背景情報
私は最近Windowsから離れたLinux初心者です。現在、ディスク全体を暗号化せずにUbuntu 11.04を使用しています。私のホームディレクトリのみが暗号化され、eCryptFSが使用されます。最近、暗号化が本来あるべきほど透過的でないことに気づき始めました。たとえば、VMWareは、暗号化されたホームディレクトリに格納されている仮想マシンで問題が発生することがあります。そのため、仮想マシンを暗号化されていない場所に移動し、暗号化されたホームディレクトリからリンクしました。しかし、それはポイントの外でもあります。Ubuntuのようなオープンソースのオペレーティングシステムは、秘密にしておくべき情報を漏らすために変更するのが非常に簡単であるため、システムを暗号化しないままにすることは実際にはあまり安全ではないことに気付きました。
ゴール
起動前の認証用に、キーデバイスとパスワードを組み合わせてディスク全体の暗号化を機能させたいのですが。
要件/詳細
- ディスク全体を暗号化する必要があります。少なくとも、ディスクはすべて暗号化された個々のパーティションで構成されています。パーティションでさえ暗号化で隠すことが可能なら、私はそれのために行きます。暗号化の透過性が高いほど、優れています。コンピューターを別の方法で使用したり、その他の構成を行ったりする必要はありません。
- 暗号化されたパーティションのロック解除と起動に使用するデバイスは、小さな外部ポータブルデバイスである必要があります。これには2つの目的があります。ブートローダーは、使用していないときは私と一緒に保管されるため、悪意のある目的で変更される可能性がはるかに低くなります。また、ディスクを復号化するための主要なファイルは、暗号化されたディスク自体のどの場所にも見つかりません。
- キーファイルはパスワードで暗号化する必要があります。コンピューターとUSBデバイスの両方を紛失しても、データとオペレーティングシステムは安全です。USBキーを紛失したり、侵害された場合、バックアップから別のクリーンなキーを作成できます。どちらの場合も情報は漏らされません。もちろん、コンピュータを紛失したとしても、それは取るに足らないことです。
はい、私は多くの場所からガイドを見てきましたが、問題はすべての要件(特に3番目)に対応していないことです。私の要件は、誰かが既にそのようなセットアップを試みて成功裏に実装したほど一般的であると確信しています。Linuxのプロが解決策を共有できれば幸いです。