Mi piacerebbe cancellare in modo sicuro una pila di unità (rotanti e SSD). Conosco il comando ATA Secure Erase (SE) tramite hdparm , ma non sono sicuro di dover utilizzare invece il comando Security Erase (SE +).
Ci sono alcune prove che questi comandi non lavorare su tutte le unità. Come posso assicurarmi che lunità sia realmente cancellata, comprese le aree di riserva, i settori riallocati e simili?
Sto pensando di utilizzare un CD live di Linux (su USB). Ubuntu fornisce un CD live funzionante con che posso installare hdparm, ma esiste una distribuzione CD live più piccola con versioni software aggiornate che dovrei usare invece?
Quindi, in sintesi:
Quali sono i pro ei contro di SE rispetto a SE +?
Come posso assicurarmi che lunità sia stata completamente e completamente cancellata?
Quale distribuzione Linux dovrei usare?
Commenti
- Come regola generale, ' è meglio non includere più domande in una domanda. Ciò consente di ottenere risposte più lunghe e complicate ed è più difficile da cerca le domande. Solo un suggerimento: ' non sto cercando di rimproverarti!
Risposta
Come citato da questa pagina :
La cancellazione sicura sovrascrive tutti i dati dellutente ta aree con zeri binari. La cancellazione sicura avanzata scrive modelli di dati predeterminati (impostati dal produttore) in tutte le aree di dati dellutente, inclusi i settori che non sono più in uso a causa della riallocazione.
Questa frase ha senso solo per i dischi in rotazione e senza crittografia. Su un disco di questo tipo, in qualsiasi momento, cè una vista logica del disco come unenorme sequenza di settori numerati; la " cancellazione sicura " riguarda la sovrascrittura di tutti questi settori (e solo di questi) una volta , con zeri . La " cancellazione sicura avanzata " fa di più:
-
Sovrascrive i dati più volte con schemi di bit distinti, per essere sicuri che i dati vengano completamente distrutti (se questo sia davvero necessario è oggetto di dibattito, ma qui cè molta tradizione al lavoro).
-
Inoltre sovrascrive i settori che non vengono più utilizzati perché hanno attivato un errore di I / O a un certo punto e sono stati rimappati (ovvero uno dei settori di riserva viene utilizzato dal firmware del disco quando il computer lo legge o lo scrive).
Questo è intent . Dal punto di vista delle specifiche ATA, ci sono due comandi e non esiste un modo reale per sapere come viene implementata la cancellazione, o anche se è effettivamente implementata. È noto che i dischi in circolazione a volte si prendono delle libertà con le specifiche (ad esempio con la memorizzazione nella cache dei dati).
Un altro metodo per la cancellazione sicura, che è molto più efficiente, è la crittografia :
- Quando viene acceso per la prima volta, il disco genera una chiave simmetrica casuale K e la mantiene in uno spazio di archiviazione resistente al riavvio (ad esempio, una EEPROM) .
- Ogni dato letto o scritto verrà crittografato simmetricamente, utilizzando K come chiave.
- Per implementare un " secure erase ", il disco deve solo dimenticare K generandone uno nuovo e sovrascrivendo quello precedente.
Questa strategia è applicabile sia ai dischi rotanti che alle unità SSD. Infatti, quando un SSD implementa " secure erase ", DEVE utilizzare il meccanismo di crittografia, perché " sovrascrivi con zeri " ha molto meno senso, dato il comportamento delle celle Flash e la pesante rimappatura / correzione degli errori dei livelli di codice utilizzati negli SSD.
Quando un disco utilizza la crittografia, non farà distinzione tra " secure erase " e " cancellazione sicura avanzata "; può implementare entrambi i comandi (a livello di protocollo ATA), ma produrranno gli stessi risultati. Nota che, allo stesso modo, se un disco rotante dichiara di implementare anche entrambe le modalità, potrebbe benissimo mappare entrambi i comandi alla stessa azione (si spera, il " migliorato " one).
Come descritto in questa pagina , hdparm -I /dev/sdX riporterà qualcosa di simile:
Security: Master password revision code = 65534 supported enabled not locked not frozen not expired: security count supported: enhanced erase Security level high 2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT. 2 minuti non sono sufficienti per sovrascrivere lintero disco, quindi se quel disco implementa alcuni " cancellazione sicura ", deve essere con il meccanismo di crittografia.Daltra parte, se hdparm riporta questo:
168min for SECURITY ERASE UNIT. 168min for ENHANCED SECURITY ERASE UNIT. allora possiamo concludere che:
- Questo disco esegue una sovrascrittura completa dei dati (questo è lunico motivo per cui ci vorrebbero quasi tre ore).
- Il " sicuro le " e " advanced secure erase " per quel disco sono probabilmente identiche.
A seconda della dimensione del disco e delle prestazioni normali per I / O di massa (può essere misurato con hdparm -tT /dev/sdX, si può anche dedurre quante volte i dati vengono presumibilmente sovrascritto. Ad esempio, se il disco sopra ha una dimensione di 1 terabyte e offre una larghezza di banda di scrittura di 100 MB / s, 168 minuti sono sufficienti per una singola sovrascrittura, non i tre o più passaggi " la cancellazione sicura avanzata " dovrebbe comportare.
(Non cè differenza tra le distribuzioni Linux in quellarea; usano tutte la stessa hdparm utility.)
Si deve notare che la cancellazione sicura basata sulla crittografia cancella davvero i dati solo nella misura della qualità di la crittografia e la generazione della chiave. La crittografia del disco non è un compito facile, poiché deve essere sicuro e tuttavia supportare laccesso casuale. Se il firmware implementa semplicemente ECB , verranno fuoriusciti blocchi identici di testo in chiaro, come di solito illustrato dal pinguino immagine . Inoltre, la generazione della chiave potrebbe essere fallita; è possibile che il sottostante PRNG sia piuttosto debole e la chiave sarebbe suscettibile di ricerca esaustiva.
Questi " dettagli " sono molto importanti per la sicurezza e non puoi testarli . Pertanto, se vuoi essere sicuro della cancellazione dei dati, ci sono solo due modi:
-
Il produttore del disco ti fornisce dettagli sufficienti su ciò che il disco implementa e garantisce la cancellazione (preferibilmente contrattualmente).
-
Ricorri alla buona vecchia distruzione fisica. Tira fuori i trituratori pesanti, la fornace calda e il calderone di acido!
Commenti
- # 1 ½. Esegui un altro livello di FDE appropriato oltre alla protezione offerta dallunità e stabilisci in anticipo cosa è necessario fare per sovrascrivere tutte le copie delle chiavi dello schema FDE '. (Ad esempio, con LUKS, la sovrascrittura dei primi ~ 10 MB del contenitore sarà quasi garantita per sovrascrivere tutte le copie delle chiavi, rendendo il resto del contenitore solo dati casuali. Una volta che le chiavi FDE del software sono sparite, puoi sicuramente eseguire un Anche ATA Secure Erase, ma anche se questo è implementato male i tuoi dati dovrebbero rimanere ragionevolmente sicuri se il software FDE è fatto correttamente.
- Penso di non essere daccordo con " 2 minuti non sono sufficienti per sovrascrivere lintero disco " perché la mia comprensione di come gli SSD generalmente implementano questo è che inviano uno zero a ogni blocco, quasi contemporaneamente. Il mio disco dice 2 minuti per SE e 8 minuti per SE avanzato. ' immagino che il secondo faccia lo stesso ma per dati diversi da zero?
- Quando si tratta di sicurezza, ' sospetto del codice (che significa ROM) posso ' t compilare e masterizzare / installare me stesso. Noi già lo sai w la NSA ha intercettato i router appena acquistati e vi ha installato delle backdoor. Perché non sabotare anche la crittografia integrata di un disco rigido '? In effetti, perché non fare quella procedura operativa standard?
- @sherrellbc: Questo ' in realtà non è così inaspettato. Un SSD utilizza una mappatura " da fisico a logico ". Per motivi di sicurezza, ti consigliamo di ripristinare questa mappatura anche dopo una cancellazione sicura. In particolare, vuoi reimpostare tutti i settori logici su una sentinella " nessuna mappatura ". Questo sarebbe hardcoded a tutti gli zeri; solo alla prima scrittura lSSD creerebbe una mappatura effettiva.
- Qui ho ununità in cui la cancellazione avanzata è di 2 minuti (in realtà meno di 1 secondo) e la cancellazione normale è di 8+ ore.
more than 508min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
Risposta
Quando ho esaminato questo, Ho limpressione che la cancellazione sicura ATA e altre funzioni non siano ancora ben implementate da tutti i produttori in termini di effettiva cancellazione / sanificazione dei dati. cancellazione di sicurezza ATA su SSD http://arstechnica.com/security/2011/03/ask-ars-how-can-i-safely-erase-the-data-from-my-ssd-drive/
La mia comprensione (limitata) è che la cancellazione sicura degli SSD non è ancora completamente standardizzata , anche per la funzione di cancellazione sicura di hdparm.I dati non vengono necessariamente cancellati, sebbene la risposta di Polynomial alla domanda precedente indichi che gli unici dati rimanenti sarebbero crittografati. La soluzione migliore potrebbe essere contattare il venditore e vedere cosa dicono.
Per quanto riguarda gli HDD tradizionali, DBAN dovrebbe essere sufficiente, sebbene “non garantisca che tutti i dati vengano veramente cancellati. (vedi http://www.dban.org/about )
Risposta
Per quanto riguarda gli HDD a rotazione, preferisco utilizzare dd (su linux) per essere sicuri al 100% che tutti i settori siano cancellati e non dipendere dal produttore che implementa correttamente il comando di cancellazione SATA.
dd status=progress if=/dev/urandom of=/dev/sdx bs=512K Sfortunatamente questo non funzionerà sugli SSD (beh, funzionerà, ma cè unenorme possibilità che tutti i dati non vengano cancellati).
Un altro vantaggio usando dd hai un indicatore di avanzamento, non lo ottieni usando hdparm e usando dd puoi annullare loperazione, sembra un po più difficile con hdparm.