Здравствуйте, SkyDance, Вы писали:

> Поскольку bitlocker это не linux, а windows, надо использовать windows, на любом компьютере. Просто подключаешь диск, и винда спросит ключ. Вводишь ключ, диск монтируется.

Ну ок. С линуксом, конечно, гораздо удобней, но, наверное, и лив сиди винды можно найти, хотя я и не представляю, где.

> ТРМ просто хранит этот самый ключ (безопасным образом, так что достать его оттуда нельзя). Это сделано для твоего собственного удобства, чтобы не вводить ключ каждый раз, когда включаешь компьютер.

В таком шифровании вижу мало смысла. Весь смысл шифрования в том, чтобы воришка, стащивший мой ноутбук, не получил доступа к моим файлам. Для этого ключ надо вводить каждый раз при загрузке. Сценарий, где вор вытащит мой SSD, на практике мне представить сложно.

SD>В том-то и дело, что с линуксом ни разу не просто. Там все сложнее. Попробуй сделать полностью шифрованный диск (не раздел, а весь диск).

Если речь о том, что загрузчик на одном диске, а всё остальное на другом — наверное проблем не возникнет. Если о чём-то другом, тогда я не понимаю, как это хотя бы в теории может работать. В любом случае есть какой-то незашифрованный участок кода, который считывает пароль с клавиатуры и расшифровывает всё остальное. В линуксе это будет раздел /boot, на котором лежит ядро (ну и загрузчик ядра, grub чаще всего). Загрузчик и ядро могут быть подписаны, поэтому с включённым secure boot их подменить не получится. А дальше уже ядро расшифровывает корень, на котором лежат все остальные файлы операционной системы.

vsb>> Винда типа дружественная и всё делает сама, но если что-то там сломалось, я даже не представляю, как хотя бы в теории там что-то можно сделать.

SD>Речь идет о полнодисковом шифровании bitlocker, когда все end-to-end encrypted. И ты даже загрузиться не можешь, если ключа нет. Это единственно правильный и безопасный метод работы. Я не знаю, как именно это настраивается в линуксе. В винде же можно просто установить одну Group Policy Setting, и все компьютеры в организации будут автоматически использовать полнодисковое шифрование. Линух, он вообще имеет такие групповые политики?

Никогда не слышал ни про какие групповые политики в линуксе. Думаю, что не имеет.