Дыра в безопасности FileVault при использовании на SSD

5

Я только что осознал тот факт, что, похоже, пользовательские данные могут просочиться при использовании FileVault и Migration Assistant на SSD на новом Mac при следовании инструкциям по умолчанию.

Когда я настраиваю новый Mac, он побуждает меня «Переносить информацию на этот Mac» в самом начале процесса, прежде чем мне разрешат включить FileVault. Это нормально на жестком диске, потому что, хотя я копирую свои данные на новый Mac в открытом виде, FileVault в конечном итоге перезаписывает все это шифрованием.

Однако на SSD невозможно безопасно перезаписать данные:

... функция «Безопасного удаления мусора» на Mac позволяет восстановить 2/3 файла.

- Сбой Mac: безопасность SSD

... практически невозможно безопасно удалить отдельный файл на SSD, потому что способ записи и удаления файлов на SSD разбросан, и пользователь не имеет никакого контроля над тем, что и где делает SSD. Если вы ищете именно такой тип защиты, лучшим выбором будет шифрование ...

- Спросите Ars: Как я могу безопасно стереть данные с моего SSD-накопителя?

Так что, когда мне разрешат включить FileVault, будет слишком поздно. Еще хуже, я не могу безопасно стереть диск перед продажей компьютера позже:

С OS X Lion и SSD-диском безопасное стирание и стирание свободного пространства недоступны в Дисковой утилите. Эти параметры не нужны для SSD-накопителя, поскольку стандартное стирание затрудняет восстановление данных с SSD-накопителя. Для большей безопасности рассмотрите включение шифрования FileVault 2, когда вы начинаете использовать SSD-накопитель.

- Mac OS X: о функции стирания свободного места в Disk Utility (support.apple.com/kb/HT3680)

Таким образом, похоже, что решение:

  1. При появлении запроса пропустите помощник по миграции.
  2. Создать новую учетную запись пользователя.
  3. Запустите обновление программного обеспечения до завершения, чтобы сгенерировать больше энтропии, прежде чем включать FileVault, чтобы смягчить этот «наихудший сценарий, в котором PRNG засевается только с наименьшим количеством энтропии» - фильтрация хранилища: анализ безопасности и расшифровка Lion Full Шифрование диска (eprint.iacr.org/2012/374.pdf), стр. 9.
  4. Включить FileVault.
  5. Запустите Ассистент миграции.

Я предполагаю, что даже несмотря на то, что FileVault все еще шифрует диск перед запуском Migration Assistant (мой компьютер сообщает, что у него осталось 36 минут времени на шифрование), все новые записи, сделанные Migration Assistant, будут зашифрованы, и поэтому мои данные никогда не будут касаться NANDS в открытом виде.

Согласны ли вы с проблемой и моим решением?

security ssd filevault encryption Дэвид Браун
источник
Вы уверены, что способ, которым Apple надежно очистил мусор в начале 2011 года (Snow Leopard был последней OS X), - это то, как они это делают сейчас? Кроме того, вы уверены, что при удалении SSD с помощью других средств, кроме безопасного удаления мусора, основной механизм остается тем же?
Дуайтк
2
Любой, кто имеет физический контроль над компьютером, в конечном итоге сможет восстановить некоторые данные с него - это просто вопрос того, сколько усилий и времени потребуется для восстановления того, сколько данных. Тем не менее, если вы беспокоитесь о том, что какие-либо данные будут «в открытом виде», тогда да, я согласен с вашим решением - я бы позволил FV закончить, а затем перенести или скопировать вручную.
da4
2
@ da4 Вы сомневаетесь в реализации FileVault? Основное шифрование? Или пользователи используют это правильно? Что касается ОП, я думаю, что ваша стратегия разумна. Я также немного задержусь на FV (может быть, пока не будут применены обновления и т. Д.) Для совершенно новой системы, чтобы дать энтропии шанс создать и укрепить ключ.
зигг
1
@zigg Твои домыслы на высоте! См. Страницу 9 eprint.iacr.org/2012/374.pdf : «Для сценариев с высокой степенью безопасности необходимо повторно заполнить PRNG, вручную записав энтропию в / dev / random перед активацией FileVault 2.»
Дэвид Браун
1
Я также пропустил бы исходное приглашение шифрования и включил FileVault после того, как машина настроена. Затем перенесите свои данные на вновь зашифрованный диск. Если вы хотите продать компьютер позже, вы можете просто отформатировать диск с помощью утилиты диска, а затем установить свежую копию ОС на диск. Даже если вы не можете безопасно удалить файлы на твердотельном накопителе одинаково, если вы отформатируете зашифрованный раздел при его продаже, все ваши файлы все равно будут зашифрованы и недоступны для нового владельца.
user125447

Ответы:

3

Создание учетной записи тестового пользователя с коротким именем, отличным от конечного пользователя, подлежащего миграции, является правильным.

На практике вы будете со временем перезаписывать все больше и больше данных, но если у вас есть время, чтобы сначала установить ключ хранилища файлов и полностью зашифровать диск перед копированием любых конфиденциальных данных, у вас будет более безопасная система, и вы сможете знать, что данные могут быть санированы криптографически, а не перезаписаны или фактически стерты.

Вы захотите просмотреть эти строки в diskutil cs listвыводе, чтобы знать, что они готовы к началу миграции данных:

|       Conversion Status:       Complete
|       High Level Queries:      Fully Secure
|       |                        Passphrase Required
bmike
источник
-1

Шифрование после передачи: самый низкий риск

Пока вы запускаете Migration Assistant, не возникает никакой дополнительной угрозы безопасности, связанной с шифрованием, начинающимся после начала передачи данных. Фактически это снижает риск физической безопасности с помощью следующего механизма:

  • Чем дольше устройство не зашифровано, тем дольше оно подвержено угрозам физической безопасности (кража, Джеймс Бонд), тем выше риск.
  • Чем больше времени требуется для передачи данных, тем дольше устройство будет зашифровано. Таким образом, логически следует, что чем больше времени требуется для передачи данных, тем больше риск.
  • Процесс полного шифрования диска занимает некоторое время. Это занимает еще больше времени, если вы пишете данные одновременно из-за ограничений ввода-вывода и возможностей ЦП, если у вас нет суперкомпьютера.
  • Процесс передачи данных занимает некоторое время. Это займет больше времени, если он записывает на зашифрованный диск; и даже небольшая разница может быть статистически значимой в оценке угроз и рисков.
  • Следовательно, чем быстрее шифруется диск, тем ниже риск; и чем быстрее данные передаются, тем меньше риск.
  • И поэтому самая низкая угроза безопасности обеспечивается текущей процедурой: сначала перенесите данные, а затем зашифруйте диск.
  • Эта процедура представляет меньший риск, чем любая процедура, которая может занять больше времени, особенно потому, что, пока компьютер включен, а секреты шифрования хранятся в активной памяти, компьютер полностью восприимчив к сложному агенту угрозы.

Безопасное удаление не требуется с помощью полного шифрования диска

Безопасное стирание не дает никаких преимуществ при использовании на SSD с полным дисковым шифрованием из-за того, как хранятся данные. Но любая потенциальная выгода от использования Secure Erase на любом диске с полным дисковым шифрованием никогда не может быть очень большой, потому что никакие данные не будут извлечены без секретов шифрования. Если секретные данные получены агентом угрозы, то весь диск был взломан.

Без полнодискового шифрования файлы могут быть восстановлены с SSD, иногда, искушенным агентом theat, а не сценаристом, по крайней мере, сегодня. Это отличается от жестких дисков, где за последнее десятилетие дети сценаристов и пятилетние дети имели в своем распоряжении инструменты для быстрого восстановления удаленных данных с незашифрованных жестких дисков.

незначительная зебра
источник
1
Ваш анализ «Шифрование после передачи» кажется правильным для жесткого диска, но не для SSD. Статья о сбое Secure Erase призвана подчеркнуть новое ограничение SSD; Речь идет не о сочетании его с полным шифрованием диска. Меня беспокоит не то, стоит ли использовать полное шифрование диска (я его использую), но этот открытый текст просачивается в зависимости от того, когда шифрование включено.
Дэвид Браун
-1

Вот безопасный способ предотвратить запись незашифрованных данных на SSD: установите вашу систему и перенесите ее на отдельный диск, будь то жесткий диск USB, второй SSD и т. Д. После включения FileVault и очистки незашифрованных данных создайте образ диска. к вашему SSD. Теперь протрите оригинальный диск.

Менее безопасный, но простой способ - обрезать SSD вручную fsck. Это заставит неиспользуемое пространство казаться всем нулями любому, кто читает данные из ОС. Им придется либо вмешаться в прошивку накопителя, либо убрать флешку из накопителя, чтобы обойти это. Со временем все данные на диске будут перезаписаны.

Чтобы ответить на ваш второй вопрос, производитель предоставил безопасную утилиту очистки / загрузочный диск, который гарантирует, что все данные с вашего SSD будут стерты, либо приказав физически стереть всю флэш-память, либо уничтожив постоянно включенные ключи шифрования (стиль iPhone).

user71659
источник
Спасибо за ваши творческие предложения. Я дошел до того, что все мои диски SSD, поэтому использование отдельного диска не помогает; Я обеспокоен случаем, когда кто-то удаляет вспышку из устройства; Знаете ли вы о предоставляемой производителем утилите для дисков, продаваемых Apple?
Дэвид Браун