Допустим, у меня есть устройство хранения данных, которое я хочу использовать с моей машиной Windows 10. У меня есть некоторые конфиденциальные данные на диске, и я хотел бы стереть диск перед его использованием. Обычно я просто использую ddдля заполнения диска с машины Linux /dev/zeroили /dev/urandomс нее. Я знаю, что это не самый безопасный способ, особенно для флэш-накопителей, но в моем случае этого должно быть достаточно.
Но если я все равно планирую зашифровать его с помощью BitLocker в Windows и выберу опцию "шифровать весь диск" вместо "шифровать только используемое пространство", нужно ли ddпредварительно стирать его? Или BitLocker по сути надежно стирает его, когда шифрует весь диск?
Применим ли этот же ответ к другим методам шифрования всего диска, таким как LUKS?
решение1
Да, шифрование всего диска с помощью Bitlocker должно быть таким же безопасным, как и выполнение dd с помощью /dev/zeroи /dev/urandom. (использование /dev/urandomтеоретически немного безопаснее, чем /dev/zero, но в данном случае это не имеет практического значения).
Как и в случае с dd, части диска, которые имеют избыточное выделение, изначально не будут очищены/зашифрованы, поэтому могут быть фрагменты, которые можно прочитать, пока они не будут перезаписаны.
Важная часть — «зашифровать весь диск», которая зашифрует все.
Выполнение стандарта luksformat /dev/devnameне зашифрует весь диск. (Я только что попробовал это). Вам нужно будет «обнулить» пустое пространство на смонтированном диске после его форматирования.
В этом случае, если вы не зашифровали весь раздел, то, вероятно, лучше будет dd /dev/zeroсоздать файл на зашифрованном диске, а затем удалить его (даже с помощью BitLocker) — так базовый диск будет заполнен случайными данными, а не сплошными нулями.