Linuxファイルシステム全体をVeracryptで暗号化するにはどうすればよいですか？

Linuxは、Truecrypt/Veracryptと互換性のないLUKSと呼ばれる独自の統合システムを使用して、Veracryptのようなブート/システムボリューム暗号化を長い間サポートしてきました。

Veracrypt（Truecryptのような場合）は、Fuseを介してLinuxに実装されています。 Fuseは、カーネルドライバーを作成せずにファイルシステムを実装する方法であり、そのコストは速度です。 LUKSはカーネルの一部であり、Veracryptよりも高速であるため、Linuxを使用している場合はLUKSが推奨されます。

LUKSはDebianや他のディストリビューションインストーラーで十分にサポートされています。カーネルと初期のRAMディスクを含む小さなブートパーティションを除いて、システム全体またはLinuxパーティション全体を暗号化するのはかなり簡単です。これはBIOS/UEFIが読み取れるように暗号化を解除する必要があるブートローダーを除いて、Truecrypt/Veracryptで暗号化されているすべてのものと同等です。

私はKaliを使ったことがありませんが、標準のDebianインストーラーを使用している場合は、これを行って完全なパーティションを暗号化します（ 参照 ）：

暗号化されたパーティションを作成するには、最初にこの目的で使用可能なパーティションを割り当てる必要があります。

これを行うには、パーティションを選択し、それを「暗号化用の物理ボリューム」として使用することを指定します。作成する物理ボリュームを含むディスクをパーティション分割した後、「暗号化ボリュームの構成」を選択します。

次に、ソフトウェアはランダムデータで物理ボリュームを初期化することを提案し（実際のデータのローカライズをより困難にします）、「暗号化パスフレーズ」を入力するように求めます。これは、コンピューターを起動するたびに入力する必要があります。暗号化されたパーティションのコンテンツにアクセスするため。

この手順が完了し、パーティショニングツールメニューに戻ると、新しいパーティションが「暗号化されたボリューム」で利用可能になり、他のパーティションと同じように構成できます。

ほとんどの場合、このパーティションはLVMの物理ボリュームとして使用され、スワップパーティションを含む同じ暗号化キーで複数のパーティション（LVM論理ボリューム）を保護します（補足記事SECURITY暗号化されたスワップパーティションを参照）。

注意すべきことの1つは、Truecrypt/Veracryptのように現在実行中のシステムを暗号化/復号化するツールがあるとは思わないことです。

ルートファイルシステムをFuse経由でマウントすることは技術的には可能です。つまり、本当に望めば、Veracryptで暗号化されたパーティションからLinuxをブートすることは可能だと思いますが、LinuxでLUKSに劣る速度を提供するので、誰も持っていなくても驚くことではありません。この方法を開発しました。