¿El espacio no asignado en mi unidad también está cifrado (encriptación de disco completo)?

2
$ lsblk
NAME                  MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                     8:0    0 119.2G  0 disk  
├─sda1                  8:1    0   512M  0 part  /boot/efi
├─sda2                  8:2    0   244M  0 part  /boot
└─sda3                  8:3    0 118.5G  0 part  
  └─sda3_crypt        254:0    0 118.5G  0 crypt 
    ├─user--vg-root   254:1    0 110.7G  0 lvm   /
    └─user--vg-swap_1 254:2    0   7.9G  0 lvm

La partición sda3_crypt es 118.5G, ¿significa eso que mi unidad está encriptada, incluido el espacio no asignado (excluyendo la partición de inicio)? Sé que esta pregunta puede ser demasiado simple, pero he intentado encontrar una respuesta definitiva pero no he tenido suerte.

En cuanto a la partición de inicio, ¿estoy en lo cierto en que es posible mantenerla en una memoria USB? ¿Qué sucede cuando intenta iniciar el sistema operativo sin la unidad USB, entonces?

Por último, ¿el resultado de lsblk indica que mi partición de intercambio está cifrada?

    
pregunta Isthis 19.11.2017 - 16:40
fuente

1 respuesta

2
  

La partición sda3_crypt es 118.5G, ¿significa eso que mi unidad está encriptada, incluido el espacio no asignado (excluyendo la partición de arranque)?

Suponiendo que la unidad fue aleatoria antes o durante el cifrado inicial, sí. La totalidad de su tercera partición está encriptada. Si comenzó a usar el cifrado y acaba de formatear su disco, es posible que queden restos de la instalación anterior, sin cifrar. Sin embargo, los archivos que se eliminan en la partición cifrada, desasignando sus bloques, permanecerán cifrados.

Sin embargo, este no es necesariamente el caso de las unidades de estado sólido que admiten (y usan) TRIM. La compatibilidad con TRIM permite que el sistema operativo envíe una señal a la unidad a cero sectores no asignados, porque el firmware del SSD puede tomar mejores decisiones de optimización cuando sabe qué bloques son libres y cuáles no lo son (algo que no puede saber sin que el sistema operativo lo indique). a la encriptación). En ese caso, los espacios no asignados se borran y se ponen a cero. Esto puede permitir que alguien sepa qué bloques no están asignados en una unidad cifrada, al ver cuáles están en cero. No podrán saber qué contenían los bloques anteriormente, ya que se redujeron a cero y se cifraron. Hay una gran publicación en el blog sobre los problemas con los SSD que admiten TRIM y cifrado .

  

En cuanto a la partición de inicio, ¿estoy en lo cierto en que es posible mantenerla en una memoria USB? ¿Qué sucede cuando intenta iniciar el sistema operativo sin la unidad USB, entonces?

Sí, puede mantener la partición de inicio en cualquier dispositivo desde el que el BIOS admita el inicio. Si intenta iniciar sin la unidad USB, el comportamiento depende de la configuración del BIOS. Puede intentar iniciar desde otro medio conectado, o puede decir que no se encontró un medio de inicio y presionar F12 para reiniciar o algo por el estilo. El efecto sería el mismo que si extrajeras todas las unidades.

  

Por último, ¿el resultado de lsblk indica que mi partición de intercambio está cifrada?

Sí lo hace. Está utilizando LVM sobre sda3_crypt , que es un método para, entre otras cosas, crear particiones virtuales. La salida muestra que la asignación del dispositivo cifrado se divide en dos particiones virtuales (denominadas grupos de volúmenes en la terminología de LVM): user--vg-root y user--vg-swap_1 . Esto significa que LVM se configuró en la partición cifrada, por lo que todos los grupos de volúmenes que crea también se cifrarán.

  

Mi pregunta está dirigida al invitado, que respondió a esta publicación. Usted dice "Suponiendo que la unidad fue aleatoria antes o durante el cifrado inicial, sí. La totalidad de su tercera partición está cifrada".

     

Supongo que quiere decir que la unidad se borró con ceros antes de realizar el cifrado. Pero mi pregunta es, ¿está bien borrar un SSD con ceros para un cifrado "más seguro"? ¿No reducirá eso la vida útil del SSD?

Me refiero a que la unidad se borró con datos aleatorios antes de usarla con cifrado. Los ceros cifrados parecen aleatorios, por lo que si asigna al azar un dispositivo y luego lo cifra, nadie sin la clave puede decir qué sectores tienen todos los ceros. Si lo pone a cero antes de encriptarlo, es posible que haya eliminado los datos sin cifrar anteriores, pero está revelando exactamente qué sectores están en uso. Esto suele ser un mal necesario con los SSD, debido a que TRIM es importante para el rendimiento y la vida útil.

Una sola "celda" en un SSD puede manejar entre 2,000 y 10,000 ciclos de borrado. Creo que algunos incluso obtienen alrededor de 100.000. Esto significa que podría sobrescribir el dispositivo muchas veces antes de que se produzcan graves riesgos de falla. Sin mencionar que tienen un almacenamiento oculto adicional para evitar el desgaste, lo que se denomina espacio de provisión excesiva.

No tiene que escribir ceros en todo el SSD. Puede ponerlo a cero emitiendo un comando TRIM manual, que le dice al firmware de bajo nivel que ponga a cero todo. Esto puede ser casi instantáneo, porque es una acción separada de la escritura. En Linux, puedes usar el comando hdparm . De la página del manual:

--trim-sector-ranges
       For Solid State Drives (SSDs).  EXCEPTIONALLY DANGEROUS. DO  NOT
       USE  THIS OPTION!!  Tells the drive firmware to discard unneeded
       data sectors, destroying any data that  may  have  been  present
       within  them.   This makes those sectors available for immediate
       use by the firmware's garbage collection mechanism,  to  improve
       scheduling  for  wear-leveling  of the flash media.  This option
       expects one or more sector range  pairs  immediately  after  the
       option:  an  LBA  starting  address, a colon, and a sector count
       (max 65535), with no intervening spaces.  EXCEPTIONALLY  DANGER‐
       OUS. DO NOT USE THIS OPTION!!

       E.g.  hdparm --trim-sector-ranges 1000:4 7894:16 /dev/sdz

No te asustes por las advertencias apocalípticas que son tan comunes en la documentación de ese programa. Todo lo que se intenta abordar es el riesgo de perder datos con este indicador. Desearía establecer la dirección de inicio en 0 y el recuento de sectores en el tamaño total de su unidad. Esto borrará rápidamente todo sin acortar la vida útil de la unidad como si escribiera directamente en él.

    
respondido por el guest 20.11.2017 - 07:32
fuente

Lea otras preguntas en las etiquetas