Что в общем и правда.
Можно конечно криптовать диск - но то тоже оверкилл, а кроме того - неустойчиво к терморектальным методам криптоанализа.
Подумалось, что можно для каждого (нуждающегося потенциально в защите) файла генерить уникальный ключ - и записывать его в дескриптор файла - тогда для удаления файла достаточно просто снести основательно дескриптор.
В ирерахической системе кстати можно и подкаталоги так же защищать - вплоть до рута - тогда и групповое удаление можно сделать уно моменто.