Saya ingin tahu mengapa, sebelum mengenkripsi dan menginstal sendiri pada drive, Kali:
- menghapus seluruh drive
- mengisi drive dengan 0s
- mengisi drive dengan 1s
- mengisi drive dengan data acak
- menghapus drive lagi
Saya tahu bahwa Kali tidak dimaksudkan untuk diinstal, tetapi bukan itu intinya di sini.
Jadi, bagaimana ini berguna sebelum menginstal, katakan pada HDD baru? Saya terbiasa melihat bahwa pada penghapusan HDD, tidak menginstal.
badblocks
dilakukan untuk memeriksa bad sector, tulis & periksa 0's, 1's, 01's, 10's. Untuk enkripsi seluruh disk, adalah umum untuk merekomendasikan nol-terenkripsi terenkripsi (untuk menulis data terenkripsi di mana-mana) untuk alasan dalam jawaban frostschultz (+1), tetapi melakukan semua ini sebelum mengenkripsi adalah tidak biasa, setelah mengenkripsi kemudian berjalanbadblocks
atau mkfs-cc
akan mencapai sama, ditambah mengidentifikasi blok buruk. Mungkin seseorang di Kali sedikit paranoid tentang memori flash (USB, SSD) tidak selalu menulis sektor yang sama di tempat yang sama, dan menukar sektor ke / dari cadanganJawaban:
Tidak ada gunanya melakukan beberapa operan. Satu kali sudah cukup.
Mengisi drive yang akan dienkripsi dengan data acak terutama memiliki dua kegunaan:
Biasanya jika Anda mengenkripsi, Anda tidak ingin orang lain melihat data Anda. Jadi kemungkinannya adalah, jika Anda memiliki data lama dan tidak terenkripsi pada drive ini, Anda juga ingin membuangnya. SSD mungkin akan membuatnya lebih mudah dan lebih cepat
blkdiscard
. Faktanya, Linuxmkfs
TRIMs semua data bahkan tanpa meminta konfirmasi kepada Anda, yang membuat segala jenis pemulihan data menjadi tidak mungkin. Terlalu banyak TRIM di Linux.Ruang kosong adalah sedikit area abu-abu. Jika Anda tidak mengisi sebelumnya dengan data acak, pada HDD baru, sektor-sektor yang tidak pernah dituliskan akan menjadi nol. Pada SSD, jika Anda mengizinkan discard / TRIM, ruang kosong juga akan menjadi nol.
Meskipun ini tidak mempengaruhi data Anda dengan cara apa pun (masih terenkripsi), ini mengungkapkan berapa banyak ruang kosong / data aktual yang Anda miliki, dan di mana ruang / data bebas ini berada. Misalnya a
hexdump -C
dari SSD yang dienkripsi dan dipangkas akan terlihat seperti ini:Dari ini Anda dapat memberitahu saya memiliki segmen ruang bebas di alamat
0xb3eac000 .. 0xb3f70000
,b3f71000 .. b3f72000
, ... dan kebalikan dari yang segmen saja seperti data0xb3f70000 .. b3f71000
.Apa yang bisa kamu lakukan dengan itu? Yah, tidak ada apa-apa (*).
(*) adalah apa yang ingin saya katakan. Tetapi orang menjadi kreatif . Pola ruang bebas dapat digunakan untuk menurunkan jenis sistem file yang Anda gunakan (karena bagaimana / di mana mereka menyimpan metadata - jika ada ruang kosong di mana
ext4
akan menyimpan salah satu cadangan metadata, sangat mungkin tidakext4
, dll.). Kadang-kadang bahkan mengungkapkan distribusi yang Anda gunakan (jika installer Linux Anda mengisi sistem file secara deterministik, file mungkin selalu berakhir di alamat fisik yang sama). Pada saat itu seseorang mungkin tahu di mana file sistem tertentu berada dan dapat memodifikasi / merusaknya dengan cara tertentu. (Pemasang harus mengacak cara mereka mengisi sistem file untuk mencegah hal ini.)Namun pertimbangan seperti itu sangat teoretis, dan risikonya sangat rendah dibandingkan dengan seberapa rentan instalasi terenkripsi disebabkan oleh alasan lain. Di sebagian besar instalasi, lebih mudah / sederhana untuk mengutak-atik initramfs, atau menginstal keylogger, atau mengeksploitasi sistem yang sedang berjalan, daripada mendapatkan akses mentah ke dan menganalisis data terenkripsi dan berharap untuk mencapai apa pun dengan cara ini.
Anda harus khawatir tentang ini terlebih dahulu sebelum khawatir tentang mengungkapkan ruang kosong.
Dengan SSD, sangat normal untuk mengaktifkan TRIM dan karenanya memiliki ruang kosong yang terungkap setiap saat. Ini juga merupakan kasus untuk solusi enkripsi yang bekerja pada lapisan file daripada lapisan blok.
Dengan HDD, Anda terutama melakukan penghapusan acak bahkan pada disk baru karena Anda bisa, dan tidak ada alasan untuk tidak melakukannya karena tidak melibatkan biaya (selain dari pengaturan pertama kali) dan tidak ada kerugian.
sumber