Jaký je rozdíl mezi ATA Secure Erase a Security Erase? Jak mohu zajistit, aby fungovaly?

Podle citace z této stránky :

Zabezpečené mazání přepíše všechny uživatelské údaje oblasti s binárními nulami. Vylepšené bezpečné mazání zapisuje předem určené datové vzory (nastavené výrobcem) do všech oblastí uživatelských dat, včetně sektorů, které se již kvůli realokaci nepoužívají.

Tato věta má smysl pouze pro rotující disky a bez šifrování. Na takovém disku kdykoli existuje logický pohled na disk jako na obrovskou sekvenci očíslovaných sektorů; " bezpečné mazání " je o přepsání všech těchto sektorů (a pouze těchto sektorů) jednou , s nulami . Vylepšené zabezpečené mazání " " se o to více snaží:

• Několikrát přepíše data pomocí odlišné bitové vzory, abyste si byli jisti, že jsou data důkladně zničena (zda je to skutečně nutné, je předmětem debaty, ale zde je hodně tradice).

• Přepíše také sektory, které se již nepoužívají, protože v určitém okamžiku spustily chybu I / O a byly přemapovány (tj. Jeden z náhradních sektorů používá firmware disku, když jej počítač čte nebo zapisuje).

Toto je záměr . Z hlediska specifikace ATA existují dva příkazy a neexistuje žádný skutečný způsob, jak zjistit, jak je vymazání implementováno, nebo dokonce, zda je skutečně implementováno. Je známo, že disky ve volné přírodě občas využívají určité svobody se specifikací (např. S ukládáním dat do mezipaměti).

Další metodou bezpečného mazání, která je mnohem efektivnější, je šifrování :

• Při prvním zapnutí disk vygeneruje náhodný symetrický klíč K a uchová jej v úložném prostoru odolném proti restartu (řekněme v některých EEPROM) .
• Každé čtení nebo zápis dat bude šifrováno symetricky pomocí klíče K .
• Implementace " secure erase ", disk stačí zapomenout K vygenerováním nového a přepsat předchozí.

Tato strategie je použitelná jak pro rotující disky, tak pro SSD. Ve skutečnosti, když SSD implementuje " bezpečné mazání ", MUSÍ použít šifrovací mechanismus, protože " přepsání nulami " je mnohem méně smysluplné vzhledem k chování buněk Flash a těžkým vrstvám kódů pro remapování / opravu chyb používaných na discích SSD.

Pokud disk používá šifrování, nebude rozlišovat mezi " zabezpečeným mazáním " a " vylepšené bezpečné mazání "; může implementovat oba příkazy (na úrovni protokolu ATA), ale přinesou stejné výsledky. Podobně, pokud rotující disk tvrdí, že implementuje také oba režimy, může velmi dobře mapovat oba příkazy na stejnou akci (doufejme, že " vylepšený " jedna).

Jak je popsáno na této stránce , hdparm -I /dev/sdX nahlásí něco takového:

Security: Master password revision code = 65534 supported enabled not locked not frozen not expired: security count supported: enhanced erase Security level high 2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT. 

2 minuty nestačí k přepsání celého disku, takže pokud tento disk implementuje nějaké skutečné " zabezpečené mazání ", musí to být v šifrovacím mechanismu.Na druhou stranu, pokud hdparm nahlásí toto:

 168min for SECURITY ERASE UNIT. 168min for ENHANCED SECURITY ERASE UNIT. 

, můžeme dojít k závěru, že:

• Tento disk provádí úplné přepsání dat (to je jediný důvod, proč by to trvalo téměř tři hodiny).
• Zabezpečení " vymazat " a " vylepšené zabezpečené mazání " pro tento disk jsou pravděpodobně identické.

V závislosti na velikosti disku a normálním výkonu hromadných I / O (lze měřit pomocí hdparm -tT /dev/sdX lze dokonce odvodit, kolikrát jsou data údajně přepsáno. Například pokud má výše uvedený disk velikost 1 terabajt a nabízí šířku pásma zápisu 100 MB / s, pak na jedno přepsání stačí 168 minut, ne tři nebo více průchodů, které " rozšířené bezpečné mazání " má mít za následek.

(Mezi distribucemi Linuxu v této oblasti není žádný rozdíl; všechny používají stejný hdparm obslužný program.)

Je třeba poznamenat, že bezpečné mazání založené na šifrování skutečně vymaže data pouze v rozsahu kvality šifrování a generování klíčů. Šifrování disku není snadný úkol, protože musí být zabezpečené a přesto musí podporovat náhodný přístup. Pokud firmware jednoduše implementuje ECB , dojde k úniku identických bloků prostého textu, jak to obvykle ilustruje tučňák obrázek . Kromě toho může být generace klíčů zpackaná; je možné, že podkladový PRNG je poměrně slabý a klíč by bylo možné podrobně prohledat.

Tyto " podrobnosti " jsou pro bezpečnost velmi důležité a nemůžete je otestovat . Pokud si tedy chcete být jisti vymazáním dat, existují pouze dva způsoby:

1. Výrobce disku vám poskytne dostatek podrobností o tom, co disk implementuje, a zaručuje stírání (nejlépe smluvně).

2. Uchýlíte ke starému dobrému fyzickému zničení. Vyneste drtiče pro vysoké zatížení, horkou pec a kotel s kyselinou!

Komentáře

• # 1 ½. Kromě toho, jakou ochranu disk nabízí, spustíte další vrstvu správného FDE a předem určíte, co je třeba udělat, abyste přepsali všechny kopie klíčů schématu FDE ' s. (Například u LUKS bude téměř zaručeno, že přepsáním prvních ~ 10 MB kontejneru přepíšete všechny kopie klíčů, čímž se zbytek kontejneru stane jen náhodnými daty. Jakmile jsou softwarové klíče FDE pryč, určitě můžete provést ATA Secure Erase také, ale i když je to špatně implementováno, vaše data by měla zůstat přiměřeně zabezpečená pokud je softwarové FDE provedeno správně.
• Myslím, že nesouhlasím s " 2 minuty nestačí k přepsání celého disku " protože moje chápání toho, jak to SSD obecně implementují, je, že do každého bloku posílají nulu současně. Můj disk říká 2 minuty pro SE a 8 minut pro Enhanced SE. ' hádám, že druhá dělá totéž, ale pro nenulová data?
• Pokud jde o bezpečnost, jsem ' podezřelý z kódu (což znamená ROM), nemohu ' kompilovat a vypálit / nainstalovat sám sebe. už kno w NSA zachytila nově zakoupené routery a nainstalovala do nich zadní dveře. Proč také sabotovat vestavěné šifrování pevného disku '? Proč vlastně neprovést tento standardní operační postup?
• @sherrellbc: To ' ve skutečnosti není tak neočekávané. Disk SSD používá " fyzicko-logické " mapování. Z bezpečnostních důvodů byste také chtěli resetovat toto mapování po bezpečném vymazání. Zejména chcete resetovat všechny logické sektory na ověřovací " žádné mapování ". To by bylo pevně zakódováno na všechny nuly; pouze při prvním zápisu by SSD vytvořilo skutečné mapování.
• Mám tu disk, kde vylepšené mazání je 2 minuty (ve skutečnosti méně než 1 sekunda) a pravidelné mazání je 8+ hodin. more than 508min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

Když jsem se na to podíval, Mám dojem, že zabezpečené mazání ATA a další funkce ještě nejsou dobře implementovány všemi výrobci, pokud jde o skutečné mazání / sanitaci dat. Vymazání zabezpečení ATA na SSD http://arstechnica.com/security/2011/03/ask-ars-how-can-i-safely-erase-the-data-from-my-ssd-drive/

Moje (omezené) chápání je, že bezpečné mazání disků SSD stále není plně standardizované , dokonce i pro funkci bezpečného mazání hdparm.Data nemusí být nutně vymazána, ačkoli odpověď Polynomia na předchozí otázku naznačuje, že pouze zbývající data budou zašifrována. Nejlepším řešením by bylo kontaktovat prodejce a zjistit, co říká.

Pokud jde o tradiční pevné disky, měl by stačit DBAN, přestože nezaručuje, že všechna data budou skutečně vymazána. (viz http://www.dban.org/about )

Pokud jde o rotace HDD, dávám přednost použití dd (v systému Linux), abyste si byli 100% jisti, že jsou všechny sektory vymazány, a nezávisí na tom, zda výrobce správně implementuje příkaz SATA erase.

dd status=progress if=/dev/urandom of=/dev/sdx bs=512K 

Na SSD to bohužel nebude fungovat (bude fungovat, ale existuje velká šance, že všechna data nebudou vymazána).

Další výhoda použití dd získáte indikátor pokroku, nedostanete to pomocí hdparm a pomocí dd můžete operaci zrušit, zdá se trochu tvrdší s hdparm.