cryptsetup vs diskcryptor

Насколько помню, DC отбеливает создаваемый раздел — заполняет его случайными данными, чтобы нельзя было определить, в какие его части записаны реальные данные. Cryptsetup сам по себе такую операцию не выполняет, а только создаёт заголовок. Отбелить раздел пользователь может сам с помощью dd, это больше укладывается в философию GNU — множество специализированных приложений, каждое из которых выполняет строго определённую функцию, но которые легко объединяются и дополняют друг друга.

Cryptsetup сам по себе такую операцию не выполняет

Так и есть, но вопрос задается по каждому разделу LVM. Можно сбросить или заполнить случайными данными перед форматированием.

Хотелось бы понять разницу в принципе действия.
а.) Случай с diskcryptor:
при шифровании сначала выполняется wipe (произвольно, по желанию пользователя), это продолжается несколько часов, зависит от железа.
Затем diskcryptor зашифровывает жесткий диск, что продолжается обычно ещё несколько часов.

б.) в случае с зашифрованным lvm диск заполняется случайными данными, а затем происходит luksFormat и создается lvm.
Т.е. из данных операций только первая занимает продолжительное время. Почему так быстро?
https://wiki.archlinux.org/ind.....VM#Why_So_Serious.3F

Вопрос на самом деле продиктован необходимостью понять, насколько надежно полнодисковое шифрование при установке системы в последних версиях ubuntu и linux mint.
Выходит, что нужно сначала заполнять используемый диск случайными данными, а потом устанавливать скачанный дистрибутив?
И, во-вторых, получается, что при ручной разметке (как в руководстве по ссылке) использование frandom выгоднее по времени, особенно для больших по объему hdd.
Т.е. в случае линукс шифрование всегда пройдет быстрее.
В чем преимущество подхода diskcryptor по сравнению с таким вариантом?

Может быть, потому, что фраза

Затем diskcryptor зашифровывает жесткий диск, что продолжается обычно ещё несколько часов.

подразумевает, что перешифровываются все уже имеющиеся данные на диске? Грубо говоря, вы установили DC, и он зашифровал уже имеющийся диск (что нетривиально).

В LUKS не так: вы делаете бэкап данных на третий носитель, очищаете исходный (это долго), делаете разбиение диска и разметку шифрованной файловой системы (это быстро), после чего копируете данные с бэкап-носителя на исходный (это долго). В конце можно затереть носитель с бэкапом. Во всяком случае, я не слышал про зашифровывание файловой системы в Linux на лету. Может, что-то такое и есть, но это не штатная типичная фича.


Можно наоборот: сначала установить, а потом заполнить всё свободное место на дисках случайными данными. Тем не менее, первый способ предпочтительнее с точки зрения безопасности.


«О заполнении диска случайными данными для подготовки его к шифрованию»


В том, что там одна кнопка: нажал, и всё готово, а с LUKS все нужные действия надо производить самому, да ещё с пониманием:

это больше укладывается в философию GNU — множество специализированных приложений, каждое из которых выполняет строго определённую функцию, но которые легко объединяются и дополняют друг друга.

Смонтированный зашифрованный раздел достаточно забить нулями из /dev/zero, это логический эквивалент заполнения нешифрованного раздела случайными данными.

После всех дискуссий этот вариант признали за оптимальный. Для перестраховки на занулённый шифрованный раздел можно заново натравить cryptFormat и второй раз уже не занулять. Тогда терабайты нулей с предыдущего раза будут зашифрованы на неизвестном ключе, который не будет иметь отношения к текущему ключу шифрования.

DiskCryptor может быстро форматировать раздел под шифрование без отбеливания.
Командная строка: dccon -format d: -aes -ntfs -q [опционально -p password]

Для SSD вредно большое количество мелких операций записи.
Какой вариант предпочесть в случае с новым, неиспользованным SSD?