Foro di sicurezza FileVault quando utilizzato su SSD

5

Mi sono appena svegliato dal fatto che sembra che i dati degli utenti possano essere trapelati quando si utilizzano FileVault e Migration Assistant su un SSD su un nuovo Mac quando si seguono i prompt predefiniti.

Quando installo un nuovo Mac, mi incoraggia a "Trasferire informazioni su questo Mac" nelle prime fasi del processo, prima che possa abilitare FileVault. Questo è OK su un HDD perché anche se sto copiando i miei dati sul nuovo Mac in chiaro, FileVault finirà per sovrascriverli tutti con la crittografia.

Su un SSD, tuttavia, è impossibile sovrascrivere i dati in modo sicuro:

... the Mac's "Secure Erase Trash" function leaves 2/3rds of a file recoverable.

- Mac fail: sicurezza SSD

... it is almost impossible to securely delete an individual file on an SSD, because the way that SSDs write and delete files is scattered, and a user has no control over what an SSD is doing where. If that's the kind of security you're looking for, your best bet is encryption ...

- Chiedi ad Ars: Come posso cancellare in modo sicuro i dati dal mio disco SSD?

Quindi quando avrò il permesso di abilitare FileVault, è troppo tardi. Ancora peggio, non posso cancellare in modo sicuro l'unità prima di vendere il computer in un secondo momento:

With OS X Lion and an SSD drive, Secure Erase and Erasing Free Space are not available in Disk Utility. These options are not needed for an SSD drive because a standard erase makes it difficult to recover data from an SSD. For more security, consider turning on FileVault 2 encryption when you start using the SSD drive.

- Mac OS X: funzione Cancella spazio libero della Utility Disco (support.apple.com/kb/HT3680)

Quindi sembra che la soluzione sia:

  1. Salta l'Assistente Migrazione quando richiesto.
  2. Crea un nuovo account utente.
  3. Avvia l'aggiornamento del software fino al completamento per generare più entropia prima di abilitare FileVault al fine di mitigare questo "scenario peggiore, in cui il PRNG è stato seminato solo con la quantità minima di entropia "- In fi ltrate il Vault: Security Analysis e Decryption di Lion Full Disk Crittografia (eprint.iacr.org/2012/374.pdf), pagina 9.
  4. Abilita FileVault.
  5. Esegui l'Assistente Migrazione.

Suppongo che anche se FileVault sta ancora crittografando il disco prima di eseguire Migration Assistant (il mio computer mi dice che ha 36 minuti di tempo di crittografia rimanenti) tutte le nuove scritture fatte da Migration Assistant verranno crittografate e quindi i miei dati non toccherà mai le NAND in chiaro.

Sei d'accordo con il problema e la mia soluzione?

    
posta David Braun 28.02.2014 - 16:38
fonte

3 risposte

3

La creazione di un account utente di prova con un nome breve diverso dall'eventuale utente da migrare è corretto.

In pratica, nel tempo dovrai scrivere sempre più dati, ma se hai il tempo di stabilire prima una chiave del vault e di avere l'unità completamente crittografata prima di copiare qualsiasi dato sensibile, hai un sistema più sicuro e può sapere che i dati possono essere disinfettati crittograficamente anziché essere sovrascritti o effettivamente cancellati.

Dovrai cercare queste righe nell'output diskutil cs list per sapere che è pronto per l'inizio della migrazione dei dati:

|       Conversion Status:       Complete
|       High Level Queries:      Fully Secure
|       |                        Passphrase Required
    
risposta data 19.02.2016 - 18:20
fonte
-1

Crittografia dopo il trasferimento: rischio più basso

Mentre si esegue l'Assistente Migrazione, non vi sono ulteriori rischi di sicurezza imposti dalla crittografia che inizia dopo l'inizio del trasferimento dei dati. In realtà, questo riduce il rischio di sicurezza fisica attraverso il seguente meccanismo:

  • Più a lungo il dispositivo non è criptato, più a lungo è soggetto alle minacce alla sicurezza fisica (furto, James Bond), quindi maggiore è il rischio.
  • Quanto più tempo è necessario per trasferire i dati, tanto più a lungo il dispositivo non sarà crittografato. Quindi segue logicamente che più tempo ci vuole per trasferire i dati, maggiore è il rischio.
  • Il processo di crittografia dell'intero disco richiede un po 'di tempo. Ci vuole ancora più tempo se si scrivono dati allo stesso tempo a causa di limiti di I / O e capacità della CPU, a meno che non si disponga di un supercomputer.
  • Il processo di trasferimento dei dati richiede un po 'di tempo. Richiede più tempo se sta scrivendo su un disco crittografato; e anche una minima differenza potrebbe essere statisticamente significativa in una valutazione di minaccia e rischio.
  • Quindi, più velocemente il disco viene crittografato, più basso è il rischio; e più velocemente i dati vengono trasferiti, minore è il rischio.
  • E quindi, il rischio di sicurezza più basso è offerto dalla procedura corrente: trasferire prima i dati, quindi cifrare il disco.
  • Questa procedura presenta un rischio inferiore rispetto a qualsiasi procedura che richiederebbe più tempo, in particolare perché finché il computer è acceso e i segreti di crittografia sono archiviati nella memoria attiva, il computer è totalmente suscettibile a un sofisticato agente di minacce.

Cancellazione sicura non necessaria con codifica full-disk

Secure Erase non offre alcun vantaggio se utilizzato su un SSD con crittografia a disco intero, a causa della modalità di archiviazione dei dati. Tuttavia, qualsiasi potenziale vantaggio derivante dall'utilizzo di Secure Erase su qualsiasi disco con crittografia a disco intero, non potrebbe mai essere molto ampio in quanto nessun dato sarebbe recuperabile senza i segreti di crittografia. Se i segreti sono ottenuti da un agente delle minacce, l'intero disco è stato compromesso.

Senza la crittografia dell'intero disco, i file possono essere recuperati da un SSD, a volte, da un sofisticato agente theat e non da un kiddie di script, almeno non oggi. Questo è diverso dagli HDD in cui negli ultimi dieci anni gli script kiddies ei bambini di cinque anni hanno avuto gli strumenti prontamente disponibili per recuperare facilmente i dati cancellati dagli HDD non criptati.

    
risposta data 28.02.2014 - 23:47
fonte
-1

Ecco un modo sicuro per impedire la scrittura di dati non crittografati sull'unità SSD: installare il sistema e migrare su un'unità separata, un disco rigido USB, un secondo SSD, ecc. Una volta che FileVault è abilitato e i dati non crittografati vengono cancellati, immagina l'unità sul tuo SSD. Ora cancella l'unità originale.

Un modo meno sicuro ma facile è tagliare l'SSD manualmente usando fsck . Ciò renderà lo spazio inutilizzato sembrare tutti zeri a chiunque legga i dati fuori dal sistema operativo. Dovrebbero manomettere il firmware dell'unità o rimuovere il flash dall'unità per aggirare questo problema. Alla fine, con l'uso tutti i dati sul disco saranno sovrascritti.

Per rispondere alla tua seconda preoccupazione, il produttore ha fornito un wipe di sicurezza / disco di avvio per garantire che tutti i tuoi dati SSD vengano cancellati, comandando la cancellazione di tutto il flash o distruggendo le chiavi di crittografia sempre attive (stile iPhone) .

    
risposta data 01.03.2014 - 09:00
fonte

Leggi altre domande sui tag