Linux

使用前未完全覆蓋新的 LUKS 磁碟的安全隱患是什麼

  • May 7, 2015

我最近閱讀了這篇關於使用 LUKS 使用整個磁碟加密進行備份的不錯的 Howto 教程。令我驚訝的是,本教程包含作為步驟 #3 的第一部分的命令,用加密的二進制零覆蓋新磁碟分區:

dd if=/dev/zero of=/dev/mapper/your_encrypted_disk_partition

顯然,考慮到當今可用的巨大磁碟,此命令將非常耗時。所以很想跳過這個命令。如果磁碟將被填滿並且無論如何都會被覆蓋,因為在創建和掛載加密磁碟設備之後將立即進行完整系統備份作為下一步,那麼很難理解這樣做的必要性。

忽略此命令有哪些安全風險?

使用模式的披露是否僅僅意味著持有磁碟的人可能能夠弄清楚我的加密數據佔用了多少磁碟空間?

或者一些足智多謀的秘密機構能夠發現更多的私人資訊?

如果您不使用加密零將磁碟歸零,則攻擊者理論上可以分析您的磁碟以確定寫入加密數據的位置和數量。可以從該元數據中收集資訊,例如向底層文件系統寫入資訊的應用程序類型以及分區上可能存在的資訊類型。如有必要,寫全零也可能給你合理的否認。根據您加密分區的原因,您可能不關心上述任何內容。

如果他們真的想要的話,一個足智多謀的 TLA 可能會破壞您的加密,即使他們不得不求助於橡膠軟管密碼分析

也就是說,額外的時間消耗仍然不應該讓你失望,如果確實如此,那麼可能會有更大的問題。如果磁碟足夠慢以至於向它們寫入加密的零是一種負擔,那麼它們可能在你想用它們做的任何其他事情上表現不佳。

引用自:https://serverfault.com/questions/690367