Eu consegui fazer o FDE (Full Disk Encryption) funcionar muito bem em um sistema MBR / BIOS usando uma tabela de partição DOS, eu só tenho / dev / sda1 e / dev / sda2 para os containers LUKS swap e root respectivamente. Isso funciona porque, desde o início de 2014, o grub2 suporta partições criptografadas / boot suportando nativamente o dm-crypt na parte do carregador de boot que é gravada no MBR. Tudo bem.
No entanto, com UEFI o binário grubx64.efi é capaz de manipular contêineres dm-crypt / luks? Não tive alegria em fazer isso funcionar. Todos os exemplos que vi foram com / boot criptografados, mas usando MBR / BIOS ou / boot não criptografado com UEFI.
Eu sei que é um problema menor com kernels assinados e inicialização segura UEFI, mas ainda deixa aberta a possibilidade de alguma forma de adulteração (mudando o initramfs - ou é aquele assinado ?, substituindo um módulo grub? etc).
Por favor, note que quaisquer respostas têm para se aplicar a 14.04 LTS e não a 16.04 etc. Se o grubx64.efi perdeu a festa da dm-cripta por 14.04, então tudo bem eu posso usar MBR / BIOS. Estou apenas tentando descobrir se isso é realmente possível.
Muito obrigado antecipadamente,
John.
Eu queria saber se há alguma atualização sobre a possibilidade de criptografar a inicialização ao lado do root, usando a inicialização EFI + Secure.
Eu encontrei o link
Mas eu não consegui adaptar o exemplo para o fedora 28 (não tentei o ubuntu 18.04 até agora).
Tanto quanto eu posso dizer, o carregador de inicialização UEFI não é capaz de usar uma área de inicialização criptografada onde a variante MBR é. Obviamente, há menos preocupação com o UEFI, pois é possível usar imagens seguras de inicialização e de kernel assinadas (mais rigorosamente aplicadas em 16.04). Com o MBR, tudo pode ser criptografado além do carregador de boot do primeiro estágio baseado no MBR (algo precisa descriptografar o root!). Isso pode ser comprometido, mas seria muito mais difícil de fazer do que substituir um kernel em um sistema UEFI inseguro . Lembre-se também de deixar 2048 setores no início de um disco MBR (como o mais recente fdisk faz) para espaço extra para o carregador de inicialização de primeiro estágio de descriptografia. Se você não puder fazer isso, terá que usar uma partição de inicialização não criptografada separada.
Espero que isso ajude os outros.