Твердотельные накопители и шифрование, куда нельзя?
- Категория: Безопасность
Современные твердотельные накопители быстрее своих собратьев с пластинчатым приводом. У них есть дополнительные преимущества, такие как полная бесшумность при работе и лучшая ударопрочность. К недостаткам можно отнести высокую цену за гигабайт дискового пространства и ненадежность, когда дело доходит до стирания или удаления данных с носителя. Последний пункт может иметь серьезные последствия для безопасности.
Недавнее исследование факультета компьютерных наук и инженерии Калифорнийского университета пришло к выводу, что методы очистки отдельных файлов неэффективны на твердотельных накопителях и что встроенные методы очистки дисков эффективны при правильной реализации, что не всегда так.
Но эта статья о шифровании и твердотельных накопителях, а также о том, как результаты влияют на шифрование.
Создатели программного обеспечения для шифрования с открытым исходным кодом True Crypt, например, рекомендуют, чтобы тома TrueCrypt не создавались / не сохранялись на устройствах (или в файловых системах), которые используют механизм выравнивания износа (и что TrueCrypt не используется для шифрования каких-либо частей таких устройства или файловые системы) '.
В основном они просят своих пользователей использовать True Crypt только на обычных жестких дисках, а не на твердотельных накопителях и других устройствах хранения Flash.
Почему они это рекомендуют? Для этого нам нужно посмотреть, как данные сохраняются на SSD.
В твердотельных накопителях используется технология, называемая выравниванием износа, для продления срока службы устройства. Секторы хранения на флеш-накопителях имеют ограниченные циклы записи, что означает, что в конечном итоге они не могут быть записаны. Выравнивание износа используется, чтобы избежать интенсивного использования определенных секторов. С твердотельными накопителями невозможно сохранить данные в определенном секторе диска. Механизм выравнивания износа обеспечивает равномерное распределение данных на диске.
Это означает, что теоретически возможно, что данные будут храниться на диске несколько раз. Если вы измените заголовок тома TrueCrypt, например, может случиться так, что старый заголовок все еще будет доступен на диске, так как его невозможно перезаписать по отдельности. Злоумышленники могут воспользоваться этим, если найдут старый заголовок. Базовый пример. Допустим, вы зашифровали свой SSD и обнаружили, что троян записал пароль или ключевой файл, который вы используете для доступа к зашифрованным данным.
Все, что вам нужно сделать на обычных жестких дисках, - это создать новый пароль или ключевой файл, чтобы решить проблему и защитить данные от доступа. Однако на твердотельных накопителях можно извлечь старый заголовок и использовать его для доступа к данным с помощью украденного пароля или ключевого файла.
Но что, если диск пуст, прежде чем вы его используете? Что делать, если вы планируете безопасно стереть его в случае взлома?
Даже этого может быть недостаточно. Во-первых, мы уже установили, что некоторые инструменты «безопасного стирания», предлагаемые производителями твердотельных накопителей, неправильно реализуют технологию, что означает, что данные могут быть доступны после операции.
TrueCrypt рекомендует следующие меры предосторожности перед шифрованием пустой Твердотельный накопитель.
Перед запуском TrueCrypt для настройки предзагрузочной аутентификации отключите файлы подкачки и перезапустите операционную систему (вы можете включить файлы подкачки после того, как системный раздел / диск будет полностью зашифрован). Необходимо предотвратить переход в спящий режим в период между запуском TrueCrypt для настройки предзагрузочной аутентификации и моментом, когда системный раздел / диск будет полностью зашифрован.
Даже в этом случае производители не гарантируют, что это «предотвратит утечку данных и что конфиденциальные данные на устройстве будут надежно зашифрованы».
Какой тогда вывод? Это зависит. Вероятно, домашним пользователям не стоит беспокоиться о последствиях для безопасности, поскольку для атаки на зашифрованные диски требуются некоторые технические знания и оборудование. Если вы управляете бизнесом, являетесь государственным служащим или физическим лицом, данные которого необходимо защищать любой ценой, то вам следует пока избегать накопителей с выравниванием износа.
Есть другое мнение? Дай мне знать в комментариях.