Agujero de seguridad de FileVault cuando se usa en SSD

Navega tus respuestas
5

Acabo de despertarme por el hecho de que parece que los datos del usuario pueden filtrarse cuando se usa FileVault y Migration Assistant en un SSD en una nueva Mac cuando se siguen las indicaciones predeterminadas.

Cuando configuro una nueva Mac, me anima a "Transferir información a esta Mac" al principio del proceso, antes de que se me permita habilitar FileVault. Esto está bien en un disco duro porque aunque estoy copiando mis datos a la nueva Mac en claro, FileVault finalmente los sobrescribirá todos con cifrado.

En un SSD, sin embargo, es imposible sobrescribir los datos de forma segura:

  

... la función "Secure Erase Trash" de Mac deja 2/3 de un archivo recuperable.

- Mac fail: SSD security

  

... es casi imposible eliminar de manera segura un archivo individual en un SSD, porque la forma en que los SSD escriben y borran archivos se dispersa, y el usuario no tiene control sobre lo que está haciendo un SSD en dónde. Si ese es el tipo de seguridad que está buscando, su mejor opción es el cifrado ...

- Pregunte a Ars: ¿Cómo puedo borrar de forma segura los datos de mi unidad SSD?

Entonces, cuando tenga permiso para activar FileVault, ya es demasiado tarde. Peor aún, no puedo limpiar el disco de forma segura antes de vender la computadora más tarde:

  

Con OS X Lion y una unidad SSD, Secure Erase y Erasing Free Space no están disponibles en la Utilidad de Discos. Estas opciones no son necesarias para una unidad SSD porque un borrado estándar dificulta la recuperación de datos de una SSD. Para mayor seguridad, considere activar el cifrado de FileVault 2 cuando empiece a usar la unidad SSD.

- Mac OS X: acerca de la función de espacio libre en el borrado de la Utilidad de Disco (support.apple.com/kb/HT3680)

Parece que la solución es:

  1. Omita el Asistente de migración cuando se le solicite.
  2. Crear una nueva cuenta de usuario.
  3. Ejecute la Actualización de software hasta completarla para generar más entropía antes de habilitar FileVault para mitigar este "peor de los casos, en el que El PRNG solo se ha sembrado con la menor cantidad de entropía "- infiltre la Bóveda: Análisis de seguridad y descifrado de Lion Full Disk Cifrado (eprint.iacr.org/2012/374.pdf), página 9.
  4. Habilitar FileVault.
  5. Ejecuta el Asistente de migración.

Supongo que a pesar de que FileVault sigue cifrando el disco antes de ejecutar el Asistente de Migración (mi computadora me dice que quedan 36 minutos de tiempo de cifrado), todas las nuevas escrituras realizadas por el Asistente de Migración se cifrarán y, por lo tanto, mis datos Nunca tocará las NAND en el claro.

¿Estás de acuerdo con el problema y mi solución?

    
pregunta David Braun 28.02.2014 - 16:38

3 respuestas

3

Su decisión de hacer una cuenta de usuario de prueba con un nombre corto diferente al eventual usuario que se migrará.

En la práctica, con el tiempo escribirá más y más datos, pero si tiene tiempo para establecer primero una clave de almacenamiento de archivos y tener la unidad completamente encriptada antes de copiar cualquier información confidencial, tiene un sistema más seguro. y puede saber que los datos se pueden sanear criptográficamente en lugar de sobrescribirlos o borrarlos.

Querrá buscar estas líneas en la salida diskutil cs list para saber que está listo para el inicio de la migración de datos: 

|       Conversion Status:       Complete
|       High Level Queries:      Fully Secure
|       |                        Passphrase Required
    
respondido por el bmike 19.02.2016 - 18:20
-1

Cifrado después de la transferencia: el riesgo más bajo

Mientras ejecuta el Asistente de migración, no existe ningún riesgo de seguridad adicional impuesto por el cifrado que comienza después de que comience la transferencia de datos. De hecho, esto reduce el riesgo de seguridad física a través del siguiente mecanismo:

  • Cuanto más tiempo esté sin cifrar el dispositivo, más tiempo será susceptible a las amenazas de seguridad física (robo, James Bond), por lo tanto, mayor será el riesgo.
  • Cuanto más tiempo se tarda en transferir los datos, más tiempo se descifrará el dispositivo. Por lo tanto, se sigue lógicamente que cuanto más se demore en transferir los datos, mayor será el riesgo.
  • El proceso de cifrado de todo el disco lleva un tiempo. Se tarda más tiempo si escribe datos al mismo tiempo debido a los límites de E / S y la capacidad de la CPU, a menos que tenga un supercomputador.
  • El proceso de transferencia de datos toma un tiempo. Lleva más tiempo si se escribe en un disco cifrado; e incluso una diferencia menor podría ser estadísticamente significativa en una evaluación de amenazas y riesgos.
  • Por lo tanto, cuanto más rápido se encripta el disco, menor es el riesgo; y cuanto más rápido se transfieran los datos, menor será el riesgo.
  • Y, por lo tanto, el riesgo de seguridad más bajo lo ofrece el procedimiento actual: primero transfiera los datos y luego encripte el disco.
  • Este procedimiento presenta un riesgo menor que cualquier otro procedimiento que llevaría más tiempo, especialmente porque mientras la computadora esté encendida y los secretos de cifrado se almacenen en la memoria activa, la computadora es completamente susceptible a un agente de amenazas sofisticado.

El borrado seguro no es necesario con la codificación de disco completo

El borrado seguro no proporciona ningún beneficio cuando se utiliza en un SSD con cifrado de disco completo, debido a la forma en que se almacenan los datos. Pero cualquier beneficio potencial del uso de Secure Erase en cualquier disco con cifrado de disco completo, nunca podría ser muy grande porque no se podrían recuperar datos sin los secretos de cifrado. Si un agente de amenazas obtiene los secretos, entonces se ha comprometido todo el disco.

Sin el cifrado completo del disco, los archivos pueden ser recuperados de un SSD, a veces, por un agente sofisticado de Theat, y no por un script para niños, al menos no en la actualidad. Esto es diferente de las unidades de disco duro, en las que, durante la última década, los niños con secuencias de comandos y los niños de cinco años han tenido las herramientas a su disposición para recuperar fácilmente los datos eliminados de las unidades de disco duro sin cifrar.

    
respondido por el insignificant zebra 28.02.2014 - 23:47
-1

Esta es una forma segura de evitar que los datos no cifrados se escriban en la SSD: instale su sistema y migre a una unidad separada, siendo un disco duro USB, segunda unidad SSD, etc. Una vez que FileVault esté habilitado y los datos no cifrados se borren, luego imagen de la unidad a su SSD. Ahora limpie el disco original.

Una forma menos segura pero fácil es recortar manualmente el SSD usando fsck . Esto hará que el espacio no utilizado parezca ser todo ceros para cualquiera que lea los datos del sistema operativo. Tendrían que manipular el firmware de la unidad o quitar el flash de la unidad para evitar esto. Eventualmente, con el uso, todos los datos en la unidad se sobrescribirán.

Para responder a su segunda inquietud, el fabricante proporcionó la utilidad de borrado seguro / disco de arranque para asegurar que todos los datos de su SSD se borren, ya sea ordenando que todo el flash se borre físicamente o destruyendo las claves de cifrado siempre encendidas (estilo iPhone) .

    
respondido por el user71659 01.03.2014 - 09:00

Lea otras preguntas en las etiquetas

¿Por qué los colores de mi Terminal.app son diferentes de los de iTerm? El Mac OS más adecuado 10.6 a 10.9 para iMac a principios de 2009