ほとんどのディスク暗号化ガイドでは、暗号化の前にランダムデータでディスクを上書きすることをお勧めしています。これについては こちら で説明しています。
ただし、ランダムデータの「標準」ソースでこれにかかる時間はかなり遅くなる可能性があります。
# dd if=/dev/urandom of=/dev/sdb1 bs=10M
29+1 records in
29+0 records out
304087040 bytes (304 MB) copied, 15.5476 s, 19.6 MB/s
暗号化されたデバイス(特にLUKS)で、encryptedパーティションをゼロで埋めるだけの場合、何か欠点はありますか?
# dd if=/dev/zero of=/dev/mapper/data bs=50M
1099+0 records in
1099+0 records out
57619251200 bytes (58 GB) copied, 306.091 s, 188 MB/s
私が目にすることができる唯一の問題は、既知の平文攻撃が表面化した場合、この方法が攻撃者に多くのサンプルデータを操作させる可能性があることです。
cryptsetup FAQ でディスクを上書きするには、暗号化されたボリュームをゼロで埋めることをお勧めします(セクション2.19)。
使い捨てキーを使用して、結果の暗号文が実際のキーの下の既知のプレーンテキストに対応しなくなるようにします。