Voy a cifrar el disco duro externo. La unidad de disco duro se borra tres veces con el comando shred --verbose --random-source=/dev/urandom --iterations=3 /dev/sdc , pero después de eso, ejecuté accidentalmente el comando dd if=/dev/sdb of=/dev/sdc bs=4M status=progress y lo detuve. /dev/sdb es un disco duro encriptado. ¿Debo preocuparme por la posible filtración de metadatos durante el análisis forense?
Debe explicar qué quiere decir con "fuga de metadatos durante el análisis forense". Ya sea que exista o no un riesgo de filtrar información confidencial, depende de lo que tengas en /dev/sdb . Si tenía datos confidenciales y sin cifrar allí, al escribirlos al principio de /dev/sdc , los datos podrían recuperarse, a menos que se sobrescriban. Solo debes iniciar una vez más un borrado y limitarlo para sobrescribir solo por la cantidad de datos que se muestran en los resultados de status=progress .
Alguien que realice análisis forenses en su unidad verá que / dev / sdb y / dev / sdc comenzaron con los mismos datos. Esto les indicaría que los contenidos de / dev / sdb casi con seguridad no son ruidos aleatorios, sino que en realidad son contenidos de discos encriptados.
Esto les daría más confianza en gastar tiempo en intentar recuperar el contenido de esa unidad cifrada. Además, porque cuando pienso en "forense" creo que en "corte", es muy probable que esto elimine cualquier negación plausible de su parte si fuera llevado ante un tribunal y se le pidiera que divulgue la clave de cifrado, es decir, no tendría la oportunidad de decir "eso es solo una unidad unificada, no hay nada que descifrar".
Lea otras preguntas en las etiquetas encryption data-leakage forensics