<!DOCTYPE html>
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <div class="moz-cite-prefix">On 12/31/25 3:54 PM, Douglas Lucas
      wrote:<br>
    </div>
    <blockquote type="cite"
      cite="mid:4a72ba7ec8c581a88074a3b3800d10b5@riseup.net">
      <pre class="moz-quote-pre" wrap="">In other words,
is ATA better for encryption because it's less complicated than SSD and
therefore there are fewer things to screw up. An engineer once
(oversimplifying) told me ATA just stores 1s and 0s, and therefore
encrypting it with LUKS is straightforward, but SSD does a lot of
remapping/algorithms/probabilities to try to speed things up, thus
opening up a greater surface area of vulnerability</pre>
    </blockquote>
    <p>As far as I know when doing LUKS/<font
        face="Courier New, Courier, monospace">dm-crypt</font> it is a
      clean layer on top of a block device, and the block device can be
      anything that implements a block device. The bits that get
      presented to the layer below are encrypted the same whether it is
      spinning iron oxide ATA disk or an SSD flash memory or an S3
      bucket. Recording it on a different medium can't magically break
      the encryption. Which makes sense if it is done correctly. So from
      a security perspective, the two should both be good.</p>
    <p>That said, the two <i>are</i> very different. SSDs tend to like
      to know when portions aren't used so use that space for wear
      leveling, and that needs to be passed down the layers. Linux knows
      how to do this, but things have to be configured right. I think
      this happens fine on the encrypted SSD in my laptop, but the SSDs
      I use for offline backups, in USB enclosures, don't seem to know <font
        face="Courier New, Courier, monospace">fstrim</font>, and I
      haven't figured why not. But this isn't a security hole.</p>
    <p>-kb</p>
    <p><br>
    </p>
  </body>
</html>