Сначала внесу допущение, что высокоэтнропийные данные на диске не подозрительны. (это конечно не верно с точностью до наоборот, но тогда шифровать бессымысленно)
Допустим имеется диск. На нем есть honeypot с чем угодно, например немножко бубунты с небольшой имитацией работы в ней. И далее шифрованный диск. В случе если вставлена правильная флешка - комп грузится с нее в следующем порядке: 1. Загрузили ядро и инитрд 2. Скопировали(dd) заранее сохраненный mbr на диск 3. Скопировали(dd) заранее сохраненный заголовок LUKS на нужный раздел диска 3. Расшифровываем, монтируем, работаем.
Выключение компа 1. Все закрылось, размонтировалось 2. Забили рандомом заголовок LUKS и MBR вернули в хhoneypot'овское состояние 3. Выключили питание.
Все хорошо, за исключением случая форсмажора, когда для сохранения конфеденциальности надо все потушить ВНЕЗАПНО. Самый простой способ - дернуть питание, и тут внимание вопрос: 1. А не рухнет ли от этого LUKS контейнер? и если у него побьется пара секторов, то утащат ли они за собой весь диск? 2. При таком варианте остаются сигнатуры присутствия зашифрованного диска. Идеально бы забить их рандомом не при выключении, а сразу после загрузки и их чтения, возможно ли это? Где-то читал, что MBR пользуется только раз - как раз при загрузке (ну не считая fdisk), кто знает подробнее? И как быть с сигнатурой LUKS?
