%20%2B%20Linux%20(jede%20Distribution)%20mit%20GPT%2FUEFI%2C%20vollst%C3%A4ndiger%20Systemverschl%C3%BCsselung%20und%20gemeinsam%20genutzten%20Partitionen.png)
Ich dachte nicht, dass meine Anforderungen zu speziell wären, aber meine Suche hat wirklich nicht viele Ergebnisse geliefert, also blieben einige Fragen unbeantwortet.
Im Grunde bekomme ich neue Hardware und werde mein System komplett neu installieren. Da mein neues Mainboard (wie alle anderen) UEFI unterstützt, wollte ich wechseln - aber es scheint keine einfache Möglichkeit zu geben, meine Anforderungen zu erfüllen:
- Ich muss Windows und Linux im Dual-Boot-Modus ausführen. Am liebsten Windows 7 (x64) Professional und ein auf Debain basierendes System (*ubuntu), aber ich habe auch Zugriff auf Windows 8.1 und jede Distribution ist geeignet (obwohl das keinen großen Unterschied machen sollte).
- Ich brauche eine vollständige Systemverschlüsselung. Das heißt, die Linux-Systempartition, die Windows-Systempartition und alle Datenpartitionen müssen vollständig verschlüsselt sein.
- Ich habe gemeinsame Datenpartitionen, die von beiden Systemen aus lesbar und beschreibbar sein müssen
TPM/Secure Boot muss nicht zum Laufen gebracht werden, da mein Mainboard ohnehin nicht über TPM verfügt.
Als Bonus möchte ich mein Verschlüsselungspasswort möglichst nur einmal eingeben
Mein aktuelles System verwendet LUKS für die Linux-Systemverschlüsselung und Truecrypt für die Windows-Systemverschlüsselung und freigegebene Partitionen. Auf diese Weise muss ich das Kennwort nur einmal beim Systemstart in Windows eingeben (Pre-Boot-Authentifizierung, wie Truecrypt es nennt) und nur einmal in Linux (für LUKS – das Kennwort wird im Kernel-Schlüsselbund gespeichert und in Truecrypt-Skripten verwendet, die ich zu Upstart hinzugefügt habe. Funktioniert wunderbar, sobald die Skripte funktionieren).
Leider kann der Truecrypt-Bootloader noch nicht mit GPT umgehen. Es gibt also 3 Alternativen
- Verwendung von Legacy Boot und meinem aktuellen Setup
- Keine Verschlüsselung der Windows-Systempartition (das ist nicht erwünscht, da sensible Dateien in AppData oder ProgramData oder wo auch immer Windows Dateien versteckt, unverschlüsselt bleiben)
- Verwenden von Bitlocker + LUKS.
Das letzte Setup sieht so aus, als könnte es funktionieren, aber die Bitlocker-Unterstützung für Linux ist im Moment noch ziemlich in der Betaphase und es scheint keine einfache Möglichkeit zu geben, mit Bitlocker verschlüsselte Partitionen automatisch zu mounten. Die einzige wirklich funktionierende Lösung wäre also Bitlocker für das Windows-System, Luks für das Linux-System und Truecrypt für die freigegebene Partition, aber das erfordert eine zweite Kennwortabfrage in Windows, um die Truecrypt-Volumes zu mounten, und außerdem ist die Einrichtung mühsam.
Habe ich etwas vergessen?