%20%2B%20Linux%20(%D0%BB%D1%8E%D0%B1%D0%BE%D0%B9%20%D0%B4%D0%B8%D1%81%D1%82%D1%80%D0%B8%D0%B1%D1%83%D1%82%D0%B8%D0%B2)%20%D1%81%20GPT%2FUEFI%2C%20%D0%BF%D0%BE%D0%BB%D0%BD%D1%8B%D0%BC%20%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%D0%BC%20%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B%20%D0%B8%20%D0%BE%D0%B1%D1%89%D0%B8%D0%BC%D0%B8%20%D1%80%D0%B0%D0%B7%D0%B4%D0%B5%D0%BB%D0%B0%D0%BC%D0%B8.png)
Я не думал, что мои требования были какими-то особенными, но мой поиск не дал много результатов, поэтому некоторые вопросы остались без ответа.
В общем, я получаю новое оборудование и собираюсь полностью переустановить систему. Поскольку моя новая материнская плата имеет UEFI (как и все они сейчас), я хотел переключиться, но, похоже, нет простого способа удовлетворить мои требования:
- Мне нужна двойная загрузка Windows и Linux. Предпочтительно Windows 7 (x64) Professional и система на базе Debian (*ubuntu), но у меня также есть доступ к Windows 8.1, и любой дистрибутив подойдет (хотя это не должно иметь большого значения)
- Мне нужно полное шифрование системы. То есть системный раздел Linux, системный раздел Windows и все разделы данных должны быть полностью зашифрованы.
- У меня есть общие разделы данных, которые должны быть доступны для чтения и записи из обеих систем.
Нет необходимости в работе TPM/безопасной загрузки, моя материнская плата все равно не поддерживает TPM.
В качестве бонуса я хочу вводить свой пароль шифрования только один раз, если это возможно.
Моя текущая система использует LUKS для шифрования системы Linux и Truecrypt для шифрования системы Windows и общих разделов. Таким образом, мне нужно ввести пароль только один раз при запуске системы в Windows (предзагрузочная аутентификация, как называет ее truecrypt), и только один раз в Linux (для LUKS - пароль хранится в связке ключей ядра и используется в скриптах truecrypt, которые я добавил в upstart, работает как часы, как только я запустил скрипты)
К сожалению, загрузчик Truecrypt пока не может работать с GPT. Поэтому есть 3 альтернативы
- Использование Legacy Boot и моей текущей настройки
- Не шифровать системный раздел Windows (не хочу этого, так как он хранит конфиденциальные файлы в AppData или ProgramData или в других местах, где Windows скрывает файлы в незашифрованном виде)
- Использую Bitlocker + LUKS.
Последняя настройка выглядит так, как будто она может работать, но поддержка BitLocker для Linux находится на стадии бета-тестирования, и, похоже, нет простого способа автоматически монтировать зашифрованные BitLocker разделы. Поэтому единственным действительно рабочим решением будет BitLocker для системы Windows, Luks для системы Linux и TrueCrypt для общего раздела, но для этого требуется второй запрос пароля в Windows для монтирования томов TrueCrypt + плюс его сложно настроить.
Я что-то пропустил?