mac也有，只是mac只有在你要做加密才会建立
: : windows则是一开始就先建好
: 错！ grub 已经支援 dmcrypt 很久了。 /boot 可以不用另外切出来
到底在错啥?mac是跑grub吗?不然到底哪里错?我看半天还是看不出来我哪里说错?
: 然而 grub 或 truecrypt 的 bootloader 还是可以放木马进去
: 所以该怎么办呢？ 真正安全的方法是这样：
: 流程是这样的：
: grub >>> 使用密码 A 加密的 /boot >>> 使用密码 B 加密的系统碟
: grub 解开 /boot 加载 initramfs 后，initramfs 检查 checksum 是否正确
: 若 grub 或 /boot 被修改，则报警并中断开机程序
: 这样才能保证系统安全 (当然这无法防止可以在执行过程中修改 initramfs 的木马)
: 也无法处理无法信认的硬件 (比如在虚拟机中跑，或假设 intel cpu 的 AMT 有后门的话)
: 要是你没有这样两段式开机，那么多切一个分割区只是你用的软件设计不良而已
到底是设计不良还是没有需要?
这种磁盘加密最重要的功能就是避免你电脑被偷的时候，除了心血不见之外
还有资料外泄的麻烦
要防keylogger真的有需要?