Question:
Pourquoi les systèmes d'exploitation n'ont-ils pas supprimé les fichiers en toute sécurité dès le début? Et pourquoi ne font-ils toujours pas cela?
user82913
2016-01-15 20:19:29 UTC
view on stackexchange narkive permalink

Après avoir entendu des décennies que "supprimer" ne rend pas vraiment les données impossibles à récupérer, je dois demander POURQUOI le système d'exploitation n'a pas été corrigé il y a longtemps pour faire ce qu'il aurait dû faire depuis le début? Quel est le gros problème? Le système ne peut-il pas se contenter de glisser dans l'écrasement en arrière-plan et quoi que ce soit d'autre? Pourquoi avons-nous besoin de services publics supplémentaires pour faire ce que nous avons toujours pensé se produire? Quelle est la motivation des développeurs OS pour NE PAS corriger ce problème?

AJOUT: Ce n'est pas une question technologique, car il est clairement possible de supprimer des éléments en toute sécurité, sinon pas être des outils disponibles pour le faire. C'est une question de politique: si certaines personnes estiment que cela est important et devrait faire partie du système d'exploitation, pourquoi ne fait-il pas partie du système d'exploitation? De nombreux éléments ont été ajoutés aux systèmes d'exploitation au fil des ans, et cela pourrait certainement en être un. Et c'est une question importante, sinon il n'y aurait pas eu d'articles et d'histoires à ce sujet depuis environ 3 décennies maintenant. Qu'est-ce que l'inertie? Faites ce qu'il faut.

Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/34360/discussion-on-question-by-no-comprende-why-didnt-oses-securely-delete-files-rig) .
Parce que c'est cher et que la plupart des gens s'en moquent. De plus, la plupart des informations ne sont pas secrètes ou quelque chose du genre.
Onze réponses:
#1
+249
SilverlightFox
2016-01-15 20:29:35 UTC
view on stackexchange narkive permalink

Pour les raisons suivantes:

  • Performances - cela prend des ressources pour détruire des fichiers. Imaginez une application qui utilise des centaines ou des milliers de fichiers. Ce serait une opération énorme de supprimer chacun d'eux en toute sécurité.
  • Usure supplémentaire sur les disques.
  • Parfois, la possibilité de récupérer un fichier est une fonctionnalité du système d'exploitation (par exemple, la corbeille , Corbeille, Volume Shadow Copy).
  • Comme indiqué par Xander, le mécanisme de stockage physique est parfois extrait du système d'exploitation (par exemple, les disques SSD ou les lecteurs réseau).
+1 J'ajouterais que le manque de préoccupation de la plupart des utilisateurs quant à savoir si leurs fichiers sont supprimés en toute sécurité ou non est également un facteur probable. Si 95% des utilisateurs réclamaient une suppression sécurisée universelle, ce serait plus probablement une fonctionnalité et les problèmes que vous mentionnez seraient gérés d'une manière ou d'une autre (peut-être simplement par des attentes différentes des utilisateurs).
Ce truc de performance - bien avant les disques SSD lorsque les systèmes d'exploitation sont «au tout début» - il suffit de penser aux performances fulgurantes de la suppression sécurisée de matériel de cette [bande à neuf pistes] (https://en.wikipedia.org/wiki/9_track_tape ). Ou pour ces disquettes 140k. Vous souhaitez supprimer une disquette en toute sécurité? déplacez les éléments que vous ne souhaitez pas supprimer sur une autre disquette et détruisez l'original. Plus facile que d'ajouter quelques autres routines à Applesoft DOS 3.3.
Aussi: lorsque vous souhaitez effacer quelque chose de manière sécurisée, vous devez également l'effacer de toutes vos sauvegardes. (Vous avez des sauvegardes, non?) L'effacement sécurisé par défaut serait une perte de temps totale puisque les utilisateurs ne prendront soin de sécuriser-effacer les éléments de leurs sauvegardes qu'en cas de besoin.
@MichaelT Bon point. Vous pouvez toujours le faire - il vous suffit de stocker vos affaires sur une clé USB.
@PeterCordes si vous voulez une sauvegarde, vous pouvez même avoir deux clés USB.
Les utilisateurs concernés veulent probablement aussi que leurs fichiers soient chiffrés au début, ce qui est une bien meilleure alternative dans la plupart des cas, et * est * la fonctionnalité de plusieurs OS.
La suppression sécurisée n'a aucun impact sur les performances si le stockage est chiffré. Vous effacez simplement la clé en toute sécurité, ce qui est une opération O (1) au lieu de O (n).
@R .. * Iff * la partie du stockage qui doit être supprimée en toute sécurité a une clé distincte.
@MichaelKjörling: En effet, cette conception nécessite un système de fichiers avec des clés par fichier stockées dans l'inode ou l'équivalent du fichier.
En outre, il existe des solutions de travail pour l'effacement / brouillage sécurisé des lecteurs non en temps réel lorsque les utilisateurs se débarrassent de leurs lecteurs, ce qui, j'imagine, couvre 80% des cas d'utilisation pour la suppression sécurisée. Pour les 20% restants (vol, saisie gouvernementale, etc.), il existe un cryptage de disque.
La suppression sécurisée d'une pile de disquettes a pris quelques secondes, à l'aide d'un démagnétiseur portable.
À l'époque du DOS (avant l'avènement des bacs de recyclage et autres), le fait que la suppression n'était pas permanente était définitivement une fonctionnalité. La commande `undelete` m'a sauvé le cul à plusieurs reprises.
@R - dans ce cas, la surcharge de performance est de crypter tout le stockage (ce qui devrait inclure des fichiers d'échange de disque où les performances sont très importantes). Et cela laisse toujours la possibilité de récupérer la clé et d'extraire les données en fonction de cela (une suppression complète pour être à l'abri des méthodes de récupération spécialisées nécessiterait une écriture répétée dans le stockage contenant la clé - et une seule surécriture sur le stockage magnétique pourrait toujours laisser un fichier lisible record).
@James_pic undelete est un jeu d'enfant par rapport au roi: Novell Netware. Ils n'avaient pas de «corbeille» - le lecteur ** était ** la corbeille. Lorsqu'un fichier était supprimé, il était simplement marqué comme supprimé et l'espace compté comme faisant partie de l'espace libre sur le lecteur. Les fichiers ne disparaissaient en fait que lorsqu'ils étaient le fichier supprimé le plus ancien sur le lecteur et que le système d'exploitation avait besoin d'espace. Plus de rétention que la corbeille et vous n'avez pas eu le problème que les fichiers de la corbeille occupent de l'espace disque.
Je pense qu'il (effacement sécurisé) devrait au moins être fourni en option, il n'a même pas besoin d'être standard.
#2
+108
Jared Smith
2016-01-15 22:14:29 UTC
view on stackexchange narkive permalink

Au lieu d'une autre réponse «Vous vous trompez parce que», j'aimerais adopter une approche légèrement différente:

Les premiers systèmes d'exploitation des ordinateurs ont été écrits par des programmeurs pour des programmeurs. Quiconque programme et sait ce que sont les pointeurs comprend que "supprimer" un pointeur ne supprime pas l'objet sur lequel il pointe: ils sont séparés.

Cela ne signifie pas que la suppression ne supprime pas réellement. Ce pointeur est parti. Essayer de l'utiliser après l'avoir «supprimé» (libérer la mémoire, relier le nom) peut entraîner de mauvaises choses.

Mais l'histoire continue, et maintenant les utilisateurs finaux qui ont un concept différent de suppression (comme vous-même) sont sur la photo. Ils (et vous) avez des attentes qui ne sont pas déraisonnables (quoi qu’il en soit dit dans ce fil de discussion).

Mais supprimer ne signifiera jamais (pour un ordinateur) ce que vous pensez devrait: il y a des raisons à la fois techniques (assez bien détaillées dans d'autres réponses) et sociales (45 ans d'inertie).

Le système d'exploitation moderne (et j'inclus * nix) résume beaucoup de choses pour vous : vous n'avez plus besoin d'être un expert en informatique pour posséder / faire fonctionner un ordinateur de la même manière que vous n'avez plus besoin d'être un mécanicien pour posséder / faire fonctionner une voiture. Le prix que vous payez est que ces abstractions sont fuites: il y a une déconnexion fondamentale qui ne peut jamais être tout à fait comblée. Un "document" d'ordinateur n'est pas vraiment un document, un "bureau" n'est pas un bureau, une "fenêtre" n'est pas une fenêtre, etc.

Les ordinateurs +1 n'ont pas été conçus à l'origine pour les profanes.
+1 parce qu'en fin de compte, cela revient à "c'est comme ça que cela se faisait dans le passé, et dans le passé, ils avaient des priorités différentes".
@Insane n'est pas un électeur en bas; mais si j'allais m'opposer à quoi que ce soit, ce serait ignorer que la suppression sécurisée est incompatible avec une fonctionnalité dont les utilisateurs ordinaires ont besoin beaucoup plus souvent (et qui est soulignée dans d'autres réponses): pouvoir récupérer quelque chose de supprimé par accident.
@DanNeely Je ne l'ignore pas, les autres réponses couvraient déjà ce terrain (ainsi que les considérations de performance qui le rendent impraticable). Je me concentre simplement sur la partie que personne d'autre n'a fait: ces métaphores que nous utilisons en informatique sont imparfaites et potentiellement déroutantes. «Supprimer» un fichier numérique n'est pas la même chose que «supprimer» un vrai fichier papier car il y a une dissonance dans la terminologie: les deux cas ne sont pas suffisamment analogues. Ce n'est pas nécessairement une critique (nous devons appeler ces choses * quelque chose *), juste une observation.
Et le processus de suppression sécurisé qu'effectuent de nombreux outils ne fonctionnerait pas sur les disques SSD et autres appareils Flash. Les microcontrôleurs intégrés dans les appareils décident de l'endroit où les données sont écrites pour uniformiser l'utilisation / l'usure des cellules de mémoire et prolonger la durée de vie de l'appareil. Ainsi, une suppression sécurisée (par exemple, `shred`) ne détruirait pas vraiment le (s) fichier (s).
la suppression d'un pointeur vers quelque chose peut être une opération à temps constant. la remise à zéro des données supprimées est de l'ordre de la longueur des données. c'est pourquoi de nombreuses langues ne forcent pas non plus la remise à zéro des données allouées. c'est paresseux de ne pas le faire, mais ce n'est pas un facteur de performance petit ou même constant.
@Rob Eh bien, en toute honnêteté, un système d'exploitation conçu pour effacer quelque chose en toute sécurité pourrait différer l'effacement sécurisé à une date ultérieure et l'exécuter en arrière-plan, au lieu d'aspirer toutes vos E / S immédiatement et là comme si vous décidiez de copier un fichier énorme.
La sécurité était une telle réflexion après coup dans le passé que les anciens systèmes d'exploitation Windows (ou à tout le moins MS-DOS) remplissaient en fait l'espace libre du secteur du système de fichiers avec ** le contenu de la mémoire ** au hasard plutôt que de le remettre à zéro ou d'écrire toute autre constante.Le fait que personne ne se soit levé et ait dit «cela ne semble pas être une idée sûre» montre simplement à quel point une sécurité après coup était vraiment _was_.
#3
+96
Virtual Anomaly
2016-01-15 21:12:24 UTC
view on stackexchange narkive permalink

Cela n'a pas besoin d'être corrigé car ce n'est pas un défaut.

Les pointeurs vers le fichier sont supprimés et la zone occupée par le fichier est marquée comme espace libre . Le lecteur écrase ensuite cette zone en son temps. Il est uniquement là pour éviter l'usure du disque. Après tout, les périphériques de stockage (en particulier les SSD) ont un nombre limité de fois où ils peuvent écrire avant de tomber en panne. La plupart des utilisateurs n'apprécieraient pas que leur disque tombe en panne après 6 mois.

Des solutions sécurisées existent avec des outils disponibles pour effacer en toute sécurité l'espace libre sur un disque dur.

+1, mais l'idée qu'un utilisateur régulier * peut * atteindre la limite d'usure d'un SSD devient obsolète. Voir [cet article] (https://techreport.com/review/27909/the-ssd-endurance-experiment-theyre-all-dead). Ces disques SSD de 250 Go roulaient toujours à 1 * pétaoctet * écrit (4000x la capacité du disque).
C'est un bon point, cependant, si les fichiers ont été supprimés en toute sécurité à chaque fois (impliquant une ou plusieurs écritures sur l'ensemble de l'emplacement), il y a au moins un risque plus élevé de défaillance du disque dur.
Correct, mais comme l'a dit @Cruncher, l'idée selon laquelle les SSD échouent plus tôt que les disques durs était vraie, mais devient rapidement une idée fausse.
J'ai eu une machine avec SSD de 256 Go OS-Drive en 2013 et un an plus tard, elle montrait S.M.A.R.T. avertissements qu'il allait mourir. J'ai eu un remplacement, et un an plus tard, de nouveaux avertissements SMART concernant la durée de vie restante du disque 3% et j'ai eu * un autre * remplacement. Peut-être que mon comportement est de maintenir le SSD à 95% de sa capacité, et de garder plus de 20 Go de programmes dans la RAM chaque jour, et de fonctionner sur un serveur Web permanent, et de lutter bec et ongles contre mon logiciel de synchronisation de fichiers d'entreprise qui plante pendant n'a pas réussi à synchroniser des milliers de fichiers étaient des contributeurs ... Il n'est pas impossible d'atteindre la limite d'usure des SSD modernes.
À propos de la question de savoir si cela causerait une usure du lecteur ... Le système d'exploitation n'a-t-il pas besoin de remettre à zéro le contenu du fichier avant de créer un nouveau fichier sur l'ancien? Je ne vois pas en quoi «essuyer sur supprimer» est vraiment différent de «essuyer sur créer» en termes d'usure. Cela semble être une optimisation ** des performances ** pour rendre la suppression rapide et effacer le contenu en arrière-plan, mais il semble que le système d'exploitation pourrait exécuter cette tâche en arrière-plan de manière appropriée au lieu de la retarder.
@CarlWalsh non, le système d'exploitation n'a pas besoin de rien mettre à zéro avant de créer un nouveau fichier. Chaque bloc du nouveau fichier peut être (et sera) simplement écrit sur un bloc actuellement inutilisé, peu importe s'il est "frais" ou s'il faisait auparavant partie d'un autre fichier.
@CarlWalsh Non; Le système d'exploitation et / ou le système de fichiers avec copie sur écriture n'ont qu'à donner l'illusion ** qu'un bloc fraîchement alloué a une valeur donnée. Tout comme `calloc ()` n'a pas réellement besoin d'allouer et d'effacer de la mémoire jusqu'à ce qu'il soit réellement utilisé, un système de fichiers pourrait prétendre que le contenu est nul jusqu'à ce que vous y écriviez.
@MikeOunsworth la seule raison qui est le cas est à cause du nivellement d'usure. Si les données devaient être immédiatement effacées en toute sécurité, cela multiplierait les écritures plusieurs fois et rendrait le nivellement d'usure inefficace.
@CarlWalsh: Les puces flash bon marché sont subdivisées en gros blocs contenant 1024 pages ou plus (ce que le système d'exploitation considère comme des secteurs); il n'y a aucun moyen de modifier une page non vierge sauf en effaçant tout le bloc sur lequel elle est contenue. Ainsi, un lecteur qui reçoit la commande "d'écriture de secteur" du système d'exploitation devra trouver une page vierge, y écrire les nouvelles données et mettre à jour un index pour indiquer où les nouvelles données peuvent être trouvées. En cas de pénurie de pages vierges, le lecteur trouvera un bloc contenant autant de pages mortes (remplacées) que possible, copiera les pages en direct de ce bloc ailleurs, puis ...
... effacez le bloc une fois que tout a été déplacé ailleurs. Si un bloc a 992 pages actives et 32 ​​pages mortes, l'effacement de ces 32 pages mortes nécessitera de copier 992 pages actives ailleurs; il se peut qu'il n'y ait aucune raison de le faire tant que le variateur n'est pas plein à 95%, à moins que le système ne décide de réutiliser le bloc à des fins de nivellement d'usure.
#4
+75
WhiteWinterWolf
2016-01-15 21:53:02 UTC
view on stackexchange narkive permalink

Vous semblez avoir un problème de formulation avec le terme supprimer et une mauvaise attente sur ce que la fonctionnalité devrait faire.

Vous pouvez vérifier la définition simple sur le Merriam-Webster site Web:

supprimer : pour supprimer (quelque chose, comme des mots, des images ou des fichiers informatiques) d'un document, d'un enregistrement, d'un ordinateur , etc.

Le but de la fonction de suppression est de supprimer les objets sélectionnés de leur emplacement actuel. Ils peuvent être déplacés vers un autre emplacement temporaire (la corbeille) pour éviter toute perte accidentelle, ou l'espace qu'ils occupent peut être directement marqué comme libre.

Comparez cela à la définition de effacer par exemple:

effacer : pour supprimer (quelque chose qui a été enregistré) d'une bande (comme une bande vidéo ou audio ) ou un disque informatique; aussi: pour supprimer du matériel enregistré (d'une bande ou d'un disque)

: pour supprimer (quelque chose d'écrit) en frottant ou en grattant pour qu'il ne soit plus visible

: pour supprimer quelque chose écrit depuis (une surface)

Celui-ci va vraiment à un niveau inférieur, ici nous ne supprimons pas simplement le fichier du dossier, nous supprimons les données du fichier du disque, et en cette subtilité fait toute la différence.

Effacer est le mot que vous pouvez le plus rencontrer dans le monde Windows, dans le monde Unix, vous pouvez rencontrer wipe à la place qui décrit le processus d'un point de vue plus technique:

essuyer : pour nettoyer ou sécher (quelque chose) à l'aide d'une serviette, votre main, etc.

: pour enlever (quelque chose) en frottant

: pour déplacer (quelque chose) sur une surface

Pourquoi ne pas t les OS font cela par défaut? Pour plusieurs raisons:

  • Les utilisateurs domestiques ordinaires n'ont pas besoin d'une telle fonctionnalité, il leur suffit soit de simplement supprimer un fichier d'un dossier, soit dans le cas de disques externes de s'assurer qu'il soit complètement nettoyé (format "lent" en termes simples ). Ils ont rarement besoin d'effacer un seul fichier spécifique.

  • Les utilisateurs domestiques ordinaires ne veulent pas d'une telle fonctionnalité. Vous verrez que la valeur par défaut n'est pas seulement de ne pas effacer le fichier, mais pas vraiment de le supprimer non plus: au lieu de cela, il est déplacé vers la poubelle car les utilisateurs à domicile s'attendent à ce que leur système d'exploitation puisse les enregistrer en cas de mauvaise manipulation. Vous devez souvent utiliser une combinaison de touches spécifique (option Maj + Suppr) pour supprimer un fichier sans passer par la poubelle.

  • Enfin, une telle option peut ne pas être facile ou même possible à mettre en œuvre. L'évolution technologique a ajouté plusieurs couches logiques et physiques autour de vos données réelles:

    • Certains systèmes d'exploitation prennent régulièrement des instantanés du contenu du système de fichiers, dans ce cas, votre fichier pourrait être inclus dans un ou plusieurs de ces instantanés. Il peut devenir compliqué d'assurer un effacement correct des fichiers dans de telles conditions sans mettre en danger l'intégrité des instantanés.

    • Comme mentionné dans d'autres réponses et commentaires, pour augmenter la durée de vie de votre périphérique de stockage, il y a un niveau d'abstraction entre le stockage réel et la façon dont il est vu par le système d'exploitation. Dans ce cas, alors que le système d'exploitation peut faire de son mieux pour s'assurer que les données du fichier sont supprimées au niveau du système de fichiers, il n'a aucun moyen de garantir qu'elles ont été effectivement effacées au niveau du stockage.

D'un côté vous avez l'OS qui raisonne en termes de fichiers (pour simplifier) ​​mais ne se soucie pas vraiment du stockage d'octets, de l'autre vous avez le firmware du périphérique de stockage qui raisonne en termes d'octets mais ne sait rien sur les fichiers et comment le système de fichiers est réellement défini.

Alors, cela signifie-t-il que tout est perdu et que nous devons attendre un avenir improbable pour nous apporter un système de fichiers implémenté nativement dans le firmware du périphérique de stockage? Non, mais ce que vous devez faire dépend de votre préoccupation réelle:

  • Si votre préoccupation concerne les données au niveau de votre système de fichiers, vous disposez d'un logiciel tiers vous ajoutez une nouvelle option d'effacement / effacement à vos menus contextuels. Vous devez vous assurer manuellement que les copies de ces fichiers ne sont présentes dans aucun instantané et sauvegarde du système de fichiers, car cela nécessite une décision au cas par cas, le système d'exploitation ne peut pas le faire pour vous (vous ne voulez pas de l'assistant de gomme de votre système d'exploitation pour visser votre sauvegarde ou pour vous aider, n'est-ce pas?).

  • Si votre problème concerne les données physiquement stockées sur votre périphérique de stockage, utilisez le chiffrement du système de fichiers. Cela garantira que les éventuelles «fuites» de données dues au nivellement de l'usure et à une mauvaise gestion des blocs ne seront pas exploitables par quiconque met la main sur votre périphérique de stockage.

C'est la bonne réponse.
Sous UNIX, par exemple, il n'y a pas de fonction «supprimer», «effacer» ou «supprimer», seulement «dissocier».
@tudor: En effet, vous soulevez un point important. Alors que "dissocier" est une fonction clairement et non ambiguë définie au niveau du système de fichiers, une fonction d'effacement / effacement remplace en fait le contenu du fichier car il n'y a physiquement aucun moyen de simplement "supprimer" les données du disque: il est seulement possible de l'écraser. Voici différentes approches d'écrasement, utilisant des données aléatoires, utilisant des modèles spécifiques, utilisant une ou un certain nombre de passes, etc., chacune ayant ses avantages et ses inconvénients. C'est pourquoi il appartient à l'utilisateur de choisir un logiciel tiers correspondant à ses propres besoins.
#5
+11
Benoit Esnard
2016-01-15 20:22:30 UTC
view on stackexchange narkive permalink

Pour des raisons de performances. Supprimer le fichier de l'index et déclarer que la zone où se trouvait le fichier est désormais libre et peut être réutilisé est bien plus efficace que d'effacer toutes les données de cette zone.

Pour les SSD qui se retournent.
@JDługosz: Pas vraiment. Les lecteurs Flash doivent effacer physiquement toutes les informations d'un bloc avant de pouvoir réutiliser tout l'espace, mais si quelqu'un veut supprimer un fichier qui utilise 64 des 1024 secteurs d'un bloc, marquer les 64 secteurs comme invalides sera être beaucoup plus rapide que de copier les 960 secteurs dont le contenu est encore nécessaire ailleurs et d'effacer ensuite le bloc qui contenait ces 64 secteurs.
Je veux dire la commande `trim`. Les blocs sont marqués comme inutilisés à un niveau très primitif plutôt que de simplement traîner jusqu'à ce qu'ils soient réutilisés. Plutôt que d'être plus efficace pour ne rien faire (pas clair), il est plus efficace de ne pas recopier les blocs inutilisés.
@JDługosz: Compte tenu de la décision malheureuse à mon humble avis de faire en sorte que toutes les clés USB utilisent un accès par secteur plutôt que quelque chose de plus proche de NFS, avoir une opération de niveau intermédiaire «marquer le secteur obsolète» est plus efficace que * soit * l'effacer physiquement * ou * simplement avoir le système de niveau supérieur le considère comme inutilisé sans en informer le lecteur.
C'est également un problème avec SATA / SAS. Pas USB, mais en changeant la couche de stockage de ce avec quoi la structure de commande a été conçue, et ayant historiquement plus d'intelligence dans l'hôte et moins dans le périphérique.
#6
+7
Cort Ammon
2016-01-16 23:14:55 UTC
view on stackexchange narkive permalink

Tout le monde n'est pas d'accord avec votre définition de ce que «supprimer» devrait signifier.

Pour 99,9% des utilisateurs, ils ne craignent pas que quelqu'un renifle pour obtenir des données. Ils veulent de l'espace pour stocker plus d'épisodes de Teletubbies torrentés. Pour la plupart des gens, il suffit de ne plus avoir réservé l'espace pour le fichier.

Ensuite, il y a le groupe d'individus dont vous faites partie, qui veulent que le fichier soit effacé afin qu'il ne puisse pas être récupéré. Cependant, avez-vous correctement pris en compte les copies mises en cache du fichier qui peuvent se trouver ailleurs sur votre disque dur? Il peut en fait être difficile de s'assurer que quelque chose est complètement supprimé. Pour quelqu'un qui veut une fonctionnalité comme celle-ci, vous avez peut-être déjà équilibré les questions de sécurité, mais pensez-vous que les 99,9% l'ont fait?

Enfin, considérez ceux qui se soucient vraiment d'effacer leurs secrets. Le processus standard du gouvernement consiste à jeter les disques durs dans un broyeur. Pourquoi? Saviez-vous que lorsque vous effacez le fichier, certaines des propriétés magnétiques du disque gardent vos données accessibles? Il n'est pas accessible par la tête de disque dur normale, mais retirez le plateau et placez-le dans un lecteur magnétique coûteux, et ils peuvent en fait extraire les données.

Si le gouvernement souhaite réutiliser le disque lecteur, le processus standard est un effacement 7 fois, où vous écrivez 7 fois sur chaque secteur du disque. Ils utilisent généralement simplement le grinder, car ce processus est si mécaniquement intensif que la plupart des disques ne survivent même pas à la rencontre.

Que signifie de toute façon «supprimer»?

EDIT: j'ai essayé de dessiner quelques points et de laisser les autres dessiner les lignes, mais il semble que cela pourrait m'aider à tracer la ligne aussi. La sécurité implique toujours des compromis. Peu de gens comprennent suffisamment la sécurité pour choisir correctement le niveau de compromis. Pour ceux qui le peuvent, vous pouvez ensuite diviser les personnes en trois catégories. Il y a une catégorie de personnes qui se soucient moins de la sécurité et qui détesteront un produit pour pousser plus de sécurité qu'elles ne le souhaitent au prix de la convivialité. Il existe une catégorie de personnes qui sont plus préoccupées par la sécurité que vous et qui seront frustrées par le manque de sécurité du produit. Enfin, il y a une catégorie avec vous, qui est satisfaite de cet équilibre.

Si tout le monde a sa propre définition de ce qu'est "suffisamment sécurisé", il est plus difficile d'obtenir les fichiers de suppression sécurisés "correctement" dès le début qu'il n'y paraît.

Je ne peux pas voter contre ce site de questions-réponses, mais ... "99,9%" (source?) "Parce que ce processus est si mécaniquement intensif ... ne survivent même pas à la rencontre" (source?) "Une partie du magnétique properties ... extraire les données. " (il y a en fait un document de recherche qui démontre qu'un effacement ponctuel n'effacerait pas suffisamment d'informations pour rendre la récupération impossible. N'ayez pas le lien ici).
@sumurai8 Je serais surpris si un utilisateur sur mille est suffisamment conscient des nuances du stockage de fichiers pour être prêt à contrôler les caches de fichiers de son système d'exploitation pour pouvoir obtenir la sécurité d'un tel effacement sécurisé. Pour ceux qui ne sont pas constamment conscients de ce que leur système d'exploitation fait pour eux, une telle fonctionnalité serait l'huile de serpent. J'adorerais voir ce papier. Le gouvernement fait clairement moins confiance que vous, même s'il est toujours agréable de voir de nouvelles preuves tangibles. Peut-être que les règles du gouvernement étaient pour les anciens disques durs plus bâclés, et les nouveaux ont moins d'effet
@CortAmmon Les gouvernements ne sont généralement pas satisfaits de «suffisamment sûrs» de toute façon. Cela ne s'applique pas seulement à la sécurité, mais à la sécurité dans une plus large mesure (par exemple, les «doses quotidiennes sûres» de certaines substances étant fixées à des valeurs plusieurs fois inférieures à ce qui est réellement nocif).
Est-ce le document dont vous parlez? L'épilogue mis à jour par Guttman lui-même https://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html#Epilogue
#7
+6
supercat
2016-01-21 23:10:02 UTC
view on stackexchange narkive permalink

Pour la même raison que les collecteurs de déchets du monde réel ne déchiquetent pas tout avant de le jeter dans leur camion.

Il y a deux raisons principales pour lesquelles les gens peuvent se débarrasser d'objets ou d'informations:

  1. Ils souhaitent empêcher leur utilisation par quiconque (ou peut-être une ou plusieurs personnes en particulier).

  2. Ils ne croient pas que le les articles auraient une valeur suffisante pour quiconque pour justifier les frais de conservation ou de recherche de quelqu'un à qui ils pourraient être utiles.

Ceux qui se débarrassent des choses pour le La première raison devrait les détruire afin de les rendre inutilisables, mais pour ceux qui se débarrassent des choses pour la deuxième raison, il est préférable de minimiser les dépenses totales restantes associées aux articles en question. Parce que les ordinateurs génèrent beaucoup d'informations qui deviendront inutiles après un laps de temps relativement court, et parce que - pour la plupart des ordinateurs - il est peu probable que la plupart des informations causent des dommages à qui que ce soit si elles sont diffusées, il y a dans de nombreux cas peu d'avantages à détruisant délibérément des informations. Il suffit de s'assurer que tout espace occupé par les informations sera disponible pour une réutilisation si et quand un besoin s'en fait sentir.

#8
+4
Alexey Vesnin
2016-01-17 03:53:10 UTC
view on stackexchange narkive permalink

En fait, vous bousillez deux procédures différentes : la suppression et l ' effacement sécurisé . La première est simplement une opération standard dépendante de FS, une opération déterminée et standardisée . Le second - l'effacement sécurisé - a beaucoup d'approches, de niveaux de protection contre l'effacement, de normes, etc. De ce fait, il est logiquement correct que si vous avez besoin de la deuxième catégorie, vous Vous êtes responsable de sélectionner et d’activer un mécanisme adapté à votre propre situation . Il n'y a pas d'implémentation commune et standardisée dans tous les cas / tâches / environnements pour un nettoyage sécurisé.

#9
+2
TOOGAM
2016-01-20 01:20:37 UTC
view on stackexchange narkive permalink

Pourquoi les systèmes d'exploitation n'ont-ils pas supprimé les fichiers en toute sécurité dès le début?

Vous voulez dire depuis le début de la suppression ou le début des systèmes d'exploitation? Les premiers systèmes d'exploitation essayaient de se concentrer sur les progrès technologiques tels que le stockage de données sur des disques durs plutôt que sur des lecteurs de disquettes ou des cartes perforées. Il n’était pas nécessaire que le système d’exploitation fasse quoi que ce soit de spécial pour empêcher la récupération des données sur les lecteurs de disquettes. (Désolé, juste m'amuser un peu à fouiller sur la fiabilité des lecteurs de disquettes.) À l'époque, la possibilité de «sauvegarder» était un gros problème. Faire la maintenance des fichiers, comme pouvoir «supprimer», peut être une option de menu enterrée et rarement utilisée. "Effacer en toute sécurité" semblerait absurde pour les personnes qui pourraient simplement jeter le disque ou le graver en premier. Pourquoi utiliser le lecteur de disquette bruyant, qui avait des vitesses beaucoup plus faibles que celles auxquelles nous sommes habitués aujourd'hui, pour attendre une demi-minute ou plus juste pour pouvoir écraser les uns avec des zéros? À l'époque où personne ne comprenait ce qu'était un "double clic", parce qu'ils n'avaient même pas de souris et donc ils ne faisaient même jamais un seul clic, et ils pensaient que le "copier-coller" était une technologie très avancée, ils attiraient les gens même comprendre le but aurait été assez difficile.

Ensuite, quand les hard rives sont arrivés, les systèmes d'exploitation ont simplement fait la chose la plus simple, qui est d'utiliser le même code informatique qui a fait ses preuves pour les disquettes

Et c'est un problème important, sinon il n'y aurait pas eu d'articles et d'histoires à ce sujet depuis environ 3 décennies maintenant.

En fait, cela peut être davantage une réflexion sur les objectifs du journalisme d'écrire des choses que les gens peuvent trouver intéressantes, ou cela peut être le résultat d'efforts éducatifs. Beaucoup de gens ne comprennent tout simplement pas que la suppression est plutôt non permanente et qu'il est bon que les gens comprennent les choses, donc l'éducation est une chose positive. Cela ne signifie pas que le comportement par défaut de softare doit être changé.

Si certaines personnes estiment que c'est important et devrait faire partie du système d'exploitation, pourquoi ne fait-il pas partie du système d'exploitation?

Parce que certaines personnes pensent que ce n'est pas important. Bien que l'effacement puisse être beaucoup plus utile pour certaines personnes (qui sont, par tous les moyens, libres et invitées à effacer (au lieu de supprimer) si elles le souhaitent), différentes personnes peuvent avoir des priorités différentes. Pour ma part, je supprime des éléments pour avoir de l'espace disque disponible au lieu de l'espace disque utilisé, et j'accélère les actions qui affectent tous les fichiers (comme la copie de tout l'espace disque utilisé sur un disque dur), et donc je n'ai pas besoin pour voir les noms de fichiers d'anciens fichiers, et pour ne pas ouvrir accidentellement un ancien fichier lorsque je veux un nouveau fichier. La suppression est un moyen efficace de masquer les données indésirables (comme les anciennes données) du logiciel afin que le logiciel n'utilise pas ces données indésirables. Avant de commencer à sauvegarder des données de manière plus fiable, j'appréciais en fait la possibilité occasionnelle d'utiliser un logiciel de récupération qui pouvait «restaurer» les données. Comme d'autres l'ont exprimé, l'essuyage peut entraîner des ralentissements supplémentaires et une «usure» supplémentaire. Étant donné que mes ordinateurs n'ont pas été en présence de personnes qui pourraient fouiller dans mes données supprimées afin d'essayer d'apprendre quelque chose que j'espérais être secret, l'effacement n'a jamais été une priorité pour moi. Avec tout cela à l'esprit, en réponse à votre dernière déclaration, «Faites ce qu'il faut», je pense que la suppression a été la «bonne chose» pour mes scénarios d'utilisation beaucoup plus fréquemment que ce que serait l'effacement. Je pense que la raison la plus simple, qui répond à beaucoup de vos questions, est que l'identification du comportement est la «bonne chose» pour la plupart des scénarios peut ne pas être aussi simple que vous le reconnaissez.

Les disques durs sont en effet venus après les disquettes pour micro-ordinateurs, mais pas pour les gros systèmes et les mini-ordinateurs: le disque dur est venu en premier (1956); la disquette plus tard (~ 1970).
Je me souviens avoir utilisé des disquettes 8 pouces sur le PDP-11 au lycée. J'aurais aimé en garder un. J'ai quelques cartes ici quelque part ... Il semble intéressant que, comme les ordinateurs ont été principalement développés pour le gouvernement et l'armée au départ, ils n'incluaient pas plus de sécurité. Je suppose qu'ils avaient une sécurité physique (des composants trop lourds pour se déplacer dans une pièce verrouillée dans un bâtiment verrouillé sur un campus sécurisé entouré de barbelés et protégés par des gardes armés ...) donc ils ne s'en sont pas inquiétés. Mais pourquoi les PC et les problèmes de sécurité des 3 dernières décennies n'ont-ils pas été inclus? Oh, eh bien, ça ne sert à rien.
#10
+2
bain
2016-01-20 03:34:17 UTC
view on stackexchange narkive permalink

Et pourquoi ne font-ils toujours pas cela?

Les autres réponses ont répondu pourquoi cela n'a pas été fait dans le passé (performances, attentes des utilisateurs, etc.) alors je ajoutera simplement une note expliquant pourquoi ce n'est toujours pas fait maintenant. Un problème est que la suppression sécurisée n'est considérée que comme une solution de sécurité partielle: elle supprimera une copie du fichier, mais la plupart des applications modernes laisseront des traces importantes - tampons d'historique (annulation), copies de sauvegarde, etc. - à partir desquelles les données peuvent être réunis. Il y a aussi le problème d'accès aux fichiers avant d'être supprimés (par exemple, vous alliez supprimer ce fichier en toute sécurité sur votre lecteur, mais quelqu'un a volé le lecteur avant que vous n'ayez une chance). Pour ces raisons, les systèmes d'exploitation modernes ont à la place implémenté un cryptage complet pour le stockage des utilisateurs, ce qui rend inutile la suppression sécurisée. Avec les données utilisateur chiffrées, même si le lecteur conserve l'image d'un fichier "supprimé", toutes les traces de ce fichier (et de tous les autres fichiers) sont cachées à un attaquant qui ne possède pas la clé de déchiffrement. Chrome OS, Android et iOS chiffrent désormais tous les données utilisateur par défaut, donc, sur ces systèmes au moins, il n'est guère nécessaire de supprimer des fichiers individuels en toute sécurité.

Les clés de chiffrement par fichier, même si les clés sont ensuite stockées en texte brut, à moins que l'utilisateur n'ait fourni une clé pour les chiffrer (au lieu du chiffrement de remplissage du disque) semble être une meilleure solution - vous pouvez alors simplement écraser les ~ 256 bits qui stockent la clé et perdre l'accès au fichier. OpenBSD fait cela pour l'espace d'échange, mais les implémentations normales de système de fichiers ne sont pas particulièrement courantes ...
-1
Merci d'avoir répondu à la moitié importante de ma question.
@supercat: Cela devient délicat s'il y a trop de couches d'abstraction ... Si la liste des clés est également cryptée par une clé fournie par l'utilisateur, donnant effectivement un cryptage complet du disque, il devient beaucoup plus difficile de lire les données de clé si elles ne sont pas détruites, mais moins pratique à utiliser.Même sans cela, les chances de récupération des données supprimées sont encore bien moindres qu'actuellement, où aucune tentative de destruction des données n'est faite.
#11
+1
Celeritas
2016-01-22 13:26:35 UTC
view on stackexchange narkive permalink

D'autres réponses sont bonnes et ont couvert la question entièrement sur le plan technique. Mais je pense qu'une autre réponse est invoquée qui adopte une vision différente du problème, car (à mon humble avis) cette question n'est pas vraiment technique (demander pourquoi quelque chose n'a pas été fait différemment est plus une décision commerciale que technique).

La question demande pourquoi le système d'exploitation ne supprime pas vraiment les données. Le fabricant du système d'exploitation peut lui faire faire ce qu'il veut. Il n'y a certainement aucune raison pour que quelqu'un ne puisse pas créer un système d'exploitation capable de supprimer les données. Mais pourquoi le feraient-ils? Essayez de retourner la question, pourquoi quelqu'un créerait-il un système d'exploitation qui supprime des données alors qu'il est facile de télécharger un utilitaire qui le fait pour vous? De plus, c'est généralement la philosophie selon laquelle les systèmes d'exploitation doivent être minimalistes et ne contenir que les fonctionnalités nécessaires au fonctionnement de l'ordinateur.

Je n'essaye pas d'être dur avec ma réponse, ce que je dis est la question semble être posé du mauvais point de vue et il manque des connaissances préliminaires.

OS minimalistes? Il y a 25 ans, j'ai écrit un ensemble de TSR DOS pour partager des modems sur un réseau Novell. À cette époque, Microsoft publiait ses propres capacités réseau et pouvait éventuellement partager des modems et des imprimantes sur sa méthodologie réseau. Microsoft a lentement repris la plupart des produits tiers qui permettaient de sauvegarder, d'annuler la suppression, etc. C'est tout sauf minimaliste, et puisque Windows représente 90% des PC, qui représentent probablement 90% des ordinateurs là-bas, c'est vraiment ce à quoi je fais référence.
@nocomprende c'est en fait un autre problème avec la question posée, cela parle comme si tous les OS étaient les mêmes, ce qu'ils ne sont pas. Windows est l'un des systèmes d'exploitation les plus gonflés.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...