Tempo di raccolta dei rifiuti SSD


23

Supponiamo che io memorizzi informazioni sensibili su un SSD e voglio cancellarle senza cancellare in modo sicuro l'intero disco. Cancella o sovrascrivo il file. Il sistema operativo supporta TRIM, quindi il blocco contenente le informazioni sensibili è contrassegnato per la cancellazione del Garbage Collector.

Quanto tempo posso aspettare che il Garbage Collector impieghi per cancellare effettivamente il blocco? Secondi? Ore? Mai se il disco non contiene ancora abbastanza dati? Capisco che questo varierà a seconda del controller SSD, ma non ho nemmeno idea delle cifre da aspettarmi. Qualsiasi informazione o riferimento a documenti tecnici sarebbe molto apprezzato.

Risposte:


26

Per conservare le "informazioni sensibili" dovresti considerare che il tempo è "Mai". Non solo devi preoccuparti di TRIM, ma se una cella viene sostituita per "logorare" che i dati in quella cella non possono mai essere cancellati poiché le celle usurate nelle unità SSD non perdono i loro dati ma diventano di sola lettura .

Se si dispone di informazioni riservate, queste devono essere archiviate in un contenitore crittografato e una versione non crittografata non deve mai risiedere sul disco rigido. A causa del funzionamento dei moderni software e sistemi operativi, molto spesso utilizzando file temporanei che potrebbero contenere una copia dei dati con cui si sta lavorando, l'unico modo sicuro per farlo è eseguire la crittografia completa dell'unità sull'unità, quindi non c'è spazio per file da archiviare che non sono crittografati.

(PS Se i dati sensibili erano già sull'unità non crittografati ma poi si crittografa l'unità con la crittografia dell'unità completa, è comunque necessario trattare l'unità come se avesse del testo non crittografato su di esso. Questo perché alcune delle informazioni sensibili potrebbero trovarsi in una di quei settori usurati di sola lettura e l'abilitazione della crittografia dell'unità completa non può sovrascrivere quelle celle di sola lettura. L'unico modo "sicuro" per farlo è crittografare un'unità che non ha informazioni sensibili su di essa, quindi iniziare a usarla per archiviare le informazioni sensibili informazioni solo dopo che è stata eseguita la crittografia completa dell'unità.)


Buona risposta, grazie Non sapevo che le cellule morte sarebbero diventate di sola lettura. Qualche idea del tipico tempo di raccolta dei rifiuti per le celle che non si avvicinano alla morte?
marcv81,

3
Sfortunatamente no, ma quando ho a che fare con la crittografia tengo sempre l'idea che, a meno che non abbia in mente uno specifico modello di minaccia, presumo che qualcuno potrebbe morire se commetto un errore e il testo non crittografato esce (e a seconda del paese in cui vive una persona quell'affermazione può essere molto vera) quindi non vorrei nemmeno "indovinare" per quanto tempo i dati sensibili potrebbero essere leggibili, vado semplicemente con il numero più pessimistico di "una volta che sono scritti una volta in chiaro sul disco rigido che è lì per sempre".
Scott Chamberlain,

1
Approccio molto sensato. Mi chiedevo se cambiare la password (non compromessa) di un volume TrueCrypt archiviato su un SSD avesse un senso, dato che l'intestazione del volume con la vecchia password poteva essere ancora nell'unità. In base alla velocità della garbage collection (o alle celle morte che mantengono il loro valore) la modifica della password potrebbe effettivamente indebolire la crittografia.
marcv81,

2
@NateKerkhofs: se si modifica la password e la vecchia intestazione del volume non viene raccolta in modo errato, nell'unità sono presenti 2 intestazioni del volume. D'accordo, è crittografato, ma è meno sicuro di un solo volume. Anche il modello TrueCypt è tale che sfortunatamente un'intestazione del volume è altrettanto valida dell'attuale intestazione del volume per decrittografare l'intero volume.
marcv81,

1
@Mehrdad Il costo della perdita di dati fa parte del modello di minaccia, alcune informazioni personali sono molto meno preziose della pianificazione e del luogo per la prossima riunione rivoluzionaria. Questo è il motivo per cui creare un modello di minaccia è così importante e in presenza di un modello di minaccia non mi sento bene dare consigli sempre ipotizzando la situazione peggiore. Non so se marcv81 stia memorizzando informazioni personali o progetti di rovesciamento del governo, ma il mio consiglio scritto è utile per entrambi. È assolutamente da uccidere per le PII, questo consiglio è usato per le PII, non lo so.
Scott Chamberlain,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.