Frage:
Ab wann können gelöschte Daten nicht mehr wiederhergestellt werden?
Yoshi
2020-06-14 03:27:44 UTC
view on stackexchange narkive permalink

Beim Lesen im Internet habe ich den Eindruck, dass gelöschte Daten mit Ausnahme einer ausgeklügelten digitalen Forensik immer wiederhergestellt werden können, wenn physische Schäden auftreten.

Aus diesem Grund wird empfohlen, Ihre Daten zu verschlüsseln.

Ab wann können Daten selbst für anspruchsvolle digitale Forensik nicht mehr wiederhergestellt werden?

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/109485/discussion-on-question-by-yoshi-at-what-point-is-deleted-data-irrecoverable).
Sieben antworten:
#1
+39
dmuensterer
2020-06-14 03:57:24 UTC
view on stackexchange narkive permalink

Dies hängt stark davon ab, auf welchem ​​Medium die Daten gespeichert werden und was Sie als "nicht behebbar" betrachten.

Das "Löschen" von Daten entspricht meist nicht den meisten Menschen. Einfach ausgedrückt, nach a Beim Standardlöschen werden die Daten nicht gelöscht, sondern nur die Verknüpfung zwischen "Daten XY liegt bei 0x000000" und dem tatsächlichen Speicherort 0x000000 wird gelöscht. Ihre Daten befinden sich immer noch bei 0x000000.Dateiwiederherstellungsprogramme stellen diese Daten problemlos wieder her.

Festplatten: Wenn Sie Daten löschen oder Partitionen formatieren / löschen, löschen Sie die Daten nicht aktiv, sondern auch Nur um es nicht aktiv zu indizieren. Um die Daten tatsächlich zu löschen, müssen Sie jedes Bit überschreiben.

Um es wirklich sicher zu machen, müssen Sie dies mehrmals als Daten auf Magnetlaufwerken tun kann auch nach dem Überschreiben mit Nullen wiederhergestellt werden.

SSDs: Wear Leveling und andere Funktionen verhindern, dass SSDs Sektoren tatsächlich löschen oder überschreiben, selbst wenn dies ausdrücklich empfohlen wird. Stattdessen schreibt der SSD-Controller die neuen Daten an eine andere Stelle und erstellt einen Zeiger vom alten zum neuen, tatsächlichen Speicherort. Ihre alten Daten befinden sich immer noch auf der Festplatte.

Die meisten SSDs bieten eine Funktion zum sicheren Löschen, mit der genau diese Probleme behoben werden können.

Es gibt Forschungsberichte zum Löschen von Daten auf SSDs:

NIST bietet einen Überschreibstandard NIST SP-800-88 Rev. 1, der auf 64 Seiten die Schwierigkeiten erläutert zum Löschen von Daten auf verschiedenen Medien.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/109486/discussion-on-answer-by-dmuensterer-at-what-point-is-deleted-data-irrecoverable).
#2
+11
dark_st3alth
2020-06-15 06:24:04 UTC
view on stackexchange narkive permalink

Während die derzeit führende Antwort auf die technischen Details der Datenwiederherstellung eingeht, werde ich (versuchen) den breiteren Ansatz verfolgen.

Wie definieren wir "nicht behebbar"?

Abhängig von dem Kreis, mit dem Sie möglicherweise assoziieren, kann "nicht wiederherstellbar" bedeuten, dass nur ein unbedeutender Teil der Daten wiederhergestellt werden kann.

Obwohl ich kein Recht praktiziere, könnte dies beweisen. " ausreichend "als Rechtsverteidigung in einigen Ländern. Kritische Metadaten (Zeitstempel, Berechtigungen usw.) würden fehlen und damit die Argumente der Staatsanwaltschaft gegen das Alibi eines Angeklagten einschränken.

In anderen Kreisen - insbesondere bei Malware-Autoren - werden bei Verwendung von XOR-Operationen oder Base64-Codierung Daten " unwiederbringlich "für die allgemeine Bevölkerung. Gut genug für ihre Zwecke und einfach zu implementieren.

Die Antwort hängt auch von der Zeitskala ab. Sind wir mit den Daten fertig oder möchten wir im Laufe der Zeit immer noch auf die Daten zugreifen?

Ich gehe davon aus, dass der Autor mit den Daten auf einem bestimmten Speichermedium "fertig" ist.

Wie werden Daten "nicht wiederherstellbar"?

Dies hängt weitgehend ab von:

  • Speichermedium (magnetisch, optisch, ROM, NVRAM usw.) .)
  • Hersteller von Speichermedien
  • Alter / Verschleiß von Speichermedien
  • Umgebungsbedingungen
  • Einhaltung der Standards für Speicherschnittstellen
  • Alter der Speicherschnittstellenstandards
  • Datenschreib- / Leseprozess

Auf einer höheren Ebene fehlt den meisten Betriebssystemen eine Möglichkeit, dies wirklich zu tun Überprüfen Sie, ob die Daten tatsächlich "verschwunden" oder "nicht wiederherstellbar" sind. Dies ist wichtig zu beachten, da die Überwachung ein Eckpfeiler der Informationssicherheit ist.

Dies liegt daran, dass die meisten Softwareprodukte (Betriebssysteme usw.) keinen Blick auf den Rohdatenspeicher haben - wie der Controller mit dem Speichermedium umgeht liest und schreibt Daten.

Beispielsweise erfordern magnetische Speichermedien normalerweise mehrere Durchgänge (und mehrere Ausrichtungen), um sicherzustellen, dass alle Restfelder abgeführt werden. Als ich das letzte Mal nachgesehen habe, hat keine Firmware auf einer Festplatte ein "Lesen der Richtung und Stärke des Magnetfelds bei X, Y, Z" angezeigt. Sie bieten ein "Sag mir, was Bits in Sektor / Block X sind".

Wie funktioniert Verschlüsselung ? Daten machen es "unwiederbringlich"?

Viele glauben, dass dies nur ein Teil des Kampfes ist, da die vertraulichen Daten verschlüsselt wurden, bevor der Controller des Speichermediums sie in die Hände bekam / p>

Die Behauptung "verschlüsselt mit AES-256 ... Verschlüsselung in Militärqualität" ist in vielen Marketingliteraturen üblich. Verschlüsselte Daten können leicht wiederhergestellt werden, wenn ein oder mehrere schwache Algorithmen, Implementierungen, Schlüssel oder Seeds verwendet werden. Ein Beispiel hierfür ist " Krypto mit Exportqualität".

Abhängig vom Grad der Raffinesse des "Angreifers" spielt ein falsches Gefühl der Verschlüsselung keine Rolle, wenn Angreifer darauf achten das Speichermedium auf einer hohen Ebene (das Gerät in einem Betriebssystem einbinden) oder auf einer niedrigen Ebene (mit einem Rasterelektronenmikroskop).

Der Rat ist, dass Sie Ihre Daten verschlüsseln sollten.

Während ich möglicherweise etwas Flak dafür bekomme, wollen die meisten Verbraucher keine Verschlüsselung für ruhende Daten.

Vor einem Flammenkrieg beginnt, werde ich erklären.

Informationssicherheit befasst sich mit Risikobewertungen. Wenn ein Speichermedium garantiert keine sensiblen Daten enthält, warum sollte es verschlüsselt werden? Die Verschlüsselung führt häufig zu Leistungseinbußen.

Die meisten normalen Menschen finden keine Verschlüsselung von Daten in Ruhe hilfreich. So sehr es mich auch schmerzt, es zu sagen, ein Mangel an Verschlüsselung ermöglicht eine einfache Datenwiederherstellung. Im IT-Support wird weitaus häufiger gefragt, ob ich meine Dateien verloren habe als ob ich meine Dateien verlieren möchte.

Wenn Sie auf ein Gerät mit "Verschlüsselung" setzen, haben Sie viele andere Probleme, außer dass die Daten in Ruhe sicher sind.

Die meisten Amateur-Straßendiebe sind daran interessiert, das Gerät abzuwischen und zu verkaufen. Die Verschlüsselung hilft in diesem Fall nicht weiter. Ein Zurücksetzen auf die Werkseinstellungen macht Daten für Amateur-Straßendiebe "unwiederbringlich".

Es ist mehr als ausreichend, Ihr Speichermedium zu einem Zerkleinerungsunternehmen zu bringen, wenn Sie es nicht mehr verwenden können . Ich gehe davon aus, dass dies die Frage ist.

Was ist, wenn ich meine Daten auf einer bestimmten Ebene wirklich nicht wiederherstellbar machen muss?

Was Wenn ich meine Daten im Laufe der Zeit wirklich unwiederbringlich machen muss, während ich noch darauf zugreife?

Angenommen, Sie haben vertrauliche Dateien, Unternehmensgeheimnisse oder einen anderen legitimen Grund, könnte 3DES oder sogar RC4 ausreichen zum Verschlüsseln Ihrer Dateien - bei einem ausreichend starken Schlüssel, einer angemessenen Implementierung und Ihren potenziellen Angreifern, die zur allgemeinen (und uniformierten) Bevölkerung gehören.

Sie sollten wer oder was fragen stark> Sie schützen Ihre Daten vor / gegen.

Wenn Sie nach allgemein "nicht wiederherstellbar" suchen, wählen Sie eine zufällige seriöse Chiffre und geben Sie ihr einen völlig zufälligen Schlüssel, der sogar Sie Ich weiß es nicht (irgendwo in der Größenordnung von 256 Bit) und warte, bis der Vorgang abgeschlossen ist.

Angenommen, jede Codezeile im Software-Stapel hat ihre Aufgabe erfüllt (und jeder Transistor in jedem Chip) sollte dies pr ove "unwiederbringlich" für die breite Bevölkerung.

Wenn Sie zögern, verschlüsseln Sie die Daten auf dem Laufwerk etwa alle zehn Jahre. Auf diese Weise können Sie sicherstellen, dass Sie über alle Schwachstellen in der von Ihnen verwendeten Kryptografie "auf dem neuesten Stand" bleiben.

Löschen Sie eventuell vorhandene Caches. Geräte verwenden diese für die Leistung und enthalten wahrscheinlich Klartext Inhalt.

Wenn Sie daran interessiert sind, Daten im Laufe der Zeit zu sichern , ist dies ein ganz anderer Bereich der Informationssicherheit.

#3
+6
supercat
2020-06-16 04:47:13 UTC
view on stackexchange narkive permalink

Bei vielen Arten von Magnetplattenlaufwerken führt das Überschreiben eines Sektors auch nur einmal mit zufälligen Daten wahrscheinlich dazu, dass die Daten selbst mit fortschrittlichen forensischen Techniken dauerhaft nicht wiederherstellbar sind. Eine Vielzahl von Faktoren kann jedoch dazu führen, dass einige Daten der Zerstörung "entgehen". Wenn beispielsweise ein Wechseldatenträger mit einem Laufwerk geschrieben wird, dessen Köpfe ein stärkeres Magnetfeld erzeugen als das Laufwerk, das zum Überschreiben verwendet wird, kann die Breite des vom ersten Laufwerk geschriebenen Streifens geringfügig größer sein als die Breite, durch die gelöscht wird der Zweite. Wenn z.B. Der erste Streifen war 10% breiter als der zweite, es wäre unmöglich, die äußeren Teile mit herkömmlichen Mitteln abzulesen, aber wenn man einen Antrieb hätte, dessen Kopf sogar etwas schmaler als der zweite war und dessen Position genau gesteuert werden konnte, einen könnte die mittleren 90% der späteren Spur löschen, dann versuchen, die inneren und äußeren Kanten zu lesen, dann den Kopf bewegen, um die mittleren 95% zu löschen, dann versuchen, die inneren und äußeren Kanten usw. zu lesen. Wenn man gleichmäßig polarisieren würde Der gesamte Bereich, der von dem neuen Streifen abgedeckt wird, und der Versuch, die äußeren Teile der Spur zu lesen, würden ein Signal ergeben, das 1/20 der ursprünglichen Geschwindigkeit betrug, bei dem jedoch die neu geschriebenen Daten entfernt wurden.

Ich ziehe an Ich weiß nicht, ob die Amplitude eines solchen Signals ausreichen würde, um eine zuverlässige Wiederherstellung zu ermöglichen, aber wenn man weiß, wo ein privater 256-Bit-Schlüssel gespeichert ist und man Bitwerte mit einer Zuverlässigkeit von 99% pro Bit identifizieren kann, ist dies eine Brute-Force-Suche (zu stark vereinfacht) beginnt mit dem Bitmuster auf der Platte und dann mit allen Pa Muster, die sich um ein Bit unterscheiden, und dann alle Muster, die sich um zwei Bits usw. unterscheiden. Es kann möglich sein, den Schlüssel viel schneller zu knacken, als wenn man keinen teilweise wiederherstellbaren Schlüssel als Ausgangspunkt hätte.

Wenn Sie auf dem Apple II eine Diskette schrubben möchten, können Sie Programme verwenden, die den Kopf in Schritten von einem halben Schritt anstatt in Schritten von einem vollen Schritt bewegen, während Sie die Festplatte löschen. Wenn das Laufwerk ordnungsgemäß funktioniert, sind die von einem solchen Programm gelöschten Daten wirklich verschwunden. Ich kenne jedoch keine Festplatten, die ähnliche Fähigkeiten bieten, außer - wie an anderer Stelle erwähnt - durch Verschlüsselung.

Wow, ich hatte nicht erwartet, eine Diskussion über Apple II Half-Tracking auf Infosec StackEx zu sehen
@kindall: Derzeit arbeite ich daran, eine Schnittstelle zu erstellen, über die Daten vom PC auf die Diskettenschnittstelle übertragen werden können. Sobald dies erledigt ist, plane ich, mit Schindeln und anderen Techniken unter Verwendung der Viertelspursteuerung zu experimentieren.Mein Verdacht ist, dass, wenn man nicht in der Lage sein muss, eine Spur zu schreiben, ohne die obige Spur zu beschädigen (z. B. wenn man Spuren in der richtigen Reihenfolge schreibt), es möglich sein sollte, Daten mit einem Abstand von 3/4-Spuren robust zu speichern, und wennWenn man bereit ist, einen destruktiven Lesevorgang zu verwenden, könnten Daten wahrscheinlich mit einem halben Spurabstand robust gespeichert werden.
@kindall: Beachten Sie, dass selbst beim "destruktiven" Lesen keine Daten zerstört werden müssen, bis sie erfolgreich gelesen wurden, sodass z.Verwenden Sie ein Protokoll, das eine Spur liest, ihre Daten an eine andere Stelle schreibt, den gelesenen Bereich gleichmäßig polarisiert, die nächste Spur liest, ihre Daten an anderer Stelle schreibt, sie gleichmäßig polarisiert usw. Ich plane auch, einen solchen Ansatz mit Viertel zu testen-Spurabstand;Obwohl ich nicht besonders erwarte, dass dies zu verlässlichen Ergebnissen führt, wäre es cool, wenn eine Apple-Diskette mehr als 500 KByte pro Seite übertragen könnte (die normale Kapazität beträgt 140 KByte).
#4
+3
Damon
2020-06-14 20:32:28 UTC
view on stackexchange narkive permalink

Obwohl dies wahr ist und in der Vergangenheit für mich viel "wahrer" war (gibt es so etwas wie wahrer?), ist es nicht unbedingt ein Problem.

Natürlich, wenn Sie möchten 100% sicher sein, weil Sie in den Top 5 der CIA-Fahndungsliste stehen. Es gibt keine andere Möglichkeit, als das Laufwerk nach dem Formatieren mit einem Schraubenschlüssel und mit Feuer physisch zu zerstören (allerdings ehrlich gesagt für 99) % aller Benutzer, das ist totaler Unsinn!). Oh, und erschießen Sie alle, die Ihr Gesicht gesehen haben.

Aber können gelöschte Daten wiederhergestellt werden oder nicht? Ob dies der Fall ist oder nicht, ist schwer zu sagen.

Zunächst hängt es davon ab, was "Löschen" bedeutet. Wenn Sie beispielsweise eine -Datei löschen, in der Regel in erster Linie Metadaten im Dateisystem, werden lediglich die tatsächlichen Datenblöcke als verfügbar markiert, damit sie eventuell wiederverwendet / überschrieben werden können. Es gibt Ausnahmen und es gibt "sichere Lösch" -Tools, die die Datei manchmal mehrmals überschreiben. Ob diese Tools tatsächlich funktionieren , ist auf moderner Hardware (und mit einigen Dateisystemen) umstritten. Das Löschen von Daten aus dem Speicher macht sie nicht wiederherstellbar (ziemlich sicher!), Es sei denn, die Speicherseite wurde zum Auslagern geschrieben. In diesem Fall können Sie nicht feststellen, ob es jemals gelöscht werden kann (ohne das Laufwerk in einem Ofen zu verbrennen). Beachten Sie, dass sich beim Journaling von Dateisystemen möglicherweise auch dann noch eine Kopie im Journal befindet, wenn die Daten gelöscht werden. Ein Copy-on-Write-Dateisystem verfügt möglicherweise überraschenderweise über eine Kopie, die Sie nicht kennen und die Sie überhaupt nicht überschreiben können.

Es hängt auch stark davon ab, in welchem ​​Jahrhundert Sie leben In den 90er Jahren war es ziemlich üblich, Daten zu rekonstruieren, die ein halbes Dutzend Mal aus dem Restmagnetismus überschrieben wurden. Andererseits war das sichere Löschen zu diesem Zeitpunkt auch einigermaßen sicher, da Sie eine Art Garantie hatten, dass Sie die Daten tatsächlich überschreiben oder einen Fehler erhalten.

Bei modernen Laufwerken sieht das etwas anders aus. Einerseits ist das Wiederherstellen überschriebener magnetischer Daten heutzutage eine ziemlich entmutigende Aufgabe. Ich weiß nicht, ob Restladung verwendet werden könnte, um Daten im Flash-Speicher wiederherzustellen, aber wenn man dazu entschlossen ist, dann zumindest theoretisch ... warum nicht.
Andererseits weiß man es nie wenn etwas überschrieben wird oder wenn überhaupt, oder wenn derselbe Sektor, in den Sie schreiben, tatsächlich derselbe Sektor ist. Oft ist dies nicht der Fall, und bei SSD ist praktisch garantiert, dass dies nicht der Fall ist. Die Abnutzung und Neuzuweisung von Verschleiß ist zu 100% transparent, und Sie können es nicht sagen. Möglicherweise können Sie einen Sektor überhaupt nicht überschreiben, egal wie sehr Sie es versuchen. Moderne Laufwerke (nicht nur "Hybrid" -Laufwerke, die bereits wieder aussterben) verfügen möglicherweise über mehrere Speicherebenen, wobei die eine oder andere zum Zwischenspeichern verwendet wird. Einige SSDs funktionieren beispielsweise mit SLC / MLC-Kombinationen so. Selbst wenn Sie etwas löschen , wissen Sie nie genau, ob es keine Kopie gibt.

Auf der anderen Seite ...

Ältere Laufwerke aus technischen Gründen eine Art Bitmischung verwendet (günstiger für die Hardware, sowohl im magnetischen als auch im festen Zustand). Moderne Laufwerke verwenden fast ausschließlich AES, das beim Mischen von Bits nicht wesentlich besser ist, aber in billiger, allgegenwärtiger Hardware problemlos unterstützt wird, und Sie können "AES, sicher!" Schreiben. auf der Box, was gut für den Verkauf ist.
Die meisten, wenn nicht alle heutigen Laufwerke sind SEDs (selbstverschlüsselnde Laufwerke), obwohl dies nicht automatisch bedeutet, dass sie sicher sind. Es kommt darauf an, wie / wo der Entschlüsselungsschlüssel gespeichert ist und wie darauf zugegriffen werden kann. Auf einem selbstverschlüsselnden Laufwerk mit einem einzigen integrierten Entschlüsselungsschlüssel, auf den jeder zugreifen kann, spielt die Tatsache, dass es sich um eine Selbstverschlüsselung handelt, keine Rolle. Ein Laufwerk, auf dem der Entschlüsselungsschlüssel nur Benutzern zur Verfügung steht, die sich beim BIOS authentifiziert haben, ist eine andere Geschichte.
Gleiches gilt für die Funktion zum sicheren Löschen / Zurücksetzen auf die Werkseinstellungen, die praktisch alle Laufwerke unterstützen. Einige (Seagate, sehr zu meinem Ärger, es ist nicht nur unsicher, es dauert auch Stunden ) überschreiben das Laufwerk tatsächlich mit Müll. Einige (z. B. Samsung) löschen lediglich den Verschlüsselungsschlüssel und machen alle Daten sofort unlesbar. Einige, so wurde mir gesagt, behalten eine Kopie des Entschlüsselungsschlüssels bei sich, obwohl Sie "sicheres Löschen" sagten. Ich bin mir nicht sicher, ob das tatsächlich stimmt (kaum vorstellbar), aber es ist sicher eine theoretische Möglichkeit. Sie haben keine Möglichkeit, dies mit Sicherheit zu sagen.

Was bedeutet dies in der Praxis?

Für die meisten Menschen ist die Verwendung eines ordnungsgemäß konfigurierten, selbstverschlüsselnden Laufwerks ohne Mist gerade gut genug . Löschen Sie die Festplatte, bevor Sie den Computer wegwerfen, und los geht's. Dies verhindert, dass eine zufällige Person, die Ihre Festplatte aus dem Papierkorb zieht, sowie ein durchschnittlicher Krimineller auf Ihre Inhalte zugreifen.
Für die meisten Menschen ist das Löschen einer Datei (die zufällig keine ganz besondere geheime Datei ist) einfach so wird im Windows Explorer nicht mehr benötigt und ist gerade gut genug.
Wenn Sie zu 100% sicher sein möchten, dass auf einige wichtige Daten nicht zugegriffen werden kann, wenn der Computer gestohlen wird, können Sie eine verschlüsselte Partition oder einen verschlüsselten Container auf der Festplatte erstellen (Veracrypt oder dergleichen). Aber wirklich, nur wenige Menschen brauchen das tatsächlich.

Es gibt ungefähr drei Kategorien von Geheimnissen auf der Welt:

  1. Solche, die einfach zu langweilig und wertlos sind, will niemand stehlen wie auch immer. Es tut nicht weh, diese zu verschlüsseln, aber abgesehen davon, dass es weniger offensichtlich ist, welche Informationen es wert sind, gestohlen zu werden, und welche Informationen wertlos sind, nützt dies wenig. Da es jedoch schwieriger macht, herauszufinden, was interessant ist, möchten Sie sie trotzdem verschlüsseln (außerdem ist das Verschlüsseln ganzer Partitionen / Festplatten einfacher). Genauso wie Sie einfach jedes Stück Papier in den Aktenvernichter legen möchten, nicht nur Ihre Bankkorrespondenz.
  2. Solche Informationen, die Sie vor einem durchschnittlichen Kriminellen schützen möchten. Diese sollten einigermaßen sicher sein. Die Verschlüsselung ist ein guter Plan, um zu verhindern, dass zu trivial auf sie zugegriffen (oder sie belauscht) werden. Um zu vermeiden, dass sie beim Wegwerfen der Festplatte auslaufen, ist es in Ordnung, die Festplatte vorher zu löschen.
  3. Solche Informationen, die wirklich wichtig sind, Informationen, die Menschen verletzen und töten. Sie werden diese Art von Informationen trotzdem preisgeben, denn wenn Sie sie preisgeben, werden Sie an einen Stuhl gebunden und geschlagen, bis Sie dies tun. Um ehrlich zu sein, spielt es keine Rolle, wie Sie diese Geheimnisse schützen.
  4. ol>

    Also, um es kurz zu machen, löschen Sie einfach Ihre Dateien normal und löschen Sie die Festplatte, wenn Sie sie wegwerfen.

* "Also, lange Rede, kurzer Sinn, löschen Sie einfach Ihre Dateien normal und löschen Sie die Festplatte, wenn Sie sie wegwerfen." * Ich kann nicht glauben, dies in einem Informationssicherheitsforum zu lesen. Ich bin mit fast jeder Aussage, die Sie gemacht haben, überhaupt nicht einverstanden. Ihre Antwort spricht sehr stark gegen das Prinzip der Sicherheit und fordert die Benutzer auf, Daten nicht zu verschlüsseln. In Bezug auf Ihre "drei Kategorien von Geheimnissen": 95% der Unternehmensdaten liegen irgendwo zwischen 2 und 3, wobei die Standardlöschung ** NICHT ** ausreicht, die staatlichen Akteure jedoch nicht überwiegend an den Daten interessiert sind.
@dmuensterer: Spielen Sie absichtlich dumm oder haben Sie nur den Teil über eine ordnungsgemäß konfigurierte selbstverschlüsselnde Festplatte verpasst?Was meines Wissens jeder einzelne dieser Unternehmens-Laptops verwendet (und welche 2/3 der Heimanwender und 100% aller Smartphone-Besitzer verwenden, ohne zu wissen, was es ist).Das Löschen von Dateien ist in diesem Szenario zu 100% ausreichend, und jede Art von "sicherem Löschen" weist auf einen schwerwiegenden Mangel an Wissen hin (Stichwort: Sektor-Remapping / Verschleißabgleich).Sicheres Löschen ist überhaupt nicht sicher, es ist bloße Dummheit und kostet Schreibzyklen ohne Erfolg.
Ich habe die Aussagen zur Selbstverschlüsselung gelesen, aber die meisten Laufwerke sind heute keine SEDs und es ist nicht gut, sich blind auf sie zu verlassen. Die meisten Ihrer Aussagen zu SEDs beziehen sich auch auf SED-Systeme, die nicht zur tatsächlichen Sicherheit beitragen, da der private Schlüssel auf der Festplatte gespeichert wird. Es gibt viele Gründe gegen SEDs, zum Beispiel: Mangel an vertrauenswürdigen Prüfungsmöglichkeiten, schlechtere Datenverfügbarkeit aufgrund von Schlüsselverwaltungen und vieles mehr. Für die meisten Menschen ist das Löschen von Dateien und das Wegwerfen des Laufwerks nicht der sichere Weg.
@dmuensterer _ "Für die meisten Menschen ist das Löschen von Dateien und das Wegwerfen des Laufwerks nicht der sichere Weg." _ - Bitte beachten Sie, dass Damon sagte, er solle die Festplatte löschen, bevor er sie wegwirft.Angenommen, "Löschen" bedeutet mindestens eine vollständige Nullfüllung, die für die meisten Menschen tatsächlich angemessen sein sollte.
@marcelm Ja, ich stimme zu.Wenn * Löschen der Festplatte * eine vollständige Nullfüllung bedeutet, wäre dies für die meisten Menschen wahrscheinlich ausreichend."Löschen der Festplatte" kann jedoch auch das Löschen aller Partitionen bedeuten.
"Zerstören Sie das Laufwerk physisch mit einem Schraubenschlüssel und mit Feuer, nachdem Sie es formatiert haben".Durch die Formatierung wird nicht wirklich viel erreicht.
#5
+1
Dmitry Grigoryev
2020-06-16 15:25:20 UTC
view on stackexchange narkive permalink

Sie sollten Behauptungen über "theoretische" und "praktische" Datenwiederherstellung unterscheiden. Mit der Verwendung des Wortes "immer" beziehe ich mich vermutlich auf den praktischen Aspekt.

Theoretisch, wenn Sie einen schwankenden Wert erhalten, der in 51% der Fälle als "1" und als "0" interpretiert wird. In 49% der Fälle enthält es immer noch einige Informationen über das System, von dem es stammt, im Gegensatz zu einem vollkommen zufälligen Wert, sodass Sie nützliche Daten durch Lesen wiederherstellen können. Wenn Sie sicher sind, dass die Bits, die Sie lesen, zu einem Verschlüsselungsschlüssel gehören, können Sie diese Technik verwenden, um sie wiederherzustellen: Selbst das Erraten von 10 korrekten Bits beschleunigt das Brute-Forcen um den Faktor 1000.

In der Praxis bedeutet Datenwiederherstellung, dass Sie z eine verlorene Datei von einem USB-Stick. Dies bedeutet, Millionen von Bits ohne einen einzigen Fehler zu lesen. Eine Datei mit 1% der umgedrehten Bits ist im Wesentlichen nutzlos. In vielen Fällen macht das Umblättern von nur einem Dutzend Bits die Wiederherstellung unpraktisch.

Wenn Sie eine Datei überschreiben, kann sie theoretisch immer noch wiederhergestellt werden: Es gibt keine Garantie dafür, dass jedes einzelne Bit überschrieben wurde. Wenn Sie eine Datei überschreiben, küssen Sie sie praktisch zum Abschied.

Es hängt davon ab, welche Art von Wiederherstellung Sie benötigen.Wenn Sie die Datei absolut frei von Beschädigungen lesen müssen, ist 1% gespiegelte Bits ein Problem.Wenn Sie nur nachweisen müssen, dass der Verdächtige eine Kopie eines Handbuchs zur Herstellung illegaler Bomben hatte, reicht es wahrscheinlich aus, 99% der Bits zu ermitteln, um den kriminellen Beweisstandard zu erfüllen.
@JonBentley Das ist die gleiche Art der Wiederherstellung wie mit dem Verschlüsselungsschlüssel.Sie benötigen nicht die vollständigen Daten, nur einige Teile davon.
Es ist ein anderer Fall.Mit dem Verschlüsselungsschlüssel * benötigen * Sie die vollständigen Daten, aber Sie können die Teildaten verwenden, um die fehlenden Daten schneller zu erzwingen.Bei der Datenwiederherstellung können Teildaten an und für sich nützlich sein, auch ohne jemals den fehlenden Teil wiederherzustellen.Ich würde argumentieren, dass sich die meisten Daten aus praktischen Gründen eher auf die vollständige als auf die teilweise Löschung von Daten beziehen.Es ist z.B.Kein Trost für ein Unternehmen, dass 1% seiner vertraulichen Daten nicht wiederherstellbar waren.
#6
  0
David258
2020-06-16 16:27:36 UTC
view on stackexchange narkive permalink

Verschlüsselung ist keine Methode zur Datenvernichtung. Verschlüsselte Daten sollen ausdrücklich wiederhergestellt werden, sondern nur von autorisierten Personen. Verschlüsselte Daten sollten immer wiederherstellbar sein, obwohl sie für nicht autorisierte Benutzer unerschwinglich schwierig sein sollten.

Um Ihre Frage wie geschrieben zu beantworten, Es gibt verschiedene Möglichkeiten, Daten zu löschen. "Nicht wiederherstellbar" hängt davon ab, wer versucht, sie wiederherzustellen, und wie viel Geld / Zeit sie bereit sind, dafür zu investieren.

Löschen:

  • "Normales" Löschen von Dateien, mit denen die meisten Benutzer vertraut sind
  • Die 1s / 0s sind noch im Speicher vorhanden
  • Einmal identifiziert, dass die Daten zuverlässig wiederhergestellt werden können

Überschreiben:

  • Die 1s / 0s des relevanten Speichers werden überschrieben
  • Die Daten können nicht durch herkömmlichen Datenzugriff wiederhergestellt werden. Spezialausrüstung ist erforderlich.

Rückstandsreinigung

  • Rest physisch Spuren der 1s / 0s werden durch wiederholtes Überschreiben entfernt.
  • Spezialgeräte können den Speicherverlauf nicht mehr zuverlässiger auflösen fähig als zufälliges Rauschen

Physische Zerstörung

  • Unabhängig von den oben genannten Faktoren werden tatsächliche 1s / 0s
  • nicht berücksichtigt
  • Macht eine physische Rekonstruktion des Geräts unmöglich.

Um Ihre Frage allgemein zu beantworten, werden Ihre Daten durch Rückstandsbereinigung und physische Zerstörung nicht wiederhergestellt. Die dafür erforderlichen Prozesse hängen von der Speicherung ab mittel.

Der erste Absatz ist etwas irreführend.Die Verschlüsselung * wird * häufig als Löschmethode verwendet und kann entweder mit oder ohne Beschränkung der Daten nur auf "autorisierte Personen" erfolgen.Beispielsweise ist es üblich, ein Laufwerk zu verschlüsseln, den Verschlüsselungsschlüssel jedoch im Klartext auf demselben Laufwerk zu speichern.Dies bietet keinen Zugriffsschutz, ermöglicht es Ihnen jedoch, die Daten zu löschen (= unwiederbringlich zu machen), indem Sie einfach das Löschen des Schlüssels anstelle des gesamten Laufwerks sicherstellen.
@JonBentley Vielleicht ist dies pedantisch, aber das ist sicherlich nur ein Sonderfall, in dem es keine autorisierten Benutzer gibt?Wenn Sie dies als (einziges) Mittel zur Datenvernichtung verwenden, garantieren Sie außerdem, dass eine Wiederherstellung möglich ist, auch wenn dies sehr schwierig ist, während die Frage gestellt wird, wie Daten "nicht wiederherstellbar" gemacht werden können.
Moderne Verschlüsselungsmethoden sind auch theoretisch nicht zerbrechlich, und Brute Force ist hier keine Option, da es sich um den Schlüssel selbst handelt, nicht um ein Passwort.In der Praxis ist "sehr schwer" gleichbedeutend mit "unmöglich".Um solche Daten wiederherzustellen, besteht Ihre einzige praktikable Strategie darin, daran festzuhalten und zu hoffen, dass zukünftige mathematische oder technologische Aspekte den Verschlüsselungsalgorithmus auf irgendeine Weise schwächen.Auf jeden Fall habe ich nicht versucht zu implizieren, dass Ihre Antwort irgendwie falsch ist oder dass die Verschlüsselung die beste / einzige Lösung ist.Nur dass Ihr erster Absatz impliziert, dass Verschlüsselung hier völlig nutzlos ist.
@JonBentley - Das ist ein fairer Punkt;Ich werde mir eine Möglichkeit überlegen, sie neu zu formulieren.
@JonBentley - weiter denken / lesen, gilt Crypto-Shredding wirklich nur für das Löschen der Schlüssel für Daten, die bereits verschlüsselt sind?Ich bin mir nicht sicher, wie sich dies auf das Löschen unverschlüsselter Daten auswirken würde, da Sie immer noch das Löschen der Originaldateien durchführen müssten.
Ja, es gilt nur, wenn es im Voraus geplant wurde.
Durch das Löschen der Schlüssel von einem verschlüsselten Laufwerk können die Daten nur dann nicht wiederhergestellt werden, wenn dies die einzige Kopie der Schlüssel ist.
#7
  0
Amol Soneji
2020-06-21 12:48:16 UTC
view on stackexchange narkive permalink

In Bezug auf das Speichermedium (Gesamtintegrität):

Magnetisches Speichermedium:

Für magnetische Speichermedien wie Festplatte und Disketten, der Zustand des Magnetfilms oder der Platten bestimmt die Fähigkeit, Daten aus dem Speichermedium zu extrahieren. Wenn eine Festplatte gehämmert würde, würden das Festplattengehäuse und die Platten in viele Teile zerstört. In einem anderen Szenario, in dem die Festplatte oder eine Diskette extremen Magnetkräften ausgesetzt wurde, wurden die Magnetfelder auf der Festplatte neu angeordnet und die Daten gingen verloren.

Im Fall einer mit einer Buchse gehämmerten Festplatte sogar Wenn jemand versuchte, die Teile der Festplattenplatten wie Puzzleteile zusammenzusetzen, gingen immer noch einige Daten verloren. Unter der Annahme, dass ein speziell entwickelter Magnetleser, der sich über die Platte bewegt, erstellt werden sollte, um so viele Blöcke auf den Platten zu lesen. Ein Großteil der Daten kann immer noch nicht wiederhergestellt werden. Magnetische Objekte, die brechen oder deren Magnetfelder neu angeordnet sind, und die Kanten der Unterbrechung erfahren ebenfalls die magnetischste Umlagerung. Was gelöschte Daten auf der Festplatte betrifft, hängt es davon ab, was gelesen werden kann und wie ausgefeilt die forensische Technologie zu diesem Zeitpunkt ist, um fragmentierte Teile einer Festplatte zu lesen.

Ein starker Magnetfeldeffekt könnte es möglicherweise noch schwieriger machen oder nahezu unmöglich, die gelöschten Daten zurückzugewinnen. Im Gegensatz zu den Auswirkungen des Brechens oder Schlagens einer Festplatte können die Auswirkungen starker Magnetfelder alle Magnetfelder aller Blöcke auf den Festplattenplatten neu anordnen. Wenn Daten auf der Festplatte gelöscht wurden, kann an dieser Stelle davon ausgegangen werden, dass die Daten nicht wiederherstellbar sind.

Flash-Speichermedium:

Ein Stromstoß, der auf dem NAND-Speicherchip eines Flash-Laufwerks oder einer SSD induziert wird, kann ihn braten oder beschädigen. Abhängig davon, wie der Speicherchip gebraten oder beschädigt wurde, kann bestimmt werden, wie viele Daten wiederhergestellt werden können. Stellen Sie sich nun die Situation vor, in der Sie eine elektrische Kettensäge verwenden und gerade durch die Mitte des Speicherchips schneiden, senkrecht zu den Kanten des Chips, an denen sich die Anschlussstifte der Leiterplatte befinden. Nicht nur der Speicherchip wird halbiert, sondern es würde auch viel Elektrotechnik erfordern, um die beiden Hälften miteinander zu verbinden oder sie separat auf einer Leiterplatte oder einem forensischen Gerät zu verwenden.

As @ dmuensterer gab an, dass gelöschte Dateien nicht automatisch überschrieben oder von einer SSD gelöscht werden. Dies dient der Verschleißnivellierung und der Verbesserung der Lebensdauer von SSDs. Sie sagten auch, wie spezielle Werkzeuge erforderlich sind, um solche Aufgaben auszuführen, um gelöschte Dateien wirklich sofort zu löschen.

Unter Berücksichtigung der beiden oben genannten Absätze kann davon ausgegangen werden, dass der aktuelle Zustand des Speicherchips und wie der Gelöschte Dateien Daten wurden behandelt, bestimmt, ob die gelöschten Daten wiederherstellbar oder nicht wiederherstellbar sind.

Optische Datenträger:

Einige Formate von optischen Datenträgern wie CD (± RW) ), DVD (± RW) und Blu-Ray (RE) unterstützen beim Formatieren für Computerdaten das Löschen von Dateien. Das Löschen auf optischen Datenträgern ähnelt dem Löschen auf einer Festplatte, auf der die Dateimetadaten und der Zeiger entfernt werden. Beim Hinzufügen einer neuen Datei oder eines neuen Ordners werden die alten Daten überschrieben. Der einzige Unterschied ist, dass die Spur der früheren Daten viel geringer ist. Dies liegt daran, dass es sich hier um eine physikalische Struktur handelt. Weitere Schreibvorgänge über denselben Bereich ändern die Topologie der Oberfläche weiter. Somit hängt die Wiederherstellbarkeit der gelöschten Daten auf optischen Platten davon ab, wie viele Informationen aus der Topologie der Oberfläche der optischen Platte erhalten werden können

Die Verwendung einer Lötlampe ist der einfachste Weg, um die Daten unwiederbringlich zu machen. Dazu wird eine Lötlampe auf die Datenoberfläche der optischen Platte gelegt und so lange erhitzt, dass die Datenverbundschicht auf mikroskopischer Ebene schmilzt oder ihre Form ändert. Zu diesem Zeitpunkt gehen die Daten verloren und können nicht wiederhergestellt werden.

In Bezug auf Lese- und Schreibzyklen:

HDD:

Daten auf einer Festplatte werden theoretisch nicht wirklich durch Lese- und Schreibzyklen wiedergegeben. Solange der Arm nicht auf die Platte trifft, kann die Festplatte mehrere Lese- und Schreibzyklen durchlaufen, es gibt keine Probleme. Platten bestehen aus Metall, und Metallgegenstände verlieren niemals die Eigenschaft, magnetisiert und entmagnetisiert zu werden. Wir beziehen uns auf die Platte, die die Daten enthält, nicht auf den Arm, der sie nur liest oder schreibt. Wenn ein toter Arm ersetzt wird, sind die Festplatten-Daten theoretisch immer noch verfügbar.

SSD:

Wie andere oben gesagt haben, funktioniert eine SSD nicht mehr bis zu einem Punkt, an dem es möglicherweise nicht mehr geschrieben oder sogar gelesen werden kann. Da die Daten in einem elektrischen Zustand (nicht magnetisch oder physikalisch) gespeichert sind, gibt es in dieser Situation keine Möglichkeit, erneut auf die Daten zuzugreifen. Bei einer toten SSD kann davon ausgegangen werden, dass gelöschte Daten nicht wiederhergestellt werden können.

Optische Festplatte:

Alle wiederbeschreibbaren optischen Datenträger haben ein Schreiblimit. Es gibt keine Lesegrenze wie bei einer SSD, obwohl es eine sogenannte Altersgrenze für optische Datenträger gibt. Wiederbeschreibbare DVDs haben normalerweise weniger Schreibzyklen als eine wiederbeschreibbare CD ( 1). Die Pits oder Bumps auf einer wiederbeschreibbaren DVD können an derselben Stelle um etwa 1.000 geändert werden ( 2). Dies liegt daran, dass optische Platten normalerweise aus Farbstoffen hergestellt werden. Nachdem Daten nicht überschrieben werden können, besteht die einzige Möglichkeit, gelöschte Daten zu zerstören, darin, die optische Platte auf die zuvor beschriebene Weise zu blasen. Es gibt auch einen Punkt, an dem die optische Platte nicht mehr verwendet (sogar gelesen) werden kann, und dies liegt an diesen Farbstoffen. Die Farbstoffe können über Jahre (normalerweise Jahrzehnte) zerfallen und sich verformen, wonach die optische Platte nicht mehr lesbar ist. In diesem Fall können die gelöschten Daten nicht mehr wiederhergestellt werden. Referenziert ist eine von NIST durchgeführte Studie ( 3). Referenz von einer anderen Stelle ( 4).

In Bezug auf die Verschlüsselung:

Verschlüsselte Datenträgerdaten, die gelöschte Daten enthalten, können sein wird als ein weiterer Weg angesehen, um gelöschte Daten unwiederbringlich zu machen. Es gibt jedoch einige Fänge. Es müssen folgende Bedingungen erfüllt sein:

  • Nach der Verschlüsselung muss der Schlüssel verloren gehen.
  • Es gibt keine Kopien des Schlüssels.
  • Der verwendete Verschlüsselungsalgorithmus wurde nicht beschädigt oder ist für Brute Force nicht zu einfach.

Gelöschter Verschlüsselungsschlüssel ohne Kopien ist hier wichtig:

Ein gelöschter Verschlüsselungsschlüssel ohne Kopien davon bedeutet, dass die Daten nur mithilfe eines Fehlers im Verschlüsselungsalgorithmus oder mit brutaler Gewalt wiederhergestellt werden können. Was zum letzten Abschnitt führt.

Ein starker Verschlüsselungsalgorithmus ohne praktikable Brute Force:

Ein Verschlüsselungsalgorithmus mit einem Fehler, zum Beispiel RC4 , kann seinen Schlüssel gefunden bekommen. ( 5). Es wird 105 Jahre dauern, bis RC5 kaputt ist ( 6 und 7). Auch ein zu einfacher Verschlüsselungsalgorithmus wie Caesar Cipher benötigt keine Zeit zum Entschlüsseln.

Ein starker Verschlüsselungsalgorithmus wie AES-256 wird bis in alle Ewigkeit brute Force und daher können gelöschte Daten vorerst als nicht wiederherstellbar angesehen werden.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...