SSDドライブを暗号化する必要がありますが、頻繁に使用するdm-crypt
作業ではありません。
これまで、ATA Secure Eraseコマンドを使用してSSDのストレージセルを正常に消去しました。また、以下を使用してディスク全体をランダムなデータでいっぱいにしました。
dd if=/dev/urandom of=/dev/sdx bs=4096 status=progress
。
cryptsetup
私の質問は、ユーティリティを使用してデバイス(マイパーティション)を暗号化する最後のステップについてです。
ディスク全体をランダムなデータでいっぱいにしたので、パーティションを作成して暗号化した後、ランダムなデータでパーティションを再充填する必要がありますか?つまり、私が作成した任意のデータは、dd
私が作成した暗号化されたパーティション内にまだ存在しますか?
答え1
dd if=/dev/urandom of=/dev/sdx bs=4096 status=progress
このコマンドはドライブ全体をランダムなデータで上書きします。このランダムデータは、追加データを書き込むか、セキュリティを削除するかTRIMを実行するまでそのまま残ります。
つまり、ddで作成した任意のデータは、私が作成した暗号化されたパーティション内にまだ存在しますか?
通常、このような場合があります。
しかし、TRIMがいつ発生するかは必ずしも明確ではありません。たとえばmkfs
、mkswap/swapon
TRIMは暗黙的に暗示されており、これを無効にするには追加のパラメータを使用する必要があります。パーティショナーが同じアイデアを取り、新しく作成したパーティションをクリーンアップするかどうかはわかりません。パーティション化の代わりにLVMを使用している場合は、他のストレージ層(TRIM対応など)が単純パススルーとして機能するlvremove
場合に注意してください。lvresize
issue_discards = 1
lvm.conf
mdadm
cryptsetup open
TRIMは指定しない限りデフォルトでは許可されていませんが、--allow-discards
一部のディストリビューションではこれらのデフォルト値を変更することを選択できます。
結局、暗号化のためにSSDがランダムに削除されることは非常にまれです。私が考えることができる唯一のユースケースは、クリーンアップやセキュリティを削除するときにハードウェアが無料でデータを削除すると信じずに古いデータを削除することです。
暗号化してもSSDの空き容量が見えるのは正常です。ほとんどの人は長期的なパフォーマンスの低下を避けるために毎週/毎月TRIMを使用したいので、ディストリビューションではこれらの傾向に従い、暗号化されたデバイスでデフォルトでallow-discards
TRIMを使用することができます。
一度クリーンアップしたら、任意のデータで上書きする必要はありません。
ただし、すべてのことを把握してTRIMを無効にする限り、任意のデータはそのまま残ります。