I dati possono essere recuperati in modo forense da un disco rigido crittografato?

1

Se un disco rigido è crittografato, è ancora possibile recuperarne i dati? Che dire se la password per decriptarlo è nota? In questo caso, dato che OSX ora crittografa l'unità per impostazione predefinita, significa che ogni mac del mondo contiene dati che non possono essere recuperati dopo l'eliminazione?

    
posta Olppa 30.07.2015 - 14:54
fonte

4 risposte

1

Tutti gli attuali metodi di crittografia del disco si basano sulla segretezza della chiave.

  • Mentre la tua chiave rimane un segreto (e deve essere abbastanza strong per rimanere uno), quindi il il contenuto del tuo disco a riposo rimane un segreto. Dico "disco a riposo" perché quando il computer è in esecuzione, vale a dire. hai già sbloccato l'unità da solo, quindi il tuo file system è accessibile e anche la chiave segreta potrebbe essere recuperata dalla RAM del tuo computer.
  • Quando, dal momento in cui hai menzionato questa situazione nella tua domanda, la chiave è nota all'attaccante, quindi la crittografia del disco non porta più alcun valore. Se il tuo file system conserva i dati dei file cancellati sul disco, questi dati saranno comunque recuperabili.

    Il meccanismo di crittografia e il file system sono due livelli diversi, l'obiettivo della crittografia è proteggere i tentativi di accesso non autorizzati al file system, ma una volta rimosso questo ostacolo, il file system diventa liberamente accessibile e mantiene le stesse proprietà come nei dischi non criptati (potrebbero esserci tuttavia alcune sottigliezze che arrivano con l'astrazione portata da questo livello di crittografia supplementare e rendono più difficile il recupero dei dati, ma non farei affidamento su tali effetti collaterali per garantire una vera sicurezza).

Quindi, se la domanda qui è " dovrei cancellare i file altamente sensibili nel caso in cui io sia costretto a rivelare la mia chiave di crittografia ", la risposta è che ciò ha senso. A parte questo caso, la cancellazione sicura dei file non porterà alcun valore contro l'attaccante che ignora la tua chiave segreta.

    
risposta data 30.07.2015 - 18:01
fonte
0

I Mac usano FileVault per crittografare i tuoi dati. È stato disponibile su versioni precedenti di OS X, ma credo che ora con Yosemite, sia incoraggiato ad usarlo e molto più facile per l'utente standard modificarlo. Questo crittografa il tuo disco rigido.

Tecnicamente, sarebbe ancora possibile per qualcuno recuperare i dati da un'unità crittografata. Per rompere AES, avresti bisogno di un sacco di soldi e una macchina molto potente. La probabilità che qualcuno ottenga i tuoi dati sarebbe estremamente bassa. Qualcuno con un sacco di tempo, denaro e risorse (governo) .... forse?

    
risposta data 30.07.2015 - 15:05
fonte
0

È possibile eseguire il crack delle chiavi RSA a 1024 bit, ma ci vogliono molti anni come test qui ; ecco perché Apple sfida l'FBI e offre la crittografia di default su sistema operativo . Quindi se hai informazioni preziose da nascondere, c'è un modo, per un team esperto e ben equipaggiato, di sfruttare data rimanenza utilizzando attacco per avvio a freddo se si sceglie di lasciare il laptop in uno stato sleep invece di spegnerlo.

Conclusione : per almeno vent'anni, crittografa i tuoi dischi e non ti preoccupare più di tanto.

    
risposta data 30.07.2015 - 16:25
fonte
-3

Qualsiasi dato crittografato con la crittografia pubblicamente disponibile può essere decodificato ... altrimenti posso assicurarti che tale crittografia non sarà disponibile al pubblico. Per l'utente "ogni giorno" non ci sono opzioni per la crittografia che non possono essere interrotte. Il nostro governo non lo permetterebbe e non lo permetterebbe.

"Cancellare" i dati da un disco rigido è un termine sostanzialmente privo di significato. Semplicemente "libera" quel particolare blocco / segmento di spazio di memoria per i dati futuri ... ora questa è una regola generale e potrebbero esserci implementazioni particolari che rimuovono o tentano di rimuovere qualsiasi dato presente sull'unità in quel momento, ma in l'uso "tipico" della parola "cancellazione", quindi, no, in realtà non "rimuove" i dati stessi ... di nuovo, libera semplicemente quell'indirizzo di memoria per contenere altri dati.

Risposta rapida e breve alla tua domanda: Sì, i dati possono essere recuperati in quasi tutti i casi tranne i più estremi. Ma il problema è a quale livello di tempo e spazio computazionale è richiesto di farlo ...

    
risposta data 30.07.2015 - 15:20
fonte

Leggi altre domande sui tag