Je « voudrais effacer une pile de disques (en rotation et SSD) en toute sécurité. Je connais la commande ATA Secure Erase (SE) via hdparm , mais je ne sais pas si je devrais utiliser la commande Security Erase (SE +) à la place.
Il existe des preuves que ces commandes ne fonctionne pas sur tous les disques. Comment puis-je massurer que le disque est vraiment effacé, y compris les zones de réserve, les secteurs réalloués, etc.
Je prévois dutiliser un live CD Linux (sur USB). Ubuntu fournit un live CD exploitable avec que je peux installer hdparm, mais y a-t-il une distribution de CD live plus petite avec des versions logicielles mises à jour que je devrais utiliser à la place?
Donc, en résumé:
Quels sont les avantages et les inconvénients de SE par rapport à SE +?
Comment puis-je massurer que le lecteur a été réellement et complètement effacé?
Quelle distribution Linux dois-je utiliser?
Commentaires
- En règle générale, il est préférable de ' de ne pas inclure plusieurs questions dans une seule question. Cela rend les réponses plus longues, plus compliquées et est plus difficile à rechercher des questions. Juste un conseil – Je ' nessaie pas de vous réprimander!
Réponse
Comme cité dans cette page :
Leffacement sécurisé écrase toutes les données utilisateur ta zones avec des zéros binaires. Leffacement sécurisé amélioré écrit des modèles de données prédéterminés (définis par le fabricant) dans toutes les zones de données utilisateur, y compris les secteurs qui ne sont plus utilisés en raison dune réallocation.
Cette phrase na de sens que pour les disques rotatifs et sans cryptage. Sur un tel disque, à tout moment, il y a une vue logique du disque comme une énorme séquence de secteurs numérotés; l " effacement sécurisé " consiste à écraser tous ces secteurs (et uniquement ces secteurs) une fois , avec des zéros . " Effacement sécurisé amélioré " fait plus defforts:
-
Il écrase les données plusieurs fois avec des modèles de bits distincts, pour être sûr que les données sont complètement détruites (si cela est vraiment nécessaire est sujet à débat, mais il y a beaucoup de tradition à lœuvre ici).
-
Il écrase également les secteurs qui ne sont plus utilisés car ils ont déclenché une erreur dE / S à un moment donné, et ont été remappés (cest-à-dire quun des secteurs de rechange est utilisé par le micrologiciel du disque lorsque lordinateur le lit ou lécrit).
Voici l intention . Du point de vue de la spécification ATA, il y a deux commandes , et il ny a aucun moyen réel de savoir comment leffacement est implémenté, ou même sil est réellement implémenté. Les disques sauvages sont parfois connus pour prendre certaines libertés avec la spécification (par exemple avec la mise en cache des données).
Une autre méthode deffacement sécurisé, qui est bien plus efficace, est le chiffrement :
- Lors de sa première mise sous tension, le disque génère une clé symétrique aléatoire K et la conserve dans un espace de stockage résistant au redémarrage (par exemple, une EEPROM) .
- Toutes les données lues ou écrites seront chiffrées symétriquement, en utilisant K comme clé.
- Pour implémenter un " secure erase ", le disque a juste besoin doublier K en générant un nouveau, et en écrasant le précédent.
Cette stratégie sapplique à la fois aux disques rotatifs et aux SSD. En fait, lorsquun SSD implémente " Secure Erase ", il DOIT utiliser le mécanisme de cryptage, car le " remplacer par des zéros " a beaucoup moins de sens, étant donné le comportement des cellules Flash et les lourdes couches de code de remappage / correction derreurs utilisées dans les SSD.
Lorsquun disque utilise le chiffrement, il ne fera aucune distinction entre " secure erase " et " effacement sécurisé amélioré "; il peut implémenter les deux commandes (au niveau du protocole ATA), mais elles donneront les mêmes résultats. Notez que, de même, si un disque en rotation prétend implémenter les deux modes également, il peut très bien mapper les deux commandes sur la même action (espérons-le, " amélioré " one).
Comme décrit dans cette page , hdparm -I /dev/sdX
rapportera quelque chose comme ceci:
Security: Master password revision code = 65534 supported enabled not locked not frozen not expired: security count supported: enhanced erase Security level high 2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
2 minutes ne suffisent pas pour écraser tout le disque, donc si ce disque implémente des " effacement sécurisé ", il doit être avec le mécanisme de cryptage.Dun autre côté, si hdparm
rapporte ceci:
168min for SECURITY ERASE UNIT. 168min for ENHANCED SECURITY ERASE UNIT.
alors nous pouvons conclure que:
- Ce disque effectue un écrasement complet des données (cest la seule raison pour laquelle cela prendrait près de trois heures).
- Le " sécurisé erase " et " Enhanced Secure Erase " pour ce disque sont probablement identiques.
En fonction de la taille du disque et des performances normales pour les E / S en masse (peut être mesuré avec hdparm -tT /dev/sdX
, on peut même déduire combien de fois les données sont prétendument écrasé. Par exemple, si le disque ci-dessus a une taille de 1 téraoctet et offre une bande passante décriture de 100 Mo / s, 168 minutes suffisent pour un seul écrasement, pas les trois passes ou plus que " Enhanced Secure Erase " est censé impliquer.
(Il ny a pas de différence entre les distributions Linux dans ce domaine; elles utilisent toutes le même hdparm
utilitaire.)
Il faut noter que leffacement sécurisé basé sur le cryptage nefface réellement les données que dans la mesure de la qualité de le cryptage et la génération de clés. Le chiffrement du disque nest pas une tâche facile, car il doit être sécurisé tout en prenant en charge laccès aléatoire. Si le micrologiciel implémente simplement ECB , alors des blocs identiques de texte en clair fuiront, comme lillustre généralement le pingouin image . De plus, la génération de clé peut être bâclée; il est possible que le PRNG sous-jacent soit assez faible, et la clé se prête à une recherche exhaustive.
Ces " Les détails " sont très importants pour la sécurité, et vous ne pouvez pas les tester . Par conséquent, si vous voulez être sûr de leffacement des données, il ny a que deux façons:
-
Le fabricant du disque vous donne suffisamment de détails sur ce que le disque implémente, et garantit leffacement (de préférence contractuellement).
-
Vous avez recours à une bonne vieille destruction physique. Sortez les déchiqueteurs robustes, le four chaud et le chaudron dacide!
Commentaires
- # 1 ½. Vous exécutez une autre couche de FDE approprié en plus de la protection offerte par le lecteur et déterminez à lavance ce qui doit être fait pour écraser toutes les copies des clés du schéma FDE '. (Par exemple, avec LUKS, lécrasement des ~ 10 premiers Mo du conteneur sera presque garanti pour écraser toutes les copies des clés, rendant le reste du conteneur juste des données aléatoires. Une fois les clés FDE du logiciel disparues, vous pouvez certainement effectuer un ATA Secure Erase également, mais même si cela est mal implémenté, vos données doivent rester raisonnablement sécurisées si le logiciel FDE est bien fait.
- Je pense que je ne suis pas daccord avec " 2 minutes ne suffisent pas pour écraser la totalité du disque " car je comprends comment les SSD implémentent généralement cela est quils envoient un zéro à chaque bloc, presque simultanément. Mon disque indique 2 minutes pour SE et 8 minutes pour Enhanced SE. Je ' m deviner que la seconde fait la même chose mais pour les données non nulles?
- En ce qui concerne la sécurité, je ' m méfiant du code (cest-à-dire des ROM) Je ne peux ' t compiler et graver / installer moi-même. Nous déjà kno w la NSA a intercepté des routeurs nouvellement achetés et y a installé des portes dérobées. Pourquoi ne pas saboter le chiffrement intégré dun disque dur ' également? En fait, pourquoi ne pas créer cette procédure d’exploitation standard?
- @sherrellbc: Ce ' n’est en fait pas si inattendu. Un SSD utilise un mappage " physique vers logique ". Pour des raisons de sécurité, vous souhaiterez également réinitialiser ce mappage après un effacement sécurisé. En particulier, vous souhaitez réinitialiser tous les secteurs logiques à une sentinelle " pas de mappage ". Ce serait codé en dur à tous les zéros; ce nest quà la première écriture que le SSD créerait un mappage réel.
- Jai ici un lecteur où leffacement amélioré est de 2 minutes (en fait moins de 1 seconde) et leffacement régulier de 8 heures et plus.
more than 508min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
Réponse
Quand jai regardé ceci, Jai eu limpression que leffacement sécurisé ATA et les autres fonctionnalités ne sont pas encore bien implémentés par tous les fabricants en termes de suppression / désinfection des données. Effacement de sécurité ATA sur SSD http://arstechnica.com/security/2011/03/ask-ars-how-can-i-safely-erase-the-data-from-my-ssd-drive/
Ma compréhension (limitée) est que leffacement sécurisé des disques SSD nest toujours pas entièrement standardisé , même pour la fonction deffacement sécurisé de hdparm.Les données ne sont pas nécessairement effacées, bien que la réponse de Polynomial à la question précédente indique que les seules données restantes seraient cryptées. Votre meilleur pari pourrait être de contacter le fournisseur et de voir ce quil dit.
En ce qui concerne les disques durs traditionnels, le DBAN devrait suffire, même sil ne garantit pas que toutes les données sont réellement effacées. (voir http://www.dban.org/about )
Réponse
En ce qui concerne les disques durs spinnings, je préfère utiliser dd
(sous Linux) pour être sûr à 100% que tous les secteurs sont effacés et ne dépendent pas du fabricant, implémentez correctement la commande deffacement SATA.
dd status=progress if=/dev/urandom of=/dev/sdx bs=512K
Malheureusement, cela ne fonctionnera pas sur les disques SSD (enfin, cela fonctionnera, mais il y a de fortes chances que toutes les données ne soient pas effacées).
Un autre avantage en utilisant dd
si vous obtenez un indicateur de progression, vous nobtenez pas cela en utilisant hdparm
et en utilisant dd
vous pouvez annuler lopération, il semble un peu plus difficile avec hdparm
.