Windows、Mac OS X、Linuxで暗号化されたストレージを安全な方法で共有する方法

ドライブが自己暗号化ドライブ（SED）であり、ほとんどがSSDで利用可能ですが、一部のビジネス指向の通常のドライブにも、User + Master ATAパスワード（BIOS/UEFI、またはLinuxのhdparmツール経由）を使用した機能があります。暗号化キーを設定し、BIOS/UEFIからロック解除のプロンプトが表示された場合は起動中にドライブのロックを解除するか、少なくともLinuxではhdparmを使用して手動でロックを解除できます。このように、暗号化はドライブのハードウェアによって行われ、オペレーティングシステムに依存しないATAコマンドによって管理されます。 OSは、そのようなドライブを暗号化されていないドライブとして認識します。

問題は、一部のドライブ（Crucial MX100/MX100 SSDなど）にSEDの実装に重大な欠陥があり、以前のファームウェアでキーのリークが許可されていたことです。

もう1つの問題は、多くのBIOS/UEFI実装が不良であり、ATAパスワード機能を適切に実装していないため、マスターパスワードの入力を許可しない（および公開シークレットの入力を許可しない）ことでバックドアを維持するか、入力を許可しないことです。全範囲の文字、またはパスワードの全長、あるいはさらに悪いことに、パスワードを直接書き込むのではなく、中間ステップを適用して、そのようなパスワードで暗号化されたドライブを他のブランドのラップトップ/ BIOSと互換性のないものにします（このようなドライブはまったくロック解除できません）この機能を異なる方法で実装するハードウェア上）。 Lenovo Thinkpads、Fujitsu Lifebooks、および一部のHP Probooks/ELitebooksとDellLatitudes/Precisionsは、多かれ少なかれ正しく動作します（また、デスクトップは一般的にビジネス用途向けです）。家庭用または娯楽用の安価なマシンでは、BIOS/UEFIの実装が非常に貧弱で（旧世代のInsydeH20 UEFIなど）、ATAパスワードの使用は非常に悪い考えでした（直接不可能ではないにしても）。

NTFSとBitLockerは、実際にはLinuxからDislocker経由でアクセスできます（また、破損したパーティションからデータを保存できるため、そのようなパーティションを開こうとするWindowsマシンでBSODが確実に発生します）が、Dislockerとマウントを実行することはお勧めしませんLinux上のNTFSは、定期的にデータの読み取りと書き込みにディスクを実際に使用します。

Veracryptで暗号化されたコンテナは、複数のOSからデータにアクセスするための合理的な方法の1つです。両方のOSからマウントできる場合は、Virtualboxを介して暗号化された仮想ディスクを使用することもできます。基本的に、ブロックデバイスを透過的に復号化し、両方のシステムにマウントする方法が機能するはずです。暗号化されたVirtualbox仮想ドライブであるVeracryptコンテナ/パーティションは、おそらくこれを達成するための十分にテストされた標準的で信頼性の高い方法です。

何がお勧めですか？

私はTrueCrypt（そして、2014年5月以降に発生したすべての混乱について読んだ）、VeraCrypt、GNUPG、DisklockerがUnixでBitLockerを読むのを見ました。

上記の3つのオペレーティングシステムでドライブを使用する必要がある場合は、VeraCryptがおそらく最善のソリューションです。 TrueCryptの灰から生まれた最も有望なフォークであることが判明しました。すべてのプラットフォームで十分に維持され、安定しています（一部の機能はWindowsでのみ使用可能ですが）

そして、TrueCryptを使用してドライブをフォーマットするにはどうすればよいですか？ GPTでは？ MBR？ジャーナリング？太い？

まず、ハードドライブを希望どおりにパーティション分割する必要があります。 VeraCryptは、OSが提供するブロックデバイスのみを使用するため、使用するすべてのOSがサポートしている限り、GPTとMBRのどちらを使用してもかまいません。

ファイルシステムの作成は、必要なfsを選択できるVeraCrypt内で実行できます。 FATは、前述のすべてのオペレーティングシステムで直接サポートされているため、最も簡単です。他のファイルシステムを使用することもできますが、その場合はWindows用の特別なドライバーが必要になります。