Assim, como o título sugere, eu estaria procurando uma maneira conveniente de proteger meus dados enquanto obtendo uma negação plausível. Eu li o archwiki sobre o assunto. Eu prefiro não criptografar todo o sistema de raiz se puder evitar fazê-lo, MAS eu precisaria criptografar / var.
dm-crypt oferece duas opções para negação plausível: modo simples e cabeçalho LUKS separado, mas ambos são muito pouco convenientes, pois exigem uma digitação longa e difícil de lembrar do comando cryptopen. Eu também não gosto da idéia de armazenar um cabeçalho LUKS em uma unidade usb não criptografada, uma vez que se isso for revelado, então todo o propósito é derrotado.
O VeraCrypt (sucessor do TrueCrypt), por outro lado, é muito conveniente, pois pode ser usado para criar uma partição criptografada oculta dentro de um volume criptografado externo (que atua como um chamariz). Pode-se escrever um script de montagem veracrypt, que uma vez lançado apenas pede uma senha, e duas senhas diferentes podem ser usadas para montar duas partições diferentes (o decoy ou o oculto).
Para o Windows, também existe um bootloader veracrypt que pode ser usado para inicializar um sistema totalmente criptografado. No meu caso, eu não quero necessariamente criptografar todo o sistema, mas eu quero criptografar / var, então eu ainda preciso de alguma maneira de montar o / var criptografado quando for necessário no momento da inicialização.
De acordo com o seu conhecimento, pode haver alguma maneira (conveniente / rápida) no Linux de executar o veracript durante o boot para montar / var antes de ser necessário?
Alternativamente, você pode pensar em alguma outra maneira de alcançar o mesmo resultado com o dm-crypt?
O resultado deve ser: criptografado / var e / home + negação plausível + montagem rápida e fácil no momento da inicialização.
Obrigado pela ajuda