Voy a abordar la pregunta de por qué uno desearía llenar una partición con datos aleatorios antes de almacenar datos cifrados en ella. No sé qué proceso de conversión ha estado viendo, por lo que no puedo ser más preciso.
Primero, si ya había datos en la partición que está cifrando y desea que esos datos sean confidenciales, debe asegurarse de sobrescribirlos. No importa si sobrescribe con datos aleatorios o con ceros, pero también puede ir con aleatorios (puede ser o no más lento dependiendo de las velocidades relativas de su disco y su CPU). Este argumento no se aplica si no tenía datos confidenciales en la partición, por ejemplo, porque está en un disco recién comprado.
Ahora avance rápido en el tiempo hasta que la partición contenga datos encriptados. Si no toma ninguna precaución, entonces un atacante que se apodere de la partición sin procesar puede ver qué partes no se usan. Esto revela cierta información: el atacante sabrá cuántos datos ha almacenado (hasta cierto punto: el atacante no podrá distinguir entre los datos cifrados en vivo y los datos cifrados eliminados pero no sobrescritos). Esto no siempre es una preocupación, pero cuando estás escribiendo un tutorial de seguridad, es mejor prevenir que lamentar. Si el espacio no utilizado está lleno de datos aleatorios, el atacante no tiene manera de distinguir el espacio no utilizado del espacio utilizado (una definición informal de datos cifrados con éxito es que no se puede distinguir de los datos aleatorios de alguien que no tiene la clave).
Si el atacante puede husmear en los datos cifrados varias veces (entrando sigilosamente para leer, en lugar de robar el disco directamente), el atacante puede ver cómo la cantidad y la ubicación del espacio utilizado evolucionan con el tiempo. Esto también revela información técnica (pero no información explotable en la mayoría de los casos de uso). Por supuesto, en esta situación, el atacante puede averiguar la tasa aproximada de cambio en los datos cifrados de todos modos.
El comando cryptsetup luksFormat solo almacena los metadatos necesarios, no sobrescribe toda la partición. Esto es considerablemente más rápido, pero ligeramente inseguro en algunos casos de uso; de ahí la recomendación común de sobrescribir primero toda la partición.
El método estándar para cifrar una partición con LUKS es hacer una copia de seguridad de los datos, crear el contenedor cifrado y restaurar desde la copia de seguridad. Así, en el proceso normal de creación de volúmenes LUKS, sobrescribiría toda la partición, no solo el espacio libre (sobrescribir el espacio libre no cumpliría con el objetivo principal de borrar los datos antiguos, ya que el nuevo volumen puede no almacenar los datos de la misma forma). ubicaciones dentro de la partición). Hay proyectos para hacer herramientas para convertir un volumen a LUKS en su lugar; No sé cuán maduros son. En una herramienta de este tipo, solo sobrescribiría el espacio no utilizado por los datos cifrados al final del proceso de cifrado.