web-dev-qa-db-ja.com

機密情報の破壊により、ハードドライブの選択が非フラッシュベースのデバイスに制限されますか?

非営利団体と協力して、医療記録や財務記録などの機密性の高い情報を以前に保存したハードドライブを再利用するのが一般的です。これは主に、新しいハードドライブの購入を減らすためのコスト削減策によって推進されます。

機密情報の破壊が最初の要件である場合、これはストレージメディアのタイプを選択する際の選択肢を制限しますか?

たとえば、非フラッシュベースのデバイスは、自己暗号化ドライブを含むSSDと比較して、ATA Secure Eraseとシングルワイプを使用したデータの破壊において、より高いレベルの保証を提供しますか?

storagedeletionsensitive-data-exposuressdsata
27
Motivated

データ破壊は、最後の手段となる手法です。新しいストレージデバイスを使用する場合は、フルディスク暗号化を使用する必要があります。これにより、暗号化されたマスターキーを破棄するか、単にパスワードを忘れて、実際にデータがワイプされていなくても、すべてのデータを効果的に回復不能にすることができます。暗号化は、ソリッドステートと標準の両方のハードドライブのソリューションです。 AESのような強力なアルゴリズムを使用します。

完全なディスク暗号化なしでハードドライブを使用する必要がある場合は、透過的なハードウェア暗号化である [〜#〜] sed [〜#〜] をサポートするハードドライブを入手する必要があります。 SEDは、ドライブに書き込まれたすべてのデータを透過的に暗号化しますが、暗号化キーは特別な領域に保存されます。安全な消去を開始すると、破壊されるのはこのキーだけです。この機能は、最新のSSDおよびHDDのほとんどでサポートされています。ドライブがそれをサポートしているかどうかわからない場合は、ドライブ自体の大きさに関係なく、ATA Secure Eraseの推定時間が 2分間のみ と表示されていればサポートされていると結論付けることができます。

ソリッドステートメディアで使用されているデータストレージ方式に固有のものはありませんが、データ破壊を実行することは困難ですが、ファームウェアにより、ウェアレベリング(ドライブの周りに書き込みを分散する機能)により、オペレーティングシステムが特定のセクターを上書きできなくなります。個々のフラッシュセル(それぞれに有限の寿命がある)の摩耗を減らすため。これは、SSD上のデータを確実に上書きできないことを意味します。ドライブがSEDを実装している場合は引き続きSEDを使用でき、ATA Security Eraseも使用できますが、セクターの範囲を手動で上書きする必要がある場合は、HDDを使用します。

SSDを使用し、フルディスク暗号化を使用していて、TRIMを有効にしている場合、この 優れたブログ投稿 で説明されているように、ドライブは限られた量のメタデータをリークします。通常、パフォーマンスを少し低下させるだけでTRIMを無効にできますが、メタデータの漏洩は回避できます。漏洩した正確なメタデータに問題があるかどうかは、特定の脅威モデルによって異なります。

51
forest

Tl; dr:すべてのストレージドライブを信頼して自分自身を安全にワイプすることは決してできないため、どのドライブも安全にワイプできないように計画する必要があります。

メディアの種類に依存することは問題にアプローチする正しい方法ではありません。テクノロジーは常に進化し変化しているため、すべてのIT支出を100%制御することはできないからです。ディスクが最初に機密性を考慮して設計されたことは決してないことに注意してください。ディスクはその反対、つまり信頼性の高いアクセスのために設計されています。 (一部のディスクメーカーは、自社の製品を「セキュリティソリューション」として販売することで利益を最大化することを望んでいますが、それでもまだその仕事に最適な選択肢にはなりません。)

たとえば、Shadow IT(別名、ボスの子供)は、SSDなどの消費者向け機器を購入し、許可なしに部門のデスクトップにインストールするのが得意です。または、非営利団体は(政治的またはマーケティング上の理由で)企業スポンサーからの100台のドライブの寛大な寄付を受け入れる必要があるかもしれませんが、それはSecure Eraseをサポートしていません。まともな企業のラップトップは、オプションとしてスピニーディスクさえ提供していませんが、ウェアレベリングアルゴリズムは、SSDがドライブのスラックスペースの一部のデータを常にリークするリスクを確実にします。

代わりに、この正確なセキュリティ問題を解決するために設計されたもの、およびキー全体を削除するのと同じ速さでワイプできる暗号化ファイルシステムのインストールなど、企業全体を制御できるものを検討してください。たとえば、Windowsショップでグループポリシーを介してBitLockerを適用すると、注文した特別なドライブだけでなく、すべてのドライブが保護されます。

13
John Deters

まず、私の理解は、安全な消去コマンドを適切に実装したSSDが未割り当てブロックを消去することですが、リタイアされた/失敗したブロック(これらは使い古されており、正しく動作しなくなったブロック)を理論的には消去できません回復可能なデータが含まれている可能性があります。

第二に、HDDには予約スペースも含まれます。特に、これは、ディスク上のセクター(「不良セクター」)に障害が発生し、データを別の場所に再配置する必要がある場合に使用されます。元のデータは、使用されなくなった不良セクターに残されます。一部のディスクは、他のセクターを再配置するための作業スペースとして追加の予約スペースを使用します。これにより、不良セクターからのデータをより最適な場所に物理的に配置でき、ディスクは使用された予約スペースを消去しない場合があります。理論的には、安全な消去コマンドを適切に実装するHDDは、不良セクター(可能な場合)と予約済みスペースの両方を消去します。

ただし、他の回答が指摘しているように、これはすべて、安全な消去コマンドの適切な実装と、消去するメディアの失敗/失敗した部分の機能に依存しています。最善の解決策は、特定の操作をサポートするドライブ自体のファームウェアに依存しないものにある可能性があります。

完全なディスク暗号化(またはファイルレベルの暗号化、ファイル名の開示には注意が必要)を使用すると、実際のデータを消去する必要はなく、暗号化キーだけを消去できます。その場合、データはディスクに書き込まれる前に暗号化され、ディスクには暗号化されたデータのみが含まれます(すべきです)。暗号化キーは暗号化されたデータを復号化するために必要なので、ディスク上の暗号化されたデータにアクセスすることは、暗号化キーなしでは無意味です。暗号化キーが安全に消去されるか、別のディスク/メモリデバイス(スマートカードやハードウェアキーなど)に保存されている限り、データは実質的に読み取れません。

現在、多くのHDDとSSDが「自己暗号化」を提供しています。これは、ディスク自体のファームウェアが暗号化キーを生成してディスクコントローラーの内部メモリに保存し、ディスクに書き込まれる前にデータ自体を暗号化し、読み取り後に再度復号化する場所です。コンピュータはディスクを暗号化されていないディスクと見なしますが、実際にメディアに保存されているデータは暗号化されています。このようなディスクは通常、ディスクを上書きするのではなく、コントローラのメモリから暗号化キーを削除することにより、安全な消去コマンドを実装します。自己暗号化ディスクは、セキュリティの脆弱性のギャップやデータの損失につながるファームウェアのバグの悪い履歴があるため、個人的には避けていますが、概念はOSレベルのフルディスク暗号化と同じです。

1
Micheal Johnson

ソリッドステートディスクが優先的に推奨されます。ときどき インプリメンターは(そしてWindows/Bitlockerも)を吸う なので、問題がないわけではないことに注意してください。

従来のディスクドライブは、ビットをより適切に分散するためにずっとずっとずっとデータを弱く「暗号化」(または混合)してきましたが、これはデータの保護にはあまり役立ちません。最近では、自己暗号化ディスク(SED)であるハードドライブが存在しますが、ハードディスクとしては、「名声」のある製品であり、価格が法外です。これまでのところ、所有していません。

ソリッドステートディスクは事実上常にSEDですが、機能セット、さらに重要なことに、実装の品質は大きく異なります。たとえば、リンクされた記事でお読みいただけるように、Crucialの以前のモデルでは、完全にブロックされた暗号化が使用されていました。ユーザーのパスワードは、ファームウェアによるハッシュとで比較され、ドライブの暗号化キーを「ロック解除」します。 PBKDF2を使用してパスワードからキーを導出するSamsungのドライブ。これは、実際のセキュリティと誤解を招くセキュリティの観点から見ると、その中間の世界です。

幸いにも、どのような場合でも、悪い実装に関係なく、使用中のセキュリティは消去後のセキュリティよりもはるかに影響を受けます。ええと...幸運にも、それがいい表現かどうかわかりませんが、実際にはシステムは常に安全である必要があります。しかし、少なくともそれはを超えて吸いません。

ATA標準には「マスターパスワード」という概念があるため、暗号化キーのロック解除導出など-誰かがストレージを読み取る方法を見つける可能性があることを考慮していなくても-破滅的。基本的に、意味のある方法で暗号化されているものは何もありません。

SEDの安全な消去とは、ディスク暗号化キーを消去し、ディスク全体の内容を読み取り不能にすることです。したがって、悪意を持って構築されたドライブ(安全な消去が行われたことを伝えるが、秘密裏にキーのコピーを保持している)を想定しない限り、これは、実装が壊れている場合や、誰かがオープンオープンしている場合でも安全です。コントローラチップなど。

従来のハードディスクの安全な消去は、ディスクがすべてのセクターを上書きすることを意味します。私は最近、事前障害(SMARTがエラーを表示)でシーゲートバラクーダをRMAすることにしました。
そして、安全な消去はすべてうまくいっていると思いますが、フェイル前のディスクは単に仕事をすることを拒否します。ディスクが約10%消去された後、起動して数分間ぶらつき、「エラーブラーブラー」で終了します。ディスク上のデータはソフトウェア暗号化を上にしたRAIDからのものだったので、私の場合はそれは問題ではありませんでした。したがって、コンテンツは基本的に無意味です(ワイプは本当に必要ありません)。しかし、あなたはアイデアを理解します。暗号化されたファイルシステムを使用しなかった場合、データを消去する方法はありません!

一般に、ウェアレベリング(従来のディスクとSSDの両方で)は、信じがちな傾向よりもはるかに上書きの可能性を低くする可能性があります。

また、上書きされたデータを磁気ディスクに復元することも可能です。はい、データ密度がはるかに低かった15〜20年前よりもはるかに困難です(当時、それはかなり日常的な仕事でした)。しかし、それはまだ...一般的に可能です。

したがって、(医療記録のように)データが本当に非常に機密である場合は、ソフトウェアの暗号化を上に重ねてディスクをワイプする必要をなくすか(とにかくそれを行うには害はありません)、またはドライブを寄付せず、確実に これらの1つ を使用してください。

0
Damon