Подводные камни при полнодисковом шифровании SSD

За всю историю шифрования ни один котенок не пострадал.

Поэтому - да, безопасно.

Trim ослабляет криптостойкость в общем случае, так как становится понятно, какие блоки пустые, а где лежат данные. В целом же отличий от HDD нет в этом плане. Т.е. по безопасности - то же, а по надежности - ну холивар SSD vs HDD.

Trim ослабляет криптостойкость в общем случае, так как становится понятно, какие блоки пустые, а где лежат данные. В целом же отличий от HDD нет в этом плане. Т.е. по безопасности - то же, а по надежности - ну холивар SSD vs HDD.

А в целом Trim на шифрованном диске положительно влияет на скорость работы самого SSD?

Главный подводный камень, о который спотыкаются пальцами ног в тредах o LUKS на SSD — это когнитивный диссонанс от разницы заявленной и реальной скоростей ssd у юзернеймов.
SSD, в которых поток (раз/с)жимается на лету, получают торпеду в борт.

SSD, в которых поток (раз/с)жимается на лету, получают торпеду в борт.

Таких уже давно нету.

Trim ослабляет криптостойкость в общем случае, так как становится понятно, какие блоки пустые, а где лежат данные. В целом же отличий от HDD нет в этом плане. Т.е. по безопасности - то же, а по надежности - ну холивар SSD vs HDD.

А если попользоваться какое то время тримом на криптованом диске, замет отключить этот трим, перезаписать свободное место какой нибудь прогой которая затирает свободное пространство по принципу заполнить весь диск до отказа, а затем удаляет этот огромный файл. Получится что все блоки будут заполнены случайными данными. После такой схемы работы с SSD неприятель получивший доступ к диску сможет понять картину с блоками, файловой системой и т.д.? Нсколько безопасно делать так как я описал?

Увидит что у тебя там раздел с криптоконтейнером, алгоритм его шифрования и UUID; ФС не увидит.

заполнить весь диск до отказа, а затем удаляет этот огромный файл

Есть как миниму два способа вызывать TRIM - по расписанию или после каждого удаления. Соответственно случайные данные там будут только при первом способе, и то если время запуска TRIM ещё не наступило.

Никакого особого смысла не делать TRIM нет - единственное что можно сказать по диску - что данных там не больше чем ненулевых блоков на ssd. Меньше - может быть, потому что TRIM ещё не вызывался

раздел boot будет на флешке

Ты не сможешь заметить, как твою флешку заменят на похожую. Через 2 дня твой пароль - общественное достояние..

С целым компом это проделать сложнее. Нужен забутчик, быстро сливающий пароли в эфир и целый комп в неотличимом корпусе.

Как, вообще, делается аутентификация прибора, в который полагается вводить пароль?

Вообще про шифрование - почитай что нового в LUKS2.

Как, вообще, делается аутентификация прибора, в который полагается вводить пароль?

флешка с boot вставляется в комп и загружается ОС после ввода пароля. А если именно на SSD поставить бут вместо флешки, какие теоретические угрозы могут быть кроме как подбросить закладку в этот самый бут на SSD?

Опыт очень многих людей опирается на этот момент, можешь посмотреть.

Цели атак порой представляют большую физическую опасность для атакующих. Всяко бывает. Сценарии краж и злых мейдочек не стоит забывать. А от нетаргетированной кражи даже статус джо не помогает.