为什么 Ubuntu 的全盘加密不需要时间?

为什么 Ubuntu 的全盘加密不需要时间?

据我了解,“为了安全起见,对新安装的 Ubuntu 进行加密”Ubuntu 安装程序中的选项旨在提供全盘加密。

但是,当使用该选项时,加密似乎会立即完成,实际上似乎根本不需要任何时间。

在 Windows 上使用 BitLocker 加密整个磁盘时,即使在 SSD 上,也需要数小时才能完全加密磁盘。使用 BitLocker 和其他加密工具(例如 DiskCryptor 或 TrueCrypt)时,还有一个进度指示器,显示磁盘的加密程度。

为什么情况并非如此“为了安全起见,对新安装的 Ubuntu 进行加密”Ubuntu 安装程序中有什么选项吗?

即使在我的 1 TB SSD 上,加密似乎也立即设置完成,并且没有任何进度指示器。

这怎么可能?

论坛上有人说:

http://ubuntuforums.org/showthread.php?t=2330425&p=13516293#post13516293

数据在写入之前不会被加密

但如果这是真的,那么“为了安全起见,对新安装的 Ubuntu 进行加密”安装程序中的选项根本不是全盘加密。

如果他是正确的,那么它就不会加密整个磁盘。它只会加密已使用的磁盘空间。空白空间不会被加密。

至少使用 BitLocker,您可以选择仅加密已用的磁盘空间或加密整个磁盘,例如见以下屏幕截图:

https://i-technet.sec.s-msft.com/en-us/windows/jj983729.bitlocker-screen(en-us,MSDN.10).jpg

在同一个论坛主题中还提到:

如果您想在写入任何内容之前随机初始化存储区域,则需要一些时间。我似乎记得它是安装的一个可选复选框。

确实,“为了更加安全:覆盖空闲磁盘空间(安装可能需要更长时间。)”在下一个屏幕上,显示“为了安全起见,对新安装的 Ubuntu 进行加密”选项。

现在的问题是:如果选中该选项,它是否只会覆盖空闲磁盘空间?还是也会对其进行加密?

我假设它只会在加密之前用零覆盖它。我假设整个磁盘无论如何都会被加密,使用“为了安全起见,对新安装的 Ubuntu 进行加密”选项,而不管“为了更安全:覆盖空磁盘空间(安装可能需要更长时间。)”选项。

问候

答案1

好的,在回答你的问题之前,我需要先解释“快速格式化”和“完整格式化”之间的区别(借用 Windows 术语),以及逻辑卷和一个物理体积

快速格式化:将文件系统结构写入驱动器(在现有数据之上)。

完整格式:在写入文件系统结构之前擦除驱动器(通常通过写入 0)。

目前使用的所有文件系统(ext2、ext3、ext4、btrfs、zfs、xfs)默认执行“快速格式化”。这意味着,虽然无法通过文件系统直接看到磁盘上以前的数据,但如果您使用数据恢复软件扫描磁盘,这些数据仍然可用。

举个例子:您有一个 100GB 的硬盘,用于存储照片。您决定格式化此硬盘并安装 Ubuntu。假设 Ubuntu 安装将占用约 4GB。安装 Ubuntu 后,100GB 数据中约 4GB 将被 Ubuntu 安装覆盖。其余 96GB 的照片数据仍物理存在于硬盘上。如果您使用数据恢复软件,您应该能够恢复大部分照片,尽管在 Ubuntu 安装期间驱动器被“格式化”。

逻辑卷:存储介质的任何区域,包括整个物理空间。例如,如果你在 100GB 的磁盘上创建一个 100MB 的分区,那么这个 100MB 的分区将被视为逻辑卷

物理卷:硬件的整个物理容量。在我们的 100GB 硬盘示例中,物理卷是整个设备 (100GB),其中没有分配任何较小的卷。

^ 硬件本身将具有额外的容量(超额配置)来处理物理介质的退化。此额外容量由设备本身管理,除非通过 SMART 界面(您可以通过安装 来访问),否则操作系统看不到它smartmontools

现在来回答你的问题...

但如果这是真的,那么安装程序中的“为安全起见加密新的 Ubuntu 安装”选项根本不是全盘加密。

这是定义/观点的差异。你把“全盘加密”解释为整个磁盘内容物理体积是加密的,而 Ubuntu 使用“全盘加密”来表示逻辑卷安装 Ubuntu 的地方是加密的。

因此,如果你安装了 Ubuntu,并且硬盘里装满了数据,那么加密的逻辑卷会填满整个物理体积

然而,有些情况下,有人会在磁盘上同时安装 Ubuntu 和 Windows。在这种情况下,Windows 安装可能未加密,但 Ubuntu 安装已加密。

在这种情况下,Ubuntu 仍然提供“全盘加密”,因为 Ubuntu 上的所有数据逻辑卷已加密。Ubuntu 不关心物理卷上存在的其他逻辑卷上的数据。

如果他是正确的,那么它就不会加密整个磁盘。它只会加密已使用的磁盘空间。空白空间不会被加密。

是的,因为加密空白空间会使系统速度变慢,而且这样做没有任何安全益处。

现在的问题是:如果选中该选项,它是否只会覆盖空闲磁盘空间?还是也会对其进行加密?

我自己还没有验证过,但它很可能是用随机数据覆盖未使用的磁盘空间。它肯定不会加密空白空间。正确加密的数据与随机数据无法解密,因此在安装 Ubuntu 之前用随机数据填充磁盘将无法分辨磁盘的哪些部分是“空的”,哪些部分是加密的

我假设它在加密之前只会用零覆盖它。我假设整个磁盘无论如何都会被加密,使用“加密新的 Ubuntu 安装以确保安全”选项

再次强调,“全盘加密”在此上下文中是指对所有逻辑数据在磁盘上,而不是加密整个物理设备。

加密空白空间没有任何安全优势。如果您担心可用空间未被加密,请选择“为了更加安全:覆盖空闲磁盘空间(安装可能需要更长时间。)”选项覆盖整个物理磁盘。

现在,可以购买自加密驱动器 (SED)。对于 SSD,相关功能称为蛋白石如果您的计算机安装了 SED,则加密由设备内的专用加密硬件处理。写入物理介质(硬盘的磁盘或 SSD 的硅片)的所有数据在写入之前均由设备加密。这意味着如果有人移除磁盘或硅片,他们就无法读取数据。但是,这确实取决于您是否信任 SED 的加密实现。由于设备固件是闭源的并且很少被审核,因此您可以信任供应商能够正确实现它并且没有任何后门。您可以通过提供密码在启动时解密 SED。

相关内容