cifrado - cómo proteger archivos - descifrar los expone en ssd

Navega tus respuestas
0

Digamos que tengo un archivo cifrado. Ahora lo descifro pero como mi computadora solo tiene ssd, lo descifro en la unidad ssd. Por ejemplo, hago cambios o termino de usar el archivo descifrado, así que lo cifro de nuevo. Pero como estoy en ssd, no hay forma de purgar correctamente el archivo de la unidad sin purgar toda la unidad (y quién sabe si se puede confiar). A partir de esto, parece que todo el concepto de cifrado solo es útil para el transporte, pero no para el almacenamiento seguro porque, inevitablemente, una vez que necesito descifrar, creo una vulnerabilidad que no es fácil de manejar. O me equivoco, ¿hay alguna manera simple?

Entonces estaba pensando en un software como truecrypt (o veracrypt hoy) que luego puede montar un contenedor ecnrypted, pero el problema es que no tengo idea de lo que está sucediendo con el archivo que se está abriendo, editando, etc. ¿Leí en la memoria sin descifrarlo a un espacio temporal en el disco duro y luego, una vez que se realizan los cambios, se encripta nuevamente sin el uso de un disco duro?

Otro ideat que me vino a la mente fue crear una partición especial para tales archivos y cifrar esa partición (pero, una vez más, puedo asumir que los archivos nunca salen de esa partición, por supuesto, no considerando que los copie en alguna parte, pero más como una aplicación usando tmp, etc.)

¿Puede alguien ayudarme, cómo puedo asegurar ciertos archivos / directorios para tales casos en que la computadora es robada / pirateada porque incluso si los cifro, por cierto que uso a menudo, hago cambios, una vez descifrados, están expuestos incluso después de que están cifrado de nuevo?

Si este es un tema conocido, me disculpo y envíeme a los lugares apropiados para aprender (pero realmente no encontré ninguna información sobre cómo trabajar con archivos cifrados, tampoco soy desarrollador o programador de sistemas, por lo que Necesito algo menos oscuro escrito.

    
pregunta leosenko 27.04.2018 - 03:56
fuente

2 respuestas

1

Hay varias estrategias:

  1. Puede configurar un ramfs / ramdisk para el área temporal para descifrar sus datos. Al usar esta estrategia, deberás investigar cuidadosamente que cualquier programa que utilices para descifrar / cifrar y editar tus archivos no cree ningún archivo temporal fuera de tu área de disco ram.

  2. Puede configurar un cifrado completo del sistema. En este escenario, cualquier almacenamiento persistente adjunto a esta máquina se cifra, por lo que nunca dejará ningún rastro de datos no cifrados. Esto es mucho más fácil de administrar que ramfs / ramdisk, pero requiere una configuración inicial significativa.

  3. Usa un Live CD. La mayoría de las configuraciones de LiveCD están configuradas de modo que cualquier escritura que realice en los archivos se realice en un sistema de archivos basado en RAM superpuesto. Al usar esta estrategia, tome algunas precauciones adicionales y monte todos los demás almacenamientos persistentes como solo lectura.

respondido por el Lie Ryan 27.04.2018 - 14:16
fuente
1

En primer lugar, no puede confiar en que los SSD eliminen nada, incluso si proporcionan una eliminación segura en papel.

Ahora hay varias cosas que puedes hacer. En primer lugar, si el archivo está cifrado mediante PGP u otra cosa que requiera que el archivo se almacene en el disco cuando se descifre, use el contenedor VeraCrypt para almacenarlo. Asegúrese de que el software que utiliza no lo descifre en una carpeta temporal y luego mueva Es, como le gusta hacer a WinRAR, si arrastra y suelta.

Luego, puede trabajar con el archivo fuera del contenedor de VeraCrypt con cualquier aplicación que no escriba archivos temporales en el disco, o al menos los escribe al lado del archivo original. La mayoría de los programas almacenarán todos los datos que necesitan en la memoria, pero tenga cuidado con los programas más complejos, ya que a menudo les gusta hacer copias de seguridad al editar.

Por último, debe asegurarse de que los datos no se intercambian de la memoria al disco. Si tiene suficiente RAM, la mejor opción puede ser simplemente desactivar el intercambio por completo.

Y como una solución segura, podría ser una buena idea usar VeraCrypt para FDE (cifrado de disco completo). De esa manera, incluso si de alguna manera se filtra al SSD, al menos se cifrará con la contraseña del disco.

    
respondido por el Peter Harmann 27.04.2018 - 10:54
fuente

Lea otras preguntas en las etiquetas

¿qué pasaría si alguien tuviera en sus manos aws_access_key_id y aws_secret_access_key? ¿No se revela la contraseña cuando se la tortura? [duplicar]