我最近阅读了这个漂亮的Howto教程,介绍使用LUKS进行整个磁盘encryption的备份。 令人惊讶的是,本教程包含第3步的第一部分:用encryption二进制零覆盖新磁盘分区的命令:
dd if=/dev/zero of=/dev/mapper/your_encrypted_disk_partition 显然,考虑到今天可用的巨大磁盘,这个命令将非常耗时。 所以诱惑跳过这个命令。 如果磁盘将被填满并且主要是被覆盖,因为在创build和安装encryption的磁盘设备之后,下一步将立即进行完整的系统备份,所以需要这样做是很难理解的。
离开这个命令有什么安全风险?
使用模式的泄露是否意味着有人抓住磁盘可能会发现我的encryption数据占用了多less磁盘空间?
或者可能一些机智的秘密机构能够发现更多的私人信息?
如果你不用零encryption磁盘,攻击者理论上可以分析你的磁盘来确定写入的数据的encryption位置和数量。 可以从该元数据收集信息,例如将应用程序写入底层文件系统的信息以及该分区上可以存在什么样的信息。 如果有必要,写出所有零也可能会给你合理的否定性。 根据你为什么要encryption分区,你可能不关心任何上述。
一个足智多谋的TLA可能会破坏你的encryption,如果他们真的想要的话,即使他们不得不求助于橡皮pipe密码分析 。
也就是说,额外的时间消耗仍然不应该打破你,如果这样做,那么可能会有更大的问题。 如果磁盘足够慢,写入encryption的零是一个负担,那么他们可能performance不佳,无论你想要做什么,他们。