Was ist der Unterschied zwischen ATA Secure Erase und Security Erase? Wie kann ich sicherstellen, dass sie funktionieren?

Ich möchte einen Stapel Laufwerke (rotierend und SSD) sicher löschen. Ich bin mit dem Befehl ATA Secure Erase (SE) über hdparm vertraut , aber ich bin nicht sicher, ob ich stattdessen den Befehl Security Erase (SE +) verwenden soll.

Es gibt einige Beweise , dass diese Befehle Arbeiten Sie nicht auf allen Laufwerken. Wie kann ich sicherstellen, dass das Laufwerk wirklich gelöscht wird, einschließlich Reservebereichen, neu zugewiesenen Sektoren und dergleichen?

Ich plane, eine Linux-Live-CD (auf USB) zu verwenden. Ubuntu bietet eine funktionsfähige Live-CD mit Ich kann hdparm installieren, aber gibt es eine kleinere Live-CD-Distribution mit aktualisierten Softwareversionen, die ich stattdessen verwenden sollte?

Zusammenfassend:

Was sind die Vor- und Nachteile von SE? versus SE +?

Wie kann ich sicherstellen, dass das Laufwerk wirklich und gründlich gelöscht wurde?

Welche Linux-Distribution soll ich verwenden?

Kommentare

  • In der Regel ist es ' am besten, nicht mehrere Fragen in eine Frage aufzunehmen. Dies führt zu längeren, komplizierteren Antworten und ist schwieriger zu beantworten Fragen nachschlagen. Nur ein Tipp – Ich ' versuche nicht, Sie zu tadeln!

Antwort

Wie aus dieser Seite zitiert:

Sicheres Löschen überschreibt alle Benutzer da ta Bereiche mit binären Nullen. Verbessertes sicheres Löschen schreibt vorgegebene Datenmuster (vom Hersteller festgelegt) in alle Benutzerdatenbereiche, einschließlich Sektoren, die aufgrund einer Neuzuweisung nicht mehr verwendet werden.

Dieser Satz ist nur für sich drehende Festplatten und ohne Verschlüsselung sinnvoll. Auf einer solchen Festplatte gibt es jederzeit eine logische Ansicht der Festplatte als eine große Folge von nummerierten Sektoren; Beim " sicheren Löschen " geht es darum, alle diese Sektoren (und nur diese Sektoren) einmal mit Nullen zu überschreiben . Das " erweiterte sichere Löschen " versucht es stärker:

  • Es überschreibt Daten mehrmals mit Unterschiedliche Bitmuster, um sicherzugehen, dass die Daten gründlich zerstört werden (ob dies wirklich benötigt wird, ist umstritten, aber es gibt hier viel Tradition).

  • Außerdem werden Sektoren überschrieben, die nicht mehr verwendet werden, weil sie irgendwann einen E / A-Fehler ausgelöst haben und neu zugeordnet wurden (dh einer der Ersatzsektoren wird von der Festplatten-Firmware verwendet, wenn der Computer ihn liest oder schreibt).

Dies ist die Absicht . Aus Sicht der ATA-Spezifikation gibt es zwei -Befehle , und es gibt keine wirkliche Möglichkeit zu wissen, wie die Löschung implementiert wird oder ob sie tatsächlich implementiert ist. Es ist bekannt, dass Festplatten in freier Wildbahn zeitweise einige Freiheiten bei der Spezifikation einnehmen (z. B. beim Zwischenspeichern von Daten).

Eine andere Methode zum sicheren Löschen, die wesentlich effizienter ist, ist die Verschlüsselung :

  • Beim ersten Einschalten generiert die Festplatte einen zufälligen symmetrischen Schlüssel K und speichert ihn in einem rebootresistenten Speicherbereich (z. B. einem EEPROM).
  • Alle gelesenen oder geschriebenen Daten werden symmetrisch mit K als Schlüssel verschlüsselt.
  • So implementieren Sie eine " sicheres Löschen ", die Festplatte muss nur K vergessen, indem sie eine neue generiert und die vorherige überschreibt.

Diese Strategie gilt sowohl für sich drehende Festplatten als auch für SSDs. Wenn eine SSD " sicheres Löschen " implementiert, MUSS sie den Verschlüsselungsmechanismus verwenden, da die " mit Nullen überschreiben " ist angesichts des Verhaltens von Flash-Zellen und der in SSDs verwendeten starken Code-Ebenen für Remapping / Fehlerkorrektur viel weniger sinnvoll.

Wenn eine Festplatte eine Verschlüsselung verwendet, wird nicht zwischen " sicherem Löschen " und " erweitertes sicheres Löschen "; Möglicherweise werden beide Befehle (auf ATA-Protokollebene) implementiert, sie liefern jedoch die gleichen Ergebnisse. Beachten Sie, dass eine sich drehende Festplatte, wenn sie behauptet, auch beide Modi zu implementieren, möglicherweise beide Befehle derselben Aktion zuordnen kann (hoffentlich wird die " -Erweiterung " one).

Wie in dieser Seite beschrieben, ist die hdparm -I /dev/sdX meldet ungefähr Folgendes:

Security: Master password revision code = 65534 supported enabled not locked not frozen not expired: security count supported: enhanced erase Security level high 2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT. 

2 Minuten reichen nicht aus, um die gesamte Festplatte zu überschreiben. Wenn diese Festplatte also eine tatsächliche " sicheres Löschen ", es muss mit dem Verschlüsselungsmechanismus sein.Wenn andererseits hdparm dies meldet:

 168min for SECURITY ERASE UNIT. 168min for ENHANCED SECURITY ERASE UNIT. 

, können wir folgendes schließen:

  • Diese Festplatte führt eine vollständige Datenüberschreibung durch (dies ist der einzige Grund, warum dies fast drei Stunden dauern würde).
  • Die " -Sicherheit " und " erweitertes sicheres Löschen " für diese Festplatte sind wahrscheinlich identisch.

Abhängig von der Festplattengröße und der normalen Leistung für Massen-E / A (kann mit hdparm -tT /dev/sdX gemessen werden, kann man sogar schließen, wie oft die Daten sind angeblich überschrieben. Wenn beispielsweise die oben genannte Festplatte eine Größe von 1 Terabyte hat und eine Schreibbandbreite von 100 MB / s bietet, reichen 168 Minuten für ein einzelnes Überschreiben aus, nicht die drei oder mehr Durchgänge, die " erweitertes sicheres Löschen " soll bedeuten.

(Es gibt keinen Unterschied zwischen Linux-Distributionen in diesem Bereich, die alle verwenden das gleiche Dienstprogramm hdparm.)


Man muss beachten, dass das verschlüsselungsbasierte sichere Löschen die Daten wirklich nur im Ausmaß der Qualität von löscht die Verschlüsselung und Schlüsselgenerierung. Die Festplattenverschlüsselung ist keine leichte Aufgabe, da sie sicher sein und dennoch den Direktzugriff unterstützen muss. Wenn die Firmware einfach ECB implementiert, lecken identische Klartextblöcke, wie dies normalerweise durch den Pinguin dargestellt wird Bild . Darüber hinaus kann die Schlüsselgenerierung verpfuscht werden. Es ist möglich, dass das zugrunde liegende PRNG ziemlich schwach ist und der Schlüssel einer umfassenden Suche zugänglich ist.

Diese " Details " sind für die Sicherheit sehr wichtig, und Sie können sie nicht testen . Wenn Sie sicher sein möchten, dass die Daten gelöscht werden, gibt es nur zwei Möglichkeiten:

  1. Der Festplattenhersteller gibt Ihnen genügend Details zur Implementierung der Festplatte und garantiert das Abwischen (vorzugsweise vertraglich).

  2. Sie greifen auf gute alte physische Zerstörung zurück. Bringen Sie die Hochleistungszerkleinerer, den heißen Ofen und den Säurekessel heraus!

Kommentare

  • # 1 ½. Sie führen eine weitere Ebene der richtigen FDE zusätzlich zu dem Schutz aus, den das Laufwerk bietet, und bestimmen im Voraus, was getan werden muss, um alle Kopien der Schlüssel des FDE-Schemas ' zu überschreiben. (Mit LUKS wird beispielsweise beim Überschreiben der ersten ~ 10 MB des Containers fast garantiert, dass alle Kopien der Schlüssel überschrieben werden, sodass der Rest des Containers nur zufällige Daten enthält. Sobald die FDE-Schlüssel der Software verschwunden sind, können Sie mit Sicherheit eine ausführen ATA Secure Erase ebenfalls, aber selbst wenn dies schlecht implementiert ist, sollten Ihre Daten einigermaßen sicher bleiben, wenn die Software-FDE richtig ausgeführt wird.
  • Ich glaube, ich bin mit " 2 Minuten reichen nicht aus, um die gesamte Festplatte zu überschreiben ", da ich verstehe, wie SSDs dies im Allgemeinen implementieren, dass sie fast eine Null an jeden Block senden gleichzeitig. Auf meiner Festplatte werden 2 Minuten für SE und 8 Minuten für Enhanced SE angezeigt. Ich ' schätze, dass die Sekunde dasselbe tut, jedoch für Daten ungleich Null?
  • Wenn es um Sicherheit geht, bin ich ' misstrauisch gegenüber Code (dh ROMs). ' kann mich nicht kompilieren und brennen / installieren. Wir schon bekannt w Die NSA hat neu gekaufte Router abgefangen und Hintertüren eingebaut. Warum nicht auch die integrierte Verschlüsselung einer Festplatte ' sabotieren? Warum nicht diese Standardarbeitsanweisung durchführen?
  • @sherrellbc: Das ' ist eigentlich nicht so unerwartet. Eine SSD verwendet eine " physisch-logische " Zuordnung. Aus Sicherheitsgründen möchten Sie diese Zuordnung auch nach einem sicheren Löschen zurücksetzen. Insbesondere möchten Sie alle logischen Sektoren auf einen Sentinel " ohne Zuordnung " zurücksetzen. Dies würde auf alle Nullen fest codiert; Nur beim ersten Schreiben würde die SSD eine tatsächliche Zuordnung erstellen.
  • Ich habe hier ein Laufwerk, auf dem das erweiterte Löschen 2 Minuten (tatsächlich weniger als 1 Sekunde) und das reguläre Löschen 8+ Stunden beträgt. more than 508min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

Antwort

Als ich mir das anschaute, Ich hatte den Eindruck, dass das sichere Löschen von ATA und andere Funktionen noch nicht von allen Herstellern hinsichtlich der tatsächlichen Löschung / Bereinigung von Daten implementiert wurden. Löschen von ATA-Sicherheit auf SSD http://arstechnica.com/security/2011/03/ask-ars-how-can-i-safely-erase-the-data-from-my-ssd-drive/

Mein (begrenztes) Verständnis ist, dass das sichere Löschen von SSDs noch nicht vollständig standardisiert ist , auch für die sichere Löschfunktion von hdparm.Die Daten werden nicht unbedingt gelöscht, obwohl die Antwort von Polynomial auf die vorherige Frage angibt, dass die einzigen verbleibenden Daten verschlüsselt würden. Am besten wenden Sie sich an den Anbieter, um zu erfahren, was er sagt.

In Bezug auf herkömmliche Festplatten sollte DBAN ausreichen, obwohl nicht garantiert wird, dass alle Daten wirklich gelöscht werden (siehe )

Antwort

In Bezug auf Spinn-Festplatten bevorzuge ich die Verwendung von dd (unter Linux), um 100% sicher zu sein, dass alle Sektoren gelöscht werden und nicht vom Hersteller abhängig sind, implementieren Sie den SATA-Löschbefehl tatsächlich ordnungsgemäß.

dd status=progress if=/dev/urandom of=/dev/sdx bs=512K 

Leider funktioniert dies auf SSDs nicht (gut, es läuft, aber es besteht eine große Wahrscheinlichkeit, dass nicht alle Daten gelöscht werden).

Ein weiterer Vorteil bei Verwendung von dd Wenn Sie eine Fortschrittsanzeige erhalten, erhalten Sie diese nicht mit hdparm und mit dd können Sie den Vorgang anscheinend abbrechen etwas schwieriger mit hdparm.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.