SSD время сборки мусора

23

Давайте предположим, что я храню конфиденциальную информацию на SSD и хочу стереть ее без безопасного стирания всего диска. Я стираю или перезаписываю файл. ОС поддерживает TRIM, поэтому блок, содержащий конфиденциальную информацию, помечается для удаления сборщиком мусора.

Как долго можно ожидать, что сборщик мусора действительно стерет блок? Секунды? Часы? Никогда, если диск еще не содержит достаточно данных? Я понимаю, что это будет зависеть от контроллера SSD, но я даже не представляю, какие цифры ожидать. Любая информация или ссылки на технические документы будут высоко ценится.

marcv81
источник

Ответы:

26

Для хранения «конфиденциальной информации» вы должны считать время «Никогда». Мало того, что у вас есть TRIM, чтобы беспокоиться, но если ячейка заменена для «изнашивания», что данные в этой ячейке никогда не могут быть удалены, поскольку изношенные ячейки на SSD-накопителях не теряют свои данные, а становятся доступными только для чтения ,

Если у вас есть конфиденциальная информация, она должна храниться в зашифрованном контейнере, а незашифрованная версия никогда не должна находиться на жестком диске. Из-за того, как работают современное программное обеспечение и операционные системы, довольно часто используя временные файлы, которые могут содержать копию данных, с которыми вы работаете, единственный безопасный способ сделать это - выполнить полное шифрование диска на диске, чтобы не было места для временного файлы для хранения, которые не зашифрованы.

(PS Если конфиденциальные данные уже находились на диске в незашифрованном виде, но затем вы шифруете диск с помощью полного шифрования диска, вы все равно должны обращаться с диском так, как если бы на нем был незашифрованный текст. Это связано с тем, что некоторая конфиденциальная информация могла храниться в одном файле. из этих изношенных секторов только для чтения и включение полного шифрования диска не может перезаписать эти ячейки только для чтения. Единственный «безопасный» способ сделать это - зашифровать диск, на котором нет конфиденциальной информации, и затем начать использовать его для хранения конфиденциальной информации. информация только после полного шифрования диска.)

Скотт Чемберлен
источник
Хороший ответ, спасибо. Я не знал, что мертвые клетки станут только для чтения. Есть идеи о типичном времени сбора мусора для клеток, которые еще далеко не умирают?
marcv81
3
К сожалению, нет, но, имея дело с криптозащитой, я всегда держу мышление, что, если у меня нет конкретной модели угроз, я предполагаю, что кто-то может умереть, если я совершу ошибку и выйдет незашифрованный текст (и в зависимости от страны, в которой живет человек это утверждение может быть очень верным), поэтому я бы даже не хотел «догадываться» о том, как долго конфиденциальные данные могут быть читаемыми, я просто использую наиболее пессимистическое число: «как только оно записано один раз в виде текста на жесткий диск, он там есть» навсегда».
Скотт Чемберлен
1
Очень разумный подход. Мне было интересно, имеет ли смысл изменение (не скомпрометированного) пароля тома TrueCrypt, хранящегося на SSD, поскольку заголовок тома со старым паролем все еще может находиться на диске. В зависимости от скорости сбора мусора (или мертвых ячеек, сохраняющих свое значение) изменение пароля может фактически ослабить шифрование.
marcv81
2
@NateKerkhofs: Если вы измените пароль, а старый заголовок тома не будет собран сборщиком мусора, то у вас есть 2 заголовка тома на диске. Согласитесь, это зашифровано, но это менее безопасно, чем просто 1 заголовок тома. Кроме того, модель TrueCypt такова, что устаревший заголовок тома, к сожалению, так же хорош, как и заголовок текущего тома, для расшифровки всего тома.
marcv81
1
@Mehrdad Стоимость потери данных является частью модели угрозы, некоторые PII гораздо менее ценны, чем расписание и место вашего следующего революционного собрания. Вот почему создание модели угроз так важно, и при отсутствии модели угроз я чувствую, что хорошо всегда давать советы, предполагая наихудшую ситуацию. Я не знаю, хранит ли marcv81 PII или планирует свергнуть правительство, но мой письменный совет полезен для обоих. Это слишком много для PII, этот совет используется для PII, я не знаю.
Скотт Чемберлен