заполнение нулями против случайного заполнения

Question

Многие учебные пособия предполагают, что я должен заполнить диск с /dev /urandom вместо /dev /zero, если я хочу, чтобы он был неустранимым. Но я не совсем понимаю, как диск может быть восстановлен после заполнения нулями? И это только очень специализированные люди (читай правительственные учреждения), которые могут восстановить заполненный нулями диск, или что-то, что может сделать ваш обычный гик?

PS: Я НЕ ТОЛЬКО беспокоюсь о своих данных, я время от времени продаю бывшие в употреблении компьютеры, и я бы предпочел, чтобы обычные покупатели джо не получали от них ничего смешного.

Answer 1

Многие учебные пособия предполагают, что я должен заполнить диск с /dev /urandom вместо /dev /zero, если я хочу, чтобы он был неустранимым.

Что бы вы ни делали, не используйте /dev/urandom.

На моем i7-3770 /dev/urandom производит удивительно 1 ГБ псевдослучайно генерируемых данных в минуту. Для жесткого диска емкостью 4 ТБ одно стирание с /dev/urandom займет более 66 часов!

Если вам абсолютно необходимо использовать псевдослучайно сгенерированные данные (подробнее об этом ниже), по крайней мере, используйте достаточно быстрый способ их генерации. Например

openssl enc -aes-128-ctr -pass file:/dev/random 2>/dev/null | tail -c+17

печатает бесконечный поток байтов. Он использует AES в режиме CTR и пароль, считанный из /dev/random , поэтому он криптографически защищен для любого жесткого диска размером менее 1 000 000 ТБ.

Это также быстро. Очень быстро. На той же машине ему удавалось генерировать 1,5 ГБ в секунду, так что это в 90 раз быстрее, чем /dev/urandom . Это больше, чем может выдержать любой жесткий диск потребительского уровня.

[Я] это просто очень специализированные люди (читай правительственные учреждения), которые могут восстановить заполненный нулями диск, или что-то, что может сделать ваш обычный гик?

В разделе «Перезапись данных на жестком диске: Великая борьба за стирание» авторы приходят к выводу, что перезапись исходного диска (используется только для теста) один раз неслучайными данными снижает вероятность правильного восстановления одного бита до 92%. Это означает, что один байт (один символ ASCII) может быть восстановлен только с вероятностью 51%; и нет никакого способа сказать, был ли байт восстановлен правильно или нет.

В реальных сценариях (слабо используемый диск) вероятность падает до 56% для одного бита и всего 9% для одного байта.

Они взяли новый диск, трижды протерли его, чтобы имитировать кратковременное использование, написали короткий текст и один раз сотрили диск неслучайными данными. Это были результаты:

Первоначальный текст:

Безопасное удаление данных - Питер Гутманн - 1996
Аннотация
С использованием все более совершенных систем шифрования злоумышленник, желающий получить доступ к конфиденциальным данным, вынужден искать информацию в других местах. Одним из способов атаки является восстановление предположительно стертых данных с магнитных носителей или оперативной памяти.

Восстановленный текст:

¡ÄuÜtÞdM@ª""îFnFã:à•ÅÒ̾‘¨L‘¿ôPÙ!#¯ -×LˆÙÆ!mC 
2´³„‡·}NŽýñêZØ^›l©þì®·äÖŒv¿^œº0TÏ[ªHÝBš¸ð 
7zô|»òëÖ/""º[ýÀ†,kR¿xt¸÷\Í2$Iå""•ÑU%TóÁ’ØoxÈ$i 
Wï^™oËS²Œ,Ê%ñ ÖeS» eüB®Èk‹|YrÍȶ=ÏÌSáöp¥D 
ôÈŽ"|ûÚA6¸œ÷U•$µM¢;Òæe•ÏÏMÀùœç]#•Q
                                                          Á¹Ù""—OX“h 
ÍýïÉûË Ã""W$5Ä=rB+5•ö–GßÜä9ïõNë-ߨYa“–ì%×Ó¿Ô[Mãü 
·†Î‚ƒ‚…[Ä‚KDnFJˆ·×ÅŒ¿êäd¬sPÖí8'v0æ#!)YÐúÆ© 
k-‹HÈø$°•Ø°Ïm/Wîc@Û»Ì"„zbíþ00000000000000000

Answer 2

Хотя заполнение диска /dev/zero обнулит его, большинство (доступных в настоящее время) программ восстановления не может восстановить файлы за один проход. Больше проходов делает стирание более безопасным, но занимает больше времени.

/dev/urandom считается более безопасным, потому что он заполняет диск случайными данными (из пулов энтропии ядра Linux), что затрудняет поиск программным обеспечением каких-либо значимых данных (это также занимает больше времени).

Короче говоря, умеренное количество проходов /dev/urandom является более безопасным, если вы пытаетесь безопасно удалить данные, но для большинства случайных приложений достаточно нескольких проходов из /dev/zero .

Я обычно использую два в комбинации при стирании дисков (всегда стирайте перед перепродажей или переработкой вашего компьютера!).

Answer 3

На микроскопическом уровне бит жесткого диска не имеет ни "1", ни "0", а магнитный заряд. есть порог, выше которого заряд считается "1". Аналогично, геометрическое расположение битов не является точным, но попадает в данное пространство.

Теория состоит в том, что крошечный бит предыдущего заряда все еще присутствует во вновь записанном бите, поэтому, если вы просто обнуляете диск, кто-то может установить новый намного более низкий порог для того, что считается 1, и все еще восстанавливаться данные. Запись случайных данных делает это намного сложнее.

Теория множественных проходов связана с геометрическим расположением бита на диске. Если текущий проход немного впереди или позади, то остаток нового бита может выглянуть из-за нового бита. два или три прохода (особенно случайных данных) значительно снижают вероятность того, что предыдущий бит будет идентифицирован.

Как уже говорили другие, эти страхи в основном раздуты. Самый большой риск - это данные, которые удаляются только ОС или не удаляются вовсе.

Answer 4

Я не могу указывать на какие-либо статьи, но я читал несколько статей, которые указывали, что в реальной жизни (за исключением черных вертолетных заведений) вероятность восстановления любого значимого количества данных после одной "очистки" со случайными данными исчезающе мала.

Реальный риск, вероятно, связан с различными формами "умных" накопителей (особенно SDD), которые могут не записать новые данные там, где находились старые данные, по крайней мере для "крайних" условий. (Это может также происходить, в более ограниченной степени, со старыми дисками, которые перемещают секторы для восстановления после ошибок.) Это создает возможность того, что несколько дорожек или секторов остаются нетронутыми, даже после стирания. Умный хакер, вероятно, сможет выяснить, как получить доступ к этим областям.

Но, по правде говоря, это не большая опасность, если вы обычный Джо Смит, продающий обычному Джеку Джонсу - у вас нет ничего ценного на дисках, и покупатель вряд ли потратит больше, чем несколько бесполезных минут, пытаясь чтобы найти вещи. Даже если какой-то сектор пробирается туда-сюда, вряд ли это будет тот, в котором есть информация о вашей кредитной карте. Большая опасность, если у вас есть ядерные секреты на диске, а покупатель - шпион для «Плохих парней» - тогда даже крошечный риск крошечной утечки слишком велик.

Answer 5

Кстати, во многих новых дисках теперь есть команда внутреннего аппаратного диска, которая будет логически очищать ваш диск. Однако это не реализовано ни в одном программном обеспечении контроллера диска или драйвера, которое я когда-либо видел.

Кроме того, то, что вы спрашиваете, было предметом значительных дебатов на протяжении многих лет. С различными методами и процедурами предлагается подорвать любой тип аппаратного восстановления данных. Настолько, что многие из "стереть" агентов, вы заметите множество доступных алгоритмов стереть.

Что я делаю, так это уничтожаю диск вручную и никогда не беспокоюсь о возможном последующем раскрытии. Я думаю, мне легко делать это дома, но для работы это другая ситуация.

Answer 6

Если для жесткого диска может быть достаточно заполнения нулями, SSD может потребоваться использовать случайные байты для заполнения секторов, поскольку SSD может требовать обнуления сектора только одним битом, который устанавливает его в ячейке сектора (не заполняя часть данных нулями),

Answer 7

Вот еще один аспект: некоторые методы шифрования дисков пытаются обеспечить надежное шифрование , делая зашифрованные диски похожими на случайный мусор. Если ваши неиспользованные диски были заполнены (фактическим) случайным мусором, это увеличивает вероятность отказа.