假设我有一个存储设备,我想将它与 Windows 10 计算机一起使用。驱动器上有一些敏感数据,我想在使用之前擦除驱动器。通常我只是用Linux 机器dd填充驱动器/dev/zero。/dev/urandom我知道这不是最安全的,尤其是对于闪存,但对我来说应该足够了。
但是,如果我无论如何都要在 Windows 中使用 BitLocker 加密,并选择“加密整个驱动器”选项而不是“仅加密已用空间”,是否需要事先将其擦除dd?或者 BitLocker 在加密整个驱动器时本质上是否对其进行了安全擦除?
相同的答案是否适用于其他全驱动器加密方法(例如 LUKS)?
答案1
/dev/zero是的,使用 Bitlocker 加密整个驱动器的安全性应该与使用和执行 dd 一样高/dev/urandom。(/dev/urandom从理论上讲,使用 比 更安全一些/dev/zero,但在这里不是实际问题)。
与 类似dd,磁盘中过度配置的部分最初不会被擦除/加密 - 因此除非/直到这些部分被覆盖,否则可能会有可读取的片段。
重要的部分是“加密整个驱动器”,它将加密所有内容。
执行标准luksformat /dev/devname不会加密整个驱动器。(我刚刚尝试过)。格式化后,您需要将安装的驱动器上的空白空间“清零”。
就此而言,如果您没有加密整个分区,最好将dd /dev/zero文件放在加密驱动器上,然后删除该文件(即使在 bitlocker 下) - 这样底层磁盘就会填充随机数据,而不是直接为零。