Tiempo de recolección de basura SSD

23

Supongamos que almaceno información confidencial en un SSD y quiero borrarla sin borrar de forma segura todo el disco. Borro o sobrescribo el archivo. El sistema operativo admite TRIM, por lo que el bloque que contiene la información confidencial está marcado para que el recolector de basura lo borre.

¿Cuánto tiempo puedo esperar que tome el recolector de basura para borrar realmente el bloque? ¿Segundos? Horas ¿Nunca si el disco aún no contiene suficientes datos? Entiendo que esto variará dependiendo del controlador SSD, pero ni siquiera tengo una idea de las cifras que cabe esperar. Cualquier información o referencia a documentos técnicos sería muy apreciada.

ssd trim marcv81
fuente

Respuestas:

26

Para mantener la "información confidencial", debe considerar el tiempo como "Nunca". No solo tiene que preocuparse por TRIM, sino que si una celda se cambia por "desgaste", los datos en esa celda nunca se pueden borrar, ya que las celdas desgastadas en las unidades SSD no pierden sus datos sino que se vuelven de solo lectura .

Si tiene información confidencial, debe almacenarse dentro de un contenedor cifrado y una versión sin cifrar nunca debe residir en el disco duro. Debido a cómo funcionan el software y los sistemas operativos modernos, a menudo usando archivos temporales que podrían contener una copia de los datos con los que está trabajando, la única forma segura de hacerlo es cifrar el disco completo en el disco para que no haya espacio para el uso temporal. archivos a almacenar que no están encriptados.

(PD: si los datos confidenciales ya estaban en la unidad sin encriptar pero luego encriptas la unidad con encriptación completa, aún debes tratar la unidad como si tuviera texto sin encriptar. Esto se debe a que parte de la información confidencial podría estar en uno de esos sectores desgastados de solo lectura y que permiten el cifrado completo de la unidad no pueden sobrescribir esas celdas de solo lectura. La única forma "segura" de hacerlo es cifrar una unidad que no tiene información confidencial y luego comenzar a usarla para almacenar información confidencial. información solo después de que se haya realizado el cifrado completo del disco

Scott Chamberlain
fuente
Buena respuesta, gracias. No sabía que las celdas muertas serían de solo lectura. ¿Alguna idea del tiempo típico de recolección de basura para las células que no están cerca de morir?
marcv81
3
Desafortunadamente no, pero cuando trato con criptografía siempre mantengo la mentalidad de que, a menos que tenga en mente un modelo de amenaza específico, asumo que alguien podría morir si me equivoco y sale el texto sin cifrar (y dependiendo del país en el que vive una persona) esa afirmación puede ser muy cierta), por lo que nunca quisiera "adivinar" cuánto tiempo podrían leerse los datos confidenciales, simplemente voy con el número más pesimista de "una vez que se escribe una vez en texto plano en el disco duro que está allí". Siempre".
Scott Chamberlain
1
Enfoque muy sensible. Me preguntaba si cambiar la contraseña (no comprometida) de un volumen TrueCrypt almacenado en un SSD tenía sentido, ya que el encabezado del volumen con la contraseña anterior aún podría estar en la unidad. Según la velocidad de recolección de basura (o las celdas muertas que retienen su valor), cambiar la contraseña podría debilitar el cifrado.
marcv81
2
@NateKerkhofs: si cambia la contraseña y el encabezado de volumen anterior no se recopila, se tienen 2 encabezados de volumen en la unidad. Estuvo de acuerdo en que está cifrado, pero esto es menos seguro que solo un encabezado de 1 volumen. Además, el modelo TrueCypt es tal que un encabezado de volumen depreciado desafortunadamente es tan bueno como el encabezado de volumen actual para descifrar todo el volumen.
marcv81
1
@Mehrdad El costo de la pérdida de datos es parte del modelo de amenaza, algunos PII son mucho menos valiosos que el horario y la ubicación de su próxima reunión revolucionaria. Es por eso que hacer un modelo de amenaza es tan importante, y en presencia de ningún modelo de amenaza, creo que es bueno dar siempre consejos en el peor de los casos. No sé si marcv81 está almacenando PII o planea derrocar al gobierno, pero mi consejo tal como está escrito es útil para ambos. ¿Se acabó la matanza para PII absolutamente? ¿Se está utilizando este consejo para PII? No lo sé.
Scott Chamberlain