在我目前工作的地方,我们使用全盘加密,在笔记本电脑转让所有者后,我们使用安全擦除程序。这非常耗时,我想知道有必要吗?对于磁盘加密程序,我们使用我们所说的 PGP,但我认为它实际上是Symantec Drive Encryption(我是对的,实际上没有名为 PGP 的产品吗?)。为了擦除硬盘驱动器,我们使用带有 DBAN 的 Linux Live CD。许多笔记本电脑都存在 DBAN 挂起的问题,需要对 BIOS 进行调整,需要再次重新启动。这个过程相当耗时。即使硬盘驱动器已完全加密,是否有必要擦除数据?如果没有,如果能提供权威的消息来源会很有帮助,因为我需要获得老板的批准。如果是的话,我能做些什么来加快这个过程吗?例如一次擦除一组笔记本电脑?
另一个人制定了这样的策略,即在擦除磁盘之前必须先对其进行解密以保护 MBR。这创建了需要擦除的磁盘的积压日志,但是策略发生了变化,现在我们只需输入一个命令来修复 MBR(类似于 MS-FIXMB)。是否可以进一步优化此过程,或者是否可以证明此步骤不是必需的?
该中心磁记录研究在加州大学圣地亚哥分校有一个有趣的数据清除文档在存储介质的安全擦除教程的形式。他们解释说,安全地销毁解密密钥会安全地使磁盘上的数据无法解密,因此无法访问(尤其是使用强加密,例如Symantec 的 PGP WDE 默认使用的AES-128 或AES-256)。
专门研究这些问题的研究中心和制造产品的公司。没有比这更权威的了。祝你老板好运。
另一个人制定了这样的策略,即在擦除磁盘之前必须先对其进行解密以保护 MBR。
除了 Adnan 的回答,我不确定这个政策是从哪里来的。MBR(或 GPT)不是磁盘的一个区域,如果以某种方式损坏则无法修复。破坏 MBR 或 GPT 会导致磁盘上任何已定义的分区无法识别。MBR 或 GPT 毕竟包含分区表,因此如果没有它,您将很难识别分区的开始位置,尤其是在它们被加密的情况下。
请注意,对于 GPT,磁盘背面有一个备份分区表,因此您也需要对其进行核对。
如果您不小心(或故意)删除了 MBR 或 GPT,许多分区工具可以重新创建一个 - 当然,只有专门的工具才能检测到没有工作分区表的磁盘上的分区(我认为 testdisk 可以猜测分区布局,例如)。在 GParted 中,您可以选择“设备”然后“创建分区表”来制作一个。作为在不包含此类表的磁盘上安装的一部分,Windows 也会执行此操作。
但是策略发生了变化,现在我们只需输入一个命令来修复 MBR(类似于 MS-FIXMB)。是否可以进一步优化此过程,或者是否可以证明此步骤不是必需的?
好消息是 MBR 存在于加密磁盘之外,因此您不会通过不解密磁盘来“损坏”MBR(尽管您想擦除磁盘,谁在乎 - 把分区表也拿出来!)。大多数软件全盘加密解决方案通过将自己的代码写入 MBR 并可能在 MBR 和您的第一个分区之间的无人区(那里有相当多的空间,信不信由你)为了解密而工作该分区最初是为了获得下一阶段(卷引导记录,bootmgr)的启动。
分区表也有可能在这样的方案中被加密(BIOS 不关心它,只有操作系统关心它),这意味着它在加密时会显示为一个完整的空磁盘。这种方案的目的是在不解密磁盘的情况下很难识别磁盘是如何分区的,这再次重申了我的观点:也要破坏分区表!
长话短说:
免责声明:我从事生产磁盘映像产品的工作。