※ 引述《HamalAri (哈馬‧阿里)》之銘言：
: ※ 引述《filiaslayers (司馬雲)》之銘言：
: : 本來想回文，不過怕以後找不到，開新標題好了
: : 在這篇文章代碼(AID): #1K0hPZkW (Storage_Zone) 裡有稍微說明
: : 原文一樣是我寫的，不過當初沒寫好，漏了說明為什麼bitlocker需要多一個100MB磁區
: : win7在分割會多這100MB磁區，是因為要放開機資料(bootloader)
: : 開機資料裡就是在告訴電腦我要怎麼把系統打開
: : 電腦的開機順序為BIOS->MBR->bootloader->system
: : 而一般來說，開機資訊不需要特別獨立一個磁區來放，只要MBR知道你放在哪就好
: : 不過對有bitlock的電腦來說就不一樣了
: : bitlocker的功用就是針對磁碟做加密
: : 如果你把系統加密了(一般來說就是你的c槽)，那MBR就不知道去哪找你的開機資料
: : 就算找到了，也無法解密，MBR無法存放那麼多的資料
: : 所以才需要先分出那100MB的磁區放你開機用的資料
: : 以免你的系統加密之後，找不到你的開機資料，然後你就進不了windows
: 這就是 bitlocker 最大的敗筆
: 和為什麼 truecrypt (請改用 veracrypt) 比較好一點點的原因
: /boot 沒加密代表什麼？ 代表我今天可以隨便放個有 keylogger 的假 bootloader
: 然後你一打密碼就 gg 了
這東西明明就是防你筆電或隨身碟萬一不見的情況下的解決方案
如果你要塞keylogger，我們來討論一下要怎麼塞
1.遠端：我都能遠端在bootloader塞keylogger了，幹麻不直接放木馬幹你資料就好
2.小偷趁你不在的時候在你筆電上塞了keylogger，然後等你下次輸入完密碼再偷你筆電
一樣，我能塞keylogger我幹麻不塞木馬
3.小偷偷了筆電，發現有加密，只好塞keylogger後還你，等你輸入過密碼再偷走...
這個....嗯....我是不知道啦....
: "truecrypt bootloader" 可以直接裝在 mbr ，這樣才是真正的全碟加密
: : 這東西不只windows有，mac也有，只是mac只有在你要做加密才會建立
: : windows則是一開始就先建好
: 錯！ grub 已經支援 dmcrypt 很久了。 /boot 可以不用另外切出來
到底在錯啥?mac是跑grub嗎?不然到底哪裡錯?我看半天還是看不出來我哪裡說錯?
: 然而 grub 或 truecrypt 的 bootloader 還是可以放木馬進去
: 所以該怎麼辦呢？ 真正安全的方法是這樣：
: 流程是這樣的：
: grub >>> 使用密碼 A 加密的 /boot >>> 使用密碼 B 加密的系統碟
: grub 解開 /boot 載入 initramfs 後，initramfs 檢查 checksum 是否正確
: 若 grub 或 /boot 被修改，則報警並中斷開機程序
: 這樣才能保證系統安全 (當然這無法防止可以在執行過程中修改 initramfs 的木馬)
: 也無法處理無法信認的硬體 (比如在虛擬機中跑，或假設 intel cpu 的 AMT 有後門的話)
: 要是你沒有這樣兩段式開機，那麼多切一個分割區只是你用的軟體設計不良而已
到底是設計不良還是沒有需要?
這種磁碟加密最重要的功能就是避免你電腦被偷的時候，除了心血不見之外
還有資料外洩的麻煩
要防keylogger真的有需要?