说说我之前了解过的一些相关的东西:
在电脑失窃的情况下想要保护数据(据我所知)都得依赖全盘加密,否则完全可以拆下硬盘放到别的机器上面读取。
新一点的电脑安装的 Windows 系统默认开启了 BitLocker 其实就是一种全盘加密的方案,平时感觉不到只是因为主板上的 TPM 芯片里面密钥会自动在启动的时候解密硬盘。
如果更进一步想要防御 evil maid attack:
https://en.wikipedia.org/wiki/Evil_maid_attack 可以考虑给 UEFI 加上密码,防止 secure boot 功能被关闭/更改,以此来防止攻击者替换启动引导(secure boot 就是在确保只有被签名过的 boot loader 能在机器上面启动)。基本上市面上买到的主板的 UEFI 里面都会内置微软的 pulic key ,使得被微软签名过的 windows boot loader 能够“默认”在 secure boot 下启动。而如果是自己想要安装 Linux ,往往需要先 disable secure boot 也是这个原因。当然在安装完成之后,可以生成自己的 key 并给 Linux kernel 签名然后在 UEFI 里面 enroll 这个 key 也就可以启用 secure boot 了。
其实现代一点的 OS 和稍微现代一点的支持 TPM-based secure boot 的硬件的结合在正确配置的情况下,并不存在网上说的轻易被破解的情况。只是这些功能有时候没有被正确开启。