这是不可能的,因为如果引导卷被加密,BIOS / UEFI将无法执行引导扇区/引导应用程序。
不过,您可以使用Ubuntu Live Installer将Ubuntu安装到另一个USB闪存驱动器上作为系统磁盘,并进行LUKS加密。缺点是您将失去休眠功能,因为Ubiquity当前创建的交换分区太小,并且在每次启动时随机生成加密密钥,这会破坏交换分区的状态。
在第二种情况下,引导分区将保持未加密状态,因此仍然可能被篡改,例如可以在其中编写键盘记录器。您可以通过对引导卷进行签名并使用安全引导来解决这个问题,但这样一来,您必须说服微软签署您的引导卷或提供给您签名密钥。祝您好运。
如果你真的担心键盘记录器,那就自己携带电脑,不要使用无线键盘/鼠标,启用安全引导,启动一个不保留任何状态的LiveCD映像,使用VPN通过SSL连接VNC/RDP客户端到实际保存状态的机器上,使用一个强大且易记的密码,不要在任何地方记录(参考
https://xkcd.com/936/以了解其含义)。
这样可以保护你免受物理访问、远程访问和暴力破解的威胁。但由于你不会始终有网络访问权限,必须随身携带硬件,并且无法充分利用所携带硬件的额外内存/处理/存储能力,因为你只将其用作瘦客户端,这可能会不太方便。
即使采取了以上措施,也无法防止CCTV摄像头锁定你输入时的键盘,所以你还需要注意周围环境。
此外,这可能会导致你的移动数据费用大幅增加。
所以,除非你真的是一个非常特别肥胖、多汁的目标,很可能会被那些准备投入资源来黑掉你的人盯上,我认为你最好还是避免使用公共互联网终端,自己携带一个廉价设备,并用LUKS加密保护它,使用VPN或至少TOR浏览器来确保你的浏览不被监视。这样,你最大的担心应该是你是否将设备丢在某个地方被盗,而不是担心他们能否访问你的数据。