Luksを使用してディスク全体を暗号化する(1つの大きな暗号化パーティションではなく)
環境
Luksでまったく新しい外付けハードドライブを暗号化します。つまりこれはシステムドライブではなく(OSの起動ではなく、データの保存にのみ使用されます)、完全に空白です。
観察
これを達成する方法について私が見つけたすべての説明は、次の行に沿っています:
- ディスク全体と同じサイズの新しいパーティションを作成する
- そのパーティションを暗号化する
いくつかの例:
ここ から:
新しい暗号化パーティションを作成します。
[...]
既存のパーティションを暗号化する
または ここ 。
質問
大きな暗号化されたパーティションを1つ持つ代わりに、ディスク全体を暗号化することは可能ですか?
おそらく答えはnoになるので、本当の質問はなぜではないのですか?
言い換えると
入力する代わりに何が起こるか
Sudo cryptsetup -v -y luksFormat /dev/sda1
入力します
Sudo cryptsetup -v -y luksFormat /dev/sda
(sda1を作成せずに)?
cryptsetup FAQ は、LUKSを使用したディスク全体の暗号化について言及しています。基本的に、cryptsetupはLUKSデバイス、パーティション、ディスク、ループデバイスを問わないため、どちらでも適切に使用できます。
Sudo cryptsetup -v -y luksFormat /dev/sda
すべての/dev/sdaを使用してLUKSコンテナーを作成します。
FAQのセクション2.2では、これを外付けディスクに推奨しています。
完全に暗号化されたrawブロックデバイス:このため、LUKSをrawデバイス(例:
/dev/sdb)に配置し、ファイルシステムをLUKSコンテナーに配置します。パーティション化は一切行われません。これは、バックアップやオフラインデータストレージに使用される外部USBディスクなどに非常に適しています。
cryptsetupは/etc/crypttabを必要としないことに注意してください。