Il 12/08/2018 03:07, Lorenzo "Palinuro" Faletra ha scritto:
On 08/12/2018 02:40 AM, Felipe Salvador wrote:On Sat, Aug 11, 2018 at 05:13:26PM +0200, gerlos wrote:In ultimo, vi chiedo una conferma: nel momento in cui dovessi dismettere i dischi criptati, per rendere inaccessibili i dati sarebbe sufficiente azzerare i primi MB dei dischi, giusto?Non ne ho idea, immagino di si, spesso immaginare non basta. Io non so se LUKS utilizzi dei meccanismi per permettere un eventuale recupero dei dati o se cancellando i primi MB si perda tutto per sempre, quindi: https://www.kali.org/tutorials/nuke-kali-linux-luks/ Mi pare un metodo valido, se non altro un alternativa assennata al "io speriamo che ho cancellato tutto".Se sai quanto è grande l'header e sovrascrivi solo quello hai già reso il disco irrecuperabile salvo backup dell'header. ovviamente se scrivi un po di piu male non fa, quindi su un disco con una sola partizione luks, scrivere roba pseudorandomica sul primo giga o sui primi 10 giga e già molto piu che sufficiente in quanto davvero il disco perde di significato senza l'header. perchè parlo di singola partizione? perchè cominciando a sovrascrivere dall'inizio del disco, il blocco verrebbe sicuramente sovrascritto, altrimenti c'è da andare a capire dove si trova e mettere l'offset appropriato in fase di cancellazione se la partizione criptata ha l'inizio buttato in giro nel disco tra altre partizioni
Grazie per le utili informazioni!Da quel che leggo, se uno vuole poter dismettere un disco senza troppe preoccupazioni per i contenuti, la cosa migliore da fare è mettere una partizione cifrata LUKS il più possibile "vicino al metallo":
- Se si usano dischi singoli, meglio fare Metallo -> LUKS -> LVM -> File System - Se si usano dischi in RAID software, meglio fare Metallo -> RAID -> LUKS -> LVM -> File System
Al momento di dismettere il disco si possono rendere inaccessibili i dati sovrascrivendo l'header della partizione LUKS (generalmente 2 MB).
Poiché quando si usa LUKS per un disco di sistema spesso si usa il primo GB per /boot, per rendere inaccessibili i dati sul disco dovrebbe essere sufficiente sovrascrivere i primi 2-4 GB del disco con dati pseudo random.
Per esempio: # dd bs=1k count=2M status=progress if=/dev/urandom of=/dev/sdX && syncPer come funziona LVM, se si annida la partizione LUKS su un volume LVM non c'è modo semplice di sapere in quale area *fisica* del disco si trovi l'header LUKS, e quindi non c'è la certezza di sapere quale area del disco debba essere sovrascritta, e per prudenza uno dovrebbe sovrascrivere tutto (e con dischi di vari TB ci possono volere molte ore).
Ovviamente tutto questo supponendo di avere hard disk tradizionali a piatto rotante.
Con SSD e SSHD credo che la situazione si faccia più complicata... saluti e grazie ancora, gerlos
begin:vcard fn:Gerlando Lo Savio n:Lo Savio;Gerlando email;internet:gerlosgm@gmail.com tel;work:+393396260782 x-mozilla-html:TRUE version:2.1 end:vcard