5 votos

David Braun avatar

Agujero de seguridad de FileVault cuando se usa en SSDs

Preguntado el 28 de Febrero, 2014
Cuando se hizo la pregunta
2659 visitas
Cuantas visitas ha tenido la pregunta
3 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Me acabo de enterar de que parece que los datos del usuario pueden filtrarse al utilizar FileVault y el Asistente de Migración en un SSD en un Mac nuevo cuando se siguen las indicaciones por defecto.

Cuando configuro un nuevo Mac, me anima a "Transferir información a este Mac" al principio del proceso, antes de que se me permita activar FileVault. Esto está bien en un disco duro porque, aunque estoy copiando mis datos al nuevo Mac en claro, FileVault acabará sobrescribiendo todo con el cifrado.

Sin embargo, en un SSD es imposible sobrescribir los datos de forma segura:

... la función "Secure Erase Trash" del Mac deja 2/3 de un archivo recuperable.

- Fallo del Mac: La seguridad del SSD

... es casi imposible borrar de forma segura un archivo individual en un SSD, porque la forma en que los SSDs escriben y borran los archivos es dispersa, y un usuario no tiene control sobre lo que un SSD está haciendo donde. Si ese es el tipo de seguridad que buscas, tu mejor opción es el cifrado ...

- Pregunte a Ars: ¿Cómo puedo borrar de forma segura los datos de mi unidad SSD?

Así que cuando se me permite habilitar FileVault, ya es demasiado tarde. Y lo que es peor, no puedo borrar la unidad de forma segura antes de vender el ordenador:

Con OS X Lion y una unidad SSD, el borrado seguro y el borrado del espacio libre no están disponibles en la Utilidad de Discos. Estas opciones no son necesarias para una unidad SSD porque un borrado estándar dificulta la recuperación de datos de una unidad SSD. Para mayor seguridad, considere la posibilidad de activar el cifrado de FileVault 2 cuando empiece a utilizar la unidad SSD.

- Mac OS X: Acerca de la función de borrado de espacio libre de la Utilidad de Discos (support.apple.com/kb/HT3680)

Así que parece que la solución es:

  1. Omita el Asistente de Migración cuando se le solicite.
  2. Crear una nueva cuenta de usuario.
  3. Ejecute la actualización de software hasta el final para generar más entropía antes de habilitar FileVault con el fin de mitigar este "peor escenario, en el que el PRNG sólo ha sido sembrado con la menor cantidad de entropía". Inlcuye la Bóveda: Análisis de seguridad y descifrado de Lion Full Disk Cifrado (eprint.iacr.org/2012/374.pdf), página 9.
  4. Activar FileVault.
  5. Ejecute el Asistente de Migración.

Supongo que, aunque FileVault siga encriptando el disco antes de ejecutar el Asistente de Migración (mi ordenador me dice que le quedan 36 minutos de tiempo de encriptación), todas las nuevas escrituras realizadas por el Asistente de Migración estarán encriptadas y, por tanto, mis datos nunca tocarán las NANDs en claro.

¿Está de acuerdo con el problema y mi solución?

Preguntado el 28 de Febrero, 2014 por David Braun

0 votos

Avatar de Paul

¿Estás seguro de que la forma en que Apple vaciaba la basura de forma segura a principios de 2011 (Snow Leopard era el último OS X) es como lo hacen ahora? Además, ¿estás seguro de que cuando el SSD se borra utilizando otros medios que no sean el vaciado seguro de la papelera el mecanismo subyacente es el mismo?

Comentado el 28 de Febrero, 2014 por Paul

2 votos

Avatar de Darren

Cualquiera que tenga el control físico de un ordenador podrá, en última instancia, recuperar algunos datos de él; es simplemente una cuestión de cuánto esfuerzo y tiempo se necesitaría para recuperar cuántos datos. Dicho esto, si te preocupa que algún dato esté "a salvo", entonces sí, estoy de acuerdo con tu solución: dejaría que FV terminara y luego migraría o copiaría manualmente.

Comentado el 28 de Febrero, 2014 por Darren

2 votos

Avatar de Wolfram Kriesing

@da4 ¿Dudas de la implementación de FileVault? ¿El cifrado subyacente? ¿O de que los usuarios lo utilicen correctamente? En cuanto al OP, creo que tu estrategia es razonable. Yo también dejaría de usar FV durante un tiempo (quizás hasta que se apliquen las actualizaciones, etc.) en un sistema nuevo para dar a la entropía la oportunidad de construir y hacer la clave más fuerte.

Comentado el 28 de Febrero, 2014 por Wolfram Kriesing
Mostrar 6 comentarios más

Respuestas

¿Demasiados anuncios?

3voto

Oskar avatar
Oskar Puntos 1242

Es correcto que hagas una cuenta de usuario de prueba con un nombre corto diferente al del usuario eventual que se va a migrar.

En la práctica, con el tiempo sobreescribirás más y más datos, pero si tienes tiempo para establecer primero una clave de bóveda de archivos y tener la unidad completamente encriptada antes de copiar cualquier dato sensible, tienes un sistema más seguro y puedes saber que los datos pueden ser saneados criptográficamente en lugar de ser sobreescritos o realmente borrados.

Deberá buscar estas líneas en el diskutil cs list salida para saber que está listo para el inicio de la migración de datos:

|       Conversion Status:       Complete
|       High Level Queries:      Fully Secure
|       |                        Passphrase Required
Respondido el 19 de Febrero, 2016 por Oskar (1242 Puntos )

-1voto

damien avatar
damien Puntos 1378

Cifrado después de la transferencia: El menor riesgo

Mientras se ejecuta el Asistente de Migración, no hay ningún riesgo de seguridad adicional impuesto por la encriptación que comienza después de que se inicie la transferencia de datos. De hecho, esto reduce el riesgo de seguridad física a través del siguiente mecanismo:

  • Cuanto más tiempo esté el dispositivo sin cifrar, más tiempo será susceptible de sufrir amenazas de seguridad física (robo, James Bond), por lo que el riesgo será mayor.
  • Cuanto más tiempo se tarde en transferir los datos, más tiempo estará el dispositivo sin encriptar. Por lo tanto, se deduce lógicamente que cuanto más tiempo se tarde en transferir los datos, mayor será el riesgo.
  • El proceso de encriptación de todo el disco lleva un tiempo. Tarda aún más si estás escribiendo datos al mismo tiempo debido a los límites de i/o y a la capacidad de la CPU, a menos que tengas un superordenador.
  • El proceso de transferencia de datos lleva un tiempo. Tarda más si se escribe en un disco cifrado; e incluso una diferencia menor podría ser estadísticamente significativa en una evaluación de amenazas y riesgos.
  • Por tanto, cuanto más rápido se cifre el disco, menor será el riesgo; y cuanto más rápido se transfieran los datos, menor será el riesgo.
  • Y por lo tanto, el menor riesgo de seguridad lo ofrece el procedimiento actual: transferir primero los datos y luego encriptar el disco.
  • Este procedimiento presenta un riesgo menor que cualquier procedimiento que lleve más tiempo, especialmente porque mientras el ordenador esté encendido y los secretos de encriptación estén almacenados en la memoria activa, el ordenador es totalmente susceptible a un agente de amenaza sofisticado.

Borrado seguro innecesario con la encriptación de todo el disco

El borrado seguro no proporciona ningún beneficio cuando se utiliza en un SSD con cifrado de disco completo, debido a cómo se almacenan los datos. Pero cualquier beneficio potencial del uso de Secure Erase en cualquier disco con cifrado de disco completo, nunca podría ser muy grande porque ningún dato sería recuperable sin los secretos de cifrado. Si los secretos son obtenidos por un agente de amenaza, entonces todo el disco ha sido comprometido.

Sin la encriptación de todo el disco, los archivos pueden ser recuperados de un SSD, a veces, por un sofisticado agente de theat, y no por un script infantil, al menos no hoy. Esto es diferente de los discos duros, en los que durante la última década los script chiquillos y niños de cinco años han tenido a su disposición las herramientas necesarias para recuperar fácilmente los datos borrados de los discos duros sin cifrar.

Respondido el 28 de Febrero, 2014 por damien (1378 Puntos )

1 votos

Avatar de David Braun

Su análisis de "encriptación después de la transferencia" parece correcto para HDD pero no para SSD. El artículo sobre el fracaso de Secure Erase es para destacar la nueva limitación de las SSD; no se trata de combinarlas con el cifrado de disco completo. Mi preocupación no es si usar o no el cifrado de disco completo (yo lo uso) sino que el texto claro se filtre dependiendo de cuándo se active el cifrado.

Comentado el 10 de Marzo, 2014 por David Braun

-1voto

user71659 avatar
user71659 Puntos 76

Esta es una forma segura de evitar que los datos no cifrados se escriban en el SSD: instale su sistema y migre a una unidad separada, ya sea un disco duro USB, un segundo SSD, etc. Una vez que FileVault esté habilitado y los datos no encriptados hayan sido borrados, entonces haga una imagen de la unidad a su SSD. Ahora borre la unidad original.

Una forma menos segura pero fácil es recortar manualmente el SSD utilizando fsck . Esto hará que el espacio no utilizado aparezca como un cero para cualquiera que lea los datos del sistema operativo. Tendrían que manipular el firmware de la unidad o quitar la memoria flash de la unidad para evitar esto. Al final, con el uso, todos los datos de la unidad se sobrescribirán.

Para responder a tu segunda preocupación, la utilidad de borrado seguro/disco de arranque proporcionada por el fabricante garantizará el borrado de todos los datos de tu SSD, ya sea ordenando el borrado físico de toda la memoria flash o destruyendo las claves de cifrado siempre activas (estilo iPhone).

Respondido el 1 de Marzo, 2014 por user71659 (76 Puntos )

0 votos

Avatar de David Braun

Gracias por sus creativas sugerencias. Estoy llegando al punto en que todas mis unidades son SSD, por lo que usar una unidad separada no ayuda; me preocupa el caso de que alguien saque la flash del dispositivo; ¿conoces alguna utilidad proporcionada por el fabricante para las unidades que vende Apple?

Comentado el 10 de Marzo, 2014 por David Braun

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X