《NetBSD指南-14.5.2.警告》

[leo]

确保你永远可以恢复你的密码短语和特征文件以防止加密灾难。 保证特征文件不泄露, 也许你可以按照上面的描述储存在一个可移动介质上, 因为"盐"包含了防范使用字典方法获取密码短语的帮助。
保持磁盘数据的加密状态永远是好主意, 但是其它的拷贝呢? 你已经至少有了一个这样的拷贝 (我们在安装过程中使用的备份), 并且它未被加密。 通过基于文件的加密工具平稳的 转存，像 gpg 可以解决这个问题, 但是请确保你有所有解密所需的key和工具，这样才可以进行灾后恢复 工作.
就像任何通过软件加密数据一样, 当设备配置时cgd 的key保存在内核内存中, 并且可以被用特权的程序或用户访问, 例如 /dev/kmem grovellers. 可以采用其它的系统加密步骤, 例如运行在更高的安全级别, 我们强烈推荐这样做。
一旦 cgd 卷像正常的文件系统以牙膏被挂载, 它们的内容像其它文件一样可以被访问。小心你的文件许可并确保运行的系统避免来自应用程序和网络安全攻击的干扰。
避免使用suspend/resume(暂停/恢复), 特别是BIOS上带有suspend-to-disk功能的笔记本。 如果你个攻击者可以恢复(resume)你的笔记本，而此时key恰巧保存在内存里, 或者稍后从硬盘上的suspend-to-disk内存镜像上获得, 那么所有使用 cgd 的优势便荡然无存了。