Hvad er forskellen mellem ATA Secure Erase og Security Erase? Hvordan kan jeg sikre, at de fungerede?

Jeg vil gerne tørre en stak drev (spinning og SSD) sikkert. Jeg kender kommandoen ATA Secure Erase (SE) via hdparm , men jeg er ikke sikker på, om jeg i stedet skal bruge kommandoen Sikkerheds sletning (SE +).

Der er noget bevis for, at disse kommandoer fungerer ikke på alle drev. Hvordan kan jeg sikre, at drevet virkelig udslettes, inklusive reserveområder, omfordelede sektorer og lignende?

Jeg planlægger at bruge en Linux live CD (på USB). Ubuntu leverer en brugbar live CD med som jeg kan installere hdparm, men er der en mindre live cd-distro med opdaterede softwareversioner, som jeg skal bruge i stedet?

Så i resumé:

Hvad er fordele og ulemper ved SE versus SE +?

Hvordan kan jeg sikre, at drevet blev slettet grundigt?

Hvilken Linux-distribution skal jeg bruge?

Kommentarer

  • Som hovedregel er det ' bedst ikke at medtage flere spørgsmål i et spørgsmål. Det giver længere, mere komplicerede svar og er vanskeligere at slå spørgsmål op. Bare et tip – jeg ' prøver ikke at snakke dig!

Svar

Som citeret fra denne side :

Sikker sletning overskriver alle bruger-da ta områder med binære nuller. Forbedret sikker sletning skriver forudbestemte datamønstre (indstillet af producenten) til alle brugerdataområder, inklusive sektorer, der ikke længere er i brug på grund af omfordeling.

Denne sætning giver kun mening for roterende diske og uden kryptering. På en sådan disk er der til enhver tid en logisk visning af disken som en enorm sekvens af nummererede sektorer; " sikker sletning " handler om at overskrive alle disse sektorer (og kun disse sektorer) en gang med nuller . " forbedret sikker sletning " prøver hårdere:

  • Det overskriver data flere gange med tydelige bitmønstre for at være sikre på, at dataene ødelægges grundigt (om dette virkelig er nødvendigt er genstand for debat, men der er en masse tradition her).

  • Det overskriver også sektorer, der ikke længere bruges, fordi de udløste en I / O-fejl på et tidspunkt og blev genoptaget (dvs. en af reservesektorerne bruges af diskens firmware, når computeren læser eller skriver den).

Dette er intention . Fra ATA-specifikationens synspunkt er der to kommandoer , og der er ingen reel måde at vide, hvordan sletningen implementeres, eller endda om den faktisk faktisk implementeres. Diske i naturen har været kendt for at tage nogle friheder med specifikationen til tider (f.eks. Med datacaching).

En anden metode til sikker sletning, som er meget mere effektiv, er kryptering :

  • Når den tændes første gang, genererer disken en tilfældig symmetrisk nøgle K og opbevarer den i noget genstartbestandigt lagerplads (f.eks. noget EEPROM) .
  • Alle data, der læses eller skrives, krypteres symmetrisk med K som nøgle.
  • At implementere en " sikker sletning ", disken skal bare glemme K ved at generere en ny og overskrive den forrige.

Denne strategi gælder for både roterende diske og SSD. Når en SSD implementerer " sikker sletning ", SKAL den faktisk bruge krypteringsmekanismen, fordi " overskrivning med nuller " giver meget mindre mening i betragtning af Flash-cellernes opførsel og de tunge omlægning / fejlkorrigering af kodelag, der bruges i SSDer.

Når en disk bruger kryptering, skelner den ikke mellem " sikker sletning " og " forbedret sikker sletning "; det kan implementere begge kommandoer (på ATA-protokolniveau), men de giver de samme resultater. Bemærk, at hvis en spindende disk også hævder at implementere begge tilstande, kan den meget vel kortlægge begge kommandoer til den samme handling (forhåbentlig " forbedret " one).

Som beskrevet i denne side , er hdparm -I /dev/sdX kommando rapporterer noget som dette:

Security: Master password revision code = 65534 supported enabled not locked not frozen not expired: security count supported: enhanced erase Security level high 2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT. 

2 minutter er ikke nok til at overskrive hele disken, så hvis denne disk implementerer noget faktisk " sikker sletning ", det skal være med krypteringsmekanismen.På den anden side, hvis hdparm rapporterer dette:

 168min for SECURITY ERASE UNIT. 168min for ENHANCED SECURITY ERASE UNIT. 

så kan vi konkludere, at:

  • Denne disk udfører en fuld dataoverskrivning (det er den eneste grund til, at det ville tage næsten tre timer).
  • " sikkert slet " og " forbedret sikker sletning " for den disk er sandsynligvis identiske.

Afhængig af diskstørrelse og normal ydeevne for bulk I / O (kan måles med hdparm -tT /dev/sdX, kan man endda udlede, hvor mange gange dataene er angiveligt overskrevet. Hvis for eksempel disken ovenfor har størrelse 1 terabyte og tilbyder 100 MB / s skrivebåndbredde, er 168 minutter nok til en enkelt overskrivning, ikke de tre eller flere passeringer, der " forbedret sikker sletning " formodes at medføre.

(Der er ingen forskel mellem Linux-distributioner i dette område; de bruger alle det samme hdparm -værktøj.)


Man skal bemærke, at den krypteringsbaserede sikre sletning virkelig tørrer dataene kun i omfanget af kvaliteten af kryptering og generering af nøgler. Diskkryptering er ikke en let opgave, da den skal være sikker og alligevel understøtte tilfældig adgang. Hvis firmwaren simpelthen implementerer ECB , lækker identiske blokke af almindelig tekst, som det normalt illustreres af pingvinen billede . Derudover kan nøglegenerering være forkert; det er muligt, at den underliggende PRNG er ret svag, og nøglen kan være udtømmende for udtømmende søgning.

Disse " detaljer " er meget vigtige for sikkerheden, og du kan ikke teste for dem . Derfor, hvis du vil være sikker på at udslette dataene, er der kun to måder:

  1. Diskproducenten giver dig nok detaljer om, hvad disken implementerer, og garanterer aftørringen (helst kontraktligt).

  2. Du griber til gammel gammel fysisk ødelæggelse. Bring de tunge makuleringsmaskiner, den varme ovn og syrekedlen ud!

Kommentarer

  • # 1 ½. Du kører et andet lag med ordentlig FDE oven på, hvilken beskyttelse drevet tilbyder, og bestemmer på forhånd, hvad der skal gøres for at overskrive alle kopier af FDE-skemaets ' nøgler. (For eksempel med LUKS vil overskrivning af containerens første ~ 10MB næsten være garanteret at overskrive alle kopier af nøglerne, hvilket gør resten af containeren bare tilfældige data. Når softwaren FDE-nøgler er væk, kan du helt sikkert udføre en ATA Secure Erase også, men selvom det er dårligt implementeret, skal dine data forblive rimeligt sikre hvis softwaren FDE gøres rigtigt.
  • Jeg tror, jeg er uenig med " 2 minutter er ikke nok til at overskrive hele disken " fordi min forståelse af, hvordan SSDer generelt implementerer dette, er at de sender nul til hver blok, næsten samtidigt. Min disk siger 2 minutter for SE og 8 minutter for Enhanced SE. Jeg ' gætter jeg på, at det andet gør det samme, men for data, der ikke er nul?
  • Når det vedrører sikkerhed, er jeg ' mistænksom over for kode (hvilket betyder ROMer). Jeg kan ' ikke kompilere og brænde / installere mig selv. allerede ved w NSA har opfanget nyindkøbte routere og installeret bagdøre i dem. Hvorfor ikke sabotere en harddisk ' s indbyggede kryptering også? Faktisk hvorfor ikke foretage den normale driftsprocedure?
  • @sherrellbc: At ' faktisk ikke er så uventet. En SSD bruger en " fysisk-til-logisk " kortlægning. Af sikkerhedsmæssige årsager vil du også gerne nulstille denne kortlægning efter en sikker sletning. Især vil du nulstille alle logiske sektorer til en sentinel " ingen kortlægning ". Dette ville være hårdkodet til alle nuller; kun ved den første skrivning ville SSD skabe en faktisk kortlægning.
  • Jeg har et drev her, hvor forbedret sletning er 2 minutter (faktisk mindre end 1 sekund) og regelmæssig sletning er 8+ timer. more than 508min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

Svar

Da jeg kiggede ind på dette, Jeg fik indtryk af, at sikker sletning af ATA og andre funktioner ikke er godt implementeret af alle producenter endnu med hensyn til faktisk sletning / desinficering af data. Sletning af ATA-sikkerhed på SSD http://arstechnica.com/security/2011/03/ask-ars-how-can-i-safely-erase-the-data-from-my-ssd-drive/

Min (begrænsede) forståelse er, at sikker sletning af SSDer stadig ikke er fuldt standardiseret , selv for hdparms sikre sletningsfunktion.Dataene slettes ikke nødvendigvis, selvom Polynomials svar på det forrige spørgsmål angiver, at de eneste resterende data ville blive krypteret. Dit bedste valg kan være at kontakte sælgeren og se, hvad de siger.

Med hensyn til traditionelle harddiske skal DBAN være tilstrækkelig, selvom det ikke garanterer, at alle data virkelig slettes. (se http://www.dban.org/about )

Svar

Med hensyn til spindings-harddiske foretrækker jeg at bruge dd (på linux) for at være 100% sikker på, at alle sektorer udslettes og ikke afhænger af, at producenten faktisk implementerer SATA-sletningskommandoen korrekt.

dd status=progress if=/dev/urandom of=/dev/sdx bs=512K 

Desværre fungerer dette ikke på SSDer (det kører godt, men der er stor chance for, at alle data ikke slettes).

En anden fordel ved at bruge dd får du en statusindikator, får du det ikke ved hjælp af hdparm og ved at bruge dd kan du annullere handlingen, det ser ud til lidt sværere med hdparm.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *