私は 256Gb SSD に暗号化されていない Windows10/Manjaro デュアル ブートをインストールしており、さらに 1Tb HDD もインストールして、ほとんどのデータを保存しています。
パーティションは次のように構成されます。
1Tb HDD :
|_ sda1 : exFAT partition, readable by both W$ and Linux
256 Gb SSD :
|_ sdb1 : EFI system boot partition
|_ sdb2 : Microsoft reserved partition
|_ sdb3 : NTFS Windows system partition
|_ sdb4 : NTFS Windows recovery partition
|_ sdb5 : ext4 / partition for Linux
|_ sdb6 : ext4 /home partition for Linux
|_ sdb7 : linux swap
ブートローダーは GRUB であり、2 つのシステムを選択できます。
私が探しているのは、両方のハードドライブを暗号化し、GRUB の前にパスワードを入力して復号化する方法だ。もちろん、既存のパーティションを維持し、両方のシステムが 1Tb HDD の内容を読み取ることができ、GRUB を壊さない (可能であれば) ようにしたい。
私はすでに Windows 用の Veracrypt と Linux 用の LUKS をチェックしましたが、Veracrypt は GRUB を破壊し、Windows のみを暗号化し、LUKS は Linux のみのようです。
答え1
異なる Windows/Linux システム暗号化を使用し、次に Veracrypt と、場合によっては fat または ntfs を使用した共通データ パーティションを使用する必要があります (私の知る限り、強制的なドライバー署名のため、Windows 用の ext ドライバーはもう存在しません。NTFS は Linux にとって最適な選択肢ではありませんが、Windows では利点がある可能性があります)。
Veracrypt を使用して Windows を暗号化する場合は、ハード ドライブのブートローダ セクションではなくパーティションにインストールし、GRUB からチェーンロードする必要があります。
もっと簡単な別のオプションとしては、1 つのシステムを FDE し、もう 1 つのシステム (FDE ありまたはなし) を VM に配置することです。
答え2
暗号化ソフトウェアはオペレーティング システム内で動作します。ディスク暗号化ソフトウェアをオペレーティング システムより先にロードすることはできません。Linux と Windows の両方で動作する同じ名前のソフトウェア (TrueCrypt/VeraCrypt など) が存在する場合もありますが、同じコードではありません。したがって、暗号化コードは Grub より先にロードすることはできません。オペレーティング システムを選択して起動を開始した後にのみ、ロードできます。
理論的には、ブートローダ ステージでパスワードを要求し、そのパスワードをメモリ経由で各オペレーティング システムに渡すことは可能です。しかし、私の知る限り、そのようなメカニズムは存在しません。パラメータを渡す方法では、起動後にパラメータがユーザーに公開され、パスワードとしては不適切であるため、機能しません。
Grub プロンプトの後に OS が要求したときにパスワードを入力するだけです。いずれにしても、起動ごとに 1 回だけ入力する必要があります。
ディスクの暗号化方法はWindowsとLinuxでは全く異なります。インストール時に行うのが最も簡単ですが、Linuxではルクスィップ(見る既存のライブデータをDM暗号化してディスク全体を暗号化するためのユーティリティや手順はありますか?)。 luksipc を使用する場合、Linux で暗号化を設定するには、sudo update-grubと を実行する必要がありますsudo update-initramfs。そうしないと、システムが起動しません。ミスを犯してシステムが起動できなくなる可能性が高くなるため、レスキュー ディスクを用意しておいてください。