Ist es möglich, den Schritt zum sicheren Löschen zu überspringen, wenn Debian mit LUKS-Vollplattenverschlüsselung installiert wird?

Question 1

Möglich – sicher, ABER das macht es weniger sicher. Obwohl es in der Öffentlichkeit nicht allgemein bekannt ist, gibt es oft Logger und/oder Spuren des ursprünglichen MBR und dergleichen auf brandneuen Laufwerken, die durch die Standardformatierung NICHT gelöscht werden (was eher einem Etch-a-Sketch als einer richtigen Formatierung gleicht, da lediglich das „Journal“ gelöscht wird, nicht aber die Signaturen und Inode-Umleitungen auf der unteren Ebene... Wenn dies lediglich zur Erfahrung mit Luks und nicht wirklich zum Schutz hochsensibler Materialien dient, ist das Überspringen in Ordnung... Denken Sie nur daran, dass das Überspringen bei jeder richtigen/sicheren Installation Schwachstellen einschließt, die ein einigermaßen erfahrener Ermittler/Angreifer viel leichter ausnutzen kann. Außerdem eine Randbemerkung, da es sich um ein NEUES Laufwerk handelt... Nutzen Sie das Laufwerk voll aus – die Standardformatierung erfordert mehr Overhead als die meisten Installationen (insbesondere die von Luks) benötigen, um sie universell nutzbar zu machen.

BEARBEITEN: Aktualisierter Prozess:

Löschen Sie das Laufwerk NICHT. Verwenden Sie die Standardformatierung, die beim Formatieren des luksDevice-Geräts durchgeführt wurde.
Mit der Installation fortfahren
habe eine zugegebenermaßen anfälligere, aber nutzbare Luks-Installation.

Answer

Möglich – sicher, ABER das macht es weniger sicher. Obwohl es in der Öffentlichkeit nicht allgemein bekannt ist, gibt es oft Logger und/oder Spuren des ursprünglichen MBR und dergleichen auf brandneuen Laufwerken, die durch die Standardformatierung NICHT gelöscht werden (was eher einem Etch-a-Sketch als einer richtigen Formatierung gleicht, da lediglich das „Journal“ gelöscht wird, nicht aber die Signaturen und Inode-Umleitungen auf der unteren Ebene... Wenn dies lediglich zur Erfahrung mit Luks und nicht wirklich zum Schutz hochsensibler Materialien dient, ist das Überspringen in Ordnung... Denken Sie nur daran, dass das Überspringen bei jeder richtigen/sicheren Installation Schwachstellen einschließt, die ein einigermaßen erfahrener Ermittler/Angreifer viel leichter ausnutzen kann. Außerdem eine Randbemerkung, da es sich um ein NEUES Laufwerk handelt... Nutzen Sie das Laufwerk voll aus – die Standardformatierung erfordert mehr Overhead als die meisten Installationen (insbesondere die von Luks) benötigen, um sie universell nutzbar zu machen.

BEARBEITEN: Aktualisierter Prozess:

Löschen Sie das Laufwerk NICHT. Verwenden Sie die Standardformatierung, die beim Formatieren des luksDevice-Geräts durchgeführt wurde.
Mit der Installation fortfahren
habe eine zugegebenermaßen anfälligere, aber nutzbare Luks-Installation.

Question 2

Da Sie die voreingestellte Datei verwenden, sehen Sie sich Folgendes an:

https://www.linuxjournal.com/content/preseeding-full-disk-encryption

Der Beitrag schlug vor, dass wir die Datei bearbeiten müssen, crypto-base.shum den sicheren Löschvorgang zu überspringen

d-i partman/early_command \
       string sed -i.bak 's/-f $id\/skip_erase/-d $id/g'
/lib/partman/lib/crypto-base.sh

Bei einer brandneuen Festplatte ist dieser Vorgang nicht erforderlich. Wenn Ihnen also jemand sagt, dass Sie diesen Vorgang zur Erhöhung der Sicherheit durchführen müssen, weiß dieser jemand nicht, wovon er spricht.

NEU: Es gibt eine neue Syntax, um das Löschen der Festplatte zu überspringen, ohne alle oben genannten Schritte auszuführen:

  echo "d-i partman-crypto/passphrase string ${LUKS_PASS}"
  echo "d-i partman-crypto/passphrase-again string ${LUKS_PASS}"
  echo "d-i partman-crypto/weak_passphrase boolean true"
  echo "d-i partman-crypto/confirm boolean true"
  echo "# When disk encryption is enabled, skip wiping the partitions beforehand."
  echo "d-i partman-auto-crypto/erase_disks boolean false"

Answer

Da Sie die voreingestellte Datei verwenden, sehen Sie sich Folgendes an:

https://www.linuxjournal.com/content/preseeding-full-disk-encryption

Der Beitrag schlug vor, dass wir die Datei bearbeiten müssen, crypto-base.shum den sicheren Löschvorgang zu überspringen

d-i partman/early_command \
       string sed -i.bak 's/-f $id\/skip_erase/-d $id/g'
/lib/partman/lib/crypto-base.sh

Bei einer brandneuen Festplatte ist dieser Vorgang nicht erforderlich. Wenn Ihnen also jemand sagt, dass Sie diesen Vorgang zur Erhöhung der Sicherheit durchführen müssen, weiß dieser jemand nicht, wovon er spricht.

NEU: Es gibt eine neue Syntax, um das Löschen der Festplatte zu überspringen, ohne alle oben genannten Schritte auszuführen:

  echo "d-i partman-crypto/passphrase string ${LUKS_PASS}"
  echo "d-i partman-crypto/passphrase-again string ${LUKS_PASS}"
  echo "d-i partman-crypto/weak_passphrase boolean true"
  echo "d-i partman-crypto/confirm boolean true"
  echo "# When disk encryption is enabled, skip wiping the partitions beforehand."
  echo "d-i partman-auto-crypto/erase_disks boolean false"

Ist es möglich, den Schritt zum sicheren Löschen zu überspringen, wenn Debian mit LUKS-Vollplattenverschlüsselung installiert wird?

Antwort1

Antwort2

verwandte Informationen