Ist es möglich, den Schritt zum sicheren Löschen zu überspringen, wenn Debian mit LUKS-Vollplattenverschlüsselung installiert wird?

Ist es möglich, den Schritt zum sicheren Löschen zu überspringen, wenn Debian mit LUKS-Vollplattenverschlüsselung installiert wird?

Ich installiere Debian mit LUKS-Vollplattenverschlüsselung auf brandneuen 500-GB-Festplatten. Derzeit dauert es etwa 24 Stunden, das Laufwerk durch sicheres Löschen für die Installation vorzubereiten. Da es sich um ein brandneues Laufwerk handelt, das noch nie zuvor verwendet wurde, ist es möglich, den Installationsprozess so zu konfigurieren, dass der Schritt des sicheren Löschens übersprungen wird, damit die Installation nicht so lange dauert?

Ich verwende für die Installation eine Preseed-Datei. Wenn es solche Konfigurationen gibt, wäre es gut zu wissen, welche spezifischen Preseed-Optionen es gibt.

Antwort1

Möglich – sicher, ABER das macht es weniger sicher. Obwohl es in der Öffentlichkeit nicht allgemein bekannt ist, gibt es oft Logger und/oder Spuren des ursprünglichen MBR und dergleichen auf brandneuen Laufwerken, die durch die Standardformatierung NICHT gelöscht werden (was eher einem Etch-a-Sketch als einer richtigen Formatierung gleicht, da lediglich das „Journal“ gelöscht wird, nicht aber die Signaturen und Inode-Umleitungen auf der unteren Ebene... Wenn dies lediglich zur Erfahrung mit Luks und nicht wirklich zum Schutz hochsensibler Materialien dient, ist das Überspringen in Ordnung... Denken Sie nur daran, dass das Überspringen bei jeder richtigen/sicheren Installation Schwachstellen einschließt, die ein einigermaßen erfahrener Ermittler/Angreifer viel leichter ausnutzen kann. Außerdem eine Randbemerkung, da es sich um ein NEUES Laufwerk handelt... Nutzen Sie das Laufwerk voll aus – die Standardformatierung erfordert mehr Overhead als die meisten Installationen (insbesondere die von Luks) benötigen, um sie universell nutzbar zu machen.

BEARBEITEN: Aktualisierter Prozess:

  1. Löschen Sie das Laufwerk NICHT. Verwenden Sie die Standardformatierung, die beim Formatieren des luksDevice-Geräts durchgeführt wurde.

  2. Mit der Installation fortfahren

  3. habe eine zugegebenermaßen anfälligere, aber nutzbare Luks-Installation.

Antwort2

Da Sie die voreingestellte Datei verwenden, sehen Sie sich Folgendes an:

https://www.linuxjournal.com/content/preseeding-full-disk-encryption

Der Beitrag schlug vor, dass wir die Datei bearbeiten müssen, crypto-base.shum den sicheren Löschvorgang zu überspringen

d-i partman/early_command \
       string sed -i.bak 's/-f $id\/skip_erase/-d $id/g'
/lib/partman/lib/crypto-base.sh

Bei einer brandneuen Festplatte ist dieser Vorgang nicht erforderlich. Wenn Ihnen also jemand sagt, dass Sie diesen Vorgang zur Erhöhung der Sicherheit durchführen müssen, weiß dieser jemand nicht, wovon er spricht.

NEU: Es gibt eine neue Syntax, um das Löschen der Festplatte zu überspringen, ohne alle oben genannten Schritte auszuführen:

  echo "d-i partman-crypto/passphrase string ${LUKS_PASS}"
  echo "d-i partman-crypto/passphrase-again string ${LUKS_PASS}"
  echo "d-i partman-crypto/weak_passphrase boolean true"
  echo "d-i partman-crypto/confirm boolean true"
  echo "# When disk encryption is enabled, skip wiping the partitions beforehand."
  echo "d-i partman-auto-crypto/erase_disks boolean false"

verwandte Informationen