Полное шифрование диска на GPT на проблемах с BIOS

Вы не можете зашифровать Раздел начальной загрузки BIOS; процесс начальной загрузки на основанном на BIOS компьютере, который использует GRUB для начальной загрузки Ubuntu (или любой другой Linux) проходит примерно так:

1. мощности ЦП на и выполняют код BIOS, который не понимает шифрование.
2. BIOS читает первый сектор (MBR) жесткого диска, который обязательно не шифруется.
3. код MBR, который является крошечным, читает более обширный код загрузчика, сохраненный в другом месте - обычно в Разделе начальной загрузки BIOS в случае GRUB на диске GPT.
4. GRUB читает свой конфигурационный файл, обычно от /boot/grub/grub.cfg. Это может также загрузить дополнительный код из модулей, сохраненных в /boot/grub.
5. GRUB читает ядро и начальный псевдодиск (initrd) файл, затем выполняет ядро.
6. ядро запускает скрипты запуска в initrd.
7. основная файловая система смонтирована, и дальнейшими процессами запуска управляют оттуда.

, поскольку BIOS не поддерживает шифрование, MBR не может быть зашифрован. В теории MBR мог включать код шифрования, и таким образом, Раздел начальной загрузки BIOS мог быть зашифрован; однако, на практике это непрактично, возможно, в экстремальном значении, потому что загрузочный код MBR составляет в общей сложности 440 байтов в размере (446 байтов при протяжении определений немного). Обратите внимание, что это байты, не кибибайт, мебибайт или некоторое другое значение. GRUB использует Раздел начальной загрузки BIOS, потому что 440 байтов являются несоответствующими, чтобы сделать что-то большее чем направить процесс начальной загрузки на этом большем месте; программное обеспечение шифрования зубрежки в то пространство является препятствием, это вне области практического (и возможно полностью невозможно).

Таким образом, самая ранняя точка, в которой шифрование является практической возможностью, после того, как Раздел начальной загрузки BIOS читается, и на самом деле, GRUB действительно поддерживает зашифрованные файловые системы чтения, таким образом, Ваше ядро Linux может быть сохранено в зашифрованной файловой системе. (По крайней мере, это - то, что я слышу; я никогда не пробовал его сам.)

Примечание также, что шифрование Раздела начальной загрузки BIOS даст Вам ограниченный или никакая дополнительная защита конфиденциальности. Объем того, что идет, существует программное обеспечение с открытым исходным кодом. Это можно настроить и настроить для Вашей конкретной системы, но это должно главным образом только определить раздел, который содержит корень Linux (/) или /boot файловая система, и возможно включать драйверы, необходимые в Ваш конкретный компьютер. AFAIK, нет никаких паролей, имен пользователей или других уязвимых данных в Разделе начальной загрузки BIOS. Если бы это было возможно, то шифрование Раздела начальной загрузки BIOS могло бы мешать вредоносному программному обеспечению принимать его - но в этом сценарии, вредоносное программное обеспечение должно будет просто скорректировать MBR, чтобы перенаправить процесс начальной загрузки к его собственному коду или полностью переписать Раздел начальной загрузки BIOS с помощью его собственных ключей шифрования.

Тем не менее в теории целый диск мог быть зашифрованным, если бы сам диск или контроллер, к которому это присоединяется, поддерживал эту функцию. Это потребовало бы, чтобы диск или контроллер сделали шифрование и дешифрование "под" уровнем BIOS. Я не уверен пренебрежительный, как пароль мог быть обеспечен диску, подключенному к стандартному контроллеру, но если бы у Вас была сменная карта с зашифрованным дисковым контроллером, то он обязательно взаимодействовал бы через интерфейс с обычным BIOS и мог бы поэтому запросить пароль во время начальной загрузки. К ОС диск был бы похож на нормальный незашифрованный диск. Я неопределенно вспоминаю слушание о таких решениях, но я никогда не изучал их, и я не знаю, легко доступны ли такие аппаратные средства сегодня. (Я мог бы помнить требования о призрачном продукте.)

Примечание также, что EFI/UEFI работает совершенно по-другому по сравнению с BIOS; но AFAIK, EFI/UEFI также не поддерживает шифрование 100% диска - загрузчик должен все еще находиться на незашифрованном Системный раздел EFI (ESP). EFI намного больше и более сложен, чем BIOS, тем не менее, таким образом, я могу не знать о неясной функции, и может быть легче добавить такую поддержку спецификации EFI в будущем. Если Вы интересуетесь шифрованием Раздела начальной загрузки BIOS как способ предотвратить вмешательство от вредоносного программного обеспечения, тем не менее, функция Secure Boot самого современного UEFIs предназначается для занятия этой проблемой. Путем подписания первого загрузочного кода, прочитанного из диска и обеспечения цепочки подписания до ОС, Защищенная загрузка (теоретически) предотвращает вмешательство.