Digamos que eu tenha um dispositivo de armazenamento que desejo usar com minha máquina Windows 10. Tenho alguns dados confidenciais na unidade e gostaria de apagá-la antes de usá-la. Normalmente eu uso apenas ddpara preencher a unidade com /dev/zeroou /dev/urandomde uma máquina Linux. Eu sei que não é o mais seguro, especialmente para armazenamento flash, mas deve ser suficiente no meu caso.
Mas se estou planejando criptografá-lo com o BitLocker no Windows de qualquer maneira e selecionar a opção "criptografar unidade inteira" em vez de "criptografar apenas o espaço usado", é necessário limpá-lo com ddantecedência? Ou o BitLocker essencialmente o limpa com segurança ao criptografar toda a unidade?
A mesma resposta se aplica a outros métodos de criptografia de unidade completa, como o LUKS?
Sim, criptografar a unidade inteira com o Bitlocker deve ser tão seguro quanto fazer um dd com
/dev/zeroe/dev/urandom. (usar/dev/urandomé teoricamente um pouco mais seguro/dev/zero, mas não é uma preocupação prática aqui).Assim como acontece com
dd, as partes do disco que estão superprovisionadas não serão apagadas/criptografadas inicialmente - portanto, pode haver fragmentos que podem ser lidos, a menos/até que sejam substituídos.A parte importante é "criptografar a unidade inteira", que criptografará tudo.
Fazer um padrão
luksformat /dev/devnamenão criptografará a unidade inteira. (Eu apenas tentei isso). Você gostaria de "zerar" o espaço vazio na unidade montada após formatá-la.Por falar nisso, se você não criptografou a partição inteira, provavelmente seria melhor acessar
dd /dev/zeroum arquivo na unidade criptografada e excluí-lo (mesmo no bitlocker) - para que o disco subjacente seja preenchido com dados aleatórios, em vez de direto zero.