SSD-Speicherbereinigungszeit

23

Angenommen, ich speichere vertrauliche Informationen auf einer SSD und möchte sie löschen, ohne das gesamte Laufwerk sicher zu löschen. Ich lösche oder überschreibe die Datei. Das Betriebssystem unterstützt TRIM, sodass der Block mit den vertraulichen Informationen für den Garbage Collector zum Löschen markiert ist.

Wie lange kann ich damit rechnen, dass der Garbage Collector den Block tatsächlich löscht? Sekunden? Std? Nie, wenn die Festplatte noch nicht genügend Daten enthält? Ich verstehe, dass dies je nach SSD-Controller unterschiedlich sein wird, aber ich habe nicht einmal eine Vorstellung von den zu erwartenden Zahlen. Alle Informationen oder Verweise auf technische Unterlagen wären sehr dankbar.

ssd  trim 
marcv81
quelle

Antworten:

26

Um "vertrauliche Informationen" aufzubewahren, sollten Sie die Zeit als "Nie" betrachten. Sie müssen sich nicht nur um TRIM Gedanken machen, sondern wenn eine Zelle gegen "Abnutzung" ausgetauscht wird, können die Daten in dieser Zelle niemals gelöscht werden, da abgenutzte Zellen in SSD-Laufwerken ihre Daten nicht verlieren, sondern schreibgeschützt werden .

Wenn Sie vertrauliche Informationen haben, müssen diese in einem verschlüsselten Container gespeichert werden, und eine unverschlüsselte Version darf sich niemals auf der Festplatte befinden. Aufgrund der Funktionsweise moderner Software und Betriebssysteme, bei denen häufig temporäre Dateien verwendet werden, die möglicherweise eine Kopie der Daten enthalten, mit denen Sie arbeiten, ist die vollständige Laufwerkverschlüsselung auf dem Laufwerk die einzige sichere Möglichkeit, um temporären Speicherplatz zu sparen Dateien gespeichert werden, die nicht verschlüsselt sind.

(PS: Wenn die vertraulichen Daten auf dem Laufwerk bereits unverschlüsselt waren, Sie das Laufwerk jedoch mit der vollständigen Laufwerkverschlüsselung verschlüsseln, müssen Sie das Laufwerk weiterhin so behandeln, als befände sich unverschlüsselter Text auf dem Laufwerk. Dies liegt daran, dass einige der vertraulichen Daten möglicherweise in einem Laufwerk gespeichert sind Von diesen schreibgeschützten, abgenutzten Sektoren können diese schreibgeschützten Zellen durch Aktivieren der vollständigen Laufwerkverschlüsselung nicht überschrieben werden. Die einzige "sichere" Möglichkeit besteht darin, ein Laufwerk zu verschlüsseln, auf dem sich keine vertraulichen Informationen befinden, und dann damit zu beginnen, vertrauliche Daten zu speichern Informationen erst nach vollständiger Laufwerkverschlüsselung.)

Scott Chamberlain
quelle
Gute Antwort, danke. Ich wusste nicht, dass die toten Zellen schreibgeschützt sein würden. Gibt es eine Vorstellung von der typischen Speicherbereinigungszeit für Zellen, die nicht annähernd sterben?
Marcv81
3
Leider nein, aber wenn ich mit Krypto zu tun habe, denke ich immer daran, dass jemand sterben könnte, wenn ich einen Fehler mache und der unverschlüsselte Text rauskommt (und abhängig vom Land, in dem eine Person lebt), es sei denn, ich habe ein bestimmtes Bedrohungsmodell im Hinterkopf Diese Aussage kann sehr zutreffend sein.) Ich würde also niemals "raten" wollen, wie lange sensible Daten lesbar sein könnten. Ich gehe einfach mit der pessimistischsten Zahl von "sobald sie einmal im Klartext geschrieben sind, auf die Festplatte, auf der sie sich befindet für immer".
Scott Chamberlain
1
Sehr vernünftiger Ansatz. Ich habe mich gefragt, ob das (nicht gefährdete) Kennwort eines TrueCrypt-Volumes, das auf einer SSD gespeichert ist, sinnvoll ist, da sich der Volume-Header mit dem alten Kennwort möglicherweise noch auf dem Laufwerk befindet. Aufgrund der Geschwindigkeit der Speicherbereinigung (oder der Beibehaltung des Werts für tote Zellen) kann eine Änderung des Kennworts die Verschlüsselung schwächen.
Marcv81
2
@NateKerkhofs: Wenn Sie das Kennwort ändern und der alte Datenträgerkopf nicht müllsammelt, befinden sich 2 Datenträgerköpfe auf dem Laufwerk. Ich bin damit einverstanden, dass es verschlüsselt ist, aber dies ist weniger sicher als nur 1 Volume-Header. Auch das TrueCypt-Modell ist so, dass ein abgeschriebener Volume-Header leider genauso gut ist wie der aktuelle Volume-Header, um das gesamte Volume zu entschlüsseln.
Marcv81
1
@Mehrdad Die Kosten für Datenverlust sind Teil des Bedrohungsmodells. Einige PII sind weitaus weniger wertvoll als der Zeitplan und der Ort für Ihr nächstes revolutionäres Treffen. Aus diesem Grund ist es so wichtig, ein Bedrohungsmodell zu erstellen, und wenn es kein Bedrohungsmodell gibt, ist es meines Erachtens gut, unter der Annahme des schlimmsten Falls stets Ratschläge zu erteilen. Ich weiß nicht, ob marcv81 personenbezogene Daten speichert oder plant, die Regierung zu stürzen, aber mein geschriebener Ratschlag ist für beide von Nutzen. Ist es für PII absolut vorbei, wird dieser Rat für PII verwendet, ich weiß es nicht.
Scott Chamberlain
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.