Angenommen, ich habe ein Speichergerät, das ich mit meinem Windows 10-Computer verwenden möchte. Auf dem Laufwerk befinden sich einige vertrauliche Daten, und ich möchte das Laufwerk vor der Verwendung löschen. Normalerweise fülle ich das Laufwerk einfach ddmit /dev/zerooder /dev/urandomvon einem Linux-Computer aus. Ich weiß, dass das nicht die sicherste Methode ist, insbesondere bei Flash-Speicher, aber in meinem Fall sollte es ausreichen.
Aber wenn ich ohnehin vorhabe, es mit BitLocker in Windows zu verschlüsseln und die Option „Gesamtes Laufwerk verschlüsseln“ anstelle von „Nur belegten Speicherplatz verschlüsseln“ auswähle, ist es dann notwendig, es ddvorher zu löschen? Oder führt BitLocker im Wesentlichen eine sichere Löschung durch, wenn es das gesamte Laufwerk verschlüsselt?
Gilt die gleiche Antwort auch für andere Methoden zur vollständigen Laufwerksverschlüsselung wie LUKS?
Antwort1
Ja, das Verschlüsseln des gesamten Laufwerks mit Bitlocker sollte genauso sicher sein wie ein DD mit /dev/zeround /dev/urandom. (Die Verwendung /dev/urandomist theoretisch etwas sicherer als /dev/zero, stellt in diesem Fall jedoch kein praktisches Problem dar).
Wie bei ddwerden die überprovisionierten Teile der Festplatte zunächst nicht gelöscht/verschlüsselt. Es können also Fragmente vorhanden sein, die gelesen werden können, sofern sie nicht überschrieben werden.
Der wichtige Teil ist „Gesamtes Laufwerk verschlüsseln“, wodurch alles verschlüsselt wird.
Bei einem Standardverfahren luksformat /dev/devnamewird nicht das gesamte Laufwerk verschlüsselt. (Ich habe das gerade ausprobiert.) Sie sollten den leeren Speicherplatz auf dem gemounteten Laufwerk nach dem Formatieren „auf Null setzen“.
Wenn Sie nicht die gesamte Partition verschlüsseln, wäre es wahrscheinlich besser, dd /dev/zeroeine Datei auf dem verschlüsselten Laufwerk zu speichern und diese Datei dann zu löschen (auch unter Bitlocker), damit die zugrunde liegende Festplatte mit zufälligen Daten und nicht nur mit Nullen gefüllt wird.