Jednotky SSD a šifrování, ne-go?
- Kategorie: Bezpečnostní
Moderní pevné disky jsou rychlejší než jejich bratři pohánějící talíře. Mají další výhody, jako je při provozu zcela tiché a lepší odolnost proti nárazům. Nevýhodou je vysoká cena úložného prostoru za gigabajt a nespolehlivost při mazání nebo mazání dat z paměťového média. Zejména poslední bod může mít závažné bezpečnostní důsledky.
Nedávná studie katedry informatiky a inženýrství na Kalifornské univerzitě dospěla k závěru, že techniky dezinfekce jednotlivých souborů byly na discích SSD neúčinné a že vestavěné techniky dezinfekce disků byly účinné, pokud byly implementovány správně, což není vždy pravda.
Tento článek se však týká šifrování a pevných disků, přečtěte si, jak zjištění ovlivňují také šifrování.
Tvůrci open source šifrovacího softwaru True Crypt například doporučují, aby „svazky TrueCrypt nebyly vytvořeny / uloženy na zařízeních (nebo v souborových systémech), které využívají mechanismus vyrovnávání opotřebení (a že TrueCrypt se nepoužívá k šifrování žádných částí takových zařízení nebo souborové systémy) “.
V zásadě žádají své uživatele, aby používali True Crypt pouze na konvenčních pevných discích, nikoli na jednotkách SSD a jiných paměťových zařízeních Flash.
Proč to doporučují? Z tohoto důvodu se musíme podívat na to, jak jsou data ukládána na SSD.
Polovodičové měniče používají technologii zvanou vyrovnávání opotřebení, aby se prodloužila životnost zařízení. Sektory úložiště na jednotkách Flash mají omezené cykly zápisu, což znamená, že je už nelze napsat. Vyrovnávání opotřebení se používá, aby se zabránilo těžkému používání konkrétních sektorů. U jednotek SSD není možné ukládat data do konkrétního sektoru jednotky. Mechanismus vyrovnávání opotřebení zajišťuje rovnoměrné rozložení dat na jednotce.
To znamená, že je teoreticky možné, že data jsou na jednotce uložena vícekrát. Pokud například změníte záhlaví svazku TrueCrypt, může to být tak, že stará záhlaví je stále přístupná na jednotce, protože ji nelze přepsat jednotlivě. Útočníci by to mohli využít, kdyby našli starou hlavičku. Základní příklad. Řekněme, že jste šifrovali SSD a zjistili, že trojan zaznamenal heslo nebo klíčový soubor, který používáte pro přístup k šifrovaným datům.
Vše, co musíte udělat na konvenčních pevných discích, je vytvořit nové heslo nebo soubor klíčů, abyste problém vyřešili a chránili data před přístupem. Na jednotkách SSD však může být stále možné extrahovat starou hlavičku a použít ji k přístupu k datům pomocí odcizeného hesla nebo souboru klíčů.
Ale co když je jednotka před použitím prázdná? Co když to plánujete bezpečně vymazat, pokud je ohroženo?
Ani to nemusí stačit. Nejprve jsme již zjistili, že některé nástroje „bezpečného vymazání“ nabízené výrobci SSD implementují technologii nesprávně, což znamená, že data mohou být po operaci stále přístupná.
TrueCrypt doporučuje před šifrováním a prázdný Jednotka SSD.
Před spuštěním TrueCrypt k nastavení ověření před spuštěním deaktivujte stránkovací soubory a restartujte operační systém (stránkovací soubory můžete povolit po úplném zašifrování systémového oddílu / jednotky). Hibernaci je třeba zabránit v období mezi okamžikem, kdy spustíte TrueCrypt, abyste nastavili autentizaci před spuštěním a okamžikem, kdy byl systémový oddíl / jednotka plně šifrována.
Dokonce ani výrobci nezaručují, že to „zabrání úniku dat a že citlivá data v zařízení budou bezpečně šifrována“.
Jaký je tedy závěr? Záleží. Důsledky zabezpečení pravděpodobně nejsou ničím, čeho by si domácí uživatelé museli dělat starosti, protože to vyžaduje určité technické zázemí a vybavení k útoku na šifrované jednotky. Pokud podnikáte, jste vládní úředník nebo jednotlivec s údaji, které je třeba za každou cenu chránit, musíte se zatím vyhnout pohonům s vyrovnáváním opotřebení.
Máte jiný názor? Dejte mi vědět v komentářích.