Android Lollipop？

あなたは間違った質問をするというよくある間違いをしている：「このシステムは安全ですか？」 「このシステムは安全ですかこのシナリオでは？」の代わりに。

未使用のスペースを暗号化しないというGoogleの選択は、ユーザーがデータの暗号化を決定し、現在および将来のすべてのデータが暗号化されるという典型的な使用シナリオでは完全に理にかなっています。未使用のスペースを暗号化しないという選択は、このシナリオではセキュリティへの影響が最小限です。若いデバイスでは、使用されているスペースの量が明らかになります。最終的に、ブロックが割り当てられて解放されると、すべてのブロックが暗号化され、現在使用されているブロックと以前使用されていたブロックを区別できなくなります。

デバイスに格納されていたがアクセスできなくなったデータは、この手順では暗号化されません。これは暗号化機能であり、ワイプ機能ではないため、これは合理的な設計です。

暗号化機能を利用して、最初に暗号化をオンにしてからパーティションにデータ（任意のデータ）を入力することで、ワイプ機能を作成できます。たとえば、ルートシェルアクセスがある場合、暗号化をオンにした後、cat /dev/zero >/data/zero && cat /dev/zero >/cache/zero && rm /data/zero /cache/zeroは/dataと/cacheを含むパーティションの空き領域を消去します。ルートアクセスなしでこれを達成する方法については、お気に入りのAndroidエキスパートを参照してください。

Lollipop以前でも、記述したプロシージャを「暗号化してワイプ」と呼ぶのは誤称です。本当のワイプがあった場合、暗号化は役に立たず、データはとにかく失われます。これは本当に「暗号化してリセット」するもので、リセットを行うと通常の方法でデータにアクセスできなくなりますが、ワイプは行われません。

Androidのインプレース暗号化は、新規および既存のファイルに対して非常に適切に機能しますが、空き領域をワイプしないという事実に留意する必要があります。あなたが言うように「フルディスク」暗号化を行ったとしても、それはパーティション全体を「暗号化された」と宣言するところで、すべてのブロックを上書きしないので、役に立たないことに注意してください。

私が見たほとんどのガイドには、追加の手順3.「暗号化を再度設定してから、制限に達するまで大きなデータを入力する」および4.「もう一度ワイプ」して、1。暗号化する2.ワイプする3番目のステップでは、/dataパーティションの空きストレージをいっぱいにして上書きします。

これらの2つの手順ですべてが上書きされるわけではありません。一部のデータは予約済み領域に残っている可能性があるため、tune2fs -lは「予約済みブロック数」として報告しますが、この値は通常、Androidデバイス（少なくとも私の場合はそのように報告します）、およびファイルシステム用に予約されている他の領域。すべてのデータが確実に削除される唯一の方法は、/ dataパーティションをアンマウントすることです（たとえば、デバイスがリカバリ中の場合）モード）、デバイスファイル全体をワイプしてから、販売する予定の場合は、新しいext4ファイルシステムを作成します。

また、1。暗号化ステップは不要であることに注意してください。ドライブを直接再フォーマットし、暗号化、書き込み、ワイプできます。