トリプルブートをセットアップするMacbook Air(MacBookAir6'2)があります。
必要なオペレーティングシステム:
- OSX(10.11.3)
- Linux(Debianベース:エレメンタリーまたはミント)
- Windows 8.1 Pro
2つの主な要件は次のとおりです。
- 暗号化:クライアントデータを操作します。すべてを暗号化する必要があります。
- 3つのOSのいずれかのファイルにアクセスする必要があります。
これは、各OSに組み込まれた暗号化(Filevault、LUKS、Bitlocker)を使用して(ある種)行うことができ、Veracryptなどのクロスプラットフォーム暗号化ソフトウェアで暗号化された最終ストレージパーティションをセットアップできることを知っています。これは機能しますが、各OSのようにidを使用すると、相互にファイルにアクセスしたり、相互に診断を実行したりできます。
私の知識と論理は、この攻撃計画を示唆しています。
- サードパーティのブートローダー(たとえばrEFInd)を使用します
- 完全なディスク暗号化を処理でき、GPTおよびUEFIを完全にサポートできるサードパーティの暗号化プログラム(Filevault、Bitlocker、LUKSの代わり)を使用します。
起動プロセス:
->ディスクは、標準パスワード認証を使用してブート時に復号化されます-> rEFInd(または同様のローダー)がブートプロセスを処理します。->各OSのログインは通常どおり続行され、すべてのファイルは3つすべてにアクセス可能になります(サードパーティのファイルマネージャーがある程度必要になると思います)
注:UEFIとGPTを処理できる暗号化プログラムはまだ見つかりません(Veracryptはできません)
注2:ハイパーバイザーを使用し、一度に1つのOSを使用することを考えていましたが、パフォーマンスへの影響はそれだけの価値があるとは思いません。この考えに沿った提案はありますか?
注3:UEFI、暗号化方法、ファイルシステムとパーティションスキーム、および最新のOSの深い下線の仕組みに関する私の知識は、少しパッチが多いです。何かが足りなかったり、ひどい論理エラーが発生した場合は、教えてください。私は(ほとんど)真面目です!
1
詳細にジャンプする前に、かなり複雑なトリプルブート(おそらく実行不可能な可能性があります)ルートに進みますか?また、脅威モデルは何ですか?FileVault暗号化ドライブを備えたOS XホストでWindowsおよびLinux用のVMを使用すると、ほとんどの場合に多くのセキュリティが提供され、はるかに簡単で使いやすいソリューションになります(Appleサポートを維持することもできます)。これらはあなたの仕様ですか?。もしそうであれば、特にあなたがssdを持っている場合、あなたのパフォーマンスの心配は誇張されているでしょう。興味があれば、より詳細な答えを書くことができますか?
rustynutsに同意します。また、私の知る限りでは、暗号化することは不可能だEVERYTHINGハードディスク上に。他に何もない場合、ブートローダーと関連ファイルは暗号化されていない必要があります。(知る限り)暗号化のファームウェアサポートがないからです。たとえそれができたとしても、使用した暗号化ツールにはOSレベルのサポートが必要です。これを回避する唯一の方法は、独自のハードウェアとファームウェアで暗号化をサポートするディスクコントローラーです。私の知る限り、Macにはそのようなハードウェアは付属していません。
—
ロッド・スミス
VMは有効なオプションです(ある程度使用しています)が、問題はパフォーマンスにあります。私は、Mac、Windows、およびLinux環境を扱うオンサイトITコンサルタントです。私は3つすべてのOSを使用していますが、私はMacBookハードウェアを好み、3台のラップトップを持ち歩くのは嫌です。可能であれば、トリプルブートが理想的です。セキュリティの必要性については、ラップトップがクライアントデータ(一部は医療データ)を保持しているため、HIPAAが有効になります。完全な暗号化が必須です。これはおそらく長くて複雑なプロセスになることを認識しており、edの結果が安定して安全である限り、それで問題ありません。
—
KEDLogic
一部のハードドライブには実際のAES暗号化が組み込まれており、サポートされているbios / efi以外にソフトウェアの手間は必要ありません。なぜそれを使用しないのですか?
—
Xen2050
Mhの理解では、最近のMacBookにはすべての部品がはんだ付けされています。それはそれでも素晴らしい考えだと思った。
—
KEDLogic