Se un sistema operativo è protetto da FDE (full disk encryption), il software di recupero può recuperare i file cancellati dal disco dopo aver sbloccato FDE?

1. Sì e no. Sì, puoi recuperare un file cancellato, a seconda di come lo hai eliminato. La crittografia del disco non influisce sulla capacità di recuperare i file eliminati più di un disco non crittografato poiché la crittografia avviene a livello di driver (solitamente) mentre i dati vengono scritti sul disco. Quindi, se elimini un file in Windows e il sistema operativo contrassegna quel file per l'eliminazione, puoi ancora recuperarlo. Se si utilizza un sistema operativo che cancella il file con zero (diversi * sistemi operativi NIX), allora no. Ma non ha molto (se non altro) da fare con FDE. Dove potresti incorrere in problemi più di un disco non crittografato, il modo in cui il tuo metodo di crittografia si occupa dei riavvii e dell'impostazione della crittografia dopo il riavvio. Potrebbe causare scritture e riscritture del disco che potrebbero ridurre le possibilità di recupero.

2. Lo spazio di swap viene trattato allo stesso modo. La crittografia completa del disco è crittografia. Periodo. Lo spazio di scambio non è diverso. I dati sono (dovrebbero essere) crittografati a riposo e decodificati al volo solo quando vengono letti dal disco.

3. La RAM non è crittografata. Lo spazio indirizzo per le operazioni importanti del sistema è casuale, ma non crittografato. Parti della ram possono essere crittografate, ma il tutto non lo è (o almeno ... non ne ho mai sentito parlare). RAM essendo volitivo è in gran parte abbastanza protezione. Nessun potere? nessun dato. È un problema diverso rispetto all'archiviazione persistente (su disco) che può essere scollegata, portata altrove e che ne viene tolto i dati. Inoltre, la maggior parte dei sistemi operativi ha misure preventive che impediscono a te (oa un'applicazione di rouge) di copiare più memoria di quella che ti appartiene. Linux, per esempio, non permetterà a dd di copiare alla cieca il contenuto della tua RAM sul disco. Si ferma a 1 MB. ( dd if=/dev/mem of=/mnt/ramdump.bin )

Supponendo che non siano in atto altre tecnologie (es. tecnologia thin reclaim come questo e questo ):

If a file has been deleted on a system with full disk encryption, can it be recovered if the disk has been unlocked?

1. SÌ , i file eliminati possono essere recuperati dai dischi FDE - quando i dischi sono montati correttamente (ad esempio, il software di recupero ha accesso a dati di blocco decrittografati). Questo vale anche dopo il riavvio del sistema più volte.

Same question but for information that has been written to swap space instead of being deleted?

2. Dipende, principalmente NO . Supponendo lo scambio crittografato, il modo più comune di la crittografia per lo spazio di swap comporta il lancio delle chiavi. Quindi se tu riavviare il sistema anche una sola volta, lo spazio di swap è molto probabile diversamente strapazzato. Se è uno scambio non criptato, la risposta è SI.

Same question but for information that has been written to RAM instead of disk?

3. Complicato perché la domanda ha problemi (cosa intendi? "cancella" le informazioni scritte nella RAM?), ma principalmente SÌ . La RAM no crittografato, puoi recuperare i dati che si trovano solo in giro. Salvo che hai sottinteso un disco RAM crittografato, nel qual caso si applicano le avvertenze # 1. Inoltre non sono sicuro di cosa succede alla RAM tra i riavvii senza spegnimento.