Birden çok geçiş yapmanın anlamı yoktur. Bir kez yeter.
Şifrelenecek bir sürücüyü rasgele verilerle doldurmak, başlıca iki kullanım alanına sahiptir:
- eski, şifrelenmemiş verilerden kurtulun
- boş alanı şifreli verilerden ayırt edilemez hale getirin
Genellikle şifrelerseniz, verilerinizi kimsenin görmesini istemezsiniz. Yani, bu sürücüde eski, şifrelenmemiş verileriniz varsa, ondan da kurtulmak istersiniz. Bir SSD ile daha kolay ve daha hızlı halledebilir blkdiscard
. Aslında, Linux, mkfs
sizden onay istemeden tüm verileri TRIMs eder; bu da her türlü veri kurtarmayı imkansız hale getirir. Linux'ta çok fazla TRIM var.
Boş alan biraz gri bir alandır. Rasgele verilerle önceden doldurmazsanız, yepyeni bir HDD’de, hiç yazılmamış sektörler sıfır olacaktır. Bir SSD'de, atma / TRIM'e izin verirseniz, boş alan da sıfır olur.
Bu, verilerinizi hiçbir şekilde etkilemese de (hala şifreli), ne kadar boş alan / gerçek veriye sahip olduğunuzu ve bu boş alanın / verilerin nerede olduğunu gösterir. Örneğin hexdump -C
, şifrelenmiş, kesilmiş bir SSD'den bir tanesi şöyle görünecektir:
# hexdump -C /dev/ssd | grep -C 2 '^\*'
...
--
b3eabff0 dc c9 c7 89 16 ca d3 4f a3 27 d6 df a0 10 c3 4f |.......O.'.....O|
b3eac000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
b3f70000 5a 99 44 b5 9c 6b 1e 9c 81 cf 9a 43 b6 23 e9 0f |Z.D..k.....C.#..|
b3f70010 2c e6 9a 5d 59 9b 46 5f 21 3f 4d 5f 44 5b 0a 6b |,..]Y.F_!?M_D[.k|
--
b3f70ff0 5f 63 8d e8 c4 10 fd b1 a6 17 b5 7d 4a 57 09 68 |_c.........}JW.h|
b3f71000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
b3f72000 5d 1c 09 dd c9 6b 57 18 db 67 e1 35 81 57 45 8e |]....kW..g.5.WE.|
b3f72010 0f a8 be 39 ae e5 5f cf cf e3 8b a7 c1 25 1a a3 |...9.._......%..|
--
...
Bundan ben adresinde boş alan kesimleri var söyleyebilir 0xb3eac000 .. 0xb3f70000
, b3f71000 .. b3f72000
... ve bunun tersi gibi ders veri segmentlerinin olduğunu 0xb3f70000 .. b3f71000
.
Bununla ne yapabilirsin? Eh, hiçbir şey (*).
(*) söylemek istediğim şey. Ancak insanlar yaratıcı olur . Boş alan desenleri, kullandığınız dosya sisteminin türünü türetmek için kullanılabilir (meta verileri nasıl / nereye depoladıklarından dolayı - ext4
meta veri yedeklerinden birini depolayacağı boş alan varsa ext4
vb.). Bazen hangi dağıtımı kullandığınızı bile gösterir (Linux kurucunuz dosya sistemini belirleyici bir şekilde doldurursa, dosyalar her zaman aynı fiziksel adreslerde olabilir). Bu noktada, birisi belirli bir sistem dosyasının nerede olduğunu bildiği gibi bir şekilde değiştirebilir / zarar verebilir. (Yükleyiciler bunu önlemek için dosya sistemlerini doldurma şeklini rastgele seçmelidir.)
Bununla birlikte, bu tür düşünceler çok teoriktir ve çoğu şifreli kurulumun diğer nedenlerden dolayı ne kadar savunmasız olduğu ile karşılaştırıldığında çok düşük risklidir. Kutudan çıkan kurulumların çoğunda, yalnızca initramflarla kurcalamak veya bir keylogger kurmak veya çalışan sistemden yararlanmak, bir şekilde şifreli veriye erişmek ve şifrelenmiş verileri analiz etmek ve bu şekilde bir şey elde etmeyi ummaktan daha kolaydır.
Boş alanı açığa vurmadan endişelenmeden önce, bunlar için endişelenmelisiniz.
SSD ile, TRIM'i etkinleştirmek tamamen normaldir ve bu nedenle her zaman açığa çıkan boş alan vardır. Bu aynı zamanda blok katmanı yerine bir dosya katmanı üzerinde çalışan şifreleme çözümleri için de geçerlidir.
HDD’de, özellikle rasgele silme işlemini yeni bir diskte bile yaparsınız, çünkü bunu yapabilirsiniz; bunun için hiçbir maliyeti yoktur (ilk kez yapılan ayarların yanı sıra) ve dezavantajları yoktur.
badblocks
, kötü sektörleri kontrol etmek için yapılanlara benzer, sesleri 0, 1, 01, 10 ve Tüm disk şifrelemesi için, frostschultz'un cevabındaki (+1) nedenlerden dolayı şifreli bir sıfır doldurma (her yerde şifreli veri yazmak) önerilmesi yaygındır (+1), ancak tüm bunları şifrelemeden önce yapmak olağandışıdır, şifrelemeden sonra çalıştırmabadblocks
veya mkf'ler-cc
başarabilir Aynı, artı kötü blokları tanımlamak. Belki Kali birisi flaş bellek hakkında biraz paranoyak (USB en, SSD en) her zaman aynı yerde aynı sektörünü yazma ve yedeklerden / 'e sektörleri takas değil