La destruction des informations sensibles limite-t-elle le choix des disques durs aux périphériques non flash?
En collaboration avec une organisation à but non lucratif, il est courant de réutiliser des disques durs qui ont précédemment stocké des informations très sensibles telles que des dossiers médicaux et financiers. Cela s'explique principalement par des mesures d'économie visant à réduire l'achat de nouveaux disques durs.
Si la destruction des informations sensibles est la première exigence, cela limite-t-il le choix de sélection du type de support de stockage?
Par exemple, les appareils non basés sur Flash offrent-ils un niveau d'assurance plus élevé dans la destruction des données à l'aide de ATA Secure Erase et un seul effacement par rapport aux SSD, y compris les lecteurs à chiffrement automatique?
La destruction des données est une technique de dernier recours. Si vous prévoyez d'utiliser un nouveau périphérique de stockage, vous devez utiliser le chiffrement complet du disque. Cela vous permet soit de détruire la clé principale chiffrée, soit d'oublier simplement le mot de passe, ce qui rend toutes les données irrécupérables, malgré qu'aucune donnée ne soit réellement effacée. Le chiffrement est une solution pour les disques durs SSD et standard. Utilisez un algorithme puissant comme AES.
Si vous devez absolument utiliser un disque dur sans chiffrement complet du disque, vous devriez en obtenir un qui prend en charge SED , qui est un chiffrement matériel transparent. SED chiffre de manière transparente toutes les données écrites sur le lecteur, mais conserve la clé de chiffrement stockée dans une zone spéciale. Lorsque vous lancez un effacement sécurisé, cette clé est tout ce qui est détruit. Cette fonction est prise en charge sur la plupart des SSD et HDD modernes. Si vous ne savez pas si un lecteur le prend en charge, vous pouvez souvent conclure qu'il est pris en charge si le temps estimé d'effacement sécurisé ATA s'affiche comme seulement deux minutes , quelle que soit la taille du lecteur lui-même.
Il n'y a rien d'intrinsèque aux méthodes de stockage de données utilisées par les supports à semi-conducteurs qui rendent difficile la destruction des données, mais leur micrologiciel empêche le système d'exploitation d'écraser des secteurs spécifiques en raison du nivellement de l'usure, une fonctionnalité qui propage les écritures autour du lecteur pour diminuer l'usure des cellules flash individuelles (dont chacune a une durée de vie limitée). Cela signifie que vous ne pouvez pas écraser les données sur les SSD de manière fiable. Vous pouvez toujours utiliser SED si le lecteur l'implémente, et vous pouvez également utiliser ATA Security Erase, mais si vous devez remplacer manuellement une plage de secteurs, utilisez un disque dur.
Notez que si vous utilisez un SSD et que vous utilisez le chiffrement complet du disque et que TRIM est activé, le lecteur perdra une quantité limitée de métadonnées, comme expliqué dans ce excellent article de blog . Vous pouvez généralement désactiver TRIM avec une légère baisse de performances, mais vous éviterez les fuites de métadonnées. La question de savoir si les métadonnées exactes divulguées sont problématiques dépend de votre modèle de menace spécifique.
Tl; dr: Parce que vous ne pouvez jamais faire confiance à tous les disques de stockage pour s'essuyer en toute sécurité, vous devez planifier comme si aucun de vos disques ne pouvait être effacé en toute sécurité.
Placer une dépendance sur le type de média n'est pas la bonne façon d'aborder le problème, car la technologie évolue et change toujours, et vous ne pouvez jamais contrôler à 100% toutes les dépenses informatiques. N'oubliez pas que les disques n'ont jamais été conçus pour le secret en premier - ils sont conçus pour le contraire: un accès fiable. (Certains fabricants de disques aiment maximiser les profits en vendant leurs produits en tant que "solutions de sécurité", mais cela ne fait pas toujours d'eux le meilleur choix pour le travail.)
Par exemple, Shadow IT (alias l'enfant du patron) est bon pour acheter de l'équipement grand public comme des SSD et l'installer sur les bureaux du département sans demander la permission. Ou un organisme à but non lucratif devra peut-être accepter un généreux don d'une centaine de disques provenant d'une entreprise commanditaire (pour des raisons politiques ou marketing), mais cela ne prend pas en charge Secure Erase. Les ordinateurs portables d'entreprise décents n'offrent même plus de disques tournants en option, tandis que les algorithmes de niveau d'usure garantissent que les SSD risquent toujours de fuir certaines données dans les espaces libres du lecteur.
Recherchez plutôt quelque chose qui est conçu pour résoudre ce problème de sécurité exact et que vous pouvez contrôler à l'échelle de l'entreprise, comme l'installation de systèmes de fichiers chiffrés qui peuvent être effacés aussi rapidement que la suppression de la clé. Par exemple, dans une boutique Windows, l'application de BitLocker via la stratégie de groupe protégerait tous les lecteurs, pas seulement ceux que vous avez commandés.
Tout d'abord, je crois qu'un SSD qui implémente correctement la commande d'effacement sécurisé effacera les blocs non alloués, bien qu'il puisse être incapable d'effacer les blocs retirés/en échec (ce sont des blocs qui sont usés et ne fonctionnent plus correctement) et en théorie ces pourrait contenir des données récupérables.
Deuxièmement, les disques durs incluent également un espace réservé. Plus particulièrement, cela est utilisé lorsqu'un secteur du disque tombe en panne (un "secteur défectueux") et que les données doivent être déplacées ailleurs. Les données d'origine sont laissées dans le mauvais secteur qui n'est plus utilisé. Certains disques utilisent également un espace réservé supplémentaire comme salle de travail pour réorganiser d'autres secteurs afin que les données du secteur défectueux puissent être physiquement situées à un endroit plus optimal et que le disque ne puisse pas effacer l'espace réservé qui a été utilisé non plus. En théorie cependant, un disque dur qui implémente correctement la commande d'effacement sécurisé effacera à la fois les secteurs défectueux (si possible) et l'espace réservé.
Cependant, comme d'autres réponses l'ont souligné, tout cela dépend de la bonne mise en œuvre de la commande d'effacement sécurisé et de la possibilité d'effacer les parties défaillantes/défaillantes du support. La meilleure solution peut résider dans quelque chose qui ne dépend pas du micrologiciel du lecteur prenant en charge une opération particulière.
Avec le chiffrement complet du disque (ou même le chiffrement au niveau du fichier, bien que faites attention aux noms de fichiers révélant des informations), vous n'avez pas besoin d'effacer les données réelles, juste les clés de chiffrement. Dans ce cas, les données sont chiffrées avant d'être écrites sur le disque et le disque (ne doit) contenir que les données chiffrées. Étant donné que les clés de chiffrement sont nécessaires pour déchiffrer les données chiffrées, avoir accès aux données chiffrées sur le disque est inutile sans les clés de chiffrement. Tant que vos clés de chiffrement sont effacées en toute sécurité ou, mieux encore, stockées sur un disque/périphérique de mémoire séparé (par exemple une carte à puce ou une clé matérielle), les données sont effectivement illisibles.
Notez que de nombreux disques durs et SSD proposent désormais un "auto-cryptage". C'est là que le micrologiciel du disque génère une clé de chiffrement et la stocke dans la mémoire interne du contrôleur de disque, et chiffre les données elles-mêmes avant qu'elles ne soient écrites sur le disque et les déchiffre à nouveau après la lecture. L'ordinateur considère le disque comme un disque non crypté mais les données réellement stockées sur le support sont cryptées. Ces disques implémentent généralement la commande d'effacement sécurisé en supprimant la clé de chiffrement de la mémoire du contrôleur plutôt qu'en remplaçant le disque. Personnellement, j'évite les disques à chiffrement automatique car ils ont un mauvais historique de bogues de micrologiciel, ce qui entraîne des vulnérabilités de sécurité béantes ou une perte de données, mais le concept est le même que le chiffrement complet du disque au niveau du système d'exploitation.
Les disques SSD sont définitivement à privilégier. Notez qu'ils ne sont pas sans problèmes non plus, car parfois les implémenteurs sucent juste (et Windows/Bitlocker suce aussi) .
Les disques durs traditionnels "chiffrent" (ou plutôt mélangent) les données faiblement depuis presque toujours pour mieux distribuer les bits, mais cela n'aide pas beaucoup à protéger les données. Plus récemment, il existe des disques durs qui sont des disques à cryptage automatique (SED), mais en tant que disques durs, ils sont en quelque sorte des produits de "prestige" et un prix scandaleux. Je n'en ai pas possédé jusqu'à présent.
Les disques SSD sont pratiquement toujours SED, mais l'ensemble des fonctionnalités, et plus important encore, la qualité de l'implémentation diffèrent beaucoup. Comme vous pouvez le lire dans l'article lié, par exemple, les modèles antérieurs de Crucial utilisaient un cryptage qui était un total de conneries. Le mot de passe de l'utilisateur est comparé à un hachage par le micrologiciel pour "déverrouiller" la clé de chiffrement du lecteur par opposition à par ex. Les disques Samsung qui utilisent PBKDF2 pour dériver la clé du mot de passe. Ce qui, en termes de sécurité réelle ou trompeuse, se situe entre les deux.
Heureusement, en tout cas, et quelles que soient les mauvaises implémentations, la sécurité en cours d'utilisation est beaucoup plus affectée que la sécurité après effacement. Eh bien ... heureusement , je ne sais pas si c'est une bonne formulation, en fait les systèmes devraient toujours être sécurisés. Mais au moins, cela n'aspire pas au-delà .
Il existe la notion de "mot de passe principal" dans la norme ATA, donc toute chose telle que déverrouillage verus dérivant une clé de cryptage est - même sans considérer que quelqu'un pourrait trouver un moyen de lire le stockage - catastrophique. Cela signifie essentiellement que rien n'est chiffré du tout de manière significative.
L'effacement sécurisé sur un SED signifie l'effacement de la clé de chiffrement du disque, rendant le contenu du disque complet illisible. Donc, à moins que l'on suppose un lecteur construit de manière malveillante (qui vous dit qu'il a effacé de manière sécurisée, mais détient secrètement une copie de la clé), cela est sécurisé même en présence d'une implémentation cassée, et même en présence de quelqu'un qui se fissure la puce du contrôleur ou autre.
L'effacement sécurisé sur un disque dur traditionnel signifie que le disque écrasera tous les secteurs. J'ai récemment fait cela avec un Seagate Barracuda pré-échoué (SMART montrant des erreurs) qui devait être RMAed.
Et devinez quoi, l'effacement sécurisé est tout bon et bien, mais un disque pré-échoué refusera simplement de faire le travail. Il commencera, se baladera pendant quelques minutes et se terminera par "erreur bla bla" après avoir effacé environ 10% du disque. Ce n'était pas un problème dans mon cas puisque les données sur le disque provenaient d'un RAID avec cryptage logiciel en haut, donc tout contenu était fondamentalement inutile de toute façon (l'essuyage n'est pas vraiment nécessaire). Mais, vous avez l'idée. Si vous n'avez pas utilisé un système de fichiers crypté, il n'y a maintenant aucun moyen d'effacer les données!
Généralement, le nivellement par usure (à la fois sur les disques traditionnels et les SSD) peut rendre l'écrasement beaucoup moins possible que vous ne le pensez.
De plus, la restauration de données écrasées sur un disque magnétique est possible. Oui, c'est beaucoup, beaucoup plus difficile qu'il y a 15-20 ans lorsque la densité des données était beaucoup plus faible (à l'époque, c'était à peu près un travail de routine). Mais c'est quand même ... généralement possible.
Donc, si les données sont vraiment super sensibles (comme dans les dossiers médicaux), on devrait superposer le chiffrement logiciel sur le dessus, ce qui élimine la nécessité d'effacer le disque (bien que cela ne fasse pas de mal de le faire de toute façon), ou l'un devrait ne donnez pas les disques mais utilisez l'un d'eux pour être sûr.