假設我有一個儲存裝置想要與我的 Windows 10 電腦一起使用。我的驅動器上有一些敏感數據,我想在使用前擦除驅動器。通常我只是用Linux 機器來填充dd驅動器。我知道這不是最安全的,特別是對於閃存存儲,但對我來說應該足夠了。/dev/zero/dev/urandom
但是,如果我打算在 Windows 中使用 BitLocker 對其進行加密,並選擇“加密整個磁碟機”選項而不是“僅加密已使用的空間”,是否需要事先擦除它dd?或者 BitLocker 在加密整個磁碟機時本質上會安全地擦除它嗎?
同樣的答案是否適用於其他全驅動器加密方法(例如 LUKS)?
答案1
是的,使用 Bitlocker 加密整個磁碟機應該與使用 dd 進行加密一樣安全/dev/zero。/dev/urandom(/dev/urandom理論上使用比 更安全/dev/zero,但這裡不是實際問題)。
與 一樣dd,過度配置的磁碟部分最初不會被擦除/加密 - 因此可能存在可以讀取的片段,除非/直到這些片段被覆蓋。
重要的部分是“加密整個驅動器”,它將加密所有內容。
制定標準luksformat /dev/devname不會加密整個磁碟機。 (我剛剛嘗試過這個)。格式化後,您可能希望將已安裝磁碟機上的空白空間「清除」。
就此而言,如果您沒有加密整個分割區,那麼最好是dd /dev/zero加密磁碟機上的文件,然後刪除該文件(即使在 Bitlocker 下) - 以便底層磁碟充滿隨機數據,而不是直接填充零的。