Encriptación de particiones con authentication Pre-boot

GaTToO

Hola buenas.
Vengo a poneros un problema de seguridad que me surge al pasar al uso de un portátil desde un desktop.
El sistema que tenía antes estaba dotado de un selector físico de discos, donde tenía discos con distintos sistema operativos de distinto nivel de seguridad. solo encendía el disco inseguro con el resto apagados.
Ahora solo tengo un NVMe y me gustaría tener un sistema con un nivel de seguridad parecido.
Pues bien tengo 3 particiones con sistemas operativos instalados, windows seguro, windows inseguro y linux. estaba pensando en usar BitLocker para el windows seguro y LUKS para el linux, el windows inseguro, que sea un pozo de mierda si no puede acceder a las otras dos particiones.

El temas es que hasta donde he entendido la desencriptación BitLocker si saltaría solo al iniciar la partición de windows que la tiene instalada. Pero si no estoy entendiendo mal LUKS solo permite la encriptación de discos completos y no de particiones de sistema. es decir que no podría separar por encriptación las diferentes particiones, estoy en lo correcto?

perdón por la chapa, ahí dejo el problema a ver si a alguien se le enciende mas la bombilla que a mi.

1
Iwywnsb

No te puedo ayudar mucho con el tema de Linux ya que no lo uso. En Windows sí que uso BitLocker y al arrancar el PC te pide la contraseña, aunque ahora directamente lo que he hecho ha sido encriptar el disco con los datos de trabajo, que es un disco mecánico normal, y el NVME lo tengo sin encriptar. En este caso simplemente voy a mi PC y hago doble click sobre el disco encriptado con BitLocker y lo desbloqueo cuando necesito acceder a esos archivos.

Lo que te puedo recomendar, aunque habiéndolo usado muy poco (ya que al poco tiempo de usarlo me pasé a BitLocker puesto que creo que es más cómodo si sólo se usa en Windows), es probar con Veracrypt. Creo que te permite hacer un encriptado en unidades multiboot, por lo que seguramente cubra tus necesidades

1 1 respuesta
GaTToO

#2 Gracias por la recomendación, he visto que Veracrypt también se usa mucho, pero creo que no se pueden encriptar particiones linux con preboot authentication

por lo menos eso dice esta tabla de la wikipedia
https://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software#cite_note-115
:3

2 1 respuesta
Iwywnsb

#3 Has probado a preguntarlo en Reddit? No tengo prácticamente ni idea de encriptación, pero creo que lo que pides es algo bastante específico, y por la cantidad de usuarios que hay en MediaVida respecto a Reddit, muy probablemente en algún subreddit alguien con muchos conocimientos te podrá ayudar mejor, o más rápido, que aquí

1
Soltrac

De lo que hablas no tengo ni puta idea, pero quizás lo que intentas resolver no podrías resolverlo usando virtualización? Un host seguro y tantos sistemas operativos inseguros como quieras? Jamás van a tener acceso al host, salvo bug de escalación.

Lo único que si juegas a ciertos juegos online con anticheat tipo valorant, no podrías jugar desde el inseguro, porque va a detectar que estás virtualizando.

Es posible que yo lo esté complicando demasiado xD, pero bueno.

1 1 respuesta
eondev

Puedes cifrar la partición y al arrancar en el initrams descifrarla para cargar el SO. Es un proceso manual y hasta donde se (lo hice en su día) no es instalar un paquete y prou.

1 1 respuesta
alfema

En una búsqueda rápida veo que LUKS sí permite encriptar particiones.

1 1 respuesta
Garcia98

Con LUKS puedes encriptar cualquier dispositivo de bloques, sea un disco entero o una partición
https://wiki.archlinux.org/title/dm-crypt/Encrypting_an_entire_system#LUKS_on_a_partition

2 1 respuesta
GaTToO

#5 fue de lo primero que pensé ¿pero se puede jugar desde entornos virtuales? tengo entendido que la perdida de rendimiento es abrumadora.

#6 initrams ? ostias, eso me suena al pleistoceno
#7 #8 particiones si, pero particiones de sistema? todo esto habrá que hacerlo desde un live para poder desmontar, montar y preparar el arranque.

creo que se me queda grande la fumada esta de tener la partición de linux encriptada hasta que no inicio el sistema, con tener el /home encriptada con la opción que da el instalador de linux mint y windows segura con bitlocker, no debería ser suficientes para que el malware de la windows insegura no pueda joder nada del los otros dos sistemas?

2 respuestas
Soltrac

#9 Si pasas la GPU apenas se nota, pero como te digo, dependes de anticheats y si juegas online esto es un problema.

1 respuesta
GaTToO

#10 na, pero el windows inseguro no tendría ningún juego con anticheats
pero me estoy quedando loca con este canal

que se puede conseguir el mismo rendimiento desde una maquina virtual

1 respuesta
Soltrac

#11 El mismo el mismo.....tampoco, pero vamos, es inapreciable, puedes pasar tu GPU a la VM completamente y manejar el host con una tarjeta gráfica secundaria barata.

Es más, muchos cheaters usan este método para spoofear su hardware ID o para lanzar cheats desde el host y que el anticheat de la VM sea incapaz de detectarlo porque es que no puede, por eso Valorant y alguno más prohibe jugar desde VMs. Cuando desarrollaba cheats, usaba esto para probarlos para evitar que banearan mi HWID y tener que estar cambiando de hardware cada 2 x 3. Al fin y al cabo, solo pasaba mi GPU y todo el resto lo virtualizaba y le daba la ID q me daba la gana.

Es un puto coñazo que conste, GPU Passthrough es la manera. Pero a mi me costó ponerlo a funcionar. Si te han dado un método para no tener que usar VMs, quizás te compense.

Garcia98

#9 claro, para la partición de root si no lo has hecho en el momento de la instalación tienes que hacerlo desde un live USB, el resto es igual que para cualquier otra partición

preguntitas

Luks si que permite particiones. Yo tengo en el portátil un lvm cifrado con Luks, y funciona perfectamente. Sin afectar a la partición de windows