SSD暗号化の落とし穴

Question

SSDの暗号化は警告されるプロセスなので、注意して実行する必要があります。例えば。 http://en.gentoo-wiki.com/wiki/DM-Crypt_with_LUKS SSDがウェアレベリングに使用される隠しスペースを保持する方法について言及し、上書きなどの任意の時点で任意のデータが保存される可能性があるデータ。

私の質問は次のとおりです：この攻撃シナリオは、SSDが以前に暗号化されていない機密データを以前に含んでいて、これが暗号化されずに保存された後にのみ、デバイス全体が暗号化される場合に限定されませんか？つまり、SSDが新しいため、暗号化されたデータ以外に何も含まれていない場合、どのような（暗号化された）データがこの隠されたスペースに存在するかどうかはどうですか？

SSDに常に暗号化されたデータが含まれている場合、これは破棄することができますが、何かが欠けていますか？

特定の例では、luksと256ビットAESを使用したGNU/Linuxが使用されていると想定していますが、特に危険な他のソフトウェア/ SSDの組み合わせはありますか？ソフトウェアが任意の段階でSSDに暗号化されていないデータを提供するのはとんでもないことのようです。

Polynomial · Accepted Answer

最新のSSDはすでにでデータをファームウェアレベルで暗号化しているため、再フォーマット操作は内部キーを破棄するだけでなく、内部キーを破棄するだけで実行できることに注意してくださいすべてのセクターを拭く。これは、データが常に自動的に暗号化されるという意味ではありません。暗号化は、NANDウェアの問題を修正するためにのみ使用されます。ただし、適切なファームウェアレベルのフォーマット操作により、ディスク上のデータがすべての目的および目的で完全に破壊されることを意味します。 SSDを廃棄する場合は、このオプションを使用することを強くお勧めします。ほとんどの主要なOSは適切なファームウェアコマンドを認識してサポートしますが、使用方法は異なる場合があります。適切なドキュメントを確認してください。

ウェアレベリングスペアセクターに関する限り、実際には、保存されているデータが暗号化されているかどうかに関係なく、安全です。内部暗号化により、ウェアレベリング領域の孤立したデータブロックは、IVと兄弟ブロックが破壊または失われるため、回復できません。ただし、これは不運ではないというわけではありません。ファイルデータのいくつかのブロックが保持され、少量の平文が回復可能な場合があります。言うのは難しい。

しばらく内部暗号を無視すると、もう1つの興味深い攻撃は、暗号テキストの古い残りのブロックに関連しています。特定のキーとIVでデータの一部を暗号化し、同じキーとIVで新しいデータの一部を暗号化する場合、 differential cryptanalysis または他の攻撃を使用してそのデータを攻撃することが可能です。また、脅威のシナリオに応じて、問題のある場合とない場合がある、データの特定の領域のアクティブな変更を示します。

Thomas Pornin · Answer

フラッシュブロックでは、2つの操作が可能です。1ビットを0から1に変換するか、ブロック全体を0にリセットします（もちろん、0と1の役割は交換できます）。各ブロックは、失敗する前に限られた数のリセットしか持続しないため、「リセット」操作を広げようとする「ウェアレベリング」が行われます。また、エラー訂正コードは、いくつかの誤ったビットを生き残るために使用されます。

考えられるウェアレベリングアルゴリズム（またはより広いアルゴリズムの一部）の1つは、読み取り時にすべてのブロックのビットエラーのレートを検査することです。レートが高すぎる場合（エラー修正コードが管理できる上限に近すぎる場合）、ブロックは「失敗」と宣言され、そのブロックの次のリセット操作は代わりに「リマップ」になります。別のブロック、スペア領域から、それ以降使用されます。結果として、「失敗した」ブロックのデータはそこに残ります。論理的にはアクセスできません（SSDコントローラーは再マップされたブロックを表示しますが、これは表示しません）が、フラッシュチップを抽出して直接アクセスすることで読み取ることができます。

つまり、ワイプのOSレベルの戦略は100％効果的ではありません。

最新のSSDの多く（すべてではない）は、「安全な消去」機能を実装しています。この機能では、すべてのデータがランダムキーで暗号化され、マシンが安全な消去を要求すると、そのキーが変更されます。これは、アクセスできなくなったブロックのデータを含む、すべてのブロックのデータを破壊することと同じであるため、ディスク全体の消去に非常に効果的です。ただし、そのようなワイプをトリガーする方法はマイレージによって異なる場合があります（本来、partitionをフォーマットしてもディスク全体のワイプはトリガーされず、パーティションテーブルを変更しても通常は行われません）。さらに、このプロセスのセキュリティは、ディスクで使用される暗号化の品質に依存します。これは必ずしもそれほど優れているわけではなく、文書化されることはほとんどありません（ほとんどのベンダーは、他の精度のない「AES」とだけ言っています）。 OSレベルの暗号化を使用すると、どちらを実行するかをより詳細に制御できます。

ディスク上でこれまでに発生したすべてのデータ書き込みが適切暗号化を使用していた場合（もちろん、ディスク自体にはないキーを使用）、はい、もう考えなくてもディスクを破棄できますそれについて。 SSDの「安全な消去」機能は、暗号化の部分を妨害しないことを前提として、この概念を具体化する場合があります（ただし、これについてはほとんど確認できません）。

ArekBulski · Answer

SSD内部の暗号化は、ナンセンスなセキュリティメカニズムとみなされているようです。所有者として、暗号化の実装方法と実装方法（バグがあるか廃止されている可能性がある）の仕様にはほとんどアクセスできず、製造元が紙に書いたものかどうかを監査する方法はありません（IntelのRandに対する非難を参照）。暗号化キーの制御（生成しておらず、検査できない）。何か間違いがある場合はお知らせください。

本質的には、「PROPRIETARY」または「魔法がここで起こる」と書かれたステッカーが貼られたブラックボックスについて話している。そして、おそらくPR部門によって発明された、「信頼できる」と言う2番目のステッカー。