41

Один из наших клиентов запрашивает метод DOD-7 Pass Erase для твердотельных накопителей.

Мы попытались стереть SSD 256 ГБ (Samsung Make) через Tabernus lan, но это заняло слишком много времени.

Подскажите, пожалуйста, как стереть SSD с версии Tabernus lan 7.3.1.

5 ответов5

63

Коротко:

Многократное (7) проходное стирание с перезаписью не делает то, что вы ожидаете от него на SSD. При необходимости вы можете реализовать это и сообщить клиенту, что вы сделали, но не ожидайте, что он уничтожит все данные.

Фон:

Для очистки данных с обычного жесткого диска у вас были следующие решения:

  • Протрите указатель (например, diskpart clean). Легко оправиться от.
  • Перезаписать весь диск. Это стирает его для обычных пользователей. Если у вас есть доступ к очень чувствительному оборудованию, к которому имеют доступ только правительства, вы сможете восстановить некоторые данные. Думайте об этом как об удалении написанных карандашом заметок и написании нового текста. Тень остается.
  • Перезаписывайте диск несколько раз с различными образцами, побеждая даже самых способных атакующих.

SSD работают по-разному. У них есть несколько блоков, которые сгруппированы. Запись может произойти только с группой. Думайте об этом как о книге, где вы можете писать только на страницу. Если вы хотите добавить предложение, то контроллер SSD прочитает всю страницу и запишет новую страницу (с дополнительным предложением) в другом месте. Затем он пометит старую страницу как пустую и назначит номер старой страницы новой странице.

Это означает, что нет прямого сопоставления между тем, что видит ОС, секторами (страницами) и тем, что находится на диске.

Вы можете заполнить весь диск новым файлом (скажем, тот, который содержит только нули), и резервное пространство не будет затронуто. Таким образом, есть все еще восстановимые данные Вы можете сделать это 7 раз и при этом получить те же данные для восстановления.

Хорошие новости

Хорошей новостью является то, что твердотельные накопители часто поставляются с шифрованием на диске. Выбросьте ключ шифрования и данные ничего не стоят.

Еще лучше то, что это шифрование данных всегда можно использовать. Даже если вы явно не включили шифрование. В этом случае диск все еще записывает зашифрованные данные с ключом, хранящимся где-то на SSD. Скажите ему выбросить этот ключ и заменить его новым, и все готово. Это быстро и безопасно.

Для этого есть даже команда (безопасное стирание ATA).

Это единственно правильное техническое решение. Сделайте это, даже если они настаивают на перезаписи в 7 проходов (выполняя последние только для того, чтобы вы соответствовали их требованиям, и первым для их выполнения).

Медлительность плохого метода

У меня нет опыта работы с tabernus lan. Но почти любой твердотельный накопитель будет поддерживать более 100 МБ / с непрерывных записей. С такой скоростью даже очень медленный SSD должен завершиться в течение часа. Среднечастотный твердотельный накопитель должен заканчиваться в пять раз меньше.

Если вы не приблизились к этой производительности, то я подозреваю, что ваше решение делает запись по секторам. Это плохо. Он должен сбрасывать секторы так быстро, как может, с глубиной очереди 32. Без этого вы попадете на страницу аналогии сверху.

Начиная с полной страницы с 8 написанными предложениями.

  • Протрите предложение 1.

    • Читать всю страницу.
    • Удалить первое предложение
    • Написать целую страницу с 7 предложениями в другой блок / страницу
  • Протрите предложение 2.

    • Читать всю страницу.
    • Удалить 2-е предложение
    • Написать целую страницу с 6 предложениями в другой блок / страницу
  • Протрите предложение 3.

    • Читать всю страницу.
    • Удалить 3-е предложение
    • Написать целую страницу с 5 предложениями в другой блок / страницу
  • Протрите предложение 4.

    • Читать всю страницу.
    • Удалить 4-е предложение
    • Написать целую страницу с 5 предложениями в другой блок / страницу
  • Протрите предложение 5.

    • Читать всю страницу.
    • Удалить 5-е предложение
    • Написать целую страницу с 3 предложениями в другой блок / страницу
  • Протрите предложение 6.

    • Читать всю страницу.
    • Удалить 6-е предложение
    • Написать целую страницу с 2 предложениями в другой блок / страницу
  • Протрите предложение 7.

    • Читать всю страницу.
    • Удалить 7-е предложение
    • Написать целую страницу с 1 предложением в другой блок / страницу
  • Протрите предложение 8.

    • Пометить на странице как удаленные (но на самом деле не стирайте их, пока вам не понадобится больше места)

Заметьте, как долго этот текст был? То же самое со скоростью SSD.

9

Программное обеспечение, которое вы использовали, очевидно, НЕ работает правильно. Один из ваших снимков экрана показывает скорость 97 МБ / с. При такой скорости 7-полосная полная перезапись диска на 256 ГБ должна занять около 5 часов. Простой расчет.

Вы можете попробовать Blancco 5 вместо этого. Как вы можете видеть, ссылка, которая была для Tabernus Erase LAN, перенаправлена на его сайт. Вы также можете рассмотреть последнюю версию DBAN, которая является бесплатной версией Blannco.

Если честно, я никогда не пользовался какими-либо компонентами вышеуказанного программного обеспечения. Я сомневаюсь, что они действительно работают лучше, чем простая случайная перезапись.

Лично я использую shred в GNU coreutils:

shred -v -n 7 /dev/sdX

Я не буду действительно использовать -n 7 хотя. Самое большее, я оставлю это по умолчанию: 3 прохода, и, возможно, с дополнительным однопроходным заполнением нуля в конце (-z).

Или openssl:

openssl enc -aes-256-ctr -in /dev/zero -out /dev/sdX -pass file:/dev/urandom -nosalt

который вы можете написать простой цикл bash, чтобы сделать его несколько проходов. Это не сообщает о прогрессе как shred хотя.

Между прочим, согласно некоторым случайным источникам в Интернете (только Google, пожалуйста), кажется, что Министерство обороны США уже устарело спецификации для очистки данных. Теперь кажется, что это только физическое разрушение.

Одна из возможных причин, вызывающих у вас беспокойство, заключается в том, что простая перезапись может не "достигать" всего зарезервированного пространства за сценой на SSD для так называемого избыточного выделения ресурсов (выполняется во встроенном программном обеспечении) и / или перераспределения поврежденных секторов. , К сожалению, лучше всего сделать несколько проходов случайного заполнения данными, если ваш SSD не поддерживает аппаратное шифрование.


НЕ рассчитывайте на ATA DSM/TRIM, если вам необходимо безопасно удалить данные. TRIM может ИЛИ ДАЖЕ НЕ МОЖЕТ сделать "внешний вид" SSD (т.е. hexdump) полностью стертым, но на самом деле он не уничтожает данные за сценой, такие как перезапись в любом случае.

Нельзя доверять ATA Secure Erase 1 . Стандарты ACS просто требуют выполнения (однопроходного) заполнения шаблона. Нормальный режим должен иметь либо нули, либо единицы в качестве шаблона, в то время как расширенный режим должен иметь шаблон для конкретного поставщика (но он по-прежнему заполнен шаблоном) и удалять также "Перераспределенные пользовательские данные".

Тем не менее, поставщики уже давно злоупотребляют набором функций для выполнения нестандартных задач 3, когда ATA SANITIZE DEVICE не было представлено. Поэтому поведение ATA Secure Erase может быть ПОЛНОСТЬЮ зависящим от поставщика, особенно на SSD.

На SSD ATA Secure Erase часто реализуется так же, как BLOCK ERASE устройства ATA SANITIZE, что в значительной степени эквивалентно полному диску ATA TRIM (на SSD RZAT 2 ).

Фиксированное заполнение шаблона (которое может быть включено в некоторую реализацию "стирания DOD", которое не имеет в виду SSD) не стоит, потому что "умные" контроллеры в SSD могут выполнять сжатие и даже игнорировать такую повторную перезапись.

Если это действительно необходимо, по какой-то причине я полагаю, что ПЕРЕЗАПИСАНИЕ УСТРОЙСТВА ДЛЯ САНИТИЗАЦИИ ATA - лучший способ использования. (Поскольку, мы надеемся, поставщики позаботятся о том, чтобы контроллер не "играл умно", когда пользователь выдаст это на диск.)


На жестких дисках / твердотельных накопителях, имеющих так называемое аппаратное шифрование, расширенный режим безопасного стирания ATA часто реализуется так же, как CRYPTO SCRAMBLE устройства ATA SANITIZE, который запускает регенерацию ключа шифрования и т.д. Это может быть лучший "быстрый" метод для использования, если вы хотите так называемо надежно стереть диск, поскольку в этом и заключается весь смысл такого неопалового аппаратного шифрования (хотя люди обычно ошибочно думают, что его главная цель - работать с Пароль АТА).

FWIW, всегда необходимо сначала включить функцию защиты ATA (т. Е. "Пароль пользователя") перед удалением, что часто приводит к поломке диска из-за плохой реализации (ну или PEBKAC). Если накопитель поддерживает ATA SANITIZE DEVICE, он действительно должен быть предпочтительным. К сожалению, в отличие от ATA Security, поддерживаемой в hdparm, похоже, что ни одна утилита еще не поддерживает более свежий набор функций. Для этого в лучшем случае можно вручную сформировать команду SCSI ATA PASS- THROUGH и отправить ее с помощью sg_raw в sg3_utils.


Замечания:

1 Стандартное имя команды ATA Secure Erase - SECURITY ERASE UNIT, которая является обязательной командой в наборе функций безопасности ATA.

2 Вернуть нули данных после обрезки; см. стандарты ACS для его точного определения

3 Спецификация твердотельных накопителей Intel 530 SATA ; см. «5.3 Набор функций режима безопасности»; пример того, как крупный поставщик "злоупотребляет" набором функций безопасности ATA

5

На этой странице archlinux об очистке ячейки памяти SSD после страницы безопасного стирания ATA предлагается

  1. Шаг 1 - Убедитесь, что защита диска не заморожена
  2. Шаг 2 - Включите безопасность, установив пароль пользователя
  3. Шаг 3. Выполните команду безопасного стирания ATA.

Некоторые детали больше

  • На шаге 1 вы можете проверить, что диск не заморожен с

    hdparm -I /dev/sdX
    

    Если вывод команды показывает "заморожен", нельзя перейти к следующему шагу. Некоторые BIOS блокируют команду безопасного стирания ATA, выполняя команду "SECURITY FREEZE", чтобы "заморозить" диск перед загрузкой операционной системы.

  • Для шага 2 прочитайте [ 1 ] для предупреждения относительно компьютеров Lenovo:

    hdparm --user-master u --security-set-pass PasSWorD /dev/sdX security_password="PasSWorD"
    

    и это должно ответить что-то вроде

    /dev/sdX:
    Issuing SECURITY_SET_PASS command, password="PasSWorD", user=user, mode=high
    

    затем проверить еще раз

    hdparm -I /dev/sdX
    
  • Для шага 3:

    hdparm --user-master u --security-erase PasSWorD /dev/sdX
    

    Для стирания улучшенной безопасности существует параметр --security-erase-enhanced . Сообщается [ 1 ], что «короткое время (например, 2 минуты) в свою очередь указывает на то, что устройство самошифруется, и его функция bios будет стирать внутренний ключ шифрования вместо перезаписи всех ячеек данных», в то время как более длительное запрошенное время должно указывать не зашифрованное устройство.

    На зашифрованных устройствах одно и то же ожидаемое время может быть указано для параметров --security-erase erase и --security-erase-enhanced . В этом случае предполагается, что будет использован тот же алгоритм [ 3 ] . Обратите внимание, что для обычного жесткого диска расширенный параметр, среди прочих различий, должен перезаписывать четные сектора, которые больше не используются, поскольку в какой-то момент они вызвали ошибку ввода-вывода и были переназначены. Мы должны предположить, что он будет действовать аналогичным образом и для SSD, даже если число этих блоков не должно быть достаточно большим, чтобы отразиться на разнице во времени, превышающей минуту. Читайте больше в этом ответе на Security SE .

    В примере в случае страницы очистки ячейки памяти SSD для твердотельного накопителя Intel X25-M 80 ГБ сообщается, однако, время 40 секунд.

    Подождите, пока команда не завершится. В этом примере показано, что для твердотельного накопителя Intel X25-M 80 ГБ потребовалось около 40 секунд.

Примечание: после 3-х этапов диск будет удален, и защита диска должна быть автоматически отключена (поэтому не требуется пароль для доступа).


Обновить

Со страницы безопасного стирания ATA:

Эта процедура описывает, как использовать команду hdparm для выдачи инструкции Secure Erase ATA целевому устройству хранения. Когда для SSD-диска будет выпущено безопасное стирание, все его ячейки будут помечены как пустые, что восстановит заводскую производительность записи по умолчанию.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Это сотрет все ваши данные, и не будет восстановлено даже службами восстановления данных.

1

Поскольку SSD не заботится о том, сколько проходов данных вы в него вставили (за исключением того, что он просто изнашивается быстрее), и восстановление данных невозможно после полного прохода (если вы не поместили данные в более выделенное пространство), просто записав он полностью с 1 удалит все существующие данные.

Проблема, с которой вы столкнетесь, будет в основном в недоступном для пользователя хранилище, таком как любое чрезмерно выделенное пространство, используемое для выравнивания износа, любые кэши и возможная NVRAM, которая может содержать данные, идентифицирующие систему, ОС или что-то подобное.

Чтобы безопасно стереть SSD, он должен явно поддерживать это, и это в настоящее время все еще зависит от контроллера и прошивки. Использование программного обеспечения для безопасного стирания, которое было разработано для магнитных носителей, здесь не имеет смысла, поскольку способ безопасного удаления данных в основном не имеет отношения между твердотельным хранилищем и магнитным хранилищем. С магнитной памятью вы можете теоретически восстановить предыдущие состояния битов, но с флеш-памятью бит не может действительно иметь «предыдущее» состояние, которое вы можете обнаружить. Он содержит либо 0, либо 1, а не магнитный полюс с различной силой, в зависимости от того, какие значения он имел ранее.

Я бы просто положил PCB в промышленный блендер, а затем грандиозный чип флеш в порошок. Никаких данных от этого не получается. Перепродажа бывших в употреблении твердотельных накопителей тоже не очень-то важна, поскольку у них еще нет такой же известной модели продолжительности жизни / использования, как у жестких дисков. В лучшем случае они имеют данные SMART о «состоянии износа».

0

Если это действительно важные данные, которые никогда не следует восстанавливать, использовать диск больше не безопасно.

Как уже говорили другие, перезапись не работает на твердотельных накопителях, и если производитель неправильно использует шифрование (срезать углы, чтобы сэкономить деньги, некомпетентность и т.д.), То даже удаление ключа не поможет.

Вступая в силу немедленно, DSS больше не будет утверждать процедуры перезаписи для санации или понижения (например, передачи на более низкоуровневые средства управления классифицированной информацией) устройств хранения данных ИС (например, жестких дисков), используемых для секретной обработки.

Если вы работаете с конфиденциальными данными (особенно с участием правительства), вам нужно что-то более безопасное. Я бы порекомендовал паяльную лампу:

Источник, CNET

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .