¿Cuál es la diferencia entre ATA Secure Erase y Security Erase? ¿Cómo puedo asegurarme de que funcionaron?

Me gustaría limpiar una pila de unidades (giratorias y SSD) de forma segura. Estoy familiarizado con el comando ATA Secure Erase (SE) a través de hdparm , pero no estoy seguro de si debería utilizar el comando de borrado de seguridad (SE +) en su lugar.

Hay alguna evidencia de que estos comandos no funciona en todas las unidades. ¿Cómo puedo asegurarme de que la unidad esté realmente borrada, incluidas las áreas de reserva, los sectores reasignados y similares?

Estoy planeando usar un CD en vivo de Linux (en USB). Ubuntu proporciona un CD en vivo funcional con que puedo instalar hdparm, pero ¿hay una distribución de CD en vivo más pequeña con versiones de software actualizadas que debería usar en su lugar?

Entonces, en resumen:

¿Cuáles son los pros y los contras de SE versus SE +?

¿Cómo puedo asegurarme de que la unidad se haya limpiado completa y verdaderamente?

¿Qué distribución de Linux debo usar?

Comentarios

  • Como regla general, ' es mejor no incluir varias preguntas en una pregunta. Esto hace que las respuestas sean más largas y complicadas y es más difícil de busca preguntas. Solo un consejo: ' ¡no estoy tratando de reprenderte!

Responder

Como se cita en esta página :

El borrado seguro sobrescribe todos los datos del usuario ta áreas con ceros binarios. El borrado seguro mejorado escribe patrones de datos predeterminados (establecidos por el fabricante) en todas las áreas de datos del usuario, incluidos los sectores que ya no están en uso debido a la reasignación.

Esta oración tiene sentido solo para discos giratorios y sin cifrado. En tal disco, en cualquier momento, existe una vista lógica del disco como una enorme secuencia de sectores numerados; " Secure Erase " se trata de sobrescribir todos estos sectores (y solo estos sectores) una vez , con ceros . El " borrado seguro mejorado " se esfuerza más:

  • Sobrescribe los datos varias veces con patrones de bits distintos, para asegurarse de que los datos se destruyan completamente (si esto es realmente necesario está sujeto a debate, pero hay mucha tradición en juego aquí).

  • También sobrescribe los sectores que ya no se utilizan porque provocaron un error de E / S en algún momento y se reasignaron (es decir, el firmware del disco utiliza uno de los sectores de repuesto cuando la computadora lo lee o escribe).

Este es el intent . Desde el punto de vista de la especificación ATA, hay dos comandos , y no hay una forma real de saber cómo se implementa el borrado, o incluso si está realmente implementado. Se sabe que los discos en la naturaleza se toman algunas libertades con la especificación a veces (por ejemplo, con el almacenamiento en caché de datos).

Otro método para el borrado seguro, que es bastante más eficiente, es el cifrado :

  • Cuando se enciende por primera vez, el disco genera una clave simétrica aleatoria K y la mantiene en un espacio de almacenamiento resistente al reinicio (por ejemplo, alguna EEPROM) .
  • Todos los datos leídos o escritos se cifrarán simétricamente, utilizando K como clave.
  • Para implementar un " secure erase ", el disco solo necesita olvidar K generando uno nuevo y sobrescribiendo el anterior.

Esta estrategia es aplicable tanto a los discos giratorios como a los SSD. De hecho, cuando un SSD implementa " borrado seguro ", DEBE usar el mecanismo de cifrado, porque el " sobrescribir con ceros " tiene mucho menos sentido, dado el comportamiento de las celdas Flash y las pesadas capas de código de reasignación / corrección de errores que se utilizan en los SSD.

Cuando un disco usa cifrado, no hará distinciones entre " borrado seguro " y " borrado seguro mejorado "; puede implementar ambos comandos (a nivel del protocolo ATA), pero producirán los mismos resultados. Tenga en cuenta que, de manera similar, si un disco giratorio afirma implementar ambos modos, es muy posible que asigne ambos comandos a la misma acción (con suerte, el " mejorado " uno).

Como se describe en esta página , el hdparm -I /dev/sdX informará algo como esto:

Security: Master password revision code = 65534 supported enabled not locked not frozen not expired: security count supported: enhanced erase Security level high 2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT. 

2 minutos no son suficientes para sobrescribir todo el disco, por lo que si ese disco implementa algún " borrado seguro ", debe ser con el mecanismo de cifrado.Por otro lado, si hdparm informa esto:

 168min for SECURITY ERASE UNIT. 168min for ENHANCED SECURITY ERASE UNIT. 

entonces podemos concluir que:

  • Este disco realiza una sobrescritura de datos completa (esa es la única razón por la que tomaría casi tres horas).
  • El " seguro borrar " y " borrado seguro mejorado " para ese disco son probablemente idénticos.

Dependiendo del tamaño del disco y el rendimiento normal para E / S masivas (se puede medir con hdparm -tT /dev/sdX, incluso se puede inferir cuántas veces los datos son supuestamente sobrescrito. Por ejemplo, si el disco anterior tiene un tamaño de 1 terabyte y ofrece un ancho de banda de escritura de 100 MB / s, entonces 168 minutos son suficientes para una sola sobrescritura, no las tres o más pasadas que " el borrado seguro mejorado " se supone que implica.

(No hay diferencia entre las distribuciones de Linux en esa área; todas usan la misma utilidad hdparm.)


Uno debe tener en cuenta que el borrado seguro basado en cifrado realmente borra los datos solo en la medida de la calidad de el cifrado y la generación de claves. El cifrado de disco no es una tarea fácil, ya que debe ser seguro y admitir el acceso aleatorio. Si el firmware simplemente implementa ECB , se filtrarán bloques idénticos de texto sin formato, como suele ilustrarse con el pingüino. imagen . Además, la generación de claves puede fallar; Es posible que el PRNG subyacente sea bastante débil y la clave sea susceptible de una búsqueda exhaustiva.

Estos " los detalles " son muy importantes para la seguridad, y no puede probarlos . Por lo tanto, si desea estar seguro sobre la eliminación de los datos, solo hay dos formas:

  1. El fabricante del disco le brinda suficientes detalles sobre lo que implementa el disco, y garantiza la limpieza (preferiblemente por contrato).

  2. Se recurre a la vieja destrucción física. ¡Saca las trituradoras de papel pesado, el horno caliente y el caldero de ácido!

Comentarios

  • # 1 ½. Ejecuta otra capa de FDE adecuado además de la protección que ofrece la unidad y determina de antemano lo que debe hacerse para sobrescribir todas las copias de las claves del esquema FDE '. (Por ejemplo, con LUKS, la sobrescritura de los primeros ~ 10 MB del contenedor estará casi garantizada para sobrescribir todas las copias de las claves, haciendo que el resto del contenedor sean solo datos aleatorios. Una vez que las claves FDE del software desaparecen, ciertamente puede realizar una ATA Secure Erase también, pero incluso si está mal implementado, sus datos deben permanecer razonablemente seguros si el software FDE se hace correctamente.
  • Creo que no estoy de acuerdo con " 2 minutos no son suficientes para sobrescribir todo el disco " porque entiendo cómo los SSD generalmente implementan esto es que envían un cero a cada bloque, casi simultáneamente. Mi disco dice 2 minutos para SE y 8 minutos para SE mejorado. Yo ' supongo que el segundo hace lo mismo pero para datos distintos de cero.
  • Cuando se trata de seguridad, ' sospecho del código (es decir, ROM). No puedo ' t compilar y grabar / instalar yo mismo. ya conozco w La NSA ha interceptado enrutadores recién comprados e instalado puertas traseras en ellos. ¿Por qué no sabotear también el cifrado integrado de un disco duro '? De hecho, ¿por qué no hacer ese procedimiento operativo estándar?
  • @sherrellbc: Eso ' en realidad no es tan inesperado. Un SSD usa una asignación " física a lógica ". Por razones de seguridad, también querrá restablecer esta asignación después de un borrado seguro. En particular, desea restablecer todos los sectores lógicos a un centinela " sin asignación ". Esto estaría codificado en todos los ceros; solo en la primera escritura el SSD crearía un mapeo real.
  • Tengo una unidad aquí donde el borrado mejorado es de 2 minutos (en realidad menos de 1 segundo) y el borrado regular es de más de 8 horas. more than 508min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

Responder

Cuando miré esto, Tengo la impresión de que el borrado seguro de ATA y otras funciones aún no están bien implementadas por todos los fabricantes en términos de borrado / desinfección de datos reales. Borrado de seguridad ATA en SSD http://arstechnica.com/security/2011/03/ask-ars-how-can-i-safely-erase-the-data-from-my-ssd-drive/

Mi conocimiento (limitado) es que el borrado seguro de SSD aún no está completamente estandarizado , incluso para la función de borrado seguro de hdparm.Los datos no se borran necesariamente, aunque la respuesta de Polynomial a la pregunta anterior indica que los únicos datos restantes se cifrarían. Su mejor opción podría ser ponerse en contacto con el proveedor y ver qué dicen.

Con respecto a los discos duros tradicionales, DBAN debería ser suficiente, aunque no garantizará que todos los datos se borren realmente (consulte http://www.dban.org/about )

Respuesta

Con respecto a los discos duros giratorios, prefiero usar dd (en Linux) para estar 100% seguro de que todos los sectores están borrados y no depender de que el fabricante implemente el comando de borrado SATA correctamente.

dd status=progress if=/dev/urandom of=/dev/sdx bs=512K 

Desafortunadamente, esto no funcionará en SSD (bueno, se ejecutará, pero existe una gran posibilidad de que no se borren todos los datos).

Otra ventaja de usar dd si obtiene un indicador de progreso, no lo obtiene usando hdparm y si usa dd puede cancelar la operación, parece un poco más difícil con hdparm.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *