Dalam praktiknya, hampir sama tangguh dengan enkripsi seperti tanpa itu, selama Anda membuat cadangan kunci master dan metadata dengan benar.
Selain metadata, korupsi hanya akan mempengaruhi blok bit yang rusak, dalam kebanyakan kasus hanya 16 byte.
Untuk sebagian besar situasi korupsi data, dengan kunci dan alat (seperti kata sandi dan Veracrypt / LUKS), Anda memiliki akses yang sama dengan disk yang tidak dienkripsi, sama seperti yang Anda lakukan secara normal dengan penggunaan disk terenkripsi setiap hari. Enkripsi hanya akan menambah langkah tambahan (buka partisi terenkripsi) dari biasanya. Jadi dalam hal ini, itu perilaku seperti data yang tidak terenkripsi.
Dengan Veracrypt atau Luks, Anda harus menyimpan kunci utama dalam disk, yang dienkripsi dengan kata sandi Anda. Merusak sektor ini akan menyebabkan data permanen hilang. Ini dapat dengan mudah dipecahkan dengan cadangan kunci utama (ukuran beberapa kilobyte), sesuatu yang mudah dilakukan dengan kedua perangkat lunak, dan sangat disarankan untuk semua orang.
Detail tentang data bukan meta
Baik Veracrypt dan Luks menggunakan XTS hari ini. Dalam mode ini, itu dihitung kunci untuk setiap blok. Dalam penyederhanaan, untuk mengenkripsi blok i
Anda menggunakan kunci yang dihasilkan dengan Kunci Master dan nomor blok. Jadi, enkripsi satu blok tidak tergantung pada yang lain. Jika Anda merusak beberapa informasi, itu akan dibatasi pada blok itu.
Dalam XTS, itu memecah blok di sub-blok (biasanya 16 byte) dan membuat kunci, dan mengenkripsi sub-blok dengan itu. Itu berarti bahwa jika kita mengubahnya sedikit, hanya 16 byte ini yang akan terpengaruh.
Sebagai tes, mengubah satu bit dalam volume Luks, itu mengubah 16 byte dari file asli menjadi omong kosong, tetapi yang lain 496 masih tidak berubah. Dalam file 7zip, ia menggunakan metode stream, bahwa semua byte dirantai, sehingga satu byte perubahan akan mempengaruhi semua yang tersisa - ini tidak terjadi di sini.
Beberapa menganggap ini masalah, karena Anda bisa tahu dengan presisi 16 byte kapan dan di mana Anda mengubah teks biasa, hanya membandingkan data yang dienkripsi.
Informasi lebih menarik tentang ini dapat ditemukan di tautan ini:
/crypto/6185/what-is-a-tweakable-block-cipher
/security/39306/how-secure-is-ubuntus-default-full-disk-encryption
https://en.wikipedia.org/wiki/Disk_encryption_theory
Detail tentang Master Key
LUKS
LUKS memiliki beberapa sektor di awal partisi (atau disk) dengan metadata, menyimpan metode enkripsi, parameter lain, dan 8 slot kunci. Untuk mengenkripsi dan mendekripsi disk, ia menggunakan Kunci Master , angka acak besar yang dihasilkan saat membuat wadah LUKS. Untuk menyimpannya, ia mengenkripsi Master Key dengan kata sandi Anda, dengan mengulangi fungsi hash kriptografis berkali-kali di atas kata sandi dan menghasilkan kunci khusus untuk slot itu. Anda dapat memiliki 8 kata sandi yang berbeda untuk disk yang sama, masing-masing mengenkripsi kunci utama dengan kata sandi yang berbeda di dalam slot. Ketika Anda mengubah kata sandi, itu sederhana seperti mengenkripsi Kunci Utama, dan tidak mengubah semua partisi.
Jadi, ketika slot dan metadata ini rusak, Anda tidak dapat memulihkan kunci master yang benar-benar digunakan untuk mendekripsi, kehilangan semua data pada disk. Ini adalah cara mudah untuk menghancurkan semua data Anda dengan cepat. Tetapi jika Anda memiliki cadangan Volume Header, cukup mudah untuk memulihkannya.
Di bawah ini adalah salinan LUKS FAQ tentang cadangan yang diekstrak dari https://gitlab.com/cryptsetup/cryptsetup/wikis/FrequentlyAskedQuestions#6-backup-and-data-recovery
6.2 Bagaimana cara membuat cadangan header LUKS?
Meskipun Anda bisa menyalin jumlah byte yang sesuai dari awal partisi LUKS, cara terbaik adalah dengan menggunakan opsi perintah "luksHeaderBackup" dari cryptsetup. Ini juga melindungi dari kesalahan ketika parameter non-standar telah digunakan dalam pembuatan partisi LUKS. Contoh:
cryptsetup luksHeaderBackup --header-backup-file <file> <device>
Untuk mengembalikan, gunakan perintah terbalik, yaitu
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
Jika Anda tidak yakin tentang tajuk yang akan dipulihkan, buat cadangan yang sekarang lebih dulu! Anda juga dapat menguji file header tanpa mengembalikannya dengan menggunakan opsi - header untuk header terpisah seperti ini:
cryptsetup --header <file> luksOpen <device> </dev/mapper/ -name>
Jika itu membuka kunci-banyak Anda, Anda baik. Jangan lupa untuk menutup perangkat lagi.
Dalam beberapa keadaan (header rusak), ini gagal. Kemudian gunakan langkah-langkah berikut:
Pertama-tama tentukan ukuran kunci utama:
cryptsetup luksDump <device>
memberikan garis bentuk
MK bits: <bits>
dengan bit sama dengan 256 untuk default lama dan 512 untuk default baru. 256 bit sama dengan ukuran total header 1'052'672 Bytes dan 512 bit salah satu dari 2MiB. (Lihat juga Butir 6.12) Jika luksDump gagal, asumsikan 2MiB, tetapi perlu diketahui bahwa jika Anda mengembalikannya, Anda juga dapat mengembalikan 1M pertama atau lebih dari sistem file. Jangan mengubah sistem file jika Anda tidak dapat menentukan ukuran header! Dengan itu, mengembalikan cadangan header yang terlalu besar masih aman.
Kedua, buang header ke file. Ada banyak cara untuk melakukannya, saya lebih suka yang berikut ini:
head -c 1052672 <device> > header_backup.dmp
atau
head -c 2M <device> > header_backup.dmp
untuk header 2MiB. Pastikan ukuran file dump untuk memastikan. Untuk mengembalikan cadangan seperti itu, Anda dapat mencoba luksHeaderRestore atau melakukan yang lebih mendasar
cat header_backup.dmp > <device>
Veracrypt
Veracrypt mirip dengan LUKS. Saya tidak terbiasa dengan Truecrypt, tetapi ide umumnya berlaku.
Veracrypt hanya memiliki satu slot kunci, sehingga Anda tidak dapat memiliki lebih dari satu kata sandi secara bersamaan. Tetapi Anda dapat memiliki volume tersembunyi: itu menyimpan metadata di akhir partisi (atau disk atau file). Volume tersembunyi memiliki Kunci Master yang berbeda dan akan menggunakan ujung partisi sebagai ruang yang tumpang tindih. Gagasan bahwa Anda harus membuat cadangan adalah sama. Ini bisa dilakukan dengan Tools -> Backup Volume Header
dan Tools -> Restore Volume Header
. Dengan enkripsi sistem, digunakan untuk membuat disk yang dapat di-boot dengan cadangan kunci yang memulihkan pemuat dan tombol Truecrypt jika terjadi kerusakan. Ini dilakukan sebelum mengenkripsi apa pun, dan Sejauh yang saya tahu Veracrypt terus melakukan hal yang sama.
Untuk detail lebih lanjut lihat tautan ini https://veracrypt.codeplex.com/wikipage?title=Program%20Menu
Pertimbangan Keamanan Tentang Kunci Cadangan
Misalnya, jika Anda memiliki kata sandi yang bocor, dan mengubah kata sandi volume menjadi kata sandi yang baru, kuat dan aman, seseorang dengan akses ke cadangan masih dapat mendekripsi file dengan kata sandi lama. Cadangan pada dasarnya adalah Master Key yang dienkripsi dengan kata sandi (lama). Jadi, ketika mengganti kata sandi, perlu juga membuat cadangan baru dan menghancurkan yang lama. Dan menghancurkan data secara permanen bisa sangat menipu.
Untuk setiap cadangan yang Anda miliki dengan kata sandi itu, adalah cara yang mungkin untuk mendekripsi data dengan kata sandi itu. Ini dapat digunakan di Veracrypt misalnya, menggunakan "Kata Sandi Universal" (seperti di perusahaan), mencadangkannya dan mengubah kata sandi lain. Jadi dept IT. dapat memulihkan akses ke volume itu bahkan jika seseorang kehilangan kata sandi (anggap sebagai Kata Sandi Utama, tetapi jangan bingung dengan Kunci Master dari sebelumnya).
Pikiran Final (TL; DR)
Kemungkinan merusak sektor spesifik dengan kunci master lebih kecil kemungkinannya daripada Anda mengalami kerusakan disk lengkap. Jadi, jika data ini penting, Anda harus memiliki cadangannya alih-alih hanya header volume (Master Key).
Dan korupsi data menyebar sedikit (16 byte), sehingga dapat diterima untuk sebagian besar penggunaan.
Jadi blok buruk di tengah partisi atau disk hanya akan mempengaruhi blok itu. Dan beberapa kesalahan bit dalam suatu sektor terbatas pada sektor itu, dan bahkan tidak akan mempengaruhi sepenuhnya sektor 512 byte.
Pembaruan (23/01/2017): tambahkan informasi lebih lanjut berdasarkan komentar OP.