Czas zbierania śmieci SSD

23

Załóżmy, że przechowuję poufne informacje na dysku SSD i chcę je usunąć bez bezpiecznego usuwania całego dysku. Usuwam lub zastępuję plik. System operacyjny obsługuje TRIM, więc blok zawierający poufne informacje jest oznaczony do wyczyszczenia przez moduł czyszczenia pamięci.

Jak długo mogę oczekiwać od śmieciarza, aby faktycznie usunąć blok? Sekundy? Godziny? Nigdy, jeśli dysk nie zawiera jeszcze wystarczającej ilości danych? Rozumiem, że będzie się to różnić w zależności od kontrolera SSD, ale nawet nie mam pojęcia, jakich liczb się spodziewać. Wszelkie informacje lub odniesienia do dokumentów technicznych będą mile widziane.

marcv81
źródło

Odpowiedzi:

26

Aby zachować „poufne informacje”, powinieneś rozważyć czas na „Nigdy”. Nie tylko musisz się martwić TRIM, ale jeśli komórka zostanie zamieniona na „zużywającą się”, że dane w tej komórce nigdy nie zostaną usunięte, ponieważ zużyte komórki na dyskach SSD nie tracą swoich danych, ale stają się tylko do odczytu .

Jeśli masz poufne informacje, muszą one być przechowywane w zaszyfrowanym kontenerze, a niezaszyfrowana wersja nigdy nie może znajdować się na dysku twardym. Ze względu na to, jak działa nowoczesne oprogramowanie i systemy operacyjne, dość często wykorzystując pliki tymczasowe, które mogą zawierać kopię danych, z którymi pracujesz, jedynym bezpiecznym sposobem na to jest pełne szyfrowanie dysku na dysku, więc nie ma miejsca na tymczasowe pliki do przechowywania, które nie są szyfrowane.

(PS Jeśli poufne dane były już na dysku niezaszyfrowane, ale następnie zaszyfrowałeś dysk za pomocą pełnego szyfrowania dysku, nadal musisz traktować dysk tak, jakby zawierał nieszyfrowany tekst. Jest tak, ponieważ niektóre poufne informacje mogą znajdować się w jednym tych zużytych sektorów tylko do odczytu i włączenie pełnego szyfrowania dysku nie może zastąpić komórek tylko do odczytu. Jedynym „bezpiecznym” sposobem jest zaszyfrowanie dysku, na którym nie ma wrażliwych informacji, a następnie rozpoczęcie jego przechowywania informacje dopiero po wykonaniu pełnego szyfrowania dysku).

Scott Chamberlain
źródło
Dobra odpowiedź, dzięki. Nie wiedziałem, że martwe komórki staną się tylko do odczytu. Masz pojęcie o typowym czasie zbierania śmieci dla komórek, które nie są bliskie śmierci?
marcv81
3
Niestety nie, ale w przypadku kryptografii zawsze zachowuję sposób myślenia, że ​​jeśli nie mam na myśli konkretnego modelu zagrożenia, zakładam, że ktoś może umrzeć, jeśli popełniam błąd i wyjdzie niezaszyfrowany tekst (i w zależności od kraju, w którym mieszka osoba) to stwierdzenie może być bardzo prawdziwe), więc nigdy nie chciałbym nawet „zgadywać”, jak długo wrażliwe dane mogą być czytelne, po prostu wybieram najbardziej pesymistyczną liczbę „po zapisaniu raz w postaci zwykłego tekstu na dysku twardym na zawsze".
Scott Chamberlain
1
Bardzo rozsądne podejście. Zastanawiałem się, czy zmiana (bezkompromisowego) hasła woluminu TrueCrypt przechowywanego na dysku SSD ma jakiś sens, ponieważ nagłówek woluminu ze starym hasłem nadal może znajdować się na dysku. W oparciu o szybkość wyrzucania elementów bezużytecznych (lub martwe komórki zachowujące swoją wartość) zmiana hasła może faktycznie osłabić szyfrowanie.
marcv81
2
@NateKerkhofs: Jeśli zmienisz hasło, a stary nagłówek woluminu nie jest odśmiecany, to masz 2 nagłówki woluminu na dysku. Zgadzam się, że jest zaszyfrowany, ale jest to mniej bezpieczne niż tylko 1 nagłówek woluminu. Również model TrueCypt jest taki, że nieaktualny nagłówek woluminu jest niestety tak dobry jak bieżący nagłówek woluminu, aby odszyfrować cały wolumin.
marcv81,
1
@Mehrdad Koszt utraty danych jest częścią modelu zagrożenia, niektóre dane osobowe są znacznie mniej wartościowe niż harmonogram i lokalizacja następnego spotkania rewolucyjnego. Właśnie dlatego tworzenie modelu zagrożenia jest tak ważne, a wobec braku modelu zagrożenia uważam, że dobrze jest zawsze udzielać porad w najgorszym przypadku. Nie wiem, czy marcv81 przechowuje dane osobowe czy planuje obalić rząd, ale moja rada, jak napisano, jest przydatna dla obu. Czy to absolutnie koniec zabicia dla PII, czy ta rada jest używana dla PII, nie wiem.
Scott Chamberlain