Question:
Méthode d'urgence pour effacer toutes les données d'une machine en quelques secondes
TheoreticalMinimum
2020-07-22 15:08:14 UTC
view on stackexchange narkive permalink

Imaginez que vous transportez avec vous des informations extrêmement sensibles, peut-être lors d'une mission dans une zone de guerre. Vous vous retrouvez dans une embuscade et devez rapidement effacer tous les fichiers avant qu'ils ne tombent entre de mauvaises mains. Cela doit se produire en quelques secondes.

Quels périphériques sont utilisés pour de telles opérations, y a-t-il des disques durs spéciaux qui ont un commutateur physique pour effacer toute la mémoire à la fois? Je pense aux périphériques de stockage actifs, qui perdent toutes les informations une fois l'alimentation séparée.

Addendum 1: Comme Artem S. Tashkinov l'a souligné dans son réponse, pour la plupart des cas d'utilisation, le chiffrement suffit. Mais je pense qu'il y a des informations si précieuses que même dans 50 ans, lorsque la rupture de code quantique peut devenir une réalité, cela peut être nocif. J'ai donc édité ma question pour demander explicitement une méthode, qui ne laisse aucun moyen , aussi difficile que cela puisse être sur le plan informatique, de récupérer des données. Je suppose que cela n'est possible qu'en détruisant physiquement les composants qui contiennent les informations.

Addendum 2:

  • Problèmes avec la thermite: Les lecteurs de données semblent assez résistants à la thermite et même à la thermate de qualité militaire, comme indiqué lors d'une conférence à la defcon 23. Ce n'est pas semble que l'utilisation de l'une ou l'autre de ces substances est un moyen fiable de se débarrasser des données. Les résultats expérimentaux ont montré que l'entraînement était pratiquement intact après l'attaque thermite / thermate et il semble peu probable que la température de Curie ait été atteinte dans toute la plaque. ( DEF CON 23 - Zoz - Et c'est comme ça que j'ai perdu mon autre œil ... Explorations de destruction de données (corrigé), merci à Slava Knyazev pour avoir fourni cette ressource).
  • Problèmes de chiffrement: même si la rupture du code quantique ne rompra pas tout le chiffrement existant (comme l'a souligné Conor Mancone), il existe toujours un risque que des failles dans le chiffrement soient connues ou soient découvertes à l'avenir.
Les commentaires ne sont pas destinés à une discussion approfondie ou à la publication de réponses.Je les ai tous [déplacés pour discuter] (https://chat.stackexchange.com/rooms/111028/discussion-on-question-by-theoreticalminimum-emergency-method-to-erase-all-data).Si vous souhaitez répondre, veuillez poster une réponse, pas un commentaire.
Quatorze réponses:
nick012000
2020-07-22 16:12:08 UTC
view on stackexchange narkive permalink

Thermite.

La thermite brûle à une température de plusieurs milliers de degrés centigrades, ce qui serait plus que suffisant pour détruire toutes les données stockées sur n'importe quel support de stockage de données moderne. Il est également déjà utilisé par les militaires pour la destruction ciblée de matériel. De plus, selon Wikipédia:

Par exemple, la thermite peut être utilisée pour la destruction d'urgence de l'équipement cryptographique lorsqu'il y a un risque qu'il soit capturé par les troupes ennemies .

Quelle est votre suggestion pour pouvoir déclencher la thermite à partir d'un lecteur physique en appuyant simplement sur un bouton qui ne se déclenchera pas par accident?De plus, comment concevriez-vous le lecteur pour garantir que toutes les données sont détruites, et pas seulement une partie de celles-ci?
Utilisez-le en plus du chiffrement au cas où de petites portions de données échapperaient à la destruction.
@KevinWells il existe des grenades à thermite utilisées par l'armée pour cet usage et pour détruire l'artillerie.Ils ont probablement les caractéristiques de sécurité requises sans être difficiles à utiliser.Voir le lien wiki dans la réponse.Mettez les données au sol, avec une grenade dessus, activez et fuyez.
@BillThePlatypus Vous avez raison, le lien wikipedia est beaucoup plus détaillé sur la façon dont cela fonctionnerait, mais cette information devrait être incluse ici pour en faire une meilleure réponse
@KevinWells Comment l'empêcher de se déclencher par accident?De la même manière que les avions arrêtent les missiles par accident.Vous devrez peut-être tourner / appuyer sur deux interrupteurs, chacun avec un couvercle, par exemple.En ce qui concerne la conception, tout ce dont vous avez besoin est assez de thermite dans suffisamment d'endroits, sûrement?
Je ne pense pas que cela fonctionnera bien.Voir par exemplehttps://youtu.be/-bpX8YvNg6Y?t=624
@KevinWells: Je soupçonne que la fusion d'une partie d'un plateau avec de la thermite rendrait au moins le reste suffisamment chaud pour se démagnétiser (au-dessus de sa température de Curie, Tc).J'ai trouvé une discussion sur le plateau de disque dur Tc: https://www.overclockers.com/forums/showthread.php/454159-What-is-the-Curie-point-of-hdd-magnetic-platters?s=80ae5292903f254cd4f573bebdfull7f23e&p=4464481&p=4464481&viewfull= 1 # post4464481.Pour un SSD avec Flash, la répartition du stockage d'informations avec la température a une physique entièrement différente, mais elle est plus petite, vous aurez donc généralement besoin de moins de thermite.
Je recommanderai la vidéo defcon.Comme le montre leur expérience, les plateaux sont un énorme dissipateur de chaleur et nécessitent beaucoup de Thermite.bien que cela ait l'air amusant, ce n'est pas pratique.Ni efficace.https://www.youtube.com/watch?v=-bpX8YvNg6Y&t=1150
Mettez la thermite au-dessus des plateaux et cela fonctionnera beaucoup mieux.Si je me souviens bien, la plaque supérieure d'un boîtier de disque dur est en aluminium ou en acier assez mince.J'imagine une deuxième boîte, à paroi mince, de la taille d'une enceinte 5,25 entièrement remplie de mélange de thermite.Placez-le dans la baie au-dessus du disque dur à détruire.La thermite enflammée fondra à travers les deux parois minces en dessous et tombera directement sur les plateaux tout en continuant à réagir, avec beaucoup de métal fondu et de laitier associé.Emballez maintenant les deux boîtiers en toute sécurité et connectez votre appareil d'activation préféré.
@TheoreticalMinimum - Cela semble pouvoir fonctionner avec un lecteur flash au lieu d'un disque dur.Vous pourriez en gros envelopper la thermite autour d'elle et il ne resterait plus grand-chose par la suite.Aussi - peut-être ne pas aller dans des endroits aussi dangereux?
@TheoreticalMinimum - 1) le cordon de détonation semblait fonctionner assez bien dans la vidéo defcon.2) alors que le thermate n'a pas réussi à faire fondre les plateaux, ils n'ont pas tenté de lire quoi que ce soit d'eux avec un microscope, donc la conclusion "échouée" de la discussion pour le thermate / thermite est hautement discutable.
Je vais devoir aller regarder les vidéos, mais je n'arrive pas à imaginer qu'un disque dur puisse résister à une brûlure de thermite.Je les ai vus passer à travers une plaque d'acier de 1 "d'épaisseur à partir d'un pot de fleurs. Je suis sûr que les gars blackhat ont fait un boulot mais je dois voir ça pour le croire. De plus, si vous transportez du matériel qui doit être détruit, vous avez une arme à feu, des balles et deux dans un plateau de disque dur anéantiront à peu près toute récupération.
@Graham Thermite est étonnamment difficile à attraper.Vous avez besoin de plus de [1500 degrés Celsius pour démarrer] (https://www.unitednuclear.com/thermiteinfo.pdf)
@Edheldil Je suis d'accord, ces expériences ne sont pas du tout concluantes.
J'ai joué avec la thermite quand j'étais plus jeune, les gens ont généralement des attentes élevées quant à sa destruction.Vous devez y réfléchir et l'appliquer correctement, vous ne pouvez pas simplement "utiliser du thermite" comme on le voit dans les vidéos liées ci-dessus.
Je suis venu ici pour écrire Thermite comme réponse.Au lycée, nous, adolescents paranoïaques, avons discuté de cette option et avons élaboré quelques premiers plans ... Nous n'avons jamais vraiment construit le système (nous avons juste fait d'autres choses amusantes avec le Thermite ...;))
Slava Knyazev
2020-07-23 01:20:57 UTC
view on stackexchange narkive permalink

Il existe deux vidéos DEFCON de 2012 et 2015 explorant ce problème précis:

enter image description here

Résumé des options viables

  • Plasma Cutter
  • Injection d'oxygène (configuration difficile)
  • Nailguns ( selon l'adversaire)
  • Explosifs puissants amortis (beaucoup d'énergie cinétique)
  • HV Power Spike (criminalistique non concluante)

En substance, votre seul les méthodes viables sont la destruction physique

Ces discussions sont excellentes, en particulier la deuxième.
Je dois ajouter, ici, que celui que nous utilisons est un bon marteau à l'ancienne.Pour les entraînements mécaniques, écrasez-les simplement avec un marteau!Beaucoup d'amusement.Les plateaux à l'intérieur sont le plus souvent en verre, alors souvenez-vous simplement de vos lunettes de sécurité et de vos limaces, champion!C'est trop facile pour les disques M.2 ou SSD, mais c'est amusant de les voir se dissoudre dans un acide fort, ou d'utiliser un chalumeau d'ailleurs!Mais, pour des raisons de vitesse, encore une fois, un marteau est votre ami avec les M.2 ou les SSD.
Artem S. Tashkinov
2020-07-22 15:26:40 UTC
view on stackexchange narkive permalink

Si vous faites confiance au chiffrement, vous pouvez chiffrer l'intégralité de votre disque en utilisant

  • Linux: LUKS (pris en charge par toutes les distributions majeures)
  • Windows : BitLocker

Dès que vous éteignez physiquement l'appareil, toutes les informations se transforment en bruit aléatoire que personne ne pourra récupérer sans la clé de déchiffrement. Cependant, cette méthode présente un inconvénient majeur: votre adversaire saura que vous avez des données cryptées et il peut vous forcer à révéler vos secrets.

Quant à Linux LUKS: si vous effacez le premier bloc de mégaoctets de votre partition chiffrée, les données ne peuvent plus être récupérées en aucune circonstance même si vous connaissez la clé.

Si vous ne voulez même pas que l'adversaire soupçonne quoi que ce soit vous pouvez utiliser VeraCrypt ou DiskCryptor (anciennement TrueCrypt) qui peuvent créer des partitions / conteneurs chiffrés cachés, mais ceux-ci peuvent toujours être découverts avec suffisamment de persistance.

Enfin, je ferais personnellement ce qui suit dans ces circonstances étant donné que vous disposez d'une connexion satellite:

Exécutez le système entier à partir d'un CD Linux live et stocker les données dans un cloud chiffré (privé ou commercial). Dans ce cas, l'adversaire ne pourra même jamais rien déduire de votre par ex. ordinateur portable qui peut contenir un système d'exploitation Windows ordinaire avec des photos de chats.

Jetez également un œil à:

Peut-être qu'une solution pour les données persistantes en RAM (pendant quelques minutes) serait-elle nécessaire?
@Artem S. Tashkinov Ma question n'était pas assez précise.Je l'ai un peu édité.
Alors, demandez-vous une méthode de cryptage qui ne peut pas être cassée même en théorie?:-) Je ne les connais pas.Vous pouvez certainement concevoir une méthode de stockage des données qui, au cas où l'en-tête de données serait détruit, le reste des données deviendrait sans valeur mais je n'en suis pas au courant.Ils existent probablement déjà.
@ArtemS.Tashkinov Non. Bien sûr, cela ne peut pas être fait.Mais on peut plutôt perdre toutes les données que de les laisser tomber entre de mauvaises mains.Je demande un périphérique de stockage qui détruit physiquement ses informations, il risque d'être compromis.
Pertinente: https://xkcd.com/538/
Roulez dessus avec un tank.
Non seulement l'utilisation d'une connexion Internet par satellite équivaut à se promener avec un arbre de Noël allumé, mais elle est également liée à un cryptage de qualité bien inférieure et présente une énorme surface d'attaque.
Effacer le premier 1 Mo d'une partition LUKS n'est * pas * suffisant pour effacer tous les lots de clés qui chiffrent symétriquement la clé principale.Vous auriez besoin d'effacer * au moins * 20MiB, mais c'est variable et il est préférable d'analyser l'en-tête pour déterminer où terminer l'écrasement.Voir https://security.stackexchange.com/q/227359/213165
C'est une bonne réponse, vous voudrez peut-être reformuler légèrement ce point «Dès que vous éteignez physiquement l'appareil, toutes les informations se transforment en bruit aléatoire».Les informations en mémoire sont en clair à moins qu'elles ne soient cryptées par l'application.Les informations sur le disque sont toujours cryptées (dans ce cas).Le pilote est responsable de le déchiffrer à la volée lorsque le système d'exploitation / l'application a besoin de texte en clair.Il n'y a rien de "magique" qui transforme les informations en bruit lorsque l'on éteint l'appareil.C'est déjà du bruit, être mis sous tension et avoir une clé correcte + pilote rend les informations déchiffrées.
Bitlocker dispose d'un mécanisme de récupération pour les entreprises - il existe donc au moins deux façons de déchiffrer les données.Compte tenu de ce que nous savons sur les États-Unis, je me demanderais également si une solution de source fermée américaine peut être fiable contre les attaquants potentiels des États-nations (selon la description dans le post de demande).Contre votre vol ou votre perte au quotidien?Plus qu'assez.Contre un attaquant au niveau de l'État-nation?Pas si sûr.Et à ce niveau, les clés TPM peuvent également être extraites (bien que cela puisse impliquer des aiguilles acides et microscopiques - la recherche est désormais ancienne.)
Daniel H.
2020-07-23 00:06:58 UTC
view on stackexchange narkive permalink

Un disque RAM

La RAM est cool en ce qu'elle est une mémoire volatile. Cela signifie essentiellement qu'une fois que l'alimentation est coupée, toutes les données sont complètement perdues et ne peuvent jamais être récupérées - essentiellement, cela efface de manière irréversible et fiable toutes les informations instantanément et le fait d'une manière qui ne peut être arrêtée.

Non seules ces données sont irrécupérables, mais cette méthode n'inclut aucune destruction physique des composants et pourrait même être implémentée avec un déclencheur d'homme mort (c'est-à-dire quelque chose comme une épingle de grenade qui, une fois retirée, coupe l'alimentation du disque RAM pour l'effacer ).

Malheureusement, la perte de données n'est pas aussi rapide, surtout si un attaquant est préparé: https://en.wikipedia.org/wiki/Cold_boot_attack
Cela peut être @ConorMancone, selon la configuration de la RAM.Les informations sur la RAM sont stockées dans des condensateurs - si vous modifiez les spécifications de ces condensateurs, vous pouvez facilement les configurer pour qu'ils fuient toute leur énergie après quelques microsecondes.La RAM moderne essaie évidemment de faire durer les données le plus longtemps possible (donc il n'est pas nécessaire de les actualiser aussi souvent, ce qui facilite la charge sur d'autres composants), mais si vous deviez personnaliser la RAM, vous pourriez facilement l'obtenirpresque instantané
Je soupçonne qu'un défaut de ce plan serait qu'il pourrait être vulnérable à une perte de puissance accidentelle, même pendant une brève seconde, auquel cas sa volatilité nuirait à sa fonction.Cela nécessite également une source d'alimentation qui ne s'épuise pas dans le temps nécessaire pour transférer les données, et si vous devez traverser une zone de guerre, cela peut être une chose difficile à transporter
@KevinWells ceci est vrai, vous auriez besoin de puissance pour rester constant.Heureusement, la RAM n'utilise pas une énorme quantité d'énergie par elle-même (après trois minutes de recherche, il semble que vous puissiez obtenir de la RAM avec une consommation d'énergie inactive de 0,5 W. Si vous utilisez une batterie d'ordinateur portable - par exemple, 90 Wh - les informations pourraient durer jusqu'à180 heures, soit un peu plus d'une semaine)
@KevinWells la vulnérabilité de perdre accidentellement les données est intégrée à tout appareil doté d'une fonction d'autodestruction.
@AlexandreAubrey Vrai, mais certains systèmes sont plus susceptibles de tomber en panne accidentellement que d'autres.Si vous aviez un système dans lequel vous deviez soulever un volet, puis appuyer et maintenir un bouton pendant une seconde complète, cela ne se produirait probablement pas accidentellement, alors qu'un système où vous deviez maintenir un interrupteur d'homme mort enfoncé.les temps seraient vulnérables aux trébuchements accidentels, à l'endormissement, etc., ce qui en fait un système pire.Je pense que le système RAM est quelque part entre ceux-ci, mais il est globalement le moins stable
@KevinWells Si vous pouvez vous permettre le temps nécessaire pour effectuer une deuxième livraison dans le cas d'un lecteur qui est DOA ou les ressources pour transporter plusieurs copies afin qu'au moins une arrive en bon état, c'est une bonne idée.Bien qu'il soit plus susceptible d'échouer, c'est aussi un moyen plus robuste de protéger les informations que le cryptage et il est plus flexible que la destruction physique en termes de lieu et de manière d'activer le mode d'autodestruction.
@KevinWells s'il y a un mécanisme à goupille de grenade et qu'il est traité comme une véritable grenade dans la mesure où vous ne voulez vraiment pas retirer accidentellement la goupille, les chances de défaillance du système de déclenchement seraient très faibles
Une solution potentielle au «commutateur de l'homme mort» est d'utiliser un capteur de proximité.Une puce à l'intérieur du périphérique de stockage de données, l'autre à l'intérieur du support (implantée sous la peau, quelque part discrète).Si les puces sont distantes de plus de 3 mètres, l'interrupteur est déclenché.Ainsi, l'utilisateur n'a besoin que de réussir à lancer l'appareil sur une très courte distance, et il n'y a presque aucune chance de le déclencher accidentellement
@DarrenH sauf pour un capteur de proximité défaillant :)
@ConorMancone Si vous vous attendez à une telle attaque, il est assez facile de l'empêcher.Vous avez besoin d'un boîtier physique isolé thermiquement pour que la RAM fonctionne aussi chaud que ses spécifications le permettent (cela raccourcira probablement beaucoup la durée de vie de la RAM et vous voudrez peut-être utiliser la mémoire ECC car cela pourrait également induire plus d'erreurs) et donnevous avez du temps supplémentaire pour que les données se dissipent pendant qu'elles sont violées.À l'intérieur de l'enceinte, incluez un circuit qui coupe l'alimentation en cas de besoin, c'est-à-dire lorsque l'enceinte est violée, ou lorsque la température baisse trop bas, ou à la demande à l'aide d'un interrupteur, ou lors du redémarrage.
@ConorMancone Vous pourriez probablement bricoler un tel appareil avec un Raspberry Pi, un capteur de température, une batterie externe, du polystyrène et de la tôle.Chargez les données sur l'ordinateur, mettez-les dans le boîtier, soudez-les.Seule la connexion à l'extérieur est un interrupteur d'alimentation et peut-être une entrée d'alimentation.Utilisez un ordinateur monocarte plus sophistiqué et une batterie externe plus grande pour plus de stockage.
Super Collez les composants de l'ordinateur ensemble, afin de retarder le retrait de la RAM.Cela aide également à prévenir les attaques de méchantes maid.
Existe-t-il une option pour une combinaison de techniques?Faire sauter ou déchiqueter un disque dur peut ne pas être suffisant, mais j'imagine que le bélier déchiqueté serait assez proche.Les gens peuvent être en mesure de restaurer l'alimentation en quelques secondes de mémoire latente pour un disque entier, mais ils ne pourraient pas le faire avec la version déchiquetée.(tant que le bélier déchiqueté fuit encore au moins aussi rapidement)
Daniel B
2020-07-23 03:28:27 UTC
view on stackexchange narkive permalink

Disque dur avec plateaux en verre

Les disques durs avec plateau en verre sont courants. Tout ce que vous avez à faire est de vous assurer que vos données sont stockées sur l'un d'entre eux et, en cas d'urgence, de les jeter au sol très fort. Cela brisera les plateaux et rendra la récupération pratiquement intenable, surtout si elle est combinée avec le cryptage. Si vous avez une arme à feu, mettre quelques balles dans le lecteur les réduira en poudre.

Si vous avez des lecteurs spécialement conçus, vous pourriez probablement intégrer une petite charge explosive qui désintégrerait les plateaux sans même casser le conteneur (beaucoup plus sûr que la thermite).

Un concept soigné que je serais curieux de savoir s'il était possible d'utiliser une attaque acoustique. Dans cet article, ils démontrent que vous pouvez interférer avec les plateaux d'un lecteur en utilisant sa fréquence de résonance. Il est peut-être possible d'intégrer un appareil acoustique qui, lorsqu'il est allumé, brise les plateaux de verre.

Edit: une réponse encore meilleure me vient.

Carte MicroSD: des possibilités infinies

La petite taille d'une carte microSD offre encore plus de possibilités. Écrasez-le en poudre entre deux roches. Faites-le fondre avec un briquet. Le tirer. Enfer, si vous voulez avoir une chance de le récupérer, de l'avaler ou de trouver un morceau de terre et de le pousser dedans. Les chances que quelqu'un puisse le trouver sont minuscules. Pour l'anecdote, mis à part les contacts corrodés, les données sur une carte microSD qui traverse le système digestif sont récupérables.

Les humains ne sont pas assez forts pour casser les plateaux de verre sur un disque moderne en touchant le sol.Vous casserez probablement une autre partie du disque, mais vous aurez besoin d'un effort supplémentaire pour rendre les données irrécupérables.
L'idée MicroSD serait moins faisable IMO, comment trouvez-vous des roches à "broyer en poudre" en quelques secondes?Comment retirer un briquet, une arme à feu, etc. Il y a de fortes chances que si vous êtes poursuivi, le jeter, l'avaler ou l'enterrer n'aidera pas.
@Ave Quelques rochers, la crosse d'un pistolet ... «quelques secondes» était la métrique spécifiée, et il n'y a pas de fin d'options dans ce laps de temps.Et je trouve difficile de me représenter comme une situation dans laquelle je n'ai pas le temps de jeter une carte microSD dans mon œsophage, mais j'ai le temps d'activer une charge de thermite sur un disque dur sans me brûler dans le processus, et c'est la meilleure réponse¯ \ _ (ツ) _ / ¯
@fraxinus J'ai littéralement brisé les plateaux d'un disque dur d'ordinateur portable en le faisant tomber accidentellement du comptoir de ma cuisine sur un sol carrelé, donc je sais que c'est possible.C'était il y a quelques années, cependant.Vraisemblablement, s'il s'agissait d'un cas d'utilisation important, on pourrait retrouver le fabricant de ce disque particulier.: P
les plateaux sont recouverts de silicium, vous pouvez avoir un petit récipient d'un gaz qui réagit bien avec le silicium à l'intérieur du lecteur et le connecter à une sorte de mécanisme de déclenchement.ce n'est qu'une expérience de pensée, mais pour moi, cela semble fonctionner.
@DanielB bien, ils étaient plus forts.Bon à savoir.
La SDCard peut être tuée de la même manière qu'un USB-Killer tue les USB.Il suffit de le zapper avec 120/220 volts de manière involontaire et de faire frire la puce.Frappez-le ensuite avec un marteau, pour faire bonne mesure.
J'ai accidentellement cassé une carte MicroSD de 64 Go une fois en essayant simplement de gratter les numéros de série.
Je m'interroge sur la création d'un disque dur à plateau de verre avec un marteau brise-roche interne spécial.
Verre, faites durcir les plateaux spécialement pour qu'ils se brisent en particules semblables à du sable au lieu de gros éclats.
bta
2020-07-23 05:04:44 UTC
view on stackexchange narkive permalink

Certains des contrôleurs RAID SmartArray de HPE (par exemple, le P408i) prennent en charge le chiffrement de disque transparent. L'un des modes de configuration pris en charge implique des clés qui ne sont jamais stockées que dans une mémoire tampon de données sur puce protégée et volatile. Si vous mettez le système sous tension, les clés sont définitivement perdues et les données qu'elles ont protégées sont inaccessibles. L'un de leurs ingénieurs commerciaux nous a dit que ce mode était spécifiquement conçu pour votre scénario exact, et il l'a appelé "mode ambassade" (ce qui signifie que si votre ambassade était attaquée, vous pourriez retirer une prise et détruire toutes vos données classifiées avant que l'ennemi ne puisse obtenir à lui).

Vous pourriez aussi aller à la vieille école. Cryptez vos données à l'aide d'un tampon à usage unique (incassable, même avec des ressources de calcul infinies) et stockez le tampon sur du papier nitrocellulosique. Obtenez des ennuis et la nitrocellulose brûlera en quelques secondes. Si vous ne faites que transporter les données et que vous n'avez pas besoin d'y accéder vous-même, envoyez les données et le pad séparément. L'ennemi devrait intercepter les deux pour voler vos données. N'envoyez le bloc-notes qu'après avoir confirmé que les données sont arrivées en toute sécurité. Si les données cryptées sont interceptées, rechiffrez-les à l'aide d'un nouveau pad et réessayez. Sinon, utiliser un pad pré-partagé signifie que le pad n'est jamais en transit du tout et qu'il n'y a donc aucune possibilité de l'intercepter.

+1 pour le recadrage à l'ancienne."Comment pouvons-nous stocker des données sur quelque chose qui peut être facilement détruit?"peut être une meilleure question ici que "Comment pouvons-nous détruire le stockage de données?"
@Josiah, comment lisez-vous l'OTP dans le lecteur / module RAID au démarrage?Avez-vous un emplacement de stockage spécial sur le serveur qui peut à la fois l'OCR et l'allumer?Je peux voir comment on pourrait utiliser un périphérique LOM et des commandes LOM pour déclencher l'allumeur et brûler le papier, mais comment démarrer le processus de décryptage?Quelle doit être la taille (physique) de votre disque dur pour stocker et récupérer en toute sécurité l'OTP?
OCR est probablement quelque chose d'exagéré.Bien sûr, le stockage informatique sur papier appartient généralement à un musée.(Plus précisément, le Bletchley Park Computing Museum, où le premier ordinateur électronique programmable, Colossus, a utilisé du ruban perforé pour les entrées-sorties de données), mais si votre principale contrainte est quelque chose qui peut être détruit efficacement, il répond au critère.Rappelez-vous, j'ai voté pour cela non pas tant pour la suggestion spécifique d'OTP que pour la nitrocellulose.
R.. GitHub STOP HELPING ICE
2020-07-23 21:49:24 UTC
view on stackexchange narkive permalink

Le cadrage de cette question est complètement faux, et j'irais jusqu'à suggérer que la question n'appartient pas à Security SE mais à Worldbuilding SE si vous essayez de créer un monde où cela a du sens . Vous ne portez pas d'informations sensibles en texte clair et vous ne détruisez pas les médias pour rendre les informations inaccessibles. Vous utilisez correctement le cryptage et soit vous ne portez pas du tout la clé, soit vous détruisez la clé en cas d'urgence plutôt que de détruire le support sur lequel les données (potentiellement volumineuses) sont stockées.

Les mises à jour de la question sur le chiffrement sont tout aussi fausses. «Torturer pour obtenir la clé» n'est pas un problème car la clé n'est pas quelque chose d'assez petit pour être quelque chose que vous connaissez. Soit vous ne le possédez pas du tout, soit vous le possédez sous une forme facilement détruite (par exemple, papier soluble ou ingérable). Il existe de nombreuses formes de cryptage qui ne sont même pas théoriquement sensibles au CQ, et même pour celles qui le sont, la plupart de la susceptibilité est «théorique» en ce sens qu'elle repose sur des objets mathématiques abstraits qui ne peuvent presque certainement jamais exister dans la réalité. (Mais si vous ne me croyez pas sur ce dernier point, choisissez simplement quelque chose de post-quantique.)

Le deuxième paragraphe de votre réponse me paraît logique.Je pense que j'ai eu une mauvaise impression de xkcd.com/538.J'ai supprimé le petit commentaire sur la torture comme un risque pour la sécurité.
Mais n'êtes-vous pas d'accord que même les données cryptées pourraient devenir une menace?Cela me semble beaucoup plus sûr de détruire physiquement même les informations codées, puis les informations sont perdues pour de bon, quelles que soient les méthodes de décryptage existantes ou futures.
Non, je ne le fais pas, et le considérer comme tel n'est généralement pas une pratique courante.
Je ne suis pas un cryptographe donc je n'ai aucune idée de la pratique courante dans votre domaine.Mais je trouve un peu étrange que vous excluiez complètement l'échec du cryptage et que vous disiez que cela relève de la fiction (ou de la stupidité).Tant que les données cryptées sont physiquement présentes, il n'y a qu'un seul problème mathématique (très difficile) ou une faille inconnue à décoder.Si les informations sont physiquement détruites, elles sont sans doute plus sûres.Et la question ne concerne qu'un moyen efficace et rapide de faire exactement cela, rien d'autre.
Nous vivons dans un monde où les choses beaucoup plus dangereuses que le secret que vous protégez sont protégées par des mesures beaucoup plus faibles que l'utilisation pleinement appropriée de la cryptographie.Le maillon le plus faible de «quelque chose de tout à fait horrible se produit» n'est pas cela.
Il convient également de noter qu'ici * le cryptage symétrique * est suffisant.La plupart des crypto-monnaies modernes nécessitent un * cryptage asymétrique *, ce qui tend à impliquer des problèmes mathématiques difficiles au-delà de notre portée (informatique) - bien qu'une meilleure approche (ou dans certains cas, des ordinateurs quantiques) reste une possibilité.Oui, il peut aussi y avoir un moyen inconnu de briser certains schémas de chiffrement * symétriques * - mais ils ont si peu de structure mathématique à attaquer que les gens ne connaissent même pas de bons points de départ pour le faire.
Vous devriez peut-être ajouter qu'il est théoriquement possible de récupérer des supports même physiquement détruits avec une puissance de calcul suffisante et des mesures suffisamment précises.Les seuls obstacles sont le coût énorme des outils et les besoins en énergie et en temps de calcul.Et que ce sont exactement les mêmes obstacles pour briser la cryptographie moderne.
@R..GitHubSTOPHELPINGICE Ce n'est pas une raison suffisante pour construire de _nouveaux_ liens faibles, ou comment les anciens liens faibles seront-ils un jour supprimés?
@TheoreticalMinimum: Je pense que vous sous-estimez vraiment la cryptographie moderne.Bien sûr, briser le chiffrement n'est qu'un «problème mathématique (très difficile)» - mais dans le même sens, réassembler les morceaux d'un disque dur qui ont été broyés en poussière n'est qu'un puzzle très difficile.Nous pouvons être au moins aussi convaincus que le problème mathématique est difficile que nous le sommes que le puzzle est - en partie pour des raisons théoriques, et en partie pour la raison pragmatique qu'aucun criminel n'a encore réussi à briser le cryptage standard de l'industrie, même s'il le pouvaitgagner des sommes folles s'ils le faisaient.
l'investissement dans la crypto-monnaie est un pari contre l'informatique quantique, et vice versa.
Robb Smith
2020-07-23 01:16:46 UTC
view on stackexchange narkive permalink

Auparavant, il était possible d'acheter des puces CPU avec une PROM intégrée qui serait détruite au contact de l'atmosphère, l'idée étant d'empêcher quelqu'un de rétroconcevoir le code qui avait été gravé dans la PROM en ouvrant le paquet et l'examen de l'état des liaisons fusibles avec un microscope. (Une fois, j'ai eu le plaisir de travailler avec un ingénieur qui a procédé à la rétro-ingénierie des décodeurs de chiffrement vidéo par antenne parabolique en utilisant précisément cette méthode.)

H. Daun
2020-07-23 06:00:25 UTC
view on stackexchange narkive permalink

Carte MicroSD 1 To et un mixeur

Le meilleur moyen est de détruire physiquement les données.Une carte MicroSD 1 To a probablement assez de stockage pour ce dont vous avez besoin, sinon obtenez

Si vous l'avez stocké dans un petit mélangeur auto-alimenté (alimenté par batterie, ou peut-être quelque chose de plus redondant que de simples piles), vous pouvez immédiatement mélanger les cartes MicroSD et les transformer en poussière. À ce stade, il ne devrait pas être possible de récupérer des données.

Certaines méthodes telles que l'effacement magnétique des disques durs, leur prise de vue, etc. peuvent avoir une certaine quantité de support récupérable. Je pense qu'il est moins susceptible de récupérer la poussière restante de la carte MicroSD.

Je tiens à souligner, parce que j'étais curieux, qu'il existe une carte MicroSD 1 To d'un fournisseur réputé disponible auprès de plusieurs fournisseurs réputés.
C'est un bon point à quel point le stockage moderne peut être détaillé et délicat, mais je ne suis pas vraiment convaincu que cela remplisse les critères.Même si le mélangeur déchiquette avec succès la carte, le genre d'adversaire qui peut casser la crypto moderne peut en fait être en mesure de résoudre un puzzle de poussière de carte SD!
@Josiah Vous plaisantez, non?Je ne sais pas si un mélangeur est réellement capable de déchiqueter une microSD en poussière, mais si la puce à l'intérieur de la carte est déchiquetée en poussière (d'une taille de particule comme on pourrait s'y attendre d'un bon mélangeur), il n'y a aucun moyen de le faire.l'enfer qui va être remonté.
Mais je pense que la gravure est plus réaliste.Mettez-le dans une boîte avec quelques pétards, quelque chose comme ça (sachez que mettre des explosifs dans une coquille un peu forte, c'est essentiellement comme faire une grenade, c'est-à-dire qu'il vous tuera si vous le faites mal).
@Nobody, cela dépend de l'échelle que vous comptez comme "poussière".L'OMS dit que la "poussière" peut mesurer jusqu'à 100 micromètres de large, mais soyons généreux et appelons-la environ 10. Une carte SD mesure environ 10 mm de large, il y a donc environ 1000 particules de "poussière" le long et environ 1000 jusqu'à.Si la carte fait 1 To, chacune de ces particules de poussière a de l'espace pour environ un mégaoctet de données.Évidemment, vous n'obtiendrez pas une toute petite paire de pinces et ne la mettriez pas ensemble, mais si vous avez le kit médico-légal approprié pour lire ces fragments, vous pourriez bien être en mesure de refaire certaines des données "puzzle" par ordinateur.
L'acide fluorhydrique (ou peut-être Aqua Regia) fonctionnerait probablement pour dissoudre la carte
Les plaques sont extrêmement non réactives.Cela a été montré dans le discours sur le defcon 19.
Mâchez-le et avalez-le.
En réalité, la carte ne va-t-elle pas simplement rebondir à l'intérieur du mélangeur et se casser en 2-3 morceaux, car elle est trop petite pour être mélangée?
@Nullman Si ceux-ci ne sont pas assez rapides, le _Got_ de ClF₃ sera suffisant pour faire le travail.«Il a été rapporté que le trifluorure de chlore et des gaz similaires enflamment le sable»
Nzall
2020-07-23 01:15:28 UTC
view on stackexchange narkive permalink

Utilisez l'un de ces SSD M.2 à petit facteur de forme et trouvez un moyen de le monter afin qu'il puisse être retiré facilement. Notez que cela peut nécessiter un développement personnalisé, car je ne connais aucun outil moderne permettant cela. Cependant, si vous êtes en mission dans une zone de guerre active transportant des informations très dangereuses, vous avez probablement une équipe qui peut trouver quelque chose. Les militaires du monde entier travaillent à l'élimination des données d'urgence depuis des lustres. Lorsque vous avez des problèmes, sortez-le de la baie du lecteur et détruisez-le avec les outils que vous avez à portée de main (pistolet, bottes en acier, peut-être même vos mains nues, ...). AFAIK, il n'est pas possible de récupérer des données à partir d'un SSD dont les modules de mémoire sont physiquement cassés.

Josiah
2020-07-23 03:41:18 UTC
view on stackexchange narkive permalink

J'adore la logique simple de certaines des autres réponses. Vous voulez que les données ne tombent certainement pas entre de mauvaises mains? Faites exploser. Je reconnais que votre question recherche des réponses plus fortes que "chiffrer" mais je pense qu'il existe des idées de codage logiciel qui peuvent compléter "faire exploser" pour être encore plus sûr que le secret est gardé secret.

L'idée fondamentale est de garantir autant que possible que même si seule une fraction des données est détruite, les signaux restants qui pourraient encore être récupérés ne peuvent pas être interprétés.

Alors, voici quelques réflexions supplémentaires:

  • Réduire la redondance En informatique normale, nous utilisons des données en double, des codes de correction d'erreur et d'autres techniques similaires pour garantir que même si certaines données est mutilé, l'original peut être récupéré. Ici, il s'agit simplement de donner à votre adversaire une vie supplémentaire gratuite, nous voudrons donc désactiver cette option.
  • Lecture aléatoire . En informatique normale, nous pourrions localiser des données sur un disque, de sorte que les données sur le même sujet soient regroupées. Il y a de nombreuses raisons à cela, y compris y accéder efficacement et donner à vos programmeurs un cadre logique pour raisonner. Mais dans ce cas, parce que le secret ne doit absolument pas tomber entre les mains de l'ennemi, faites le contraire. Lorsque vous écrivez les données sur l'appareil, mélangez les bits: le premier bit peut être proche du début, le second proche du milieu, etc. Le but est de garantir que même si votre bombe ne détruit que la moitié des données, le morceau qui est laissé ne peut être raisonnablement interprété.
  • Ajouter une interdépendance . En informatique normale, pour interpréter un bit, nous lisons un bit. C'est utile pour votre adversaire de récupération. Les normes de cryptage modernes utilisent cependant une technique appelée chaînage de blocs pour garantir que les bits précédents modifient le cryptage des bits futurs. Peut-être exécutez votre cryptage de base vers l'avant et vers l'arrière, de sorte que toutes les données soient mêlées à l'interprétation de toutes les données. Encore une fois, le but ici est de sécuriser votre encodage. Même si la bombe détruit une infime partie des données, l'attaquant doit deviner non seulement ces données, mais aussi comment ces données affectent le cryptage. (Il existe d'autres moyens plus complets d'ajouter de l'interdépendance, mais ils nécessiteraient une compréhension de classe mondiale de la théorie du codage)
  • Utilisez beaucoup de clés . Nous voulons nous assurer qu'ils doivent lire plusieurs bits pour interpréter correctement un bit. Il existe un chiffrement appelé "One time pad" qui est mathématiquement incassable. Autrement dit, même un attaquant doté d'une puissance de calcul illimitée ne peut que deviner ce que disent les données. C'est aussi généralement inutile car vous avez besoin d'au moins autant de clés que de données à crypter, et si vous aviez une technique pour transmettre cela en toute sécurité, vous pourriez simplement transmettre le secret en toute sécurité. Ici, cependant, vous pouvez simplement mettre la clé sur le disque. L'implication est que pour comprendre un peu, l'attaquant doit lire correctement 2, donc si vous parvenez à détruire l'un des 2, vous êtes en sécurité. Vous pouvez et devez toujours utiliser un cryptage plus conventionnel: le chaînage avant et arrière ci-dessus est strictement meilleur. Mais l'approche OTP inspire ...
  • Fragmenter les données . C'est là que l'option «lots de clés» prend tout son sens. Au lieu de mettre les données et la clé sur un seul appareil, vous avez deux appareils physiques, l'un a la clé et l'autre les données cryptées OTP. Mathématiquement, ceux-ci sont équivalents car il est strictement impossible d'interpréter l'un sans l'autre. Cela vous donne le bon type de redondance: vous pouvez avoir deux mécanismes d'autodestruction complètement séparés au cas où la batterie de l'un de vos détonateurs tomberait en panne.
  • Tout ce qui précède fort>. En particulier: supprimez la redondance, puis générez un OTP et cryptez les données réelles avec celui-ci, puis cryptez à la fois la clé OTP et les données en avant et en arrière avec un chiffrement de chaîne de blocs, puis mélangez (séparément) les bits des deux, et Enfin, écrivez-les sur les disques chargés de bombes.

Ils travaillent tous ensemble pour rassurer même les agents de renseignement les plus paranoïaques qu'ils seront capables de détruire leurs données quand cela compte. Soyez averti, cependant, lorsque les données parviennent au technicien à l'autre bout pour la merveilleuse corvée de les décoder ... vous feriez mieux d'espérer qu'ils ne sont pas autorisés à tuer!

Pourquoi voudriez-vous intrinsèquement «utiliser beaucoup de clés»?Il semble beaucoup plus simple de détruire 256 bits sur une petite puce que quelque chose de la taille de vos données.
En théorie, toute clé plus petite que les données peut être fissurée par un adversaire avec une capacité de calcul illimitée.Seules les clés d'échelle OTP peuvent garantir que la destruction de la clé est aussi efficace que la destruction du texte chiffré pour rendre le texte chiffré illisible.Comme je l'ai dit, cela ne prend vraiment son sens qu'en combinaison avec l'option de bombe de secours "Shard the data".
@Josiah, dans la pratique, toute clé supérieure à environ 80 bits ne peut pas être fissurée par la technologie actuelle, et 128 bits sont suffisants dans un avenir prévisible (à l'exception de l'informatique quantique).En pratique également, il est généralement plus facile d'éviter les erreurs de gestion des clés, plus la clé est petite.
C'est vrai.Je suis également favorable au cryptage normal et je mentionne dans ce contexte qu'il contribue également à une interdépendance précieuse.Même si le contexte donné dans cette question particulière est explicitement contre un adversaire illimité en termes de calcul, et donc, bien que "Il suffit d'utiliser AES et de l'oublier" soit probablement la bonne réponse dans le monde réel (et bien plus qu'un OTP), ce n'est pas explicitementune réponse valide à la question.
@ManfP «Beaucoup de clés», plus ces 256 bits, semble une meilleure stratégie que ces 256 bits seuls.Vous effacez les 256 (ou 4096) bits, et il est _ presque certainement_ impossible de récupérer les données… et ensuite vous parvenez à détruire les ⅛ du pavé à usage unique, ce qui le rend encore plus difficile.
Je ne comprends pas pourquoi cette réponse a été tellement critiquée ... il me semble que le répondant a proposé de très bonnes solutions non matérielles.
Gensys LTD
2020-07-23 19:49:34 UTC
view on stackexchange narkive permalink

Injection d'acide nitrique

L'acide nitrique dissout les plateaux, ce qui détruit toute information contenue à l'intérieur. Un dispositif pour injecter de l'acide nitrique directement entre les plateaux pourrait fonctionner en le poussant à travers le palier du plateau.

fraxinus
2020-07-23 14:01:15 UTC
view on stackexchange narkive permalink

Le chiffrement est la voie à suivre. Mais vous voulez détruire les données de façon spectaculaire.

Cassez manuellement les plateaux du disque dur.

De nombreux disques peuvent être exécutés avec le couvercle retiré (ou mieux encore, remplacé par quelque chose de plus facile à pénétrer et toujours étanche à la poussière). Vous pouvez simplement utiliser quelque chose de dur (même un doigt si vous êtes courageux) et casser les plateaux.

Si votre adversaire est une agence de trois lettres ou un participant DEF CON suffisamment motivé, casser les plateaux ne suffit pas.Un microscope à force magnétique peut tout récupérer sauf les données sur les lignes de fracture réelles.
OK, faites plus de lignes fracturales, alors.
Crash Gordon
2020-07-23 20:38:09 UTC
view on stackexchange narkive permalink

Slug de calibre 12 rond. Fraisez une fente dans la face avant de la limace, juste assez grande pour contenir une carte microSD. Si vous devez détruire les données, tirez la limace contre une surface dure. La carte SD aura un impact sur la surface sur le bord et à son tour sera impactée par le limace. Si vous gardez ce rond chambré, les données peuvent être détruites en une fraction de seconde.

Pour plus de certitude, utilisez un slug personnalisé qui incorpore un disque de matériau durci comme base.

Avoir un mini calibre 12 avec un canon de 6 pouces et le faire brancher sur le disque.Vous pourriez avoir tout mis en place et en cours d'exécution, mais vous pouvez détruire le lecteur à tout moment
meh, imprimez les données sur une microfiche de nitrate de cellulose et placez-les dans la cartouche.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...