A titkosított SSD meghajtók biztonságos törlése

A titkosított SSD meghajtók esetében az adatok biztonságát egy titkosító kulcs garantálja, amely jelszóval érhető el. De vajon elegendő, ha ezt a kulcsot dobjuk el (töröljük), amikor leselejtezünk egy SSD meghajtót?

A titkosítás az adatok egyszerű szövegből titkosított szöveggé konvertálásának technikája. A titkosított információkhoz nem lehet hozzáférni a jelszó, és a segítségével generált titkosítási kulcs nélkül. A titkosítás megerősített védelmi réteget biztosít arra az esetre, ha illetéktelen személy hozzáférést kapna egy számítógépes hálózathoz vagy tárolóeszközhöz. Ebben az esetben a hacker nem fér hozzá közvetlenül az adatokhoz.

Az adatok a meghajtókon szoftver alapú vagy hardver alapú titkosítással titkosíthatók.

A szoftver által generált kulcs egy jelszóval van titkosítva, amelyre a felhasználónak szüksége van a titkosított adatokhoz való hozzáféréshez. Amikor az adatokat a meghajtóra írják, azokat a kulccsal titkosítják, és ugyanazzal a kulccsal dekódolják, mielőtt a felhasználó olvasni tudja őket. A szoftveres titkosítás elvégezhető az operációs rendszer titkosításával (például BitLocker), vagy más szoftveres segédprogramokkal (például LastPass, VeraCrypt vagy G DATA Fájlszéf).

Néha a meghajtót a gyártója által biztosított technológia titkosítja, az ilyen meghajtókat öntitkosító meghajtóknak vagy SED-eknek nevezik. A SED-ek véletlenszerű adattitkosítási kulcsokat (DEK) hoznak létre egy beépített AES titkosító chipen keresztül, amely titkosítja az adatokat íráskor, és visszafejti az adatokat olvasáskor. A szoftver-alapú titkosítással ellentétben az SED-k automatikusan titkosítják az adatokat anélkül, hogy a titkosításhoz felhasználói beavatkozásra lenne szükség. Hardveres titkosítás esetén a titkosítás a rendszer BIOS és az operációs rendszer között helyezkedik el.

Az SED-ek fertőtleníthetők a kriptográfiai vagy lemeztitkosítási kulcsok (DEK) megsemmisítésével anélkül, hogy az eszközön tárolt adatokat ténylegesen törölnék. Az adatok a titkosítási kulcs nélkül elérhetetlenné válnak, és visszaállíthatatlanok maradnak. Így a kriptográfiai törlés az egyik leggyorsabb módszer a titkosított adatok megtisztítására.

A kriptográfiai törlés előnyei

• Ideális megoldás, amikor a tárolóeszközök szállítás alatt állnak, vagy gyors törlési folyamatot igényelnek (pl. ugyanazon a vállalaton belüli belső telepítés előtt vagy olyan környezetben, ahol az adatokat gyorsan el kell homályosítani).
• Gyorsabb, mint a felülírás, és a titkosítási algoritmusokat általában megbízható technológiai gyártók hozzák létre.
• Az eszközök továbbra is használhatók, és megtarthatják garanciáikat.

A kriptográfiai törlés hátrányai

• A folyamat nagymértékben függ a gyártótól, és végrehajtási problémák léphetnek fel.
• A felhasználók emberi hibákon és törött kulcsokon keresztül befolyásolhatják a kriptográfiai törlés sikerét.
• Nem mindig felel meg a szabályozási megfelelőségi követelményeknek, mert nem tartalmazza az ellenőrzés és a tanúsítás lépéseit.
• Csak az alapértelmezés szerint titkosított meghajtók esetében jelent megoldást, és nem törli az adatokat. Az adatok továbbra is megtalálhatóak a meghajtón, és különböző sérülékenységeken keresztül később hozzáférhetővé válhatnak.
• Még akkor is, ha egy elsődleges Crypto Erase kulcsot törölnek, gyakran több biztonsági másolat készül a kulcsról.
• A technológiai fejlődés kiszámíthatatlan üteme néhány éven belül sok titkosítási módszert megbízhatatlanná tehet.

A NIST Purge törlési módszer

A meghajtók valódi törlése tehát több, mint a titkosítási kulcs eldobása, mivel a valódi törlésnél az adatok felülírásra kerülnek, és megtörténik a folyamat visszaellenőrzése is (verification).

A NIST Purge esetében a meghajtók rejtett területei (HPA/DCO) is eltávolításra kerülnek, ha léteznek. Ezután egy firmware alapú parancs segítségével történik meg a felülírás, majd az utolsó lépésben a visszaellenőrzésre is sor kerül.

Ebben az esetben az adatok egy később felfedezett sérülékenységen keresztül sem állíthatóak vissza, mert módszeresen felülírásra (törlésre kerülnek).