Почему полное шифрование диска в Ubuntu не требует времени?

Хорошо, прежде чем я отвечу на ваши вопросы, мне нужно сначала объяснить разницу между "Быстрым форматированием" и "Полным форматом" (если позаимствовать терминологию Windows) и разницу между логическим и физическим томом:

Быстрое форматирование: записывает структуру файловой системы на диск (поверх существующих данных).

Полный формат: стирает диск (обычно записывая нули) перед записью структуры файловой системы.

Все используемые сегодня файловые системы (ext2, ext3, ext4, btrfs, zfs, xfs) по умолчанию выполняют "быстрый формат". Это означает, что предыдущие данные, которые находились на диске, хотя и не были видны напрямую через файловую систему, по-прежнему доступны, если вы сканировали диск с помощью программного обеспечения для восстановления данных.

Например, у вас есть жесткий диск объемом 100 ГБ, на котором хранятся фотографии. Вы решаете отформатировать этот жесткий диск и установить Ubuntu. Давайте представим, что установка Ubuntu займет ~4 ГБ. После установки Ubuntu примерно 4 ГБ из 100 ГБ данных будут перезаписаны при установке Ubuntu. Остальные 96 ГБ данных фотографии все еще физически присутствуют на жестком диске. Если вы использовали программное обеспечение для восстановления данных, вы сможете получить большинство этих фотографий, несмотря на то, что диск был "отформатирован" во время установки Ubuntu.

Логический том: любая область носителя, вплоть до всего физического пространства. например, если вы создаете раздел размером 100 МБ на диске объемом 100 ГБ, раздел размером 100 МБ считается логическим томом.

Физический том: вся физическая емкость оборудования ^. В нашем примере с жестким диском объемом 100 ГБ физическим томом является все устройство (100 ГБ) без каких-либо меньших томов, выделенных внутри.

^ Аппаратное обеспечение само по себе будет иметь дополнительную емкость (избыточное выделение ресурсов) для обработки деградации физического носителя. Эта дополнительная емкость управляется самим устройством и не видна операционной системе, кроме как через интерфейс SMART, доступ к которому можно получить, установив smartmontools,

Теперь на ваши вопросы...

Но если это так, то опция "Зашифровать новую установку Ubuntu для безопасности" в установщике вовсе не является полным шифрованием диска.

Это разница в определении / перспективе. Вы интерпретируете "полное шифрование диска" как означающее, что все содержимое физического тома зашифровано, в то время как Ubuntu использует "полное шифрование диска", чтобы означать, что содержимое логического тома, на котором установлена ​​Ubuntu, зашифровано.

Поэтому, если вы установили Ubuntu и полностью заполнили жесткий диск данными, зашифрованный логический том заполнил бы весь физический том.

Однако есть случаи, когда кто-то устанавливает Ubuntu вместе с Windows на свой диск. В этом случае установка Windows может быть незашифрованной, но установка Ubuntu зашифрована.

В этом сценарии Ubuntu по-прежнему обеспечивает "полное шифрование диска", поскольку все данные на логическом томе Ubuntu зашифрованы. Ubuntu не заботится о данных на других логических томах, которые присутствуют на физическом томе.

Если он прав, тогда он не шифрует весь диск. Он только шифрует используемое дисковое пространство. Пустое пространство не зашифровано.

Да, потому что шифрование пустого пространства сделает систему намного медленнее, и в этом нет никакой выгоды для безопасности.

Теперь возникает вопрос: если эта опция отмечена, перезаписывает ли она пустое место на диске? Или это также зашифровывает это?

Я не проверил себя, но это, скорее всего, перезаписывает неиспользуемое дисковое пространство случайными данными. Это, конечно, не шифрование пустого пространства. Правильно зашифрованные данные неотделимы от случайных данных, поэтому заполнение диска случайными данными перед установкой Ubuntu делает невозможным определение того, какие части диска являются "пустыми", а какие зашифрованы.

Я предполагал, что это только перезаписывает это с нулями прежде, чем зашифровать это. Я предполагал, что весь диск все равно будет зашифрован с использованием опции "Зашифровать новую установку Ubuntu для безопасности"

Опять же, "полное шифрование диска" в этом контексте относится к шифрованию всех логических данных на диске, а не шифрованию всего физического устройства.

В шифровании пустого пространства нет никакой выгоды для безопасности. Если вас беспокоит, что свободное место не шифруется, выберите во время установки параметр "Для большей безопасности: перезаписать пустое дисковое пространство (установка может занять гораздо больше времени)", чтобы перезаписать весь физический диск.

Теперь можно приобрести диск с самошифрованием (SED). Для твердотельных накопителей соответствующая функция называется OPAL. Если на вашем компьютере установлен SED, шифрование выполняется специальным оборудованием шифрования на устройстве. Все данные, записанные на физический носитель (магнитные пластины для жесткого диска или кремний для SSD), перед записью шифруются устройством. Это означает, что если кто-то удалит пластины или кремниевые чипы, он не сможет прочитать данные. Однако это зависит от того, насколько вы доверяете реализации шифрования SED. Поскольку встроенное ПО устройства является закрытым исходным кодом и редко проверяется, вы доверяете поставщику, чтобы он реализовал его правильно и без каких-либо бэкдоров. Вы дешифруете SED при загрузке, предоставляя пароль.