加密前删除然后格式化的文件是否可以恢复?

信息安全 删除
2021-09-10 03:24:37

在驱动器上,我有一个文件文件夹,然后我只是软删除这些文件(不擦除它们或用任何数据覆盖)。在我软删除它们后,我加密驱动器并使用单一快速格式或常规格式擦除它。

如果我没有限制用于恢复文件夹的钱,有可能吗?我只会遇到加密的噪音/数据,还是只有在驱动器被预先覆盖的情况下才会遇到这种情况?

在什么情况下数据是可恢复的和不可恢复的?

3个回答

您在评论中提到了 Windows 和 Linux;我将在这里专门讨论 Windows。

首先让我们总结一下你在做什么:

  1. 删除一些文件。
  2. 使用完整驱动器加密 (FDE) 加密驱动器。
  3. 对驱动器进行快速或完整格式化。

为简单起见,如果我们完全删除第 2 步,那么我们就在这里:

  • 快速格式使文件可恢复。
  • 完整格式使文件在 Windows XP 和更早版本上可恢复,但在 Windows Vista 和更新版本上,它会执行驱动器的完全擦除,这意味着文件不可恢复(包括资金充足的组织/国家在内的任何人)。请注意,这假设您没有在非常旧的硬盘驱动器上安装操作系统,在这种情况下,单次擦除可能不够。

所以现在的问题是,在第 2 步中使用 FDE 会改变什么吗?

这可能看起来很奇怪,但答案是否定的,FDE 不会改变任何东西。原因是加密驱动器会以完全可逆的方式重写驱动器。这必须是真的,否则您将无法解密它。因此,如果您知道解密驱动器所需的密钥,那么您可以将其恢复到加密之前的相同状态。如果您在 FDE 之前有软删除的文件,那么它们仍然会隐藏在那里并且可以完全恢复。

当然,如果您使用强加密(如 AES)在驱动器上执行 FDE,并丢弃密钥,那么您所做的几乎与将驱动器或完整格式(Windows Vista 和更高版本)归零相同的事情可以恢复。

一般来说,如果加密和格式化过程不涉及覆盖底层存储设备上的每个字节或发出(正确实施的)ATA 安全擦除,则大多数但不是所有以前未加密的数据都可以恢复命令。在非自加密旋转硬盘的情况下,安全擦除的时间成本与通过软件覆盖整个驱动器的时间成本相似;在 SSD 或自加密旋转 HDD 的情况下,安全擦除的时间成本很可能是微不足道的:只需丢弃加密密钥或可能清除块映射表;在后一种情况下,数据仍然存在并且可读,但是无法确定哪个部分去哪里,因为它由随机分散的块组成。另请注意,无论您做什么,许多 SSD 都会在内部进行自我加密。

现代旋转 HDD 可以在纯顺序写入吞吐量中维持大约 100 MB/s。这意味着一个 4 TB 的驱动器大约需要 4 TB * 1,000,000 MB/TB * 100 MB/s = 4,000,000 MB / 100 MB/s ~ 40,000 秒(约 11 小时)才能完成一次完整的覆盖过程(覆盖擦除它的存储是为数不多的合理常见的真正顺序工作负载之一)。可持续写入速度与转速大致成比例,因此 10k rpm 或 15k rpm 服务器驱动器将能够维持比 5400 rpm 笔记本电脑驱动器更高的写入速率。完成时间显然直接与存储容量和可实现的写入吞吐量成正比。SSD 快得多,但写入速度仍然有限​​,对于大型 SSD,所需的时间可能只是 足以在某种程度上准确地判断发生了什么。

假设您使用的是旋转驱动器,并且每 TB 存储的格式化过程花费的时间明显少于 2½-3 小时,那么预计(可能大量)数据剩余是合理的。

根据Microsoft KB941961 Change in the behavior of format command in Windows Vista and later versions,在 Windows Vista 和更新版本中(目前意味着 Windows Vista、Windows 7、Windows 8 和 Windows 10,很可能还有相应的服务器版本)默认情况下,格式化确实会对正在格式化的分区进行一次完全覆盖;简单地写入新文件系统元数据的旧的、 pre-Vista 的行为现在被称为快速格式化模式。(向TTT 致敬指出这一点。)但是,我不确定这在使用 TrueCrypt 的情况下是否真的相关,所以宁愿谨慎行事。格式化所用的时间(对于旋转驱动器,格式化是否每 100 MB 存储大约需要一秒钟?)可用于推断是否可能执行了覆盖

在所描述的情况下,普通的现成数据恢复软件似乎相对有可能恢复大量以前存储的未加密数据。其中一些将被覆盖,因此无法恢复,但仅使用软件解决方案可能相对容易恢复。

为了防止未加密存储的数据发生这种情况,您需要在开始将其用于该目的之前,对将保存加密数据的整个设备(容器支持设备,以 LUKS 说法)进行至少一次完全覆盖传递. 您可以选择是否仅使用固定模式或随机数据进行覆盖请记住,使用一次性密钥和良好的加密算法加密的固定模式会变成随机数据。用固定的未加密模式覆盖可能会显示元数据,例如存储的数据量及其在磁盘上的位置(可用于推断例如文件系统,而文件系统反过来又可以提供已知的明文)。

除非您是民族国家的参与者,否则对于现代驱动器来说,一次覆盖通行证几乎肯定就足够了,如果您是民族国家的参与者,那么与互联网上的随机陌生人相比,您将可以接触到更好的人来寻求建议。

它可以恢复 - 这取决于:

  • 您的硬盘驱动器的磁板状况
  • 自擦拭以来经过了多少时间
  • 执行的擦拭类型
其它你可能感兴趣的问题
上一篇旅行时通过wifi网络保护手机免受黑客攻击的方法 下一篇是否有可用于生成有效 SSL 密钥的“主密钥”?