SSD 드라이브를 암호화해야 하는데 자주 사용하는 dm-crypt작업이 아닙니다.
지금까지 ATA Secure Erase 명령을 사용하여 SSD의 스토리지 셀을 성공적으로 지웠습니다. 또한 다음을 사용하여 전체 디스크를 임의의 데이터로 채웠습니다.
dd if=/dev/urandom of=/dev/sdx bs=4096 status=progress.
cryptsetup내 질문은 유틸리티를 사용하여 장치(내 파티션)를 암호화 하는 마지막 단계에 관한 것입니다 .
전체 디스크를 임의의 데이터로 채웠으므로 파티션을 생성하고 암호화한 후 임의의 데이터로 파티션을 다시 채워야 합니까? 즉, 내가 생성한 임의의 데이터가 dd내가 만든 암호화된 파티션 내에 여전히 존재합니까?
답변1
dd if=/dev/urandom of=/dev/sdx bs=4096 status=progress
이 명령은 전체 드라이브를 임의의 데이터로 덮어씁니다. 이 무작위 데이터는 추가 데이터를 쓰거나 보안 삭제 또는 TRIM을 할 때까지 그대로 유지됩니다.
즉, dd로 생성한 임의의 데이터가 내가 생성한 암호화된 파티션 내에 여전히 존재합니까?
일반적으로 이런 경우가 있습니다.
그러나 TRIM이 언제 발생하는지 항상 명확한 것은 아닙니다. 예 mkfs를 들어 mkswap/swaponTRIM은 암묵적으로 암시되며 이를 비활성화하려면 추가 매개변수를 사용해야 합니다. 파티셔너가 동일한 아이디어를 취하고 새로 생성된 파티션을 정리하는지 여부는 알 수 없습니다. 파티셔닝 대신 LVM을 사용하는 경우 다른 스토리지 계층(예: TRIM 지원) 이 단순 통과로 작동하는 lvremove경우 에 유의하세요.lvresizeissue_discards = 1lvm.confmdadm
cryptsetup openTRIM은 지정하지 않는 한 기본적으로 허용되지 않지만 --allow-discards일부 배포판에서는 이러한 기본값을 변경하도록 선택할 수 있습니다.
결국 암호화를 위해 SSD가 무작위로 삭제되는 경우는 매우 드뭅니다. 제가 생각할 수 있는 유일한 사용 사례는 정리나 보안 삭제 시 하드웨어가 무료로 데이터를 삭제한다고 믿지 않으면서 오래된 데이터를 삭제하는 것입니다.
암호화를 하더라도 SSD의 여유 공간이 보이는 것은 정상입니다. 대부분의 사람들은 장기적으로 발생할 수 있는 성능 저하를 피하기 위해 TRIM을 매주/매월 사용하기를 원하므로 배포판에서는 이러한 추세를 따르고 allow-discards기본적으로 암호화된 장치에서 TRIM을 사용하게 될 수 있습니다.
일단 정리되면 임의의 데이터로 덮어쓸 필요가 없습니다.
그러나 모든 일을 파악하고 TRIM을 비활성화하는 한 임의의 데이터는 그대로 유지됩니다.