Tratterò la questione del perché uno vorrebbe riempire una partizione con dati casuali prima di archiviare dati crittografati su di essa. Non so quale processo di conversione stai guardando, quindi non posso essere più preciso.
Innanzitutto, se nella partizione sono già presenti dati che vengono crittografati e si desidera che i dati siano riservati, è necessario assicurarsi di sovrascrivere questi dati. Non importa se si sovrascrive con dati casuali o con zeri, ma si potrebbe anche andare a caso (potrebbe essere o meno lento a seconda delle velocità relative del disco e della CPU). Questo argomento non si applica se non si dispone di dati riservati sulla partizione, ad esempio perché si trova su un disco appena acquistato.
Ora avanza rapidamente nel tempo in cui la partizione contiene dati crittografati. Se non si presta alcuna precauzione, un utente malintenzionato che si impadronisce della partizione non elaborata può vedere quali parti non vengono utilizzate. Questo rivela alcune informazioni: l'attaccante saprà quanti dati hai memorizzato (in una certa misura: l'attaccante non sarà in grado di distinguere tra dati crittografati in tempo reale e dati crittografati cancellati ma non sovrascritti). Questo non è sempre un problema, ma quando stai scrivendo un tutorial sulla sicurezza è meglio prevenire che curare. Se lo spazio non utilizzato è pieno di dati casuali, l'utente malintenzionato non ha modo di distinguere lo spazio non utilizzato dallo spazio utilizzato (una definizione informale di dati crittografati correttamente è che è indistinguibile dai dati casuali a qualcuno che non ha la chiave).
Se l'attaccante può curiosare sui dati criptati più volte (entrando di nascosto per leggere, anziché rubare il disco a titolo definitivo), l'attaccante può vedere come la quantità e la posizione dello spazio usato si evolvano nel tempo. Anche questo rivela tecnicamente le informazioni (ma non le informazioni sfruttabili nella maggior parte dei casi d'uso). Naturalmente, in questa situazione, l'attaccante può comunque scoprire la velocità approssimativa di modifica dei dati crittografati.
Il comando cryptsetup luksFormat
memorizza solo i metadati necessari, non sovrascrive l'intera partizione. Questo è considerevolmente più veloce, ma leggermente insicuro in alcuni casi d'uso; da qui la raccomandazione comune di sovrascrivere per prima l'intera partizione.
Il metodo standard per crittografare una partizione con LUKS è eseguire il backup dei dati, creare il contenitore crittografato e ripristinare dal backup. Pertanto, nel normale processo di creazione del volume LUKS, si sovrascrive l'intera partizione, non solo lo spazio libero (la sovrascrittura dello spazio libero non avrebbe l'obiettivo primario di cancellare i vecchi dati, poiché il nuovo volume potrebbe non memorizzare i dati nello stesso posizioni all'interno della partizione). Esistono progetti per creare strumenti per convertire un volume in LUKS; Non so quanto siano maturi. In tale strumento, si sovrascrive solo lo spazio non utilizzato dai dati crittografati alla fine del processo di crittografia.