Один з наших клієнтів запитує метод DOD-7 Pass Erase для SSD.

Ми спробували витерти SSD 256 Гб (Samsung Make) через табернус, але це займає занадто багато часу.

Підкажіть, будь ласка, як стерти SSD з версії Tabernus lan 7.3.1.

Короткий опис:

Багаторазове (7) перезаписування стирання не робить те, що ви очікуєте, що це буде робити на SSD. Якщо потрібно, ви можете реалізувати це і сказати клієнту, що ви зробили, але не сподівайтеся, що він видалить усі дані .

Фон:

Щоб очистити дані від звичайного жорсткого диска, ви мали такі рішення:

• Протріть індекс (наприклад, очистіть диск). Легко відновитися після.
• Перепишіть весь диск. Це видаляє його для звичайних користувачів. Якщо у вас є доступ до дуже чутливої ​​апаратури, до якої мають доступ лише уряди, можливо, ви зможете відновити деякі дані. Подумайте про це, як стерти нотатки, написані олівцем, і написати новий текст. Залишається тінь.
• Перепишіть диск декілька разів з різними шаблонами, перемагаючи навіть найздатніших нападників.

SSD працюють по-різному. Вони мають ряд блоків, які згруповані. Записи можуть траплятися лише в групі. Подумайте про це як про книгу, де можна писати лише на сторінку. Якщо ви хочете додати речення, то контролер SSD прочитає всю сторінку і напише нову сторінку (з додатковою пропозицією) в інше місце. Потім вона позначить стару сторінку як порожню і призначить новій сторінці старий номер.

Це означає, що немає прямого відображення між тим, що ОС бачить, - секторами (сторінками) і тим, що знаходиться на диску.

Ви можете заповнити весь диск новим файлом (скажімо, який містить лише нуль), і запасний простір не торкнувся б. Тож є ще дані, що підлягають відновленню. Ви можете зробити це 7 разів і все одно матимете однакові дані.

Хороші новини

Хороша новина полягає в тому, що SSD-диски часто поставляються з шифруванням на диску. Викиньте ключ шифрування, і дані марні.

Ще кращою новиною є те, що цим шифруванням даних завжди можна користуватися. Навіть коли ви чітко не ввімкнули шифрування. У цьому випадку диск все ще записує зашифровані дані з ключем, який зберігається десь на SSD. Скажіть, щоб викинути цей ключ і замінити його новим, і ви закінчили. Це швидко і надійно.

Для цього є навіть команда ( безпечне стирання ATA ).

Це єдине правильне технічне рішення. Зробіть це, навіть якщо вони наполягають на перезаписі 7 пропусків (це робиться лише останнім, щоб ви відповідали їх вимогам, а перший - намір цих вимог).

Повільність поганого методу

Я не маю досвіду роботи з tabernus lan. Але майже будь-який SSD буде приймати більше 100 МБ / сек. З цією швидкістю навіть дуже повільний SSD повинен закінчитися протягом години. Середньо швидкий SSD повинен закінчитись менше п'ятої частини цього часу.

Якщо ви ніде не наближаєтесь до цієї продуктивності, тоді я підозрюю, що ваше рішення виконує записи по секторах. Це погано. Це повинно промітати сектори якнайшвидше, з глибиною черги 32. Без цього ви перейдете до аналогії сторінки зверху.

Починаючи з повної сторінки з 8 написаними реченнями.

• Протріть пропозицію 1.

  • Прочитати всю сторінку.
  • Видаліть перше речення
  • Написати цілу сторінку з 7 пропозиціями до іншого блоку / сторінки

• Протріть речення 2.

  • Прочитати всю сторінку.
  • Видалити 2 речення
  • Написати цілу сторінку з 6 пропозиціями до іншого блоку / сторінки

• Протріть речення 3.

  • Прочитати всю сторінку.
  • Видалити 3 речення
  • Напишіть цілу сторінку з 5 реченнями в інший блок / сторінку

• Протріть речення 4.

  • Прочитати всю сторінку.
  • Видаліть 4-те речення
  • Напишіть цілу сторінку з 5 реченнями в інший блок / сторінку

• Протерти речення 5.

  • Прочитати всю сторінку.
  • Видаліть 5-те речення
  • Напишіть цілу сторінку з 3 реченнями в інший блок / сторінку

• Протріть речення 6.

  • Прочитати всю сторінку.
  • Видаліть 6 речення
  • Напишіть цілу сторінку з 2 реченнями в інший блок / сторінку

• Протріть речення 7.

  • Прочитати всю сторінку.
  • Видаліть 7 речення
  • Написати цілу сторінку з 1 реченням в інший блок / сторінку

• Протріть речення 8.

  • Позначте на сторінці як видалену (але насправді не стирайте її, поки не знадобиться ще трохи місця)

Зауважте, як довго був цей текст? Те саме з швидкістю SSD.

Програмне забезпечення, яке ви використовували, очевидно, не працює належним чином. Один із ваших знімків екрана показує швидкість 97 Мб / с. З цією швидкістю 7-пропуск повного перезапису диска на накопичувачі 256 Гб повинен зайняти близько 5 годин. Простий розрахунок.

Ви можете замість цього спробувати Blancco 5 . Як бачимо, посилання, яке було для Tabernus Erase LAN, перенаправляється на його сайт. Ви також можете розглянути останню версію DBAN , яка, як видається, є безкоштовною версією Blannco.

Якщо чесно кажучи, я ніколи не використовував жодного фрагмента вищевказаного програмного забезпечення. Я сумніваюся, що вони справді роблять кращу роботу, ніж просте випадкове перезапис.

Особисто я використовую клаптики в GNU coreutils:

shred -v -n 7 /dev/sdX

Мені реально не користуватися -n 7. Щонайбільше я залишу його за замовчуванням: 3-х пропуск, а може бути і з додатковою однопрохідною заповненням нуля в кінці ( -z).

Або, openssl:

openssl enc -aes-256-ctr -in /dev/zero -out /dev/sdX -pass file:/dev/urandom -nosalt

який ви можете написати простий цикл bash, щоб змусити його робити кілька проходів. Він не повідомляє про прогрес, як shredхоча.

До речі, згідно з доволі деякими випадковими джерелами в Інтернеті (лише Google, будь-ласка), виявляється, що американський міністерство охорони здоров'я вже заставив специфікації для санітарії даних. Тепер, здається, визнають лише фізичне знищення.

Однією з можливих причин, що викликає занепокоєння, є те, що просте перезапис може не «дістати» все зарезервоване місце поза сценою на SSD для так званого перевиконання (зроблено в прошивці) та / або поганого перерозподілу секторів . На жаль, кілька проходів по випадкової заповнення даних, ймовірно , найкраще , що ви можете зробити, якщо ваш SSD не підтримує апаратне шифрування.

НЕ розраховуйте на ATA DSM / TRIM, якщо вам потрібні дані для безпечного стерти. TRIM може АБО НЕ МОЖЕТЕ зробити так, щоб SSD "виглядав" (тобто hexdump) повністю стирався, але він фактично не знищує дані за сценою, як-от перезапис.

Не слід також довіряти ATA Secure Erase ¹ . Стандарти ACS просто вимагають від нього виконання (однопрохідного) заповнення шаблону. Звичайний режим повинен мати як нуль, так і одиниці як шаблон, тоді як в покращеному режимі має бути специфічний для постачальника шаблон (але це все ще заповнення шаблону) та стерти також "Перерозподілені дані користувача".

Однак, набір функцій продавцями довго не зловживають робити нестандартні речі ³ , коли ATA SANITIZE DEVICE не було представлено. Таким чином, поведінка ATA Secure Erase може бути ВІДОМО специфічною для постачальника, особливо на SSD.

На SSD, ATA Secure Erase часто реалізується як те саме, що і BLOCK ERASE ATA SANITIZE DEVICE, що є майже еквівалентним повноцінним ATA TRIM (на RZAT ² SSD).

Фіксовану заповнення шаблону (яка може бути включена в деяку реалізацію "стирання DOD", яка не має на увазі SSD) насправді не варто робити, тому що "розумні" контролери на SSD можуть робити стиснення і навіть ігнорувати таке повторне перезапис.

Якщо це дійсно хочеться зробити, я чомусь вважаю, що ПЕРЕГЛЯД ПРИСТРОЮ САНІТИЗАЦІЇ ATA - це найкращий спосіб використання. (Оскільки, сподіваємось , постачальники переконаються, що контролер не буде «грати розумно», коли користувач видасть це на накопичувач.)

На жорсткому диску / SSD, який має так зване апаратне шифрування, вдосконалений режим ATA Secure Erase часто реалізується як те саме, що і CRYPTO SCRAMBLE ATA SANITIZE DEVICE, який запускає регенерацію ключа шифрування тощо. Це може бути найкращим "швидким" методом, якщо ви хочете, щоб так званий надійно протерти накопичувач, оскільки це майже вся суть апаратури шифрування за допомогою неопалу (тоді як люди зазвичай помилково вважають, що головним моментом є робота з ним Пароль ATA).

FWIW, завжди потрібно ввімкнути функцію безпеки ATA, встановлену спочатку (тобто "пароль користувача") перед видаленням, що часто цеглить диск через погану реалізацію (ну або PEBKAC). Якщо накопичувач підтримує ATA SANITIZE DEVICE, йому слід віддати перевагу. На жаль, на відміну від ATA Security, що підтримується в hdparm , здається, що утиліта не підтримує новіший набір функцій. У кращому випадку можна вручну сформувати для цього команду SCSI ATA PASS-THROUGH і надіслати її sg_rawв sg3_utils .

Примітка:

¹ Стандартне ім'я команди ATA Secure Erase - БЕЗПЕЧНИЙ ЕРИЗАЦІЙНИЙ БЛОК, який є обов'язковою командою в наборі функцій безпеки ATA

² Повернути дані нулів після обрізки; див. стандарти ACS для його точного визначення

³ Специфікація SSD-дисків Intel 530 SATA ; див. "5.3 Набір функцій режиму безпеки"; приклад крупного постачальника "зловживає" набором функцій безпеки ATA

На цій сторінці archlinux про очищення осередку пам'яті SSD після захищеної сторінки Стирання ATA , на яку пропонується

1. Крок 1. Переконайтеся, що захищеність накопичувача не застигла
2. Крок 2 - Увімкніть безпеку, встановивши пароль користувача
3. Крок 3 - Видайте команду ATA Secure Erase

Деякі детальніше

• На кроці 1 ви можете перевірити, чи не застиг він диск

  hdparm -I /dev/sdX
  

  Якщо командний висновок показує "заморожений", не можна переходити до наступного кроку. Деякі BIOS блокують команду ATA Secure Erase, видаючи команду "SECURITY FREEZE", щоб "заморозити" диск перед завантаженням операційної системи.

• На кроці 2 прочитайте [ 1 ] попередження щодо комп'ютерів Lenovo:

  hdparm --user-master u --security-set-pass PasSWorD /dev/sdX security_password="PasSWorD"
  

  і це повинно відповісти на щось подібне

  /dev/sdX:
  Issuing SECURITY_SET_PASS command, password="PasSWorD", user=user, mode=high
  

  потім ще раз перевірити

  hdparm -I /dev/sdX
  

• Для кроку 3:

  hdparm --user-master u --security-erase PasSWorD /dev/sdX
  

  Існує параметр --security-erase-enhanced для посиленого стирання безпеки. Повідомляється ^{[ 1 ],} що "короткий час (наприклад, 2 хвилини) в свою чергу вказує на те, що пристрій самозашифровується, і його функція bios видалить внутрішній ключ шифрування замість того, щоб перезаписати всі комірки даних" , тим часом, більше часу, що запитується, повинно вказувати не зашифрований пристрій.

  На зашифрованих пристроях можливий той самий очікуваний час для параметра --security-eraseта та --security-erase-enhanced. У цьому випадку передбачається, що буде використаний той самий алгоритм ^{[ 3 ]} . Зауважте, що для звичайного жорсткого диска розширений параметр, серед інших відмінностей, повинен перезаписати навіть сектори, які більше не використовуються, оскільки вони викликали помилку вводу / виводу в якийсь момент і були перезавантажені. Ми повинні припустити, що він буде діяти так само і для SSD, навіть тому, що кількість цих блоків не повинна бути достатньо великою, щоб відображатись у різниці у часі, більших за хвилину. Детальніше в цій відповіді читайте на Security SE .

  У прикладі випадку очищення сторінки комірок пам'яті SSD , для SSD Intel X25-M 80GB, проте, повідомляється про час у 40 секунд.

  Зачекайте, поки команда завершиться. Цей приклад показує, що на процесор Intel X25-M 80GB SSD було потрібно близько 40 секунд.

Примітка: після 3-х кроків накопичувач стирається, а захист накопичувача автоматично встановлюється на відключений (таким чином, для доступу не потрібно вводити пароль).

Оновлення

На безпечній сторінці видалення даних ATA :

Ця процедура описує, як використовувати команду hdparm для видачі інструкції Secure Erase ATA цільовому пристрою зберігання даних. Коли на SSD-накопичувачі видано захищене стирання, всі його комірки будуть позначені як порожні, відновивши їх до заводських показників запису за замовчуванням.

ВІДМОВА ВІДПОВІДАЛЬНОСТІ: Це видалить усі ваші дані, і їх не буде відновлено навіть службами відновлення даних.

Оскільки SSD не переймається тим, скільки пропусків даних ви вводите в нього (крім того, що вони просто зношуються швидше), і відновлення даних неможливо після повного пропуску (якщо ви не розміщуєте дані у передбаченому просторі), просто записуйте він повністю з позначкою "1" видалить усі існуючі дані.

Проблема, з якою ви стикаєтеся, здебільшого полягатиме в доступному для користувачів користувальницькому сховищі, наприклад, будь-який надмірно захищений простір, який використовується для вирівнювання зносу, будь-які кеші та можливі NVRAM, які можуть містити дані, що ідентифікують систему, ОС чи щось подібне.

Щоб надійно стерти SSD, йому потрібно явно підтримувати це, і це наразі все ще залежить від контролера та прошивки. Використання програмного забезпечення для безпечного стирання, розробленого для магнітних носіїв, тут безглуздо, оскільки спосіб надійного стирання даних в основному не має зв'язку між твердотільним накопичувачем та магнітним зберіганням. За допомогою магнітного сховища теоретично можна було відновити попередні стани бітів, але за допомогою флеш-пам’яті трохи не може бути «попереднього» стану, який ви могли б виявити. Він має або 0, або 1, а не магнітний полюс із різною силою залежно від того, які значення він раніше мав.

Я просто поклав друковану плату в промисловий блендер, а потім грандіозний флеш-чіп помер в порошок. Немає жодних даних про це. Перепродаж використовуваних SSD насправді не є річчю, оскільки вони ще не мають такої значної моделі життя / використання, як HDD. У кращому випадку вони мають "стан зносу" даних SMART.

Якщо це дійсно важливі дані, які ніколи не можна відновити, використовувати диск вже не безпечно.

Як говорили інші, перезапис не працює на SSD, і якщо виробник помилився з шифруванням (скоротити кути, щоб заощадити гроші, некомпетентність тощо), то навіть видалення ключа не допоможе.

Набуває чинності негайно, DSS більше не затверджує процедури перезапису для санітарії чи зменшення рівня пониження (наприклад, випуск на контроль рівня класифікованої інформації нижчого рівня) пристроїв зберігання даних IS (наприклад, жорстких дисків), що використовуються для класифікованої обробки.

Якщо ви працюєте з конфіденційними даними (особливо з участю уряду), вам знадобиться щось більш безпечне. Я рекомендую паяльник:

Джерело, CNET