Глава 22. Хранение секретов
Вместо этого листок с паролем можно пропустить через машинку для уни-
чтожения бумаг, хотя большинство подобных устройств измельчают бумагу
на куски довольно большого размера, что позволяет сравнительно легко вос-
становить содержавшийся на ней текст.
22.10.2
Магнитное хранилище
Магнитные носители с большим трудом поддаются очистке. Между тем
посвященная этому вопросу литература удивительно малочисленна. Лучшая
работа, которая нам известна, — это статья Питера Гутманна [38], хотя ее
технические аспекты, вероятно, уже устарели.
Магнитные носители хранят свои данные в маленьких магнитных доме-
нах. Направление намагниченности домена указывает на то, какие данные
в нем закодированы. Когда данные подвергаются перезаписи, направление
намагниченности домена изменяется в соответствии с новыми данными. Су-
ществует, однако, несколько механизмов, которые препятствуют полной по-
тере старых данных. Головка чтения/записи, которая пытается перезаписать
данные, никогда не выравнивается в точности по старым данным, поэтому
некоторые части старых данных остаются нетронутыми. Таким образом, пе-
резапись носителя не приводит к полному уничтожению старых данных. Для
большей наглядности это можно сравнить с перекрашиванием стены. Если
мы покроем ее одним слоем краски, через него кое-где будет просвечивать
старая краска. Вдобавок ко всему магнитные домены способны “убегать” от
головки чтения/записи к краю дорожки или, наоборот, вглубь магнитного ве-
щества, где могут задержаться на длительное время. В большинстве случаев
перезаписанные данные нельзя восстановить с помощью обычной головки
чтения/записи, но злоумышленник может украсть диск и воспользоваться
специальным оборудованием, которое позволит ему частично или даже пол-
ностью восстановить старую информацию.
На практике лучшим способом уничтожения секретной информации, по-
жалуй, является многократное перезаписывание последней с помощью слу-
чайных данных. При этом следует учесть ряд моментов.
•
В каждой процедуре перезаписи необходимо применять новые случай-
ные данные. Некоторые исследователи разработали конкретные наборы
данных, которые, как предполагается, позволяют лучше уничтожить
старые данные, однако выбор того или иного набора зависит от специ-
фики самого носителя. Применение случайных данных для достиже-
ния того же эффекта может потребовать большего количества опера-
ций перезаписи, однако оно срабатывает во всех ситуациях и потому
безопаснее.
22.10. Уничтожение секретов
385
•
Убедитесь, что вы перезаписали именно ту область носителя, в кото-
рой хранился секрет. Если вы просто измените файл, поместив в него
новые данные, файловая система может сохранить его в другом месте
носителя, вследствие чего исходные данные останутся нетронутыми.
•
Убедитесь, что в ходе каждой операции перезаписи новые данные дей-
ствительно записываются на диск, а не в один из его кэшей. Особую
опасность в этом отношении представляют жесткие диски, имеющие
собственные кэши записи, так как они могут кэшировать новые дан-
ные, чтобы объединить многочисленные операции перезаписи в одну.
•
Очистке должны подвергнуться и те области носителя, которые нахо-
дятся непосредственно перед секретными данными, а также непосред-
ственно после них. Поскольку скорость вращения диска никогда не бы-
вает абсолютно постоянной, место расположения новых данных не будет
в точности совпадать с местом расположения старых.
Нам не известны надежные оценки того, сколько операций перезаписи
требуется для полного уничтожения старых данных, однако мы не видим при-
чин ограничиваться небольшим количеством подобных операций. Все, что от
нас требуется, — это уничтожить один-единственный ключ. (Если у вас есть
большое количество секретных данных, храните их зашифрованными с по-
мощью некоторого ключа и уничтожайте только этот ключ.) На наш взгляд,
вполне разумно выполнить 50 или 100 операций перезаписи с использованием
случайных данных.
Теоретически магнитную ленту или диск можно очистить с помощью раз-
магничивающего устройства. К сожалению, современные магнитные носите-
ли с высокой плотностью записи не поддаются размагничиванию в той сте-
пени, которая обеспечивает гарантированное уничтожение данных. Впрочем,
на практике у пользователей нет доступа к размагничивающим устройствам,
поэтому такого вопроса не возникает.
Даже при многократном перезаписывании данных следует ожидать, что
высококвалифицированный и хорошо оснащенный злоумышленник сможет
восстановить секретную информацию, которая когда-то хранилась на маг-
нитном носителе. Чтобы полностью уничтожить данные, вам, вероятно, при-
дется уничтожить и сам носитель. Если магнитный слой носителя заключен
в пластиковый корпус (как в дискете или кассете), вы можете измельчить
и затем сжечь магнитный носитель. Если же речь идет о жестком диске, по-
пробуйте воспользоваться шлифовальным станком, чтобы удалить с пластин
магнитный слой, или же с помощью паяльника переплавить пластины на
жидкий металл. На практике вы вряд ли убедите пользователей прибегнуть
к таким радикальным мерам, поэтому лучшим практическим решением было
и остается многократное перезаписывание.
386
Достарыңызбен бөлісу: |