Não achei que meus requisitos fossem muito especiais, mas minha pesquisa realmente não rendeu muitos resultados, então ainda tenho algumas perguntas sem resposta.
Basicamente, estou adquirindo um novo hardware e farei uma reinstalação completa no meu sistema. Como minha nova placa-mãe possui UEFI (como todas agora), eu queria mudar - mas não parece haver uma maneira fácil de atender aos meus requisitos:
- Eu preciso inicializar duas vezes o Windows e o Linux. De preferência Windows 7 (x64) Professional e um sistema baseado em Debain (*ubuntu), mas também tenho acesso ao Windows 8.1 e qualquer distribuição servirá (embora isso não deva fazer muita diferença)
- Preciso de criptografia completa do sistema. Ou seja, a partição do sistema Linux, a partição do sistema Windows e todas as partições de dados devem ser totalmente criptografadas.
- Eu compartilhei partições de dados, que precisam ser legíveis e graváveis em ambos os sistemas
Não há necessidade de fazer o TPM/inicialização segura funcionar, minha placa-mãe não possui TPM de qualquer maneira.
Como bônus, quero inserir minha senha de criptografia apenas uma vez, se possível
Meu sistema atual usa LUKS para criptografia de sistema Linux e Truecrypt para criptografia de sistema Windows e partições compartilhadas. Dessa forma, só preciso inserir a senha uma vez na inicialização do sistema no Windows (autenticação de pré-inicialização, como o truecrypt a chama) e apenas uma vez no Linux (para LUKS - a senha é armazenada no chaveiro do kernel e usada em scripts truecrypt. adicionado ao upstart, funciona perfeitamente quando os scripts estão funcionando)
Infelizmente, o bootloader Truecrypt ainda não consegue lidar com GPT. Portanto, existem 3 alternativas
- Usando Legacy Boot e minha configuração atual
- Não criptografar a partição do sistema Windows (não quero isso, pois mantém arquivos confidenciais armazenados em AppData ou ProgramData ou em qualquer outro lugar que o Windows oculte arquivos não criptografados)
- Usando Bitlocker + LUKS.
A última configuração parece funcionar, mas o suporte ao bitlocker para Linux é bastante beta e não parece uma maneira fácil de montar automaticamente partições criptografadas do bitlocker. Portanto, a única solução realmente funcional seria o bitlocker para o sistema Windows, o luks para o sistema Linux e o truecrypt para partição compartilhada, mas isso requer um segundo prompt de senha no Windows para montar os volumes truecrypt + além de ser difícil de configurar.
Há algo que eu perdi?