The sda3_crypt partition is 118.5G, so does that effectively mean that my entire drive is encrypted, including unallocated space (excluding the boot partition)?
Supponendo che l'unità sia stata randomizzata prima o durante la crittografia iniziale, sì. La totalità della terza partizione è crittografata. Se hai iniziato a utilizzare la crittografia e hai appena formattato il tuo disco, potrebbero esserci tracce residue dall'installazione precedente, non crittografata. Tuttavia i file che vengono cancellati nella partizione crittografata, deallocando i loro blocchi, rimarranno crittografati.
Questo non è necessariamente il caso delle unità a stato solido che supportano (e usano) TRIM, comunque. Il supporto TRIM consente al sistema operativo di inviare un segnale al convertitore di frequenza per azzerare i settori non allocati, poiché il firmware SSD può prendere decisioni ottimali quando sa quali blocchi sono liberi e quali blocchi non lo sono (qualcosa che non può sapere senza che il sistema operativo lo indichi, a causa alla crittografia). In tal caso, gli spazi non allocati vengono cancellati e azzerati. Ciò può consentire a qualcuno di sapere quali blocchi non sono allocati su un'unità crittografata, osservando quali sono azzerati. Non saranno in grado di sapere quali sono i blocchi precedentemente contenuti, sia perché è stato azzerato, sia perché è stato crittografato. Esiste un post del blog sui problemi con gli SSD che supportano TRIM e crittografia .
In terms of the boot partition, am I correct in that it is possible to keep it on a USB stick? What happens when you try to boot the OS without the USB drive, then?
Sì, puoi mantenere la partizione di avvio su qualsiasi dispositivo dal quale il BIOS supporta l'avvio. Se si prova ad avviarsi senza l'unità USB, il comportamento dipende dalle impostazioni del BIOS. Potrebbe tentare di eseguire l'avvio da altri supporti collegati, oppure dire che non è stato trovato alcun supporto avviabile e premere F12 per riavviarsi o qualcosa del genere. L'effetto sarebbe lo stesso di quando estrassi tutte le unità.
Lastly, does the output of lsblk indicate that my swap partition is encrypted?
Sì, lo fa. Stai utilizzando LVM sopra sda3_crypt , che è un metodo che, tra le altre cose, crea partizioni virtuali. L'output mostra che la mappatura del dispositivo crittografato è suddivisa in due partizioni virtuali (chiamate gruppi di volumi nella terminologia LVM): user--vg-root e user--vg-swap_1 . Ciò significa che LVM è stato impostato sulla partizione crittografata, quindi anche tutti i gruppi di volumi creati verranno crittografati.
My question is directed at guest, who answered this post. You say "Assuming the drive was randomized before or during the initial encryption, yes. The entirety of your third partition is encrypted."
I assume you mean that the drive was wiped with zeros before the encryption was performed. But my question is, is it okay to wipe an SSD with zeros for "safer" encryption? Won't that reduce the SSD's lifespan?
Voglio dire che l'unità è stata cancellata con dati casuali prima di essere utilizzata con la crittografia. Gli zeri crittografati sembrano casuali, quindi se si randomizza un dispositivo e quindi lo si cripta, nessuno senza la chiave può dire quali settori hanno tutti zeri. Se lo azzeri prima della crittografia, potresti aver eliminato i dati precedentemente non crittografati, ma stai rivelando esattamente quali settori sono in uso. Questo è spesso un male necessario con gli SSD, poiché TRIM è importante per le prestazioni e la durata della vita.
Una singola "cella" in un SSD può gestire tra 2.000 e 10.000 cicli di cancellazione. Credo che alcuni arrivino addirittura a 100.000. Ciò significa che è possibile sovrascrivere il dispositivo più volte prima che si verifichino gravi rischi di errore. Per non parlare, hanno un ulteriore spazio nascosto per evitare l'usura, chiamato spazio di overprovisioning.
Non è necessario scrivere zeri sull'intero SSD. È possibile azzerarlo emettendo un comando TRIM manuale, che indica al firmware di basso livello di azzerare tutto. Questo può essere quasi istantaneo, perché è un'azione separata dalla scrittura. Su Linux, puoi usare il comando hdparm . Dalla pagina di manuale:
--trim-sector-ranges
For Solid State Drives (SSDs). EXCEPTIONALLY DANGEROUS. DO NOT
USE THIS OPTION!! Tells the drive firmware to discard unneeded
data sectors, destroying any data that may have been present
within them. This makes those sectors available for immediate
use by the firmware's garbage collection mechanism, to improve
scheduling for wear-leveling of the flash media. This option
expects one or more sector range pairs immediately after the
option: an LBA starting address, a colon, and a sector count
(max 65535), with no intervening spaces. EXCEPTIONALLY DANGER‐
OUS. DO NOT USE THIS OPTION!!
E.g. hdparm --trim-sector-ranges 1000:4 7894:16 /dev/sdz
Non avere paura degli avvertimenti apocalittici che sono così comuni alla documentazione di quel programma. Tutto ciò che sta cercando di affrontare è il rischio di perdere dati con questo flag. Si vorrebbe impostare l'indirizzo iniziale su 0 e il conteggio settore sulla dimensione totale dell'unità. Questo cancellerà rapidamente tutto senza ridurre la durata del disco tanto quanto se scrivessi direttamente su di esso.