LINUX.ORG.RU
ФорумSecurity

Безопасно затереть диск для дальнейшего шифрования

 , ,


0

4

Мне не нужен denied encryption, так что, достаточно, если просто на диске не останется читаемой инфы. Что лучше сделать - cat /dev/zero > диск, cat /dev/urandom, или же извратиться с шифрованием из девзиро посредством openssl? Какая будет на практике разница между этими методами? Заранее спасибо.

★★
Зловред В руте.
Есть ли необходимость в шифровании /boot?

https://en.wikipedia.org/wiki/Data_remanence#Feasibility_of_recovering_overwr...

On the other hand, according to the 2006 NIST Special Publication 800-88 (p. 7): «Studies have shown that most of today’s media can be effectively cleared by one overwrite» and «for ATA disk drives manufactured after 2001 (over 15 GB) the terms clearing and purging have converged.»[5] An analysis by Wright et al. of recovery techniques, including magnetic force microscopy, also concludes that a single wipe is all that is required for modern drives. They point out that the long time required for multiple wipes «has created a situation where many organisations ignore the issue all together – resulting in data leaks and loss.»[6]

dd if=/dev/urandom of=/dev/sda bs=8M
edigaryev ★★★★★
()

Есть время и желание — несколько проходов сделай, для этого утилита shred имеется, нет — сделай один /dev/urandom на весь диск и затем заново создай разделы (видимо имеет смысл потом на первый сектор или первый мегабайт накатить /dev/zero если будет обычный загрузчик)

Xenius ★★★★★
() 
cryptsetup open --type plain /dev/sda disk
cat /dev/zero > /dev/mapper/disk

shred -vn1 /dev/sda
anonymous
()

Тоже читал, что перед шифрованием надо затирать диск, но не понял, зачем. Чтобы врагу не досталось то, что на диске было до шифрования, или это как-то ослабляет само шифрование?

Klymedy ★★★★★
()
Ответ на: комментарий от Klymedy

Видно объем и где лежат зашифрованные данные.

anonymous
()
Ответ на: комментарий от Klymedy

очень старые Максторы, иль 2009<Сигейтины

за исключением 2,5 «пасспортянок»,(?). Ответ: даже и не париться.

anonymous
()
Ответ на: комментарий от edigaryev

А чем это лучше девзиро? Мне неи надо, чтобы нельзя было определить присутствие криптоданных. Мне надо лишь, чтобы ничего из старых установок не было видно.

Valdor ★★
() автор топика
Ответ на: комментарий от Valdor

Рандом:

shred --random-source=/dev/urandom --iterations=1 --verbose /dev/sda

или 

dd if=/dev/urandom of=/dev/sda bs=8M

Забить нулями: 

shred --zero --iterations=1 --verbose /dev/sda
или 
dd if=/dev/zero of=/dev/sda bs=8M

Что быстрее shred или dd не знаю. По идее dd должно работать быстрее. Но shred более для пользователей подойдёт.

anonymous
()
Ответ на: комментарий от Valdor

Мне неи надо, чтобы нельзя было определить присутствие криптоданных. Мне надо лишь, чтобы ничего из старых установок не было видно.

Гарантированное уничтожение данных без возможности восстановления: 

shred --verbose /dev/sda
Но это в несколько проходов по диску и долго.. Выше, в ответах, приведены упрощения в один проход, быстрее, но данные можно восстановить сверх дорогими методами, которые оплатят только богатые государства.

anonymous
()

Я бы из /dev/zero с bs кратным физическому кластеру диск забил, потом sync, потом заново таблицу разделов создать и заниматься шифрованием. Данных на диске уже не будет, искать что-то по блинам в лаборатории довольно затратно будет.

Radjah ★★★★★
()
Ответ на: комментарий от Valdor

Тут по скорости надо смотреть. По идее пофиг как нулями забивать. Я просто привык с блочными устройствами через dd работать.

Radjah ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Зловред В руте.
Security
Есть ли необходимость в шифровании /boot?