Temps de collecte des déchets SSD

23

Supposons que je stocke des informations sensibles sur un SSD et que je souhaite les effacer sans effacer en toute sécurité le disque entier. J'efface ou écrase le fichier. Le système d'exploitation prend en charge TRIM, de sorte que le bloc contenant les informations sensibles est marqué pour que le garbage collector soit effacé.

Combien de temps puis-je attendre du ramasse-miettes pour réellement effacer le bloc? Des secondes? Heures? Jamais si le disque ne contient pas encore suffisamment de données? Je comprends que cela variera en fonction du contrôleur SSD, mais je n'ai même pas une idée des chiffres à attendre. Toute information ou référence à des documents techniques serait très appréciée.

marcv81
la source

Réponses:

26

Pour conserver des "informations sensibles", vous devez considérer le temps comme "Jamais". Non seulement vous devez vous soucier de TRIM, mais si une cellule est remplacée pour "s'user", les données de cette cellule ne peuvent jamais être effacées car les cellules usées des disques SSD ne perdent pas leurs données mais deviennent en lecture seule .

Si vous avez des informations sensibles, elles doivent être stockées dans un conteneur chiffré et une version non chiffrée ne doit jamais résider sur le disque dur. En raison du fonctionnement des logiciels et des systèmes d'exploitation modernes, qui utilisent assez souvent des fichiers temporaires qui pourraient contenir une copie des données avec lesquelles vous travaillez, la seule façon sûre de le faire est de chiffrer complètement le disque sur le disque, donc il n'y a pas d'espace pour les fichiers temporaires. fichiers à stocker qui ne sont pas cryptés.

(PS Si les données sensibles étaient déjà sur le lecteur non cryptées mais que vous cryptez le lecteur avec un cryptage complet du lecteur, vous devez toujours traiter le lecteur comme s'il y avait du texte non crypté dessus. En effet, certaines des informations sensibles pourraient se trouver dans un seul de ces secteurs épuisés en lecture seule et permettant le chiffrement complet du lecteur ne peuvent pas remplacer ces cellules en lecture seule. La seule façon "sûre" de le faire est de chiffrer un lecteur qui ne contient aucune information sensible, puis de commencer à l'utiliser pour stocker des données sensibles. informations seulement après le chiffrement intégral du disque a été réalisée.)

Scott Chamberlain
la source
Bonne réponse, merci. Je ne savais pas que les cellules mortes deviendraient en lecture seule. Une idée du temps typique de collecte des ordures pour les cellules qui sont loin de mourir?
marcv81
3
Malheureusement non, mais quand je traite de la crypto, je garde toujours la mentalité selon laquelle à moins d'avoir un modèle de menace spécifique à l'esprit, je suppose que quelqu'un pourrait mourir si je fais une erreur et que le texte non crypté sort (et selon le pays dans lequel une personne vit) cette affirmation peut être très vraie) donc je ne voudrais même jamais "deviner" combien de temps les données sensibles pourraient être lisibles, je vais juste avec le nombre le plus pessimiste de "une fois qu'elles sont écrites une fois en clair sur le disque dur où elles sont là pour toujours".
Scott Chamberlain
1
Approche très sensée. Je me demandais si la modification du mot de passe (non compromis) d'un volume TrueCrypt stocké sur un SSD avait un sens, car l'en-tête du volume avec l'ancien mot de passe pouvait toujours être sur le lecteur. En fonction de la vitesse de collecte des ordures (ou des cellules mortes conservant leur valeur), la modification du mot de passe pourrait en fait affaiblir le cryptage.
marcv81
2
@NateKerkhofs: Si vous modifiez le mot de passe et que l'ancien en-tête de volume n'est pas récupéré, vous disposez de 2 en-têtes de volume sur le lecteur. D'accord, il est crypté, mais c'est moins sécurisé qu'un seul en-tête de volume. De plus, le modèle TrueCypt est tel qu'un en-tête de volume déprécié est malheureusement aussi bon que l'en-tête de volume actuel pour décrypter tout le volume.
marcv81
1
@Mehrdad Le coût de la perte de données fait partie du modèle de menace, certains PII sont beaucoup moins précieux que le calendrier et le lieu de votre prochaine réunion révolutionnaire. C'est pourquoi l'élaboration d'un modèle de menace est si importante, et en l'absence de modèle de menace, je pense qu'il est bon de toujours donner des conseils en supposant la pire situation. Je ne sais pas si marcv81 stocke des PII ou prévoit de renverser le gouvernement, mais mes conseils tels qu'ils sont écrits sont utiles aux deux. Est-ce trop de tuer pour PII absolument, est-ce que ce conseil est utilisé pour PII, je ne sais pas.
Scott Chamberlain