Ubuntuのフルディスク暗号化に時間が必要ないのはなぜですか?
私の知る限り、Ubuntuインストーラーの "セキュリティのために新しいUbuntuインストールを暗号化する"オプションは、完全なディスク暗号化を提供するためのものです。
ただし、そのオプションを使用すると、暗号化が即座に終了するように見え、文字通りまったく時間がかからないようです。
WindowsでBitLockerを使用してディスク全体を暗号化する場合、SSDでもディスクを完全に暗号化するのに数時間かかる場合があります。たとえば、BitLockerやDiskCryptorやTrueCryptなどの他の暗号化ツールには、進行状況インジケーターもあります。これは、どのくらいのディスクが既に暗号化されているかを示します。
Ubuntuインストーラの "セキュリティのために新しいUbuntuインストールを暗号化する"オプションの場合、なぜそうではないのですか?
私の1 TB SSDでさえ、暗号化は即座にセットアップされるようで、進行状況インジケーターはまったくありません。
それはどうして可能ですか?
フォーラムの誰かが言った:
http://ubuntuforums.org/showthread.php?t=2330425&p=13516293#post1351629
データは書き込まれるまで暗号化されません
しかし、それが当てはまる場合、インストーラの "セキュリティのために新しいUbuntuインストールを暗号化する"オプションは、完全なディスク暗号化ではありません。
彼が正しければ、ディスク全体は暗号化されません。使用済みのディスク領域のみを暗号化します。空のスペースは暗号化されません。
少なくともBitLockerでは、使用済みディスク領域のみを暗号化するか、ディスク全体を暗号化するかを選択するオプションがあります。たとえば、次のスクリーンショットを参照してください。
https://i-technet.sec.s-msft.com/en-us/windows/jj983729.bitlocker-screen(en-us、MSDN.10).jpg
同じフォーラムスレッドで、次のことも言及されました。
何かを書き込む前に記憶領域をランダムに初期化する場合は、多少時間がかかります。私はそれがインストールのためのオプションのチェックボックスであることを思い出すようです。
そして、実際、 "セキュリティを強化するために:空のディスク領域を上書きします(インストールにはさらに時間がかかる場合があります。)"次の画面のオプション "セキュリティのために新しいUbuntuインストールを暗号化する"オプションを持つ画面。
さて、質問は次のとおりです。そのオプションがチェックされている場合、空のディスク領域を上書きするだけですか?それとも暗号化されますか?
暗号化する前にゼロで上書きするだけだと思っていました。とにかくディスク全体が "セキュリティのために新しいUbuntuインストールを暗号化する"オプションを使用して暗号化されると想定していました。空のディスク容量(インストールにはさらに時間がかかる場合があります。)」オプション。
よろしく
さて、質問に答える前に、まず 「クイック形式」と「フル形式」の違いを説明する (Windowsの用語を借用するため)と論理ボリュームおよび物理ボリューム:
クイックフォーマット:ファイルシステム構造をドライブに(既存のデータの上に)書き込みます。
フルフォーマット:ファイルシステム構造を書き込む前にドライブを消去します(通常は0を書き込むことにより)。
現在使用されているすべてのファイルシステム(ext2、ext3、ext4、btrfs、zfs、xfs)は、デフォルトで「クイックフォーマット」を実行します。これは、データリカバリソフトウェアを使用してディスクをスキャンする場合、ファイルシステムから直接表示することはできませんが、ディスクに存在していた以前のデータを引き続き使用できることを意味します。
例として、写真の保存に使用する100GBのハードドライブがあるとします。このハードドライブをフォーマットし、Ubuntuをインストールすることにしました。 Ubuntuのインストールに約4GBのふりをしてみましょう。 Ubuntuをインストールすると、100GBのデータのうち約4GBがUbuntuのインストールで上書きされます。残りの96GBの写真データは、物理的にハードドライブに残っています。データ回復ソフトウェアを使用した場合、Ubuntuのインストール中にドライブが「フォーマット」されたという事実にもかかわらず、これらの写真のほとんどを取得できるはずです。
論理ボリューム:物理スペース全体を含む、記憶媒体の任意の領域。例えば100GBのディスクに100MBのパーティションを作成すると、100MBのパーティションは論理ボリュームと見なされます
物理ボリューム:ハードウェアの物理容量全体^。 100GBのハードドライブを使用した例では、物理ボリュームはデバイス全体(100GB)であり、内部に小さなボリュームは割り当てられていません。
^ハードウェア自体には、物理メディアの劣化を処理するための追加の容量(プロビジョニング以上)があります。この追加容量はデバイス自体によって管理され、S.M.A.R.T.インターフェイスを介してオペレーティングシステムからは見えません。このインターフェイスには、smartmontoolsをインストールすることでアクセスできます。
さて、あなたの質問に...
しかし、そうだとすれば、インストーラーの「Ubuntuインストールのセキュリティを確保する」オプションは、完全なディスク暗号化ではありません。
これは、定義/視点の違いです。 「フルディスク暗号化」は、物理ボリュームのコンテンツ全体が暗号化されていることを意味すると解釈しています、UbuntuはUbuntuがインストールされている論理ボリュームは暗号化されています。
したがって、Ubuntuをインストールし、ハードドライブをデータで完全に埋めると、暗号化された論理ボリュームは全体を埋めます物理ボリューム。
ただし、誰かがWindowsの横にUbuntuをディスクにインストールする場合があります。この場合、Windowsインストールは暗号化されていない可能性がありますが、Ubuntuインストールは暗号化されています。
このシナリオでは、Ubuntuの論理ボリューム上のすべてのデータが暗号化されているため、Ubuntuはまだ「フルディスク暗号化」を提供しています。 Ubuntuは、物理ボリューム上に存在する他の論理ボリューム上のデータを気にしません。
彼が正しければ、ディスク全体は暗号化されません。使用済みのディスク領域のみを暗号化します。空のスペースは暗号化されません。
はい。空のスペースを暗号化するとシステムの速度が大幅に低下するため、セキュリティ上の利点はありません。
さて、質問は次のとおりです。そのオプションがチェックされている場合、空のディスク領域を上書きするだけですか?それとも暗号化されますか?
私は自分で検証していませんが、未使用のディスク領域をランダムデータで上書きしている可能性があります。それは確かに空のスペースを暗号化していません。適切に暗号化されたデータはランダムデータから判読できないため、Ubuntuをインストールする前にディスクをランダムデータで満たすと、ディスクのどの部分が「空」で、どの部分が暗号化されているかを判別できなくなります
暗号化する前にゼロで上書きするだけだと思っていました。とにかく「セキュリティのために新しいUbuntuインストールを暗号化する」オプションを使用してディスク全体が暗号化されると想定していました
繰り返しますが、このコンテキストでの「フルディスク暗号化」とは、物理デバイス全体を暗号化するのではなく、ディスク上のすべての論理データの暗号化を指します。
空のスペースを暗号化しても、セキュリティ上の利点はありません。暗号化されていない空き領域が心配な場合は、 "セキュリティを強化するために空のディスク領域を上書きします(インストールに時間がかかる場合があります。)"インストール中に物理ディスク全体を上書きするオプション。
現在、自己暗号化ドライブ(SED)を購入することが可能です。 SSDの場合、関連する機能は OPAL と呼ばれます。コンピューターにSEDがインストールされている場合、暗号化はデバイス内の専用の暗号化ハードウェアによって処理されます。物理メディア(ハードドライブの場合は磁気プラッタ、SSDの場合はシリコン)に書き込まれるすべてのデータは、書き込まれる前にデバイスによって暗号化されます。これは、誰かがプラッタまたはシリコンチップを取り外すと、データを読み取れないことを意味します。ただし、SEDの暗号化の実装を信頼することに依存します。デバイスファームウェアはクローズドソースであり、監査されることはほとんどないため、バックドアなしで適切に実装されていることをベンダーに信頼しています。パスワードを指定して、起動時にSEDを復号化します。