¿Se pueden recuperar los archivos antes del cifrado y luego se pueden formatear?

6

En una unidad tengo una carpeta de archivos, luego borro estos archivos (no los borro ni sobrescribo con ningún dato). Después de borrarlos suavemente, cifro la unidad y la borro con un solo formato rápido o normal.

Si no tengo un límite de dinero para gastar para recuperar la carpeta de archivos, ¿sería posible? ¿Me encontraré solo con datos / ruido encriptados o es solo si la unidad se sobrescribe de antemano?

¿En qué situaciones los datos serían recuperables y no recuperables?

    
pregunta J. Doe 03.05.2016 - 05:14
fuente

3 respuestas

2

Mencionaste Windows y Linux en un comentario; Hablaré con Windows específicamente aquí.

Primero, resumamos lo que estás haciendo:

  1. Eliminar algunos archivos.
  2. Cifre la unidad utilizando el cifrado completo de la unidad (FDE).
  3. Haga un formato rápido o completo de la unidad.

Para simplificar, si eliminamos completamente el paso 2, aquí es donde estamos:

  • Un formato rápido deja los archivos recuperables.
  • Un formato completo deja los archivos recuperables en Windows XP y versiones anteriores, pero en Windows Vista y más recientes realiza un borrado completo de la unidad, lo que significa que los archivos no son recuperables (por cualquier persona, incluidas organizaciones o naciones bien financiadas). Tenga en cuenta que esto supone que no instaló el sistema operativo en una unidad de disco duro muy antigua en la que una simple limpieza podría no ser suficiente.

Así que ahora la pregunta es, ¿el uso de FDE en el paso 2 cambia algo?

Puede parecer extraño, pero la respuesta es no, FDE no cambia nada. La razón es que el cifrado de la unidad vuelve a escribir la unidad de forma totalmente reversible. Esto debe ser cierto o, de lo contrario, no podrá descifrarlo. Por lo tanto, si conoce la clave necesaria para descifrar la unidad, puede volver a ponerla en el mismo estado en que se encontraba antes del cifrado. Si tenía archivos eliminados por software antes de FDE, entonces aún estarán ocultos y serán recuperables por completo.

Por supuesto, si realiza FDE en su unidad con un cifrado fuerte como AES y tira la clave, entonces prácticamente ha hecho lo mismo que poner a cero una unidad o un formato completo (Windows Vista y superior) y nada sería recuperable.

    
respondido por el TTT 05.05.2016 - 16:12
fuente
2

En términos generales, la mayoría de los datos sin cifrar, pero no todos, se podrán recuperar si el proceso de encriptación y formateo no implica sobrescribir cada byte en el dispositivo de almacenamiento subyacente o emitir a (implementado correctamente) ATA Secure Erase . En el caso de discos duros rotativos sin autocifrado, el costo de tiempo de un Borrado seguro es similar al de sobrescribir la totalidad de la unidad a través del software; en el caso de los SSD o HDD rotativos autocifrados, el costo del tiempo para un Borrado seguro puede ser muy trivial: simplemente descarte la clave de cifrado o posiblemente borre las tablas de mapeo de bloques; los datos aún estarían allí y serían legibles en este último caso, pero no hay manera de averiguar qué parte va a dónde porque consiste en bloques dispersos al azar. También tenga en cuenta que muchos SSD se autocifran bajo el capó sin importar lo que haga.

Un HDD rotativo moderno puede mantener alrededor de 100 MB / s en un rendimiento de escritura puramente secuencial. Esto significa que una unidad de 4 TB tardará aproximadamente 4 TB * 1,000,000 MB / TB * 100 MB / s = 4,000,000 MB / 100 MB / s ~ 40,000 segundos (aproximadamente 11 horas) para completar un solo pase de sobrescritura (sobrescribiendo grandes muestras de el almacenamiento para borrarlo es uno de los pocos razonablemente cargas de trabajo verdaderamente secuenciales comunes). La velocidad de escritura sostenible se escala aproximadamente con la velocidad de rotación, por lo que una unidad de servidor de 10k rpm o 15k rpm podrá mantener una velocidad de escritura más alta que una unidad portátil de 5400 rpm. El tiempo de finalización, obviamente, aumenta directamente con la capacidad de almacenamiento y el rendimiento de escritura alcanzable. Los SSD son mucho más rápidos, pero aún tienen velocidades de escritura finitas, y para SSD grandes, el tiempo necesario solo puede ser suficiente para juzgar con precisión lo que sucedió.

Suponiendo que está utilizando un disco giratorio y que el proceso de formateo duró significativamente menos de 2½ a 3 horas por TB de almacenamiento, es razonable esperar (cantidades probablemente significativas de) remanencia de datos .

De acuerdo con Microsoft KB941961 Cambio en el comportamiento del comando de formato en Windows Vista y versiones posteriores , en Windows Vista y versiones posteriores (que actualmente significa Windows Vista, Windows 7, Windows 8 y Windows 10, y muy probablemente las versiones de servidor correspondientes también ) por defecto, el formato hace hace una sola pasada de sobrescritura completa de la partición que se está formateando; el antiguo comportamiento pre-Vista de simplemente escribir nuevos metadatos del sistema de archivos ahora se conoce como el modo de formato rápido. (Sugerencia de sombrero a TTT por señalar esto). Sin embargo, no estoy seguro de si esto es realmente relevante en el caso de usar TrueCrypt, por lo que preferiría errar por el lado de la precaución. El tiempo que tardó el formateo (para una unidad rotativa, ¿el formateo tardó alrededor de un segundo por cada 100 MB de almacenamiento?) Puede usarse para inferir si una sobrescritura ha sido probable realizado.

En la situación descrita, parece relativamente probable que el software de recuperación de datos estándar sea capaz de recuperar cantidades significativas de datos sin cifrar y almacenados previamente. Parte de ellos se habrá sobrescrito. y, por lo tanto, no puede recuperarse, pero mucho puede recuperarse con relativa facilidad con solo soluciones de software.

Para protegerse contra esto para los datos que se han almacenado sin cifrar, debe hacer al menos una pasada de sobrescritura completa en todo el dispositivo que contendrá los datos cifrados (el dispositivo de respaldo del contenedor, en LUKS parlace) antes de empezar a usarlo para ese propósito. Es su elección si desea sobrescribir con solo un patrón fijo o datos aleatorios ; recuerde que un patrón fijo cifrado con una clave desechable y un buen algoritmo de cifrado se convierten en datos aleatorios. La sobrescritura con un patrón no encriptado fijo puede revelar metadatos como la cantidad de datos almacenados y su ubicación en el disco (que se puede usar para inferir, por ejemplo, el sistema de archivos, que a su vez puede proporcionar datos conocidos).

A menos que sea un actor de estado-nación, un solo pase de sobrescritura es casi ciertamente suficiente con unidades modernas, y si eres un actor de un estado-nación, tendrías acceso a mejores personas para pedir consejos que extraños al azar en Internet.

    
respondido por el a CVn 03.05.2016 - 13:39
fuente
0

Puede ser recuperable, depende de:

  • condición de las placas magnéticas de su disco duro
  • cuánto tiempo pasó desde la limpieza
  • el tipo de limpieza realizada
respondido por el Alexey Vesnin 03.05.2016 - 06:38
fuente

Lea otras preguntas en las etiquetas