Verschlüsselung bei Dual Boot - Best Practise

[kieleich]

mein letzter sandisk stick hat sich selbst gegrillt (überhitzung trotz moderater benutzung)

wegen diesem usb stick müll bin ich ja gerade auf eine echte usb ssd umgestiegen. die hat ordentliches wear leveling und macht auch sonst kein ärger

und im 2230 format ist es so groß wie zwei streichhölzer schachteln. man kann damit leben

 

[lolinternet]

Ganz so einfach wie vor 20 Jahren ist es nun auch wieder nicht. Du hast Boot und UEFI Partitionen und brauchst Secure Boot.

Secureboot Ist bei Win11 doch nach wie vor nicht Pflicht.

Zum Thema - habe das alles noch nicht gemacht aber ich würde wahrscheinlich versuchen wie folgt vorzugehen. Das heißt: Die Boot/Efi-Partition vom jeweiligen Betriebssystem trennen (handhabe ich hier ohne Verschlüsselung auch so) und dann eben die jeweiligen Partitionen unabhängig voneinander verschlüsseln. Dafür braucht es doch keinen zweiten Datenträger. Man muss doch nur "richtig" partitionieren.
Windows selbst legt doch bei der Installation auf eine "nackte Platte" eine Efipartition an. Den "restlichen" Speicherplatz würde ich dann halt nutzen um bei der Linux installation eine weitere Bootpartiton exklusiv für Linux zu erstellen. Bei der Verschlüsselung würde ich dann vermutlich Windows einfach "sein Thing" machen lassen und bei Linux wie hier beschrieben "#Luks on a Partition" verwenden.

Wie gesagt, habe ich selbst noch nicht herangewagt aber das wäre wahrscheinlich der Weg den ich versuchen würde. Wüsste jetzt nicht was da in die Quere kommt? Aber wie gesagt - selbst nicht probiert. Die Frage interessiert mich selbst auch.

 

[NJay]

Ganz so einfach wie vor 20 Jahren ist es nun auch wieder nicht. Du hast Boot und UEFI Partitionen und brauchst Secure Boot.

Geht das dann deiner Meinung nach auch mit Secure Boot?

Ich habe definitiv UEFI Boot genutzt gehabt. Ob secure boot angeschaltet war weiß‚ ich nicht. Es war ja noch Windows 10.

 

[Amaoto]

Wie löst man das jetzt bei einem Dual Boot jetzt ohne extra Software am Besten, dass sowohl Linux als auch Windows sicher verschlüsselt sind?

Einen ausführlichen Artikel dazu gab es in c't 18/2022:
https://www.heise.de/select/ct/2022/18/2126312543764455954

Darin werden die Systeme mit BitLocker bzw. LUKS verschlüsselt und eine gemeinsam genutzte VeraCrypt-Partition angelegt.

 

[|Moppel|]

Auch wenn es anders irgendwie gehen sollte, würde ich aus Gründen der Einfachheit und auch Robustheit auf ein Gerät mit zwei SSDs setzen.

Wenn der Laptop erst bestellt ist, kannst du ihn ja noch zurückschicken.

Bei deinen Anforderungen würde ich mir das Gefrickel nicht antun. Geräte mit zwei Datenträgern sind ja keine Rarität.

 

[eehm]

Wenn der Laptop erst bestellt ist, kannst du ihn ja noch zurückschicken.

Ich habe bei der Geräteklasse (Convertible) nicht einmal eines gefunden bei dem man den RAM tauschen kann.
Und SSD-Steckplätze haben die auch alle nur einen.
Ich habe hier ein Thinkpad Yoga X13 Gen4 stehen, falls das für die Beratung hilft.

Ergänzung (26. April 2025)

und im 2230 format ist es so groß wie zwei streichhölzer schachteln. man kann damit leben

Ja guter Tipp.
Die Gehäuse hierfür gibt es auch in Art eines USB-Sticks zum Stecken.
Ist nur unpraktisch im Tablet Modus, aber lässt sich wohl nicht besser lösen.

Mini USB-Sticks in guter Qualität ähnlich der SSDs gibt es nicht oder?

 

[eehm]

Ich habe heute Nachmittag in meinem Fundus gesucht.
Ich hätte noch eine 2230 mSTAA SSD hier.
Denkt ihr das könnte auch gehen an USB3.x oder sollte es hier eine PCIe sein?

 

[roket]

das geht auch.

das problem mit herkömlichen kleinen usb sticks ist die wärme entwicklung bei dauerbelastung weswegen ich die nicht wirklich dafür empfhlen kann eine msata hingegen hat das problm nicht

 

[Ja_Ge]

Versuchen ob sie dir schnell genug ist kannst du ja erst mal direkt.

 

[eehm]

@Ja_Ge Wie kriege ich die ohne Adapter angeschlossen?
Aber das sollte sicher passen von der Geschwindigkeit.
Oder ich kaufe ggf. doch eine neue PCIe SSD mit 1 oder 2 TB plus Gehäuse. Die kann ich dann sicher Jahre nutzen auch noch aus schnellen USB Stick.

Ich wusste leider nicht, dass es sowas gibt, aber inzwischen frage ich mich, wieso ich mich so oft über langsam werdende USB Sticks geärgert habe ....!

 

[Ja_Ge]

Ich hatte angenommen dass du das Gehäuse eh kaufst.

 

[eehm]

@Ja_Ge Ja ich kaufe sicher eines, aber es scheinen Unterschiede zu sein zwischen mSATA bzw. PCIe auf USB3.x

 

[roket]

ja m.2 nvme ssds sind halt schneller & moderner
msata ist halt langsamer &älter und bedarf eines anderen adapters.

 

[MisC]

Bitte lass dich nicht verrückt machen mit den zwei Datenträgern. Es ist völlig unnötig.

Ich habe schon dutzende Dual Boot Systeme ohne Probleme auf UEFI Systemen mit Secure Boot installiert.

Tatsächlich gab es dann Probleme wenn man es auf zwei Datenträgern trennen wollte. Denn einige UEFI bereinigen die Boot Einträge wenn der Datenträger mit der zugehörigen EFI Partition nicht mehr angeschlossen ist. Einige sind allerdings auch immerhin so schlau Windows selbst wieder zu erkennen und hinzuzufügen.

Lediglich eines ist wichtig: Erstelle die EFI Partition selbst und mach sie groß genug. Manche Linux Distributionen packen standardmäßig auch Kernel und initrd drauf, hier können selbst 500 MB knapp werden. Daher sicherheitshalber 1 GB.

Anschließend Windows auf einem Teil des Datenträgers installieren, ist die EFI Partition korrekt eingerichtet erkennt und nutzt Windows diese auch.

Ansonsten ganz normal Bitlocker für Windows und eine ggf. separate Datenpartition verwenden und LUKS für die Linux Distribution. Linux kann problemlos auf Bitlocker zugreifen einfach die Partitionen in /etc/crypttab entsprechend eintragen.

 

[kieleich]

Einige sind allerdings auch immerhin so schlau Windows selbst wieder zu erkennen und hinzuzufügen.

Windows nutzt den Removable eintrag der immer übers Bootmenü erscheint solange das laufwerk überhaupt angeschlossen ist

Kann man bei Linux auch haben aber bedingt dann mehrere EFI Partitionen da es pro EFI Partition nur ein Removable eintrag geben kann (die bootx64 Datei gibt es nur einmal), oder man ersetzt das windows removable eben durch Grub aber da wird Windows gegen ankämpfen

Linux kann problemlos auf Bitlocker zugreifen

Jaein

ja ist technisch möglich

bietet aber mW keine Distribution so an in ihren Standard Installern

erfordert also ein gewisses Knoffhoff und Bastelei

 

[KitKat::new()]

Bei Dual Boot und Encryption wird wohl nix an einer Vollverschlüsselung mit Pre Boot vorbeigehen. Also VeraCrypt z. Bsp. was ja nicht gewollt ist. Bitlocker wird da vermutlich nicht mitspielen, egal ob es mit oder ohne Pre-Boot genutzt wird.

Bei mir läuft seit einige Monaten Dualboot mit Windows, jeweils verschlüsselt, auf einem einzigen Laufwerk.
Erst Windows installiert, Partition verkleinert. Bitlocker aktiviert.
Dann Linux in eine Partition mit dem verbleibenden Platz (im Installer von NixOS einfach das Häkchen für LUKS gesetzt) dazugepackt.
Ergebnis:
1 EFI Partition
1 MSR Partition (16 MB)
1 Bitlocker Partition
1 LUKS Partition

PS: Windows machte die EFI nur 100MB groß. Um nicht ständig ans Limit zu kommen, habe ich diese nachträglich noch vergrößert.

 

[GrillSgt]

@KitKat::new(), spannend der Ansatz. Überlegt hatte ich so was auch bevor ich meinen ursprünglichen Beitrag schrieb, aber hätte erwartet, dass Secure Boot bzw. TPM einem in die Parade fährt. Aber Bitlocker dann ohne Pre-Boot, oder?

 

[Tanne]

Also, ich nutze seit Jahren persistentes Linux auf einem USB-Stick. Anfangs mit einem San Disk (so ein kurzes, ich dachte immer, der hieße Ultra), ich glaube 3 Jahre, dann Samsung Bar, auch jeweils lange Zeit, bis ich ein neues Linux genommen habe, war auch immer jahrejang. Außer beim ersten hab ich nie Fehler festgestellt (da wurden beim hochfahren 2-3 fehlerhafte Dateien gemeldet, in der Praxis hab ich nie Probleme gehabt, hab den trotzdem jahrelang genutzt).
Der SanDisk glaub ich nicht, aber die Samsung Bars wurden teilweise sehr heiß, was aber auch am nicht mehr richtig funktionierenen Lüfter liegt. Über die Hitzeentwicklung hatten sich Leute beschwert in Rezensionen, für mich hat das keinen Sinn gemacht, weil der Samsung Bar massiv aus Metall ist. Das ist im meinn Augen ein Vorteil, weil da die Wärmeabgabe besser ist (als wenn da isolierendes Plastik drüber ist). Schreibgeschwindigkeit war immer so bei 25 MBit/s.
Ich will jetzt auch einen SSD-Stick probieren, bin noch nicht dazu gekommen. Bin gespannt.

Ich hab jahrelang einen Laptop benutzt, den ich mit der Bahn mitgenommen und auch in der Bahn genutzt habe. Ich hab den Rechner auch unterwegs immer angelassen. Ich hab ihn hochkant so im Rucksack gehabt, dass der USB-Stick oben rausschaute. Das war nie ein Problem.

 

[KitKat::new()]

aber hätte erwartet, dass Secure Boot bzw. TPM einem in die Parade fährt. Aber Bitlocker dann ohne Pre-Boot, oder?

secure boot ist voerst deaktiviert, weil NixOS das nicht ootb unterstützt.
Was meinst du mit ohne pre-boot?
Falls es dir hilft:

BitLocker Version: 2.0
Conversion Status: Fully Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password

 

[GrillSgt]

Was meinst du mit ohne pre-boot?

Standardmäßig entschlüsselt Windows mittels TPM Chip. Davon merkt man im Alltag im Grunde nichts - jedenfalls nicht bis an der Hardware oder den BIOS Setting was geändert wird und nach dem Wiederherstellungsschlüssel gefragt wird.
Beim Pre-Boot fragt er vor der Entschlüsselung des Laufwerks zusätzlich noch nach einem PIN. Muss aber zusätzlich konfiguriert werden.