我最近读了这篇文章很好的 Howto 教程关于使用 LUKS 进行全盘加密备份。令我惊讶的是,本教程包含步骤 #3 的第一部分,该命令用于使用加密的二进制零覆盖新磁盘分区:
dd if=/dev/zero of=/dev/mapper/your_encrypted_disk_partition
显然,考虑到目前可用的巨大磁盘,此命令将非常耗时。因此,跳过此命令的诱惑很大。如果磁盘将被填满并且无论如何都会被覆盖,因为在创建和安装加密磁盘设备后,下一步将立即进行完整的系统备份,那么执行此操作的必要性就很难理解了。
省略此命令有哪些安全风险?
做披露使用模式只是意味着拿到磁盘的人可能就能知道我的加密数据占用了多少磁盘空间?
或者一些资源丰富的秘密机构是否能够发现更多私人信息?
答案1
如果您不使用加密的零清零磁盘,理论上攻击者可以分析您的磁盘以确定写入加密数据的位置和数量。可以从元数据中收集信息,例如将信息写入底层文件系统的应用程序类型以及分区上可能存在哪种信息。如果有必要,写入全零也可能为您提供合理的否认。根据您加密分区的原因,您可能不关心上述任何内容。
一个资源丰富的 TLA 无论如何都可能破解你的加密,如果他们真的想的话,即使他们不得不诉诸橡皮管密码分析。
话虽如此,额外的时间消耗仍然不应该让你崩溃,如果真的崩溃了,那么可能会有更大的问题。如果磁盘速度太慢,以至于写入加密的零都是一种负担,那么它们的性能可能不足以满足你对它们的其他任何需求。