Tempo de coleta de lixo SSD

23

Vamos supor que eu armazene informações confidenciais em um SSD e desejo apagá-las sem apagar com segurança toda a unidade. Apago ou substituo o arquivo. O sistema operacional suporta TRIM, portanto, o bloco que contém as informações confidenciais é marcado para o coletor de lixo apagar.

Quanto tempo posso esperar que o coletor de lixo leve para realmente apagar o bloco? Segundos? Horas? Nunca se o disco ainda não contém dados suficientes? Entendo que isso variará dependendo do controlador SSD, mas nem tenho uma idéia dos números esperados. Qualquer informação ou referência a documentos técnicos seria muito apreciada.

ssd trim marcv81
fonte

Respostas:

26

Para manter "informações confidenciais", você deve considerar o tempo como "Nunca". Não apenas você tem que se preocupar com o TRIM, mas se uma célula for trocada por "desgaste", os dados nessa célula nunca poderão ser apagados, pois as células desgastadas nas unidades SSD não perdem seus dados, mas tornam-se somente leitura .

Se você possui informações confidenciais, elas devem ser armazenadas em um contêiner criptografado e uma versão não criptografada nunca deve residir no disco rígido. Como o software e os sistemas operacionais modernos funcionam, geralmente usando arquivos temporários que podem conter uma cópia dos dados com os quais você está trabalhando, a única maneira segura de fazer isso é fazer a criptografia completa da unidade, para que não haja espaço para temporárias. arquivos a serem armazenados que não são criptografados.

(PS Se os dados confidenciais já estavam na unidade não criptografados, mas você criptografa a unidade com criptografia completa, ainda deve tratá-la como se tivesse texto não criptografado. Isso ocorre porque algumas das informações confidenciais podem estar em uma desses setores desgastados somente de leitura e a habilitação da criptografia de unidade completa não podem substituir as células somente de leitura.A única maneira "segura" de fazer isso é criptografar uma unidade que não possui informações confidenciais e começar a usá-la para armazenar informações sensíveis. informações somente após a criptografia completa da unidade.

Scott Chamberlain
fonte
Boa resposta, obrigado. Eu não sabia que as células mortas se tornariam somente leitura. Alguma idéia do tempo típico de coleta de lixo para células que nem estão perto de morrer?
marcv81
3
Infelizmente, não, mas ao lidar com criptografia, sempre mantenho a mentalidade de que, a menos que tenha um modelo de ameaça específico em mente, presumo que alguém poderia morrer se eu cometer um erro e o texto não criptografado for divulgado (e dependendo do país em que a pessoa está morando) essa afirmação pode ser muito verdadeira), então eu nunca iria querer "adivinhar" quanto tempo os dados confidenciais poderiam ser legíveis, apenas segui com o número mais pessimista de "uma vez que ele é escrito uma vez em texto sem formatação no disco rígido que está lá para sempre".
Scott Chamberlain
1
Abordagem muito sensata. Eu queria saber se a alteração da senha (não comprometida) de um volume TrueCrypt armazenado em um SSD fazia algum sentido, pois o cabeçalho do volume com a senha antiga ainda poderia estar na unidade. Com base na velocidade da coleta de lixo (ou nas células mortas mantendo seu valor), a alteração da senha pode enfraquecer a criptografia.
marcv81
2
@NateKerkhofs: se você alterar a senha e o cabeçalho do volume antigo não for coletado como lixo, você terá 2 cabeçalhos de volume na unidade. Concordou que é criptografado, mas isso é menos seguro do que apenas um cabeçalho de volume. Além disso, o modelo TrueCypt é tal que, infelizmente, um cabeçalho de volume depreciado é tão bom quanto o atual para descriptografar o volume inteiro.
marcv81
1
@Mehrdad O custo da perda de dados faz parte do modelo de ameaças, algumas PII são muito menos valiosas que o cronograma e o local da sua próxima reunião revolucionária. É por isso que a criação de um modelo de ameaça é tão importante e, na presença de nenhum modelo de ameaça, sinto que é bom sempre dar conselhos, assumindo a pior situação possível. Não sei se o marcv81 está armazenando informações de identificação pessoal ou planeja derrubar o governo, mas meu conselho, como está escrito, é útil para ambos. É extermínio para PII absolutamente, este conselho está sendo usado para PII, eu não sei.
Scott Chamberlain