加密前覆盖磁盘

Question

我要在我的磁盘上创建加密的lvm。作为一种加密机制，我选择了dmcrypt和LUKS。

下面是我的问题--在创建加密容器之前，我应该覆盖整个磁盘(出于安全原因)，还是覆盖已经加密的容器(密码设置常见问题-步骤6中有一些信息)，或者两者都覆盖？有关系吗？

Answer 1

如果您不覆盖磁盘的以前内容，任何旧的信息都将保留在一个琐碎(仅软件)可读的形式，直到它碰巧被覆盖，这可能是一个非常长的时间(边缘永远)。

如果在创建磁盘上的LUKS数据结构之前用零覆盖磁盘的先前内容，那么很大程度上消除了从磁盘上读取旧数据的可能性(使用软件这将是一项非常重要的任务，但使用专用硬件、大量时间和大量金钱可能是可能的)，但由于任何长度的数据加密到所有零的概率都是微不足道的，因此很难确定磁盘的哪一部分保存实际加密的数据。因此，一个坚定的对手可以专注于磁盘中实际保存数据的部分。

如果在创建磁盘上的LUKS数据结构之前使用随机数据覆盖磁盘的先前内容，那么将很难确定磁盘的哪些区域保存实际数据，哪些区域只是噪声，因为它们看起来基本相同。(没有密钥，正确加密的数据就无法与噪声区分开来。)攻击者可能由于其固有的数据结构而能够判断那里有一个LUKS数据容器，但无法判断磁盘的哪些部分值得加密攻击。

如果您确实用零或随机数据填充加密的容器，那么该容器之外的任何内容都将仍然保存以前的数据，并且容易受到相同的风险，就好像您没有对磁盘内容进行任何覆盖一样。有了一个覆盖整个磁盘的加密容器，这将是一个琐碎但仍非零的数据量。

其中哪一个适合你是一个风险分析的问题。任何覆盖都需要很长一段时间，但与零覆盖和伪随机数据覆盖的时间差比较小。

覆盖磁盘还有一个额外的好处:它练习磁盘的整个物理区域，允许驱动器在向磁盘写入任何重要内容之前识别和重新定位损坏的区域。由于使用加密(如压缩)数据，任何单个位错误都将迅速成倍增加，因此，这可能带来的好处是不小的，而且代价相对较小。

在将整个磁盘初始化为LUKS设备之前，我通常会用随机数据覆盖整个磁盘，因为我觉得这种方法的好处大于成本(主要是首次使用新驱动器所需的时间)。

如果您覆盖整个磁盘(使用类似于dd if=/dev/urandom of=/dev/sdb bs=1M的警告，除非您确切知道为什么要这样做，否则不要运行该命令！)，那么您不需要单独覆盖加密的LUKS分区，因为它看起来已经足够随意了。

当然，强制性的XKCD引用：给他下药然后用这个5美元的扳手打他直到他告诉我们密码。，但我相信您知道，即使是完整的磁盘加密也不是万灵药。