web-dev-qa-db-ja.com

安全なデータ消去後の回復を防ぐ特別な形式のファイルシステム

妥当なエラー修正が施されたファイルシステムを探していますが、ワイプ後の法医学に耐えます。

たとえば、ext4のようにマウントされたループを介して暗号化されたコンテナー-ジャーナルファイルシステム。これは優れたパフォーマンスであり、多くの点で安全です。

このシナリオでのワイプは、少なくとも暗号化コンテナ(ext4のジャーナル)の破壊的な破壊です。速いです。回復には膨大なパワーが必要です:キー+パスワード+暗号化コンテナのプレフィックスを破壊しました。

暗号化と優れたワイプ機能を備えた特別なファイルシステムはありますか。 「素晴らしい」とは、高速で回復不可能なことを意味します。

例えば。ファイルシステムの先頭のジャーナルには、ファイルのアドレスではなく、キーが含まれます-メモリ領域にランダムに配置されたブロックのマップ。このキーの破棄とは、ファイルシステム全体のシーケンスを破棄することを意味します。このようなファイルシステム内のファイルは、断片化されていないメモリのシーケンスで配置されます。さらに、ファイルシステム全体が暗号化されます。

ワイプでは、ファイルシステムのジャーナル(マップ)のみを書き換える必要があります。

たとえば、マップとキーを30回書き換えて、NSAもNASAもCIAもワイプされたファイルシステムをリカバリできないとします。

forensicsfile-system
7
trankvilezator

データを「消去」する正しい方法は、encryptionを使用することです:暗号化されていないデータがヒットすることはありませんディスク。その場合、復号化キーを破棄するだけでデータを破棄できます。復号化キーは小さく、多くの場合、RAMにのみ保存できます(たとえば、起動時に「パスワード」として入力します。これは、「人間が覚えているキー」を意味します) );キーがRAM=にあり、RAMにのみ残っている場合、それを破壊することは電源をシャットダウンするのと同じくらい簡単です(ただし、RAMコンテンツ 数秒または数分 )の間、電源の喪失に抵抗することがあります。

ファイルの消去は、正しい方法で実行しなかったときに行う操作です。あなたはdid暗号化せずに物理メディアに機密情報を書き込みます。そして、あなたはそれを「修正」したいと思います。これには主に3つの問題があります。

  • ファイル削除は、物理メディア上のデータを上書きしません。他のファイルで再利用可能としてマークするだけです。
  • 場合によっては、データを上書きしても実際には破壊されないことがあります。これは、過去のデータのすべての痕跡を破壊するはずの特別なパターンでデータを数回上書きすることによって、いわゆる「ファイルシュレッダー」が介入する場所です。ただし、このようなシュレッダーは実際のディスクテクノロジに固有のものであり、実際には、12年前のディスクで使用されているテクノロジに固有のものです。最近のディスクでは、シュレッダーは 役に立たない可能性が高い であり、不要です。逆に、SSDを使用すると、非常に多くのデータが 到達不能のまま 最も完全なシュレッダーのデータになります。そのため、ファイルシュレッダーは完全に過剰であるか不十分であり、中間点はありません。
  • ファイルデータの一部のコピーを他の領域に保存できます。これは virtual memory で発生する可能性があります。ファイルに入る前のファイルデータはRAMにあったためです。これは ジャーナルファイルシステム でも発生する可能性があります(ファイルシステムの実装と構成によって異なります)。

したがって、ファイルの「ワイピング」に基づくソリューションは、非効率的で不完全になる可能性があります。とにかく、この不完全さにもかかわらず、一部の人々はある種の自動シュレッダーを実行しようとしました。これはさまざまなレベルで実行できます。 this one は、(LD_PRELOADトリックを介して)unlink() Cライブラリ関数呼び出しにパッチを適用することで実行します。ただし、静的にリンクされたプロセスはそれを回避します(ただし、通常のLinuxインストールでは、静的にリンクされたアプリケーションはほとんどありません)。私はそれをお勧めしません(そして著者自身はそれを警戒しています)。特に、SSDでのファイルの細断は効果的でない(上記を参照)だけでなく、SSDの寿命を著しく短縮します。

13
Thomas Pornin

あなたが説明したり望んだりする方法を実行する[メインライン]ファイルシステムはありません。これは主に、ファイルシステムとしてはあまり効率的でないためです。それが不可能であることを意味するわけではありませんが、それが頻繁に行われず、一般的な使用シナリオに達していないことを意味します。実際、あなたが説明するのは、すぐに一掃されるファイルシステムではなく、暗号化されたファイルシステムのようなものです。その詳細については後で説明します。

あなたが説明していると思うほど高速ではありませんが、 DBaNソフトウェア(Darik's Boot and Nuke、dban.org) は、物理的な磁気メディアからのデータのワイプを非常に成功させます。これは、低レベルの磁気スキャナーを含め、データ回復を実行した経験からわかっています。十分なランダムデータがターゲットデータを上書きすると、物理的な磁気メディアはリカバリの目的で使用できなくなります。

「高速」な方法では、ディスク全体の暗号化( TrueCrypt または MicrosoftのBitLocker と考えてください)または物理ディスクの破壊を利用する必要があります。暗号化によりデータが「乱雑」になり、秘密鍵がなければ使用できなくなります。破壊すると物理メディアが除去されるため、回復可能なデータはありません(通常、磁気面を消磁してから物理的に変更して永久に使用できなくなる) Garner プラッターをドリルする前に最初に消磁する優れた駆逐艦を作成します。その後、ドライブからデータを取得することはできません。

1
Ruscal

ファイルシステム全体または個々のファイルをワイプする方法をお探しですか?ファイルシステム全体を安全にワイプするのは簡単です。 「アンチフォレンジックストライプ」を使用するLUKSのようなものを使用します。これは、パスワードを約256 KiBに伸ばし、キーを破棄しようとする試みが成功する可能性を高めます。それが回復することが不可能になるために破壊されるのに必要なのは数バイトだけであり、再割り当てされたセクターがキーの一部を残してしまう原因となることはあり得ません。ファイルシステム全体を破棄することは、cryptsetup erase /dev/mapper/sda_cryptを実行するのと同じくらい簡単になり、そのボリューム上のすべてを即座かつ安全に破棄します。

削除によってファイルとメタデータが瞬時に安全に破棄されるように、ファイルごとにそれを実行する機能を探している場合、私はあなたがそれほど幸運になるとは思いません。私はそれを行うことができるファイルシステムを知りません。暗号化をサポートするファイルシステムは完全にワイプできますが、個々のファイルは引き続きマスターキーで暗号化されます。ただし、一部のファイルシステムは「s」ファイル属性(chattrで設定)をサポートしています。これは、ファイルシステムドライバーがリンクされていない場合、そのファイル内のすべてのブロックをゼロで上書きするように指示します。ただし、一般的なext4およびbtrfsファイルシステムは、これをサポートしていません。また、メタデータは削除されないため、一部の情報がファイル名、サイズ、iノード番号、およびその他のメタデータ属性の形式で漏れている可能性があります。

理想的なファイルシステムは、すべてのファイルiノードにランダムな暗号化キーを格納し、そのキーを使用して各ブロックを暗号化します。削除すると、キーとともにiノードが安全に消去され、そのiノードが指すすべてのブロックが無効になります。これは、少なくとも、ext4のようなファイルシステムが 's'属性をサポートする簡単な方法を提供します。

0
guest

ラバーホースのようなシステムでは、ファイルシステムを破壊するのは非常に簡単です。ラバーホースパーティションのマスターキーを削除するだけで、それをデコードしたり検出したりできなくなります。

0
WAR10CK