web-dev-qa-db-ja.com

Cryptsetup:パーティションにランダムデータを事前に入力します

これはオプションの手順であると書かれていますが、これを行うことをお勧めします。暗号化が改善され、パーティションにランダムデータが事前に入力されます。

ランダムなデータで満たされたセキュリティをもたらすものは何ですか?パーティションを復号化するのはもっと難しいですか?なぜそれがより良いセキュリティを提供するのか理解できません。これにより、セキュリティの側面が向上します。

それはsecurity.stackexchange.comにとっての質問かもしれませんが、どこかで以前に尋ねられたことがあると確信しています。

基本的に、それは「空き領域」をマスクするので、暗号化されたパーティションにあるデータの量とそれがどこに保存されているかは誰にもわかりません。それがあなたにとってどれほど重要かはあなたの事柄です。

それ以前にディスクが使用されていた場合は、暗号化されていない古いデータも削除されます。ゼロはその点でも同様に機能しますが、物理的にゼロを書き込む代わりに、圧縮、重複排除、トリミングを行うスマートメディアがない限り、したがって、ランダムデータ(shred -n 1またはランダムキークリプトをゼロにする)は、最適化できないため、推奨されます。

ただし、一般的に、優れた暗号があれば、セキュリティへの影響はほとんどありません。 SSDでcryptsetup/LUKSを使用していますが、TRIMを許可すると、空き領域が効果的にゼロになり、外部から見えるようになります。私はそれで大丈夫です、とにかくデータ自体はまだ暗号化されています。

人々はこれについてあまりにも心配しすぎて、暗号化されていないことについてはあまり心配しません/bootパスフレーズの改ざんやキーロガーが簡単です... put /boot暗号化されたキーファイルを備えたUSBと、どこへ行ってもポケットに入れられたUSB ...

4
frostschutz