Очистить перед шифрованием, почему?

Нет смысла делать несколько проходов. Один раз достаточно.

Заполнение зашифрованного диска с -по -случайными данными в основном имеет два применения:

• избавиться от старых незашифрованных данных
• сделать свободное пространство неотличимым от зашифрованных данных

Обычно, если вы шифруете, вы не хотите, чтобы кто-либо видел ваши данные. Так что, скорее всего, если на этом диске у вас были старые незашифрованные данные, вы тоже хотите от них избавиться. SSD может позаботиться об этом проще и быстрее с blkdiscard. Фактически, Linux mkfsудаляет все данные, даже не спрашивая у вас подтверждения, что делает любое восстановление данных невозможным. В Linux слишком много TRIM.

Свободное пространство — это немного серая зона. Если вы предварительно не заполните -случайными данными, на совершенно новом жестком диске сектора, которые никогда не записывались, будут нулевыми. На SSD, если вы разрешите сброс/TRIM, свободное место также будет равно нулю.

Хотя это никак не повлияет на ваши данные (, они по-прежнему зашифрованы ),он показывает, сколько свободного места/фактических данных у вас есть, и где это свободное пространство/данные находятся. Например, hexdump -Cзашифрованного, обрезанного SSD будет выглядеть примерно так:

# hexdump -C /dev/ssd | grep -C 2 '^\*'
...
--
b3eabff0  dc c9 c7 89 16 ca d3 4f  a3 27 d6 df a0 10 c3 4f  |.......O.'.....O|
b3eac000  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
*
b3f70000  5a 99 44 b5 9c 6b 1e 9c  81 cf 9a 43 b6 23 e9 0f  |Z.D..k.....C.#..|
b3f70010  2c e6 9a 5d 59 9b 46 5f  21 3f 4d 5f 44 5b 0a 6b  |,..]Y.F_!?M_D[.k|
--
b3f70ff0  5f 63 8d e8 c4 10 fd b1  a6 17 b5 7d 4a 57 09 68  |_c.........}JW.h|
b3f71000  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
*
b3f72000  5d 1c 09 dd c9 6b 57 18  db 67 e1 35 81 57 45 8e  |]....kW..g.5.WE.|
b3f72010  0f a8 be 39 ae e5 5f cf  cf e3 8b a7 c1 25 1a a3  |...9.._......%..|
--
...

Из этого вы можете сказать, что у меня есть сегменты свободного пространства по адресу 0xb3eac000.. 0xb3f70000, b3f71000.. b3f72000,... и обратное этому, конечно, сегменты данных, такие как 0xb3f70000.. b3f71000.

Что с ним можно сделать? Ну ничего (*).

(*)вот что я хотел бы сказать. Но люди проявляют творческий подход . Шаблоны свободного пространства можно использовать для получения типа используемой файловой системы (из-за того, как и где они хранят метаданные -, если есть свободное место, где ext4будет хранить одну из своих резервных копий метаданных, это, скорее всего, не ext4и др. ). Иногда он даже показывает, какой дистрибутив вы используете (, если ваш установщик Linux детерминистически заполняет файловую систему, файлы могут всегда заканчиваться на одних и тех же физических адресах ). В этот момент кто-то может знать, где находится конкретный системный файл, и может каким-то образом изменить/повреждить его. (Во избежание этого установщики должны случайным образом заполнять файловые системы.)

Однако такие соображения носят чисто теоретический характер и представляют очень низкий риск по сравнению с тем, насколько уязвимы большинство зашифрованных установок по другим причинам. В большинстве стандартных установок более вероятно / проще просто вмешаться в initramfs, или установить кейлоггер, или использовать работающую систему, чем каким-то образом получить необработанный доступ и проанализировать зашифрованные данные и надеяться достичь чего-либо таким образом.

Вы должны сначала позаботиться об этом, прежде чем беспокоиться об обнаружении свободного места.

Для SSD совершенно нормально включать TRIM и, таким образом, постоянно показывать свободное пространство. Это также относится к решениям для шифрования, которые работают на уровне файлов, а не на уровне блоков.

С жестким диском вы в основном делаете выборочную очистку даже на новом диске, потому что вы можете,и нет никаких причин не делать этого, так как это не требует никаких затрат (, кроме первой -установки времени )и никаких недостатков.