Por que uma exclusão segura 'não é necessária' para SSDs?

18

Estou prestes a trocar um MacBook Pro de 2010 com um SSD. No entanto, não consigo fazer uma Exclusão segura do disco de recuperação (como costumava fazer com discos rígidos mecânicos antes de vender ou distribuir um computador), pois o botão "Opções de segurança" está acinzentado.

Com base em um artigo na base de conhecimento da Apple , o botão é desabilitado intencionalmente para SSDs porque:

Nota: Com uma unidade SSD, o Secure Erase e o Erasing Free Space não estão disponíveis no Disk Utility. Essas opções não são necessárias para uma unidade SSD porque uma exclusão padrão dificulta a recuperação de dados de um SSD.

Isso me parece bom, e essa visão foi confirmada na barra Genius e ligando para a Apple.

O problema é que quase todos os artigos que posso encontrar sobre esse assunto contradizem a visão otimista da Apple sobre como apagar um SSD. Como o SSD remapeia dinamicamente os blocos na gravação e porque eles têm grandes pedaços de espaço livre inacessíveis ao sistema operacional, é impossível substituir a unidade inteira.

A única explicação que poderia reconciliar essas duas perspectivas é que os SSDs do MacBook são "auto-criptografáveis" , ou seja, eles geram uma chave aleatória e a armazenam nos metadados do disco e criptografam todos os dados armazenados na unidade com essa chave (explicação adicional aqui ). Quando uso o botão Apagar do Utilitário de Disco em um SSD, o Mac apaga a chave, portanto, mesmo que os dados não tenham sido substituídos, há todo texto cifrado inacessível agora que a chave se foi e está tão bem quanto zerada.

O problema é que tudo o que posso encontrar para apoiar essa visão é uma postagem de um membro experiente dos Fóruns de suporte da Apple. Alguém sabe se isso é realmente verdade? Você poderia me indicar algo para verificar se os SSDs da Apple fazem isso?

Conta
fonte
Além da minha própria experiência: falando estritamente em termos de conhecimento técnico, Linc Davis é sem dúvida o membro mais qualificado da ASC. Ele pode ser grosseiro e abrasivo, mas eu tenho contribuído para esses fóruns há anos e posso dizer, sem exagero, que nunca o vi fornecer informações incorretas - neste momento, tomo suas respostas como material de origem confiável.
Njboot
Eu pensei em ler em algum lugar que essas opções desaparecem se você tiver um SSD e um arquivo ativado. Você?
Harv
@njboot Concordo, Linc parece muito experiente, mas eu ainda gostaria de ver algo mais concreto.
Bill
@ Harv Não, eu não tinha o FileVault.
Bill

Respostas:

16

Não tanto que não seja necessário ...

Estou alguns anos atrasado para a festa, mas pode valer a pena ressaltar que a Apple (que agora removeu completamente as opções "Apagar seguro" do aplicativo Disk Utility) não removeu a opção porque "não é" necessário "- de acordo com as notas de versão de segurança do El Capitan , eles o fizeram porque não podem garantir uma exclusão segura :

Descrição: ocorreu um problema ao garantir a exclusão segura de arquivos da Lixeira em alguns sistemas, como aqueles com armazenamento flash. Esse problema foi solucionado com a remoção da opção "Lixeira vazia segura".

Glenn Fleishman, apresenta uma boa visão geral disso em " Como substituir o lixo vazio seguro em falta do El Capitan ". O fato de que, atualmente, o único procedimento de saneamento SSD aprovado pelo DoD / NSA é fundir ou triturar a unidade em um pó fino reflete o desafio de ser capaz de limpar uma unidade, com certeza.

Ele é muito difícil de recuperar dados de um SSD ...

Como Trane Francks explicou, a recuperação de dados de um SSD é, por padrão, bastante difícil. Os dados não são necessariamente criptografados, mas são distribuídos em vários locais para realizar o menor número possível de gravações em um único local (tanto para desempenho quanto para longevidade da unidade). Assim, depois que os dados são excluídos, encontre o local em que um arquivo costumava residir é como montar um quebra-cabeça de vários milhões de peças (tudo antes que qualquer lixo que colete a unidade decida fazer). É possível recuperar arquivos de um SSD , mas isso geralmente requer muito esforço extra.

Para dificultar as ferramentas de recuperação ...

Criptografar um SSD com qualquer tipo de chave segura e, em seguida, apagá-la, torna praticamente impossível recuperar quaisquer dados . Isso pode ser feito, em um Mac, ativando o FileVault, inicializando no modo de recuperação, desbloqueando e excluindo a unidade com o Disk Utility.

Se você apenas deseja garantir que as coisas sejam apagadas com segurança, sem remover os dados existentes, tente usar o diskutilcomando terminal - a versão de linha de comando do DiskUtility, na qual as opções de exclusão segura não foram removidas:

sudo diskutil secureErase freespace 0 "/Volumes/[Disk Name]"

Isso deve tentar escrever e excluir alguns arquivos temporários que preencherão todo o disco rígido. Ao fazer isso, todo espaço disponível deve ser preenchido e, em seguida, limpo.

É possível encontrar boas informações sobre todas essas opções em " Como apagar com segurança um SSD Mac ".

Além disso, você sempre pode tentar executar algumas ferramentas de recuperação de dados para verificar se ainda existem dados disponíveis imediatamente.

TheMadDeveloper
fonte
Sua solução de comando do Terminal ainda é relevante para o High Sierra. Executando a partir do instalador, não é necessário "sudo". - É exatamente o que eu precisava!
ElmerCat
Do man diskutil: "NOTA: Esse tipo de exclusão segura não é mais considerada segura.". Eu tentei e o espaço livre do HD estava crescendo, isso é suspeito.
gagarine 28/01/19
5

O problema que vejo em "quase todos os artigos" é que eles têm de 3 a 4 anos. Alguns deles até mencionam a tentativa de desmagnetizar as unidades como um meio de limpar os dados. Isso implica uma falta de entendimento de como o armazenamento Flash funciona em primeiro lugar. Seriamente. Desmagnetizando?

"ATA Secure Erase" é um meio de dizer à unidade para zerar todos os blocos. Além disso, simplesmente montar um SSD e excluir todos os arquivos com o TRIM ativado fará com que todas as páginas sejam zeradas em qualquer bloco que contenha dados. Obviamente, isso pressupõe que o TRIM foi implementado corretamente. Geralmente, os comandos de apagamento do TRIM são concluídos por um controlador SSD em alguns minutos.

http://en.wikipedia.org/wiki/Write_amplification

http://en.wikipedia.org/wiki/Data_remanence#Data_on_solid-state_drives

Vale a pena notar que esse negócio de recuperar dados de SSDs apagados não é possível pelos hackers de sua variedade de jardins. As técnicas descritas pelos documentos técnicos geralmente envolvem desmontar as unidades e examinar componentes de memória individuais.

Do ponto de vista do consumidor, deve ser mais do que suficiente inicializar na partição de recuperação, excluir a partição de dados primária, reparticionar o volume e o formato. É difícil imaginar alguém comprando um MacBook usado e procurando dados. Se você realmente deseja ir longe, pode criptografar sua unidade com o FileVault antes de remover as partições. Nesse ponto, mesmo que um possível cracker desmonte a unidade para procurar dados, tudo o que encontrar seria criptografado de qualquer maneira.

Eu simplesmente não considero isso provável. Se você realmente não puder se arriscar, compre um HDD de substituição e troque-o mantendo o SSD.

Também concordo com o njboot: Linc conhece as coisas dele.

Trane Francks
fonte
1
Infelizmente, como mencionei, meu SSD tem pouco mais de quatro anos. Artigos tão desatualizados podem se aplicar a mim. E (infelizmente) eu já usei a ferramenta Apagar no Utilitário de Disco, por isso é muito tarde para excluir os arquivos e deixar o TRIM funcionar.
Bill
Encontrei muitos artigos sobre o ATA Secure Erase, mas não parece haver uma maneira direta de executar um em um Mac.
Bill
Se você já limpou uma unidade que não está criptografada - suas opções são limitadas porque, se você pedir ao SSD para zerar a unidade - ela simplesmente o ignorará. Então, eu estou enchendo a unidade com filmes - então eu a criptografarei (cofre de arquivos) e depois a limpo.
Niico 7/06/16
1
@niico - Eu acredito que você deve poder usar o utilitário de disco da linha de comando para zerar a unidade, o que deve ser feito escrevendo uma série de arquivos temporários na unidade para preencher tudo:sudo diskutil secureErase freespace 0 "/Volumes/[Disk Name]"
TheMadDeveloper
2

A resposta correta, é claro, é que, em vez de "exclusão segura para ssds", deve haver um recurso chamado "substituir chave de criptografia de hardware ssds".

Então, quando o SSD em que o usuário não usou criptografia separada entrar no estado somente leitura, você poderá enviar o comando para substituir a chave.

Para uso orientado ao desempenho, também seria preferível que o bitlocker tivesse a opção de usar apenas a criptografia no nível do hardware se houver suporte. Dependendo da configuração (ultrabook x desktop), pode haver alguns recursos de desempenho e economia de energia. Por exemplo. se você tiver um ultrabook em execução no limite de TDP como o Surface, execute algumas VMs nele, pode haver algum desperdício de bateria ao fazer a criptografia duas vezes. Difícil dizer se é significativo ou não sem medições reais, mas eu medi na área de trabalho que o bitlocker afeta um pouco o ssd perf, por isso é esperado que haja algum impacto.

Além disso, como criptografamos separadamente as VMs, o sistema possui 4 camadas de criptografia: ssd interno, host de bitlocker, host de vm convidado e finalmente criptografia de pasta. A VM é sincronizada com o SSD USB externo; portanto, se o laptop ou sua bolsa for levado / perdido durante a viagem, é provável que você tenha um desses para poder comprar outro SSD ou laptop e continuar o trabalho como se nada tivesse acontecido. As alterações são carregadas diferencialmente para o backup na nuvem. O motivo para não usar apenas o armazenamento em nuvem é que algum trabalho pode exigir muitos recursos locais disponíveis com baixa latência, como desenvolvimento de jogos, por exemplo, ou trabalho em estúdio.

Covarde anônimo
fonte
0

man diskutil

secureErase

Apague usando um método "seguro" (mas veja a NOTA abaixo) , um disco inteiro (incluindo todas as suas partições se particionadas) ou apenas o espaço livre (não utilizado para arquivos) em um volume atualmente montado . O apagamento seguro torna mais difícil a recuperação de dados usando o software "recuperação de arquivos".

...

Esse tipo de exclusão segura não é mais considerado seguro. Os dispositivos modernos têm hardware de cache com nível de desgaste, economia de bloco e possivelmente persistente, que não pode ser completamente apagado por esses comandos. A solução moderna para apagar seus dados de maneira rápida e segura é a criptografia. Dados fortemente criptografados podem ser instantaneamente "apagados", destruindo (ou perdendo) a chave (senha), porque isso torna seus dados irrecuperáveis ​​em termos práticos. Considere usar a criptografia APFS (FileVault).

Fonte:

pkamb
fonte