Операция TRIM

В ряде запоминающих устройств (например, в некоторых твердотельных накопителях, включая USB-флешки) для маркировки секторов как свободных, например, при удалении файла, применяется так называемая операция "TRIM". Вследствие этого такие сектора могут содержать незашифрованные нули или другие неопределённые данные (незашифрованные), даже если они расположены внутри области диска, зашифрованной VeraCrypt.

В Windows программа VeraCrypt позволяет пользователям управлять операцией TRIM как для несистемных, так и для системных томов:

• Для несистемных томов TRIM по умолчанию заблокирована. Чтобы её включить, нужно в главном окне VeraCrypt в меню Настройки выбрать Производительность и драйвер и включить опцию Разрешить команду TRIM для несистемных SSD-разделов/дисков.
• Для шифрования системы операция TRIM по умолчанию разрешена (если только не запущена скрытая операционная система). Чтобы отключить TRIM, перейдите в Система > Установки и включите опцию Блокировать команду TRIM на системном разделе/диске.

В Linux программа VeraCrypt не блокирует операцию TRIM на томах, использующих собственные криптографические службы ядра Linux, что является настройкой по умолчанию. Чтобы заблокировать TRIM в Linux, нужно либо включить опцию "Не использовать криптографические службы ядра" в настройках VeraCrypt (применимо только к томам, смонтированным позднее), либо использовать при монтировании ключ --mount-options=nokernelcrypto в командной строке.

В macOS программа VeraCrypt не поддерживает TRIM, поэтому данная операция всегда заблокирована на всех томах.

В случаях, когда выполняется операция TRIM, злоумышленник сможет определить, какие сектора содержат свободное пространство (и может использовать эту информацию для дальнейшего анализа и атак), что может отрицательно сказаться на правдоподобности отрицания шифрования. Чтобы избежать этих проблем, следует либо отключить TRIM в настройках VeraCrypt, как описано выше, либо убедиться, что тома VeraCrypt не расположены на дисках, которые используют операцию TRIM.