Cifrò il disco rigido esterno. L'HDD viene cancellato tre volte usando il comando shred --verbose --random-source=/dev/urandom --iterations=3 /dev/sdc , ma dopo di esso sono stato eseguito accidentalmente il comando dd if=/dev/sdb of=/dev/sdc bs=4M status=progress e l'ho interrotto. /dev/sdb è un disco rigido crittografato. Dovrei preoccuparmi di possibili perdite di metadati durante l'analisi forense?
Dovresti approfondire cosa intendi per "perdita di metadati durante l'analisi forense". Indipendentemente dal fatto che vi sia o meno il rischio di divulgare informazioni riservate, dipende da cosa hai avuto su /dev/sdb . Se disponevi di dati sensibili non crittografati, quindi scrivendoli all'inizio di /dev/sdc , i dati potrebbero essere recuperati, a meno che non vengano sovrascritti in altro modo. Dovresti solo iniziare una cancellazione ancora una volta e limitarti a sovrascrivere solo la maggior parte dei dati che ti sono stati mostrati dai risultati di status=progress .
Qualcuno che esegue analisi forensi sul tuo disco vedrebbe che / dev / sdb e / dev / sdc inizino con gli stessi dati. Ciò indicherebbe a loro che i contenuti di / dev / sdb non sono quasi certamente un rumore casuale, ma sono in realtà contenuti del disco crittografati.
Ciò darebbe loro più fiducia nel trascorrere del tempo nel tentativo di recuperare il contenuto di quell'unità crittografata. Inoltre, poiché quando penso che "la scientifica" ritengo "tribunale", molto probabilmente eliminerebbe qualsiasi plausibile negazione da parte tua se venissi portato davanti a un tribunale e chiedessi di divulgare la chiave di crittografia - cioè, non avresti il possibilità di dire "è solo un'unità unitaria, non c'è nulla da decifrare".
Leggi altre domande sui tag encryption data-leakage forensics