※ 引述《HamalAri (哈馬‧阿里)》之銘言： : ※ 引述《filiaslayers (司馬雲)》之銘言： : : 本來想回文，不過怕以後找不到，開新標題好了 : : 在這篇文章代碼(AID): #1K0hPZkW (Storage_Zone) 裡有稍微說明 : : 原文一樣是我寫的，不過當初沒寫好，漏了說明為什麼bitlocker需要多一個100MB磁區 : : win7在分割會多這100MB磁區，是因為要放開機資料(bootloader) : : 開機資料裡就是在告訴電腦我要怎麼把系統打開 : : 電腦的開機順序為BIOS->MBR->bootloader->system : : 而一般來說，開機資訊不需要特別獨立一個磁區來放，只要MBR知道你放在哪就好 : : 不過對有bitlock的電腦來說就不一樣了 : : bitlocker的功用就是針對磁碟做加密 : : 如果你把系統加密了(一般來說就是你的c槽)，那MBR就不知道去哪找你的開機資料 : : 就算找到了，也無法解密，MBR無法存放那麼多的資料 : : 所以才需要先分出那100MB的磁區放你開機用的資料 : : 以免你的系統加密之後，找不到你的開機資料，然後你就進不了windows : 這就是 bitlocker 最大的敗筆 : 和為什麼 truecrypt (請改用 veracrypt) 比較好一點點的原因 : /boot 沒加密代表什麼？ 代表我今天可以隨便放個有 keylogger 的假 bootloader : 然後你一打密碼就 gg 了 這東西明明就是防你筆電或隨身碟萬一不見的情況下的解決方案 如果你要塞keylogger，我們來討論一下要怎麼塞 1.遠端：我都能遠端在bootloader塞keylogger了，幹麻不直接放木馬幹你資料就好 2.小偷趁你不在的時候在你筆電上塞了keylogger，然後等你下次輸入完密碼再偷你筆電 一樣，我能塞keylogger我幹麻不塞木馬 3.小偷偷了筆電，發現有加密，只好塞keylogger後還你，等你輸入過密碼再偷走... 這個....嗯....我是不知道啦.... : "truecrypt bootloader" 可以直接裝在 mbr ，這樣才是真正的全碟加密 : : 這東西不只windows有，mac也有，只是mac只有在你要做加密才會建立 : : windows則是一開始就先建好 : 錯！ grub 已經支援 dmcrypt 很久了。 /boot 可以不用另外切出來 到底在錯啥?mac是跑grub嗎?不然到底哪裡錯?我看半天還是看不出來我哪裡說錯? : 然而 grub 或 truecrypt 的 bootloader 還是可以放木馬進去 : 所以該怎麼辦呢？ 真正安全的方法是這樣： : 流程是這樣的： : grub >>> 使用密碼 A 加密的 /boot >>> 使用密碼 B 加密的系統碟 : grub 解開 /boot 載入 initramfs 後，initramfs 檢查 checksum 是否正確 : 若 grub 或 /boot 被修改，則報警並中斷開機程序 : 這樣才能保證系統安全 (當然這無法防止可以在執行過程中修改 initramfs 的木馬) : 也無法處理無法信認的硬體 (比如在虛擬機中跑，或假設 intel cpu 的 AMT 有後門的話) : 要是你沒有這樣兩段式開機，那麼多切一個分割區只是你用的軟體設計不良而已 到底是設計不良還是沒有需要? 這種磁碟加密最重要的功能就是避免你電腦被偷的時候，除了心血不見之外 還有資料外洩的麻煩 要防keylogger真的有需要? -- 鉛華洗盡,偎江感雲 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.147.49 ※ 文章網址: https://www.ptt.cc/bbs/Storage_Zone/M.1456331840.A.03F.html