たとえば、Windows 10 マシンで使用したいストレージ デバイスがあるとします。ドライブには機密データが含まれているので、使用する前にドライブを消去したいと考えています。通常は、Linux マシンを使用して、またはLinux マシンからドライブにデータddを入力します。特にフラッシュ ストレージの場合、これが最も安全ではないことはわかっていますが、私の場合はこれで十分でしょう。/dev/zero/dev/urandom
しかし、いずれにせよ Windows で BitLocker を使用して暗号化する予定で、「使用領域のみを暗号化」ではなく「ドライブ全体を暗号化」オプションを選択した場合、dd事前に消去する必要がありますか? それとも、BitLocker はドライブ全体を暗号化するときに、基本的に安全に消去するのでしょうか?
LUKS などの他のフルドライブ暗号化方式にも同じ回答が当てはまりますか?
答え1
/dev/zeroはい、Bitlocker を使用してドライブ全体を暗号化すると、 とを使用してdd を実行するのと同程度に安全になります/dev/urandom。( を使用すると、/dev/urandom理論的には よりも少し安全です/dev/zeroが、ここでは実際的な問題ではありません)。
と同様にdd、過剰にプロビジョニングされたディスクの部分は最初は消去/暗号化されません。そのため、上書きされない限り、読み取り可能なフラグメントが存在する可能性があります。
重要な部分は、すべてを暗号化する「ドライブ全体を暗号化」です。
標準を実行するluksformat /dev/devnameと、ドライブ全体が暗号化されるわけではありません。(私はこれを試しました)。マウントされたドライブをフォーマットした後、空き領域を「ゼロにする」必要があります。
さらに言えば、パーティション全体を暗号化していない場合は、暗号化されたドライブにファイルを作成してからそのファイルを削除する (BitLocker を使用している場合でも) 方がよいでしょうdd /dev/zero。そうすれば、基礎となるディスクが、完全なゼロではなく、ランダムなデータで埋められるようになります。