Cifrado de archivos en una unidad de estado sólido

3

Parece que muchas computadoras están cambiando a unidades de estado sólido, y una de las desventajas de esto es que parece que el cifrado de archivos individuales es básicamente inútil, porque cuando cifras un archivo, no puedes deshacerte con seguridad. de los datos originales (sin cifrar). El cifrado y descifrado repetidos de los archivos dará lugar a que muchas copias de los archivos cifrados / descifrados queden en su disco duro para que un atacante las recoja.

El cifrado de un disco completo no es realmente una buena alternativa. Leí este documento que dice que la clave para el cifrado de toda la unidad se puede recuperar de la DRAM minutos o incluso horas después de que se apaga una computadora. Es mucho más efectivo (por no decir eficiente) cifrar archivos individuales que desea mantener en secreto, pero con unidades de estado sólido, ya no estoy seguro de que eso sea realmente posible. ¿Hay alguna forma de evitar esto, usando unidades de estado sólido?

    
pregunta Zen Hacker 24.12.2015 - 14:59
fuente

3 respuestas

8

Una buena alternativa al cifrado de archivos individuales es un contenedor de cifrado o un archivo bóveda : un único archivo cifrado que contiene un sistema de archivos completo que se usa para guardar sus secretos. Los archivos dentro del contenedor se pueden utilizar directamente, por lo que no es necesario crear copias sin cifrar.

La técnica " cold boot " que mencionas también se puede usar para atacar archivos cifrados individualmente, por lo tanto, los SSD no son más vulnerables a los HDD.

    
respondido por el Dmitry Grigoryev 24.12.2015 - 15:13
fuente
6

El cifrado de disco completo es siempre la forma preferida de hacerlo. Los ataques de arranque en frío no son triviales y requieren un hardware costoso, por lo que siempre vale la pena considerar sus niveles de amenaza. Si su adversario puede costear un hardware costoso para realizar una extracción de frase de contraseña criogénica exitosa de la RAM, es probable que puedan darse el lujo de rastrear sus pulsaciones de teclas por otros medios (como por ejemplo, colocar un micrófono / cámara en su habitación, etc.). La implementación del cifrado completo del disco ofrecerá la menor molestia al tiempo que brinda la mejor protección de datos en reposo en comparación con las bóvedas de archivos o el cifrado de archivos individuales.

    
respondido por el mricon 24.12.2015 - 18:50
fuente
2
  

El cifrado de un disco completo no es realmente una buena alternativa. Leí este documento que dice que la clave para el cifrado de toda la unidad se puede recuperar de la DRAM minutos o incluso horas después de que se apaga una computadora.

Bueno, en realidad ...

La encriptación de todo el disco es una alternativa perfectamente razonable, y probablemente su mejor opción. El hecho de que un laboratorio pueda crear un escenario en el que las claves de cifrado puedan recuperarse de la RAM no significa que esto se pueda hacer de manera confiable (o incluso en absoluto) en el campo.

Otra gran opción son los contenedores de archivos cifrados, que podrían incluir las mismas opciones útiles para el cifrado de todo el disco, pero también herramientas como encfs que realizan el cifrado y descifrado archivo por archivo al vuelo. Hay advertencias a sistemas como este; por ejemplo, no ocultan la mayoría de los metadatos, como el tamaño de un archivo, los permisos, el historial de cambios, etc. Por otro lado, puede cifrar el almacenamiento que se sincroniza con lugares como Dropbox y no tiene que montar el sistema de archivos. cuando no lo estés usando.

Obviamente, debe elegir el sistema más adecuado para su caso de uso. Pero recuerde que el cifrado se trata de aumentar el costo de ataque, no de invulnerabilidad absoluta.

    
respondido por el tylerl 25.12.2015 - 18:05
fuente

Lea otras preguntas en las etiquetas