nw9*_*201 5 encryption ubiquity luks cryptsetup dmcrypt
据我了解,Ubuntu 安装程序中的“加密新的 Ubuntu 安装以确保安全”选项旨在提供全盘加密。
但是,使用该选项时,似乎加密会立即完成,实际上似乎根本不需要任何时间。
在 Windows 上使用 BitLocker 加密整个磁盘时,即使在 SSD 上也可能需要数小时才能完全加密磁盘。例如,使用 BitLocker 和其他加密工具(如 DiskCryptor 或 TrueCrypt),还有一个进度指示器,显示已加密的磁盘数量。
为什么Ubuntu 安装程序中的“加密新的 Ubuntu 安装以确保安全”选项不是这种情况?
即使在我的 1 TB SSD 上,加密似乎也可以立即设置,并且没有任何进度指示器。
这怎么可能?
论坛上有人说:
http://ubuntuforums.org/showthread.php?t=2330425&p=13516293#post13516293
数据在写入之前不会被加密
但如果这是真的,那么安装程序中的“加密新的 Ubuntu 安装以确保安全”选项根本就不是全盘加密。
如果他是正确的,那么它不会加密整个磁盘。它只加密使用的磁盘空间。然后不加密空白空间。
至少使用 BitLocker,您可以选择仅加密已用磁盘空间或加密整个磁盘,例如,请参见以下屏幕截图:
https://i-technet.sec.s-msft.com/en-us/windows/jj983729.bitlocker-screen(en-us,MSDN.10).jpg
在同一个论坛帖子中还提到:
如果您想在写入任何内容之前随机初始化存储区域,则需要一些时间。我似乎记得它是安装的可选复选框。
而且,确实,在具有“加密新的 Ubuntu 安装以确保安全性”选项的屏幕之后的下一个屏幕上有一个“为了更安全:覆盖空磁盘空间(安装可能需要更长的时间。)”选项。
现在,问题是:如果选中该选项,它是否只是覆盖空磁盘空间?或者它也加密它?
我假设它在加密之前只用零覆盖它。我假设无论如何都会使用“加密新的 Ubuntu 安装以确保安全”选项加密整个磁盘,而不管“为了更高的安全性:覆盖空磁盘空间(安装可能需要更长的时间。)”选项。
问候
好吧,在回答你的问题之前,我需要先解释一下“快速格式化”和“完全格式化” (借用 Windows 术语)之间的区别,以及逻辑卷和物理卷之间的区别:
快速格式化:将文件系统结构写入驱动器(在现有数据之上)。
完整格式:在写入文件系统结构之前擦除驱动器(通常通过写入 0)。
目前使用的所有文件系统(ext2、ext3、ext4、btrfs、zfs、xfs)默认执行“快速格式化”。这意味着以前驻留在磁盘上的数据虽然无法通过文件系统直接看到,但如果您使用数据恢复软件扫描磁盘,则仍然可用。
举个例子:你有一个 100GB 的硬盘,用来存储照片。您决定格式化该硬盘并安装 Ubuntu。假设 Ubuntu 安装需要大约 4GB。安装 Ubuntu 后,100GB 数据中大约 4GB 将被您的 Ubuntu 安装覆盖。剩余的 96GB 照片数据仍然物理存在于硬盘上。如果您使用数据恢复软件,您应该能够检索大部分照片,尽管驱动器在 Ubuntu 安装期间已被“格式化”。
逻辑卷:存储介质的任何区域,直至并包括整个物理空间。例如,如果您在 100GB 的磁盘上创建 100MB 的分区,则该 100MB 的分区被视为逻辑卷
物理卷:硬件的整个物理容量^。在我们使用 100GB 硬盘驱动器的示例中,物理卷是整个设备 (100GB),内部没有分配任何较小的卷。
^ 硬件本身将具有额外的容量(超额配置)来处理物理介质的降级。此额外容量由设备本身管理,并且对操作系统不可见,除非通过 SMART 界面(您可以通过安装smartmontools.
现在回答你的问题...
但如果这是真的,那么安装程序中的“加密新的 Ubuntu 安装以确保安全”选项根本就不是全盘加密。
这是定义/视角的差异。您将“全盘加密”解释为物理卷的全部内容都被加密,而 Ubuntu 使用“全盘加密”来意味着安装 Ubuntu 的逻辑卷的内容被加密。
因此,如果您安装了Ubuntu并将硬盘驱动器完全装满了数据,则加密的逻辑卷将填满整个物理卷。
然而,在某些情况下,有人会在磁盘上将 Ubuntu 与 Windows 一起安装。在这种情况下,Windows 安装可能未加密,但 Ubuntu 安装已加密。
在这种情况下,Ubuntu仍然提供“全盘加密”,因为Ubuntu逻辑卷上的所有数据都被加密。Ubuntu 不关心物理卷上存在的其他逻辑卷上的数据。
如果他是正确的,那么它就不会加密整个磁盘。它仅加密已用的磁盘空间。那么空的空间就没有被加密。
是的,因为加密空白空间会使系统速度变慢,而且这样做没有任何安全好处。
现在的问题是:如果选中该选项,它是否只会覆盖空磁盘空间?或者它也加密它?
我自己没有验证过,但很可能是用随机数据覆盖了未使用的磁盘空间。它肯定不是在加密空白空间。正确加密的数据无法从随机数据中解读出来,因此在安装 Ubuntu 之前用随机数据填充磁盘将无法区分磁盘的哪些部分是“空”部分以及哪些部分是加密的
我假设它在加密之前只用零覆盖它。我假设整个磁盘都会使用“加密新的 Ubuntu 安装以确保安全”选项进行加密
同样,本文中的“全盘加密”是指对磁盘上的所有逻辑数据进行加密,而不是对整个物理设备进行加密。
加密空白空间没有任何安全优势。如果您担心可用空间未加密,请在安装过程中选择“为了提高安全性:覆盖空磁盘空间(安装可能需要更长的时间。)”选项以覆盖整个物理磁盘。
现在,可以购买自加密驱动器 (SED)。对于 SSD,相关功能称为OPAL。如果您的计算机安装了 SED,则加密由设备内的专用加密硬件处理。写入物理介质(硬盘驱动器的磁盘或 SSD 的硅)的所有数据在写入之前都会由设备加密。这意味着如果有人移除盘片或硅芯片,他们将无法读取数据。但是,这确实取决于您对 SED 加密实现的信任。由于设备固件是闭源的且很少经过审核,因此您信任供应商已正确实施且没有任何后门。您可以在启动时通过提供密码来解密 SED。
.jpg){kind=link}