I file cancellati prima della crittografia sono quindi formattati e possono essere recuperati?

6

Su un'unità ho una cartella di file, quindi ho semplicemente eliminato questi file (non cancellandoli o sovrascrivendoli con qualsiasi dato). Dopo averli eliminati, li crittaggio e lo pulisco con un singolo formato veloce o con un formato normale.

Se non ho limiti di spesa da spendere per recuperare la cartella dei file, sarebbe possibile? Riceverò solo rumore / dati crittografati o è solo se l'unità viene sovrascritta in anticipo?

In quali situazioni i dati potrebbero essere recuperabili e non recuperabili?

    
posta J. Doe 03.05.2016 - 05:14
fonte

3 risposte

2

Hai menzionato sia Windows che Linux in un commento; Parlerò specificamente a Windows qui.

Per prima cosa riassumiamo quello che stai facendo:

  1. Elimina alcuni file.
  2. Cripta l'unità utilizzando la crittografia completa dell'unità (FDE).
  3. Esegui un formato veloce o completo del disco.

Per semplicità, se rimuoviamo completamente il passaggio 2, ecco il punto in cui ci troviamo:

  • Un formato veloce lascia i file recuperabili.
  • Un formato completo lascia i file recuperabili su Windows XP e versioni precedenti, ma su Windows Vista e successivi esegue una cancellazione completa dell'unità, il che significa che i file non sono recuperabili (da parte di organizzazioni / nazioni ben finanziate). Nota che questo presuppone che tu non abbia installato il sistema operativo su un disco rigido molto vecchio in cui un singolo wipe potrebbe non essere sufficiente.

Quindi ora la domanda è, l'uso di FDE nel passaggio 2 modifica qualcosa?

Può sembrare strano, ma la risposta è no, FDE non cambia nulla. Il motivo è che la crittografia dell'unità reindirizza l'unità in modo completamente reversibile. Questo deve essere vero oppure non potresti decrittografarlo. Quindi, se si conosce la chiave necessaria per decodificare l'unità, è possibile reinserirla nello stesso stato precedente alla crittografia. Se avessi dei file eliminati prima di FDE, saranno comunque nascosti lì e completamente recuperabili.

Naturalmente, se esegui FDE sul tuo disco utilizzando una crittografia strong come AES e getti via la chiave, hai praticamente fatto la stessa cosa di azzerare un'unità o un formato completo (Windows Vista e versioni successive) e nulla sarebbe recuperabile.

    
risposta data 05.05.2016 - 16:12
fonte
2

In generale, la maggior parte ma non tutti i dati non crittografati in precedenza saranno recuperabili se la procedura di crittografia e formattazione non implica la sovrascrittura di ogni singolo byte sul dispositivo di archiviazione sottostante o rilascio a (correttamente implementato) ATA Cancellazione sicura comando. Nel caso di dischi rigidi rotanti non auto-crittografati, il costo di un Secure Erase è simile a quello di sovrascrivere l'intera unità tramite il software; nel caso di SSD, o HDD rotanti auto-crittografati, il costo di un Secure Erase può essere banale: basta scartare la chiave di crittografia o cancellare le tabelle di mappatura dei blocchi; i dati sarebbero ancora lì e leggibili in quest'ultimo caso, ma non c'è modo di capire quale parte debba andare dove perché è costituita da blocchi sparsi casualmente. Nota anche che molti SSD sono auto-crittografati sotto la cappa, non importa quello che fai.

Un moderno HDD rotazionale può sostenere circa 100 MB / s in throughput di scrittura puramente sequenziale. Ciò significa che un'unità da 4 TB impiegherà circa 4 TB * 1.000.000 MB / TB * 100 MB / s = 4.000.000 MB / 100 MB / s ~ 40.000 secondi (circa 11 ore) per completare una singola passata di sovrascrittura completa (sovrascrittura di campioni grandi di la memoria da cancellare è uno dei pochi ragionevolmente carichi di lavoro veramente sequenziali realmente). La velocità di scrittura sostenibile si adatta in modo approssimativo alla velocità di rotazione, quindi un'unità del server da 10k rpm o 15k rpm sarà in grado di sostenere una velocità di scrittura più elevata rispetto a un'unità portatile da 5400 rpm. Il tempo necessario per il completamento ovviamente è direttamente proporzionale alla capacità di memorizzazione e al throughput di scrittura ottenibile. Gli SSD sono molto più veloci ma hanno ancora una velocità di scrittura limitata, e per SSD di grandi dimensioni, il tempo necessario può essere sufficiente per giudicare in modo accurato cosa è successo.

Supponendo che si stia utilizzando un'unità rotazionale e che il processo di formattazione abbia impiegato meno di 2 ½-3 ore per TB di storage, è ragionevole aspettarsi (quantità significative significative di) rimanenza dati .

In base a Microsoft KB941961 Modifica del comportamento del comando di formattazione in Windows Vista e versioni successive , in Windows Vista e successivi (che attualmente significa Windows Vista, Windows 7, Windows 8 e Windows 10 e molto probabilmente il server corrispondente rilascia anche ) per la formattazione predefinita fa esegue una singola passata di sovrascrittura completa della partizione in fase di formattazione; il vecchio comportamento pre-Vista della semplice scrittura di nuovi metadati del file system viene ora definito modalità di formattazione rapida. (Suggerimento per TTT per averlo indicato.) Tuttavia, non sono sicuro che questo sia veramente rilevante nel caso di utilizzo di TrueCrypt, quindi preferirebbe sbagliare sul lato della cautela. Il tempo impiegato dalla formattazione (per un'unità rotazionale, la formattazione ha richiesto circa un secondo per 100 MB di spazio di archiviazione?) Può essere usato per inferire se una sovrascrittura ha probabilmente stato eseguito.

Nella situazione descritta, sembra relativamente probabile che il software di recupero dati comune disponibile in commercio sarà in grado di recuperare una quantità significativa di dati precedentemente memorizzati e non crittografati. Alcuni di essi saranno stati sovrascritti e quindi non essere recuperabile, ma molto può essere relativamente facilmente recuperabile usando solo soluzioni software.

Per proteggersi da questo per i dati che sono stati archiviati non crittografati, devi eseguire almeno un passaggio di sovrascrittura completo sull'intero dispositivo che conserverà i dati crittografati (il dispositivo di supporto dei contenitori, in LUKS parlace) prima di iniziare a usarlo per quello scopo. È tua scelta se sovrascrivere con solo uno schema fisso, o dati casuali ; ricorda che uno schema fisso crittografato con una chiave throwaway e un buon algoritmo di crittografia diventano dati casuali. La sovrascrittura con un modello fisso non crittografato può rivelare metadati come la quantità di dati archiviati e la relativa posizione su disco (che può essere utilizzata per dedurre, ad esempio, il file system, che a sua volta in linea di principio può fornire noti testi in chiaro).

A meno che tu non sia un attore di uno stato nazionale, un singolo passaggio di sovrascrittura è quasi certamente sufficiente con unità moderne, e se sei un attore di stato-nazione, avresti accesso a persone migliori per chiedere consigli piuttosto che estranei casuali su Internet.

    
risposta data 03.05.2016 - 13:39
fonte
0

Può essere recuperato - dipende da:

  • condizioni delle piastre magnetiche del tuo disco rigido
  • quanto tempo è passato dalla cancellazione di
  • il tipo di pulitura eseguita
risposta data 03.05.2016 - 06:38
fonte

Leggi altre domande sui tag