Dm-Cryptを使用して暗号化するランダムデータでSSDを埋めます。

Dm-Cryptを使用して暗号化するランダムデータでSSDを埋めます。

SSDドライブを暗号化する必要がありますが、頻繁に使用するdm-crypt作業ではありません。

これまで、ATA Secure Eraseコマンドを使用してSSDのストレージセルを正常に消去しました。また、以下を使用してディスク全体をランダムなデータでいっぱいにしました。

dd if=/dev/urandom of=/dev/sdx bs=4096 status=progress

cryptsetup私の質問は、ユーティリティを使用してデバイス(マイパーティション)を暗号化する最後のステップについてです。

ディスク全体をランダムなデータでいっぱいにしたので、パーティションを作成して暗号化した後、ランダムなデータでパーティションを再充填する必要がありますか?つまり、私が作成した任意のデータは、dd私が作成した暗号化されたパーティション内にまだ存在しますか?

答え1

dd if=/dev/urandom of=/dev/sdx bs=4096 status=progress

このコマンドはドライブ全体をランダムなデータで上書きします。このランダムデータは、追加データを書き込むか、セキュリティを削除するかTRIMを実行するまでそのまま残ります。

つまり、ddで作成した任意のデータは、私が作成した暗号化されたパーティション内にまだ存在しますか?

通常、このような場合があります。

しかし、TRIMがいつ発生するかは必ずしも明確ではありません。たとえばmkfsmkswap/swaponTRIMは暗黙的に暗示されており、これを無効にするには追加のパラメータを使用する必要があります。パーティショナーが同じアイデアを取り、新しく作成したパーティションをクリーンアップするかどうかはわかりません。パーティション化の代わりにLVMを使用している場合は、他のストレージ層(TRIM対応など)が単純パススルーとして機能するlvremove場合に注意してください。lvresizeissue_discards = 1lvm.confmdadm

cryptsetup openTRIMは指定しない限りデフォルトでは許可されていませんが、--allow-discards一部のディストリビューションではこれらのデフォルト値を変更することを選択できます。

結局、暗号化のためにSSDがランダムに削除されることは非常にまれです。私が考えることができる唯一のユースケースは、クリーンアップやセキュリティを削除するときにハードウェアが無料でデータを削除すると信じずに古いデータを削除することです。

暗号化してもSSDの空き容量が見えるのは正常です。ほとんどの人は長期的なパフォーマンスの低下を避けるために毎週/毎月TRIMを使用したいので、ディストリビューションではこれらの傾向に従い、暗号化されたデバイスでデフォルトでallow-discardsTRIMを使用することができます。

一度クリーンアップしたら、任意のデータで上書きする必要はありません。

ただし、すべてのことを把握してTRIMを無効にする限り、任意のデータはそのまま残ります。

関連情報