Pourquoi le cryptage intégral du disque Ubuntu ne nécessite-t-il pas de temps?

D'accord, avant de répondre à vos questions, je dois d'abord expliquer la différence entre "format rapide" et "format complet" (pour emprunter la terminologie Windows), ainsi que la différence entre un volume logique et a volume physique:

Format rapide : écrit la structure du système de fichiers sur le lecteur (en plus des données existantes).

Format complet : efface le lecteur (généralement en écrivant les 0) avant d'écrire la structure du système de fichiers.

Tous les systèmes de fichiers utilisés aujourd'hui (ext2, ext3, ext4, btrfs, zfs, xfs) effectuent un "formatage rapide" par défaut. Cela signifie que les données précédentes résidant sur le disque, bien qu'elles ne soient pas directement visibles via le système de fichiers, sont toujours disponibles si vous devez analyser le disque à l'aide d'un logiciel de récupération de données.

Par exemple: vous avez un disque dur de 100 Go qui stockait des photos. Vous décidez de formater ce disque dur et d'installer Ubuntu. Supposons que l'installation d'Ubuntu nécessite environ 4 Go. Après avoir installé Ubuntu, environ 4 Go des 100 Go de données seraient écrasés par votre installation Ubuntu. Les 96 Go restants de données photo sont encore physiquement présents sur le disque dur. Si vous avez utilisé un logiciel de récupération de données, vous devriez pouvoir récupérer la plupart de ces photos, malgré le fait que le lecteur ait été "formaté" lors de l'installation d'Ubuntu.

Volume logique : toute région d’un support de stockage, y compris tout l’espace physique. par exemple. si vous créez une partition de 100 Mo sur un disque de 100 Go, la partition de 100 Mo est considérée comme un volume logique

Volume physique : toute la capacité physique du matériel ^. Dans notre exemple avec un disque dur de 100 Go, le volume physique est l’ensemble du périphérique (100 Go) sans les plus petits volumes alloués à l’intérieur.

^ Le matériel lui-même aura une capacité supplémentaire (sur approvisionnement) pour gérer la dégradation du support physique. Cette capacité supplémentaire est gérée par le périphérique lui-même et n'est visible par le système d'exploitation que par l'interface S.M.A.R.T., À laquelle vous pouvez accéder en installant smartmontools.

Passons maintenant à vos questions ...

Mais si cela est vrai, l'option "Crypter la nouvelle installation d'Ubuntu à des fins de sécurité" dans le programme d'installation n'est pas du tout un cryptage de disque complet.

C'est une différence de définition/perspective. Vous interprétez le "chiffrement intégral du disque" comme signifiant que tout le contenu du volume physique est chiffré, tandis qu'Ubuntu utilise le "chiffrement intégral du disque" pour désigner le contenu du volume logique = où Ubuntu est installé est crypté.

Par conséquent, si vous avez installé Ubuntu et rempli complètement le disque dur de données, le volume logique chiffré remplira la totalité . volume physique .

Cependant, il arrive parfois que quelqu'un installe Ubuntu aux côtés de Windows sur son disque. Dans ce cas, l'installation de Windows peut être non cryptée mais l'installation d'Ubuntu est cryptée.

Dans ce scénario, Ubuntu fournit toujours un "cryptage intégral du disque" car toutes les données de son volume logique sont cryptées. Ubuntu ne se soucie pas des données des autres volumes logiques présents sur le volume physique.

S'il est correct, il ne crypte pas alors l'intégralité du disque. Il ne chiffre que l'espace disque utilisé. L'espace vide n'est alors pas crypté.

Oui, car le cryptage des espaces vides ralentirait considérablement le système, ce qui ne présente aucun avantage en termes de sécurité.

Maintenant, la question est: Si cette option est cochée, est-ce que cela remplace simplement l’espace disque vide? Ou est-ce qu'il le chiffre également?

Je ne me suis pas vérifié, mais il est fort probable que nous remplacions l'espace disque inutilisé par des données aléatoires. Ce n'est certainement pas le cryptage de l'espace vide. Les données correctement chiffrées sont indéchiffrables à partir de données aléatoires, donc remplir le disque avec des données aléatoires avant d'installer Ubuntu empêcherait de dire quelles parties du disque sont "vides" et celles qui sont chiffrées.

Je supposais que cela ne l’écrase qu’avec des zéros avant de le chiffrer. Je supposais que le disque entier serait de toute façon chiffré avec l'option "Crypter la nouvelle installation d'Ubuntu pour des raisons de sécurité"

Encore une fois, "cryptage complet du disque" dans ce contexte fait référence au cryptage de toutes les données logiques sur le disque, et non au cryptage de l'ensemble du périphérique physique.

Le cryptage des espaces vides ne présente aucun avantage en termes de sécurité. Si vous craignez que l’espace libre ne soit pas chiffré, sélectionnez l’option "Pour plus de sécurité: écrasez l’espace disque vide (l’installation risque de prendre beaucoup plus de temps.)" lors de l'installation pour écraser tout le disque physique.

Maintenant, il est possible d'acheter un lecteur à cryptage automatique (SED). Pour les disques SSD, la fonctionnalité appropriée est appelée OPAL . Si un SED est installé sur votre ordinateur, le chiffrement est géré par un matériel de chiffrement spécialisé intégré au périphérique. Toutes les données écrites sur le support physique (plateaux magnétiques pour un disque dur ou silicium pour un SSD) sont cryptées par le périphérique avant d'être écrites. Cela signifie que si quelqu'un devait retirer les plateaux ou les puces en silicium, il ne pourrait pas lire les données. Toutefois, cela dépend de votre confiance en la mise en œuvre du cryptage de SED. Étant donné que le micrologiciel de l'appareil est une source fermée et qu'il est rarement audité, vous faites confiance au fournisseur pour l'avoir mis en œuvre correctement et sans aucune porte dérobée. Vous décryptez le SED au démarrage en fournissant un mot de passe.