SRS-DAY Secure Deletion of Data from Magnetic and Solid-State Memory Piotr PAWLICKI Nicolas ROUX pawlic_p roux_n
Plan 1. Introduction 2. Récupération 3. Effacement 4. Ouverture 5. Conclusion
Plan 1. Introduction 2. Récupération 3. Effacement 4. Ouverture 5. Conclusion
Introduction
Introduction Quelques évidences Disques durs : présents dans n'importe quel SI Stockage : informations confidentielles SI, ensemble vivant : avaries, évolutions Que deviennent les disques anciens ou en panne lors de leur remplacement??
Introduction Nécessité de supprimer le contenu Corbeille : répertoire temporaire Suppression définitive : ignorer l'existant Formatage : Rapide : ignore l'existant, à l'échelle du disque entier Complet : remplir le disque avec des 0x0, inefficace Au final, données toujours récupérables... Même inconvénients avec le formatage bas niveau ou la fonction ERASE des disques...
Introduction Et donc «que faire?» Brûler le support? Acheter un tank? (pour rouler dessus) Suicider le disque dans la Seine? La destruction physique, solution présentée plus loin, rend le support inutilisable : mais peut-on faire autrement pour s'en sortir??
Le disque dur?
Pistes : Organisation du disque dur
Organisation du disque dur Secteurs Cylindres
Adressage Adressage sur un disque dur : plateaux_cylindres_(pistes)_secteurs. On parle aussi d adresse CHS (Cylinder-Head- Sector)
Tête d enregistrement 1/2
Tête d enregistrement 2/2
Plan 1. Introduction 2. Récupération 3. Effacement 4. Ouverture 5. Conclusion
Récupération
Récupération Le problème de la réécriture : Version Simple. Information analogique Un «1» sur un «0» en magnétique = «0,95» Un «1» sur un «1» en magnétique = «1,05» 1 0 Zone «1» Zone «0» Récupération de données possible!
Récupération Suppression classique de fichier : Réactiver l entrée du fichier Suppression de la table d allocation : Parcours de manière «brute» la surface du disque Formatage complet : Microscope à force magnétique Microscope à effet tunnel
Microscope à force magnétique (MFM) Disque 40Go Disque 4Go (attention : différence d'échelles)
Microscope à effet Tunnel
Plan 1. Introduction 2. Récupération 3. Effacement 4. Ouverture 5. Conclusion
Effacement
Effacement Effacement physique (plus tard) Effacement par ré-écriture Combien de passes? Quels patterns/motifs? Sur quels types d'encodage?
Encodage FM et MFM Un bit «1» = renversement de flux (NRZI) au milieu de la cellule. FM = 1 impulsion d'horloge au début de chaque cellule MFM = 1 impulsion en début de cellule pour le 2ieme «0» quand 2 «0» consécutifs
Encodage Run length limited (RLL) Coder l information de telle sorte qu il n y ait jamais ni plus ni moins qu un certain nombre de zéros qui se suivent, quel que soit le motif de bits à enregistrer, afin de ne pas perdre la synchronisation. Exemple RLL (2,7), entre chaque paire de uns : Au moins deux zéros Au plus sept zéros
Encodage RLL
Encodage PRML et EPRML Augmente la densite Codage différent sorte de codage treillis
Effacement Pourquoi détailler tout ces différents encodages? En attendant : Problème position de la tête Problème largeur des pistes
Effacement Principe effacement : changer de nombreuses fois le sens de magnétisation. Pour aller vite : hautes fréquences => Problèmes Ne va pas en profondeur dans la couche Il faut utiliser les basses fréquences Disque dur : Densité augmente Coercivité augmente (moins d effet de bord) Fréquence augmente
Effacement But : Trouver les basses fréquences selon l encodage MFM 1(0)0(0)1(0)0 (4 bits entre chaque transition) 100100, 010010 et 001001 (3 bits)
Effacement RLL (1,7) 0000, 0001, 0010, 0011, 0100, 0101, 0110, 0111, 1000, 1001, 1010, 1011, 1100, 1101, 1110, et 1111 RLL (2,7) 001001001001001001001001 011011011011011011011011 Juste 3 nouveaux pattern / RLL (1,7) PRML => aléatoire
Peter Gutmann : 35 passes Numéro de passe Données écrites (en bits puis en hexa) Type d encodage visé 1 Random 5 01010101 01010101 01010101 0x55 13 00110011 00110011 00110011 0x33 26 10010010 01001001 00100100 0x92 0x49 0x24 (1,7) RLL MFM (1,7) RLL (2,7) RLL (2,7) RLL MFM 35 Random
Normes et recommandations Norme 1 passe : Quick Wipe (motif = 0) PRNG Stream Wipe (motif = aléa) HMG IS5 Infosec 5 Baseline (motif 0) Norme 3 passes : AR380-19 - US Army (1990) NAVSO P-5239-26 - US Navy Staff Office (1993) NISPOM / DoD 5220-22.M - US DoD (1991) AFSSI-5020 - US Air-Force (1991) NSA 130-2 - NSA
Normes et recommandations HMG IS5 Infosec 5 Enhanced TSSIT OPS-II (G2-003) Norme 4 passes : NCSC-TG-025 - National Computer Security Center (1991) Norme 5 passes GOST P50739-95 - Russie (1995)
Normes et recommandations Norme 7 passes : OTAN / NATO Data Destruction Standard VSITR (BSI)- German Federal Office for IT Security DoD 5220.22-M ECE (1995) (3 x DOD standard) Bruce Schneier (1996) Norme 35 passes : Peter Gutmann (1996)
Destruction physique Quand le doute n'est pas permis sur l'efficacité d'une solution... Techniques d'altération : Perçage Abrasion (sable, papier de verre, etc) Corrosion (acides, etc) Techniques d'annihilation : Broyage mécanique Corrosion (acides, etc) Incinération (attention à dépasser le point de Curie!) Fusion
Destruction Physique Exemple : le piston hydraulique!
Destruction Physique Exemple : le piston hydraulique! Efficacité Garantie!
Destruction Physique Exemple : le piston hydraulique! Les plus : Une solution industrielle Un résultat garanti Les moins : $11.500 pour la machine $995 / an pour assurance Avis personnel : Pompe manuelle, $895, 15 coups et c'est réglé Mais ce n'est pas une solution industrielle...
Destruction physique Exemple : la Degausseuse
Destruction Physique Exemple : la Degausseuse Les plus : Une solution industrielle Un résultat garanti Les moins : Prix élevé (informations de prix sur devis) Avis personnel : Excellent retour sur investissement Disque Dur réutilisable Nécessite un réel roulement pour justifier son achat La solution définitivement la plus rentable (location)
Plan 1. Introduction 2. Récupération 3. Effacement 4. Ouverture 5. Conclusion
Ouverture
Ouverture La récupération : mythe ou réalité? 2 camps (forcément...) «c'est possible» Gouvernement Allemand ClearStream IRCGN «c'est impossible» Eclatement en couches des fichiers Tailles de support énormes Invirtuel Difficile de statuer...... mais cela arrange tout le monde!
Ouverture Intelligence économique Charte du SGDN Transparence Cadre Traçabilité Confidentialité Intégrité Information Conseil Aucun caractère législatif 6 signataires OnTrack n'en fait pas partie...
Plan 1. Introduction 2. Récupération 3. Effacement 4. Ouverture 5. Conclusion
Conclusion
Conclusion Suppression de données : un domaine discret mais sensible Etre conscient du problème Méfiez vous des contrefaçons...
Questions? Le premier qui pose une question...
Questions? Le premier qui pose une question... on y répond avec un grand plaisir!