Я недавно прочитал это хороший учебник Howto о создании резервных копий с шифрованием всего диска с помощью LUKS. На удивление для меня этот учебник содержит в качестве первой части шага 3 команду для перезаписи нового раздела диска зашифрованными двоичными нулями:
dd if=/dev/zero of=/dev/mapper/your_encrypted_disk_partition
Очевидно, что эта команда займет очень много времени, учитывая огромные диски, доступные сегодня. Так что соблазн пропустить эту команду. Если диск будет заполнен и будет перезаписан в основном в любом случае, потому что полное резервное копирование системы последует сразу же в качестве следующего шага после создания и установки зашифрованного дискового устройства, тогда необходимость сделать это трудно понять.
Каковы риски безопасности при отсутствии этой команды?
Делает раскрытие схемы использования просто означает, что кто-то, получивший диск, может определить, сколько места на диске занято моими зашифрованными данными?
Или какое-нибудь находчивое секретное агентство сможет найти больше личной информации?
Если вы не обнулите диск зашифрованными нулями, злоумышленник теоретически может проанализировать ваш диск, чтобы определить, где и сколько зашифрованных данных было записано. Информация может быть собрана из этих метаданных, например, тип приложения, записывающего информацию в базовую файловую систему, и какая информация может присутствовать в разделе. Запись нулями также может дать вам правдоподобное отрицание, если это необходимо. В зависимости от того, почему вы шифруете раздел, вас может не волновать ни одно из вышеперечисленных.
Находчивые TLA, вероятно, могли бы взломать ваше шифрование, если бы они действительно этого хотели, даже если им придется прибегнуть к резиношланговый криптоанализ.
Тем не менее, дополнительное время не должно вас сломать, а если это произойдет, могут возникнуть более серьезные проблемы. Если диски достаточно медленные, и запись на них зашифрованных нулей является обузой, то они, вероятно, недостаточно эффективны для всего, что вы хотите с ними делать.