web-dev-qa-db-ja.com

暗号化されたボリュームは電力損失に対してより脆弱ですか?

Xubuntuマシンで使用する暗号化されたボリュームがいくつかあります。 1つのボリュームは、/dev/loop0にマップされ、プレーンなdm-cryptを使用して暗号化されたコンテナファイルです。別のボリュームは、dm-crypt/LUKSを使用して暗号化されたUSBハードドライブです。

私が知りたいのは、これらのボリュームをアンマウントおよびアンマップせずに誤ってコンピューターをシャットダウンした場合はどうなるでしょうか。ボリュームが暗号化されていない場合よりもリスクがありますか?

同様に、たとえばシステムがフリーズしたために、ボリュームのマッピングを解除せずにマシンをハードリブートする必要がある場合はどうなりますか?

4
EmmaV

簡単に言えば、暗号化されたボリュームは実際にはそれほど危険にさらされていないということです。

暗号化されたボリュームでは、ボリュームの先頭にある情報に単一障害点があり、パスワード(またはLUKSなどのシステムの場合は複数のパスワード)をデータの暗号化キーにマップします。 (そのため、誤ってパーティションを作成してもこのデータが上書きされないように、ディスク全体ではなくパーティションを暗号化することをお勧めします)。

このデータは、AFAIKでは、パスワードの1つが変更されない限り更新する必要がないため、半分書き込まれている間のシャットダウンが原因でデータが破損する可能性は低くなります。

ディスクの残りの部分には、通常、上記の情報ブロックから取得した暗号化キーを使用してアクセスできます。そのキーがあれば、通常のファイルシステムリカバリが可能です。


LUKSヘッダーのバックアップを作成できます。ただし、後でパスワードの1つを変更した場合(たとえば、パスワードが侵害されたため)、バックアップは古いパスワードを「使用」することを理解する必要があります。

4
Anthon