it-swarm.com.de

Was ist der Unterschied zwischen ATA Secure Erase und Security Erase? Wie kann ich sicherstellen, dass sie funktionieren?

Ich möchte einen Stapel Laufwerke (Spinning und SSD) sicher löschen. Ich bin mit dem Befehl ATA Secure Erase (SE) über hdparm vertraut, bin mir jedoch nicht sicher, ob ich stattdessen den Befehl Security Erase (SE +) verwenden soll.

Es gibt einige Hinweise , dass diese Befehle nicht auf allen Laufwerken funktionieren. Wie kann ich sicherstellen, dass das Laufwerk wirklich gelöscht wird, einschließlich Reserveflächen, neu zugewiesenen Sektoren und dergleichen?

Ich plane eine Linux Live CD (auf USB) zu verwenden. Ubuntu bietet eine funktionsfähige Live-CD, mit der ich hdparm installieren kann. Gibt es jedoch eine kleinere Live-CD-Distribution mit aktualisierten Softwareversionen, die ich stattdessen verwenden sollte?

Also zusammenfassend:

Was sind die Vor- und Nachteile von SE gegenüber SE +?

Wie kann ich sicherstellen, dass das Laufwerk wirklich und gründlich gelöscht wurde?

Welche Linux-Distribution soll ich verwenden?

32
Sophit

Wie aus dieser Seite zitiert:

Beim sicheren Löschen werden alle Benutzerdatenbereiche mit binären Nullen überschrieben. Enhanced Secure Erase schreibt vorgegebene Datenmuster (vom Hersteller festgelegt) in alle Benutzerdatenbereiche, einschließlich Sektoren, die aufgrund einer Neuzuweisung nicht mehr verwendet werden.

Dieser Satz ist nur für sich drehende Festplatten und ohne Verschlüsselung sinnvoll. Auf einer solchen Festplatte gibt es jederzeit eine logische Ansicht der Festplatte als eine große Folge von nummerierten Sektoren; Beim "sicheren Löschen" geht es darum, alle diese Sektoren (und nur diese Sektoren) einmal mit Nullen zu überschreiben. Das "erweiterte sichere Löschen" versucht mehr:

  • Es überschreibt Daten mehrmals mit unterschiedlichen Bitmustern, um sicherzustellen, dass die Daten gründlich zerstört werden (ob dies wirklich benötigt wird, ist umstritten, aber hier wird viel Tradition betrieben).

  • Außerdem werden Sektoren überschrieben, die nicht mehr verwendet werden, weil sie irgendwann einen E/A-Fehler ausgelöst haben und neu zugeordnet wurden (d. H. Einer der Ersatzsektoren wird von der Festplatten-Firmware verwendet, wenn der Computer ihn liest oder schreibt).

Dies ist die Absicht . Aus Sicht der ATA-Spezifikation gibt es zwei Befehle, und es gibt keine wirkliche Möglichkeit zu wissen, wie die Löschung implementiert ist oder ob sie ist tatsächlich implementiert. Es ist bekannt, dass Festplatten in freier Wildbahn zeitweise einige Freiheiten bei der Spezifikation einnehmen (z. B. beim Zwischenspeichern von Daten).

Eine andere Methode zum sicheren Löschen, die wesentlich effizienter ist, ist Verschlüsselung:

  • Beim ersten Einschalten generiert die Festplatte einen zufälligen symmetrischen Schlüssel [~ # ~] k [~ # ~] Und speichert ihn in einem rebootresistenten Speicherbereich (z. B. einem EEPROM).
  • Jedes Lesen oder Schreiben von Daten wird symmetrisch verschlüsselt, wobei [~ # ~] k [~ # ~] als Schlüssel verwendet wird.
  • Um ein "sicheres Löschen" zu implementieren, muss die Festplatte nur [~ # ~] k [~ # ~] vergessen, indem sie eine neue generiert und die vorherige überschreibt.

Diese Strategie gilt sowohl für sich drehende Festplatten als auch für SSDs. Wenn eine SSD "sicheres Löschen" implementiert, MUSS sie den Verschlüsselungsmechanismus verwenden, da das "Überschreiben mit Nullen" angesichts des Verhaltens von Flash-Zellen und der in SSD verwendeten starken Code-Schichten für Remapping/Fehlerkorrektur viel weniger sinnvoll ist .

Wenn eine Festplatte eine Verschlüsselung verwendet, wird nicht zwischen "sicheres Löschen" und "erweitertes sicheres Löschen" unterschieden. Möglicherweise werden beide Befehle (auf ATA-Protokollebene) implementiert, sie liefern jedoch die gleichen Ergebnisse. Beachten Sie, dass eine sich drehende Festplatte, wenn sie behauptet, auch beide Modi zu implementieren, beide Befehle möglicherweise derselben Aktion zuordnen kann (hoffentlich der "erweiterten").

Wie in dieser Seite beschrieben, meldet der Befehl hdparm -I /dev/sdX Folgendes:

Security: 
       Master password revision code = 65534
               supported
               enabled
       not     locked
       not     frozen
       not     expired: security count
               supported: enhanced erase
       Security level high
       2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

2 Minuten reichen nicht aus, um die gesamte Festplatte zu überschreiben. Wenn diese Festplatte also ein tatsächliches "sicheres Löschen" implementiert, muss dies mit dem Verschlüsselungsmechanismus geschehen. Auf der anderen Seite, wenn hdparm dies meldet:

       168min for SECURITY ERASE UNIT. 168min for ENHANCED SECURITY ERASE UNIT.

dann können wir folgern:

  • Diese Festplatte führt ein vollständiges Überschreiben der Daten durch (dies ist der einzige Grund, warum dies fast drei Stunden dauern würde).
  • Das "sichere Löschen" und das "erweiterte sichere Löschen" für diese Festplatte sind wahrscheinlich identisch.

Abhängig von der Festplattengröße und der normalen Leistung für Massen-E/A (gemessen mit hdparm -tT /dev/sdX Kann man sogar ableiten, wie oft die Daten angeblich überschrieben werden. Wenn die oben genannte Festplatte beispielsweise eine Größe von 1 Terabyte und hat Bietet eine Schreibbandbreite von 100 MB/s, dann reichen 168 Minuten für ein einzelnes Überschreiben aus, nicht die drei oder mehr Durchgänge, die "Enhanced Secure Erase" mit sich bringen soll.

(Es gibt keinen Unterschied zwischen Linux-Distributionen in diesem Bereich. Alle verwenden dasselbe Dienstprogramm hdparm.)


Man muss beachten, dass das verschlüsselungsbasierte sichere Löschen die Daten wirklich nur im Ausmaß der Qualität der Verschlüsselung und Schlüsselgenerierung löscht. Die Festplattenverschlüsselung ist keine leichte Aufgabe, da sie sicher sein und dennoch den Direktzugriff unterstützen muss. Wenn die Firmware einfach [~ # ~] ecb [~ # ~] implementiert, lecken identische Klartextblöcke, wie dies normalerweise im Pinguinbild dargestellt ist. Darüber hinaus kann die Schlüsselgenerierung Verpfuscht sein; Es ist möglich, dass das zugrunde liegende PRNG ziemlich schwach ist) und der Schlüssel für eine umfassende Suche zugänglich wäre.

Diese "Details" sind sehr wichtig für die Sicherheit und Sie können sie nicht testen. Wenn Sie also sicher sein möchten, dass die Daten gelöscht werden, gibt es nur zwei Möglichkeiten:

  1. Der Festplattenhersteller gibt Ihnen genügend Details darüber, was die Festplatte implementiert, und garantiert das Löschen (vorzugsweise vertraglich).

  2. Sie greifen auf gute alte physische Zerstörung zurück. Bringen Sie die Hochleistungszerkleinerer, den heißen Ofen und den Säurekessel heraus!

33
Thomas Pornin

Als ich mir das anschaute, hatte ich den Eindruck, dass ATA Secure Erase und andere Funktionen noch nicht von allen Herstellern hinsichtlich der tatsächlichen Löschung/Bereinigung von Daten gut implementiert sind. ATA-Sicherheitslöschung auf SSDhttp://arstechnica.com/security/2011/03/ask-ars-how-can-i-safely-erase-the-data-from- my-ssd-drive /

Mein (begrenztes) Verständnis ist, dass das sichere Löschen von SSDs selbst für die sichere Löschfunktion von hdparm immer noch nicht vollständig standardisiert ist. Die Daten werden nicht unbedingt gelöscht, obwohl die Antwort von Polynomial auf die vorherige Frage angibt, dass die einzigen verbleibenden Daten verschlüsselt würden. Am besten wenden Sie sich an den Anbieter, um zu erfahren, was er sagt.

In Bezug auf herkömmliche Festplatten sollte DBAN ausreichen, obwohl nicht garantiert wird, dass alle Daten wirklich gelöscht werden. (siehe http://www.dban.org/about )

4
BenCundiff