Me pregunto cuáles son las mejores prácticas actuales para garantizar la confidencialidad de los datos en una SSD utilizada como unidad de arranque del sistema operativo (bajo Linux). Las consideraciones importantes son:
- Garantiza contra la fuga de datos en las condiciones habituales (unidad robada, & c .; la protección de datos en movimiento es, por supuesto, una pregunta aparte)
- Permite el borrado de datos completo y seguro a pedido, preferiblemente bajo control de software puro
- No interfiere demasiado con el uso normal
El primer paso obvio es usar el cifrado de disco completo, aquí LUKS. Esto satisface más o menos la condición 1 (o debería). También ayuda en gran medida la condición 2, ya que en teoría, si se borra el encabezado, el resto de los datos se hace permanentemente inaccesible. Sin embargo, en un SSD hay algunos problemas potenciales con esto.
Pregunta 1: ¿Cuál es la mejor manera de borrar de forma segura un área específica (el encabezado LUKS) de un SSD? El comando TRIM aparentemente está destinado a esto, pero no estoy seguro de su confiabilidad. En una unidad de disco duro me sentiría bastante confiado si solo sobrescribiera repetidamente los bloques en cuestión, pero aparentemente la nivelación de desgaste puede evitar que esto funcione en el SSD.
Pregunta 2: si no se puede destruir solo el encabezado, ¿qué hay de borrar todo el disco? Intuitivamente, sobrescribir repetidamente todo el disco debería evitar que la nivelación del desgaste sea un problema, ya que eventualmente todos los sectores se sobrescribirían. Sin embargo, esto no parece prudente confiar, dada la posibilidad de, por ejemplo Los sectores aún legibles se marcan como incorrectos y se excluyen de la tabla de mapeo. ¿El comando de borrado seguro ahora es confiable? Hay un estudio de alrededor de 2010 que dice que no estaba disponible en muchos discos; ¿Existen datos más recientes? (Parece que al menos algunos discos ahora usan su propio cifrado interno, e implementan Secure Erase sobrescribiendo las claves que se usan allí. Esto está bien, si realmente funciona, pero los mecanismos de código cerrado y no auditables implementados dentro de la propia unidad no No me llenes de confianza.)
También existe la posibilidad de usar algo como el modo de encabezado separado de LUKS para evitar que los datos clave se almacenen en el SSD. Esto requeriría una configuración no estándar en el sistema, pero nada irrazonablemente difícil. Sin embargo, sí introduce un problema de gallina y huevo para garantizar que el dispositivo con el encabezado sea seguro y pueda borrarse. Si guardo el encabezado en una tarjeta SD o unidad flash por separado, ¿es más fácil borrar esto? ¿Qué otro tipo de dispositivo podría usarse?