Sé que se puede encriptar un disco entero usando File Vault cuando el disco se usa por primera vez y se carga con datos del usuario.
¿Se pregunta si la encriptación en el momento de la eliminación del disco sería eficaz para la igualdad?
Respuesta
¿Demasiados anuncios?
Nate
Puntos
220
No, no será tan efectivo. Encriptación antes de Escribir cualquier cosa (/cualquier cosa importante) es la mejor opción (la más segura), pero si se pierde la oportunidad de hacerlo todavía hay métodos mejores que la codificación retroactiva.
(Nota: esto es inaplicable en su mayor parte al SSD integrado en los nuevos Macs con el chip T2 o las CPUs "Apple Silicon", ya que cifrar automáticamente el volumen de datos, con una clave de cifrado protegida por Secure Enclave . La activación de FileVault en estos modelos no encripta el volumen, puesto que ya está encriptado, sino que encripta la clave de encriptación . Sin embargo, los datos almacenados en otros volúmenes u otras unidades SSD no están protegidos por esto, por lo que se aplica la siguiente discusión).
Cuando se encripta retroactivamente una unidad, lo que se hace básicamente es sobrescribir los datos antiguos (sin encriptar) con una versión encriptada. Sobrescribir todo el disco con ceros o datos aleatorios es mejor por varias razones:
- Los datos cifrados pueden ser descifrados si la clave/contraseña se filtra, se adivina, se almacena accidentalmente en otro lugar, etc. Los ceros y los datos aleatorios no pueden descifrarse porque no contienen ninguna información (relevante). Cifrar suena como si proporcionara algún nivel extra de protección, pero esto es ilusorio.
- Dependiendo de cómo funcione el procedimiento de encriptación, puede que no se moleste en encriptar las partes "no utilizadas" del disco - pero puede que aún contengan copias sobrantes de archivos antiguos (Ezequiel Elin lo mencionó en un comentario). No sé exactamente cómo funciona la implementación actual de MacOS, pero conozca que sobrescribir toda la unidad con ceros/datos aleatorios no tiene este problema (bueno... con una advertencia a la que llegaré).
- El cifrado de volumen de MacOS funciona en el volumen nivel, y no encripta partes del disco fuera de su volumen de datos. Y hay algunos tipos de información que pueden ser almacenados fuera de eso.
También hay un problema que ni siquiera la sobreescritura con ceros o datos aleatorios resuelve: el propio SSD no expone todo su espacio de almacenamiento al ordenador, por lo que si borras/sobrescribes "todo" desde el ordenador... en realidad no has borrado/sobreescrito todo. La lectura de los datos residuales ocultos suele implicar el desmontaje de la unidad SSD y la omisión de su controlador para leer los chips sin procesar, por lo que no es algo que la gente haga a menos que piense que hay algo de serio valor en su SSD, por lo que probablemente no tienen que preocuparse por esto. Ver mi respuesta aquí y los enlaces que aparecen en él para conocer los detalles técnicos escabrosos. Resumiendo, sobrescribir todo el espacio expuesto dos veces es generalmente -pero no necesariamente- suficiente para sobrescribir todos los datos reales.
Así que, en resumen: si hay algo de gran valor en la unidad, o bien no la escribas nunca sin cifrar, o bien destruye físicamente la unidad antes de deshacerte de ella. Para datos sensibles de nivel razonable (por ejemplo, tu información bancaria), sobrescribe dos veces con ceros y/o datos aleatorios antes de venderlo/donarlo/lo que sea.
