¿Se pueden obtener datos forenses de un disco duro cifrado?

1

Si un disco duro está encriptado, ¿es posible recuperar datos fuera de él? ¿Qué pasa si se conoce la contraseña para descifrarla? Si este es el caso, dado que OSX ahora cifra su unidad de forma predeterminada, ¿significa que todas las mac del mundo tienen datos que no se pueden recuperar después de la eliminación?

    
pregunta Olppa 30.07.2015 - 14:54
fuente

4 respuestas

1

La fuerza de todos los métodos de cifrado de disco actuales se basa en el secreto de la clave.

  • Si bien su clave sigue siendo un secreto (y debe ser lo suficientemente fuerte para seguir siendo una), entonces El contenido de su disco en reposo sigue siendo un secreto. Digo "disco en reposo" porque cuando la computadora está funcionando, es decir. usted ya desbloqueó la unidad, entonces podrá acceder a su sistema de archivos y también podrá recuperar la clave secreta de la memoria RAM de su computadora.
  • Cuando, como mencionó esta situación en su pregunta, el atacante conoce la clave, el cifrado del disco ya no tiene ningún valor. Si su sistema de archivos conserva los datos de los archivos eliminados en el disco, estos datos seguirán siendo recuperables.

    El mecanismo de encriptación y el sistema de archivos son dos capas diferentes, el objetivo de la encriptación es proteger los intentos de acceso no autorizados al sistema de archivos, pero una vez que se elimina este obstáculo, el sistema de archivos se puede acceder libremente y mantiene las mismas propiedades. como en los discos no cifrados (sin embargo, es posible que haya algunas sutilezas que vienen con la abstracción de esta capa de cifrado complementaria y que dificulten la recuperación de datos, pero no confiaría en tal efecto secundario para brindar seguridad real).

Por lo tanto, si la pregunta aquí es " Si borro archivos altamente confidenciales en caso de que me obliguen a revelar mi clave de cifrado ", la respuesta es que esto tiene sentido. Aparte de este caso, la eliminación segura de archivos no aportará ningún valor si el atacante ignora su clave secreta.

    
respondido por el WhiteWinterWolf 30.07.2015 - 18:01
fuente
0

Las Mac utilizan FileVault para cifrar sus datos. Ha estado disponible en versiones anteriores de OS X, pero creo que ahora con Yosemite, se recomienda utilizarlo y es mucho más fácil para el usuario estándar que lo active. Esto encripta tu disco duro.

Técnicamente, todavía sería posible que alguien recupere los datos de una unidad cifrada. Para romper AES, necesitarías mucho dinero y una máquina muy poderosa. La probabilidad de que alguien obtenga sus datos sería extremadamente baja. Alguien con mucho tiempo, dinero y recursos (gobierno) ... ¿quizás?

    
respondido por el shift_tab 30.07.2015 - 15:05
fuente
0

Es posible descifrar claves RSA de 1024 bits, pero lleva muchos años hasta que pueda probar aquí ; Por eso es por lo que Apple desafía al FBI y ofrece cifrado por defecto en los nuevos sistema operativo . Entonces, si tiene información valiosa para ocultar, hay un modo, para que un equipo capacitado y bien equipado, aproveche remanencia de datos utilizando ataque de arranque en frío si elige dejar su computadora portátil en estado de suspensión en lugar de apagarla.

Conclusión : durante al menos veinte años, encripta tus discos y no te preocupes tanto.

    
respondido por el user45139 30.07.2015 - 16:25
fuente
-3

Cualquier información que esté encriptada con encriptación pública puede ser desencriptada ... de lo contrario, puedo asegurarle que tales encriptaciones no estarán disponibles para el público. Para el "usuario de todos los días" no hay opciones para el cifrado que no puedan romperse. Nuestro gobierno no lo permitiría y no lo permitiría.

"Eliminar" datos de un disco duro es un término esencialmente sin sentido. Simplemente "libera" ese bloque / segmento particular de espacio de memoria para datos futuros ... ahora esta es una regla general y puede haber implementaciones particulares que eliminen o intenten eliminar cualquier información que esté en la unidad en ese momento pero en el uso 'típico' de la palabra "eliminar" entonces, no, en realidad no "elimina" los datos en sí ... nuevamente, solo libera esa dirección de memoria para contener otros datos.

Respuesta rápida y breve a su pregunta: sí, los datos se pueden recuperar en casi todos los casos, excepto en los más extremos. Pero el problema es a qué nivel de tiempo y espacio de cómputo se requiere para hacerlo ...

    
respondido por el RatboySTL 30.07.2015 - 15:20
fuente

Lea otras preguntas en las etiquetas