我最近阅读了这篇关于使用 LUKS 使用整个磁盘加密进行备份的不错的 Howto 教程。令我惊讶的是,本教程包含作为步骤 #3 的第一部分的命令,用加密的二进制零覆盖新磁盘分区:
dd if=/dev/zero of=/dev/mapper/your_encrypted_disk_partition
显然,考虑到当今可用的巨大磁盘,此命令将非常耗时。所以很想跳过这个命令。如果磁盘将被填满并且几乎无论如何都会被覆盖,因为在创建和安装加密磁盘设备之后将立即执行完整的系统备份作为下一步,那么很难理解这样做的必要性。
忽略此命令有哪些安全风险?
使用模式的披露是否仅仅意味着持有磁盘的人可能能够弄清楚我的加密数据占用了多少磁盘空间?
或者一些足智多谋的秘密机构能够发现更多的私人信息?
如果您不使用加密零将磁盘归零,则攻击者理论上可以分析您的磁盘以确定写入加密数据的位置和数量。可以从该元数据中收集信息,例如向底层文件系统写入信息的应用程序类型以及分区上可能存在的信息类型。如有必要,写全零也可能给你合理的否认。根据您加密分区的原因,您可能不关心上述任何内容。
如果他们真的想要的话,一个足智多谋的 TLA 可能会破坏您的加密,即使他们不得不求助于橡胶软管密码分析。
也就是说,额外的时间消耗仍然不应该让你失望,如果确实如此,那么可能会有更大的问题。如果磁盘足够慢以至于向它们写入加密的零是一种负担,那么它们可能在你想用它们做的任何其他事情上表现不佳。