Wat is het verschil tussen ATA Secure Erase en Security Erase? Hoe kan ik ervoor zorgen dat ze werkten?

Ik “zou graag een stapel schijven (draaiend en SSD) veilig willen wissen. Ik ben bekend met de ATA Secure Erase (SE) -opdracht via hdparm , maar ik “weet niet zeker of ik in plaats daarvan het commando Security Erase (SE +) moet gebruiken.

Er is enig bewijs dat deze commandos werk niet op alle schijven. Hoe kan ik ervoor zorgen dat de drive echt wordt gewist, inclusief reservegebieden, opnieuw toegewezen sectoren en dergelijke?

Ik ben van plan een linux live-cd (op USB) te gebruiken. Ubuntu biedt een werkbare live-cd met die ik hdparm kan installeren, maar is er een kleinere live CD-distro met bijgewerkte softwareversies die ik in plaats daarvan zou moeten gebruiken?

Dus, samengevat:

Wat zijn de voor- en nadelen van SE versus SE +?

Hoe kan ik ervoor zorgen dat de schijf echt en grondig is gewist?

Welke Linux-distributie moet ik gebruiken?

Opmerkingen

  • Als algemene regel is het ' het beste om niet meerdere vragen in één vraag op te nemen. Het levert langere, gecompliceerde antwoorden op en is moeilijker zoek vragen op. Gewoon een tip: ik ' probeer je niet te berispen!

Antwoord

Zoals geciteerd uit deze pagina :

Veilig wissen overschrijft alle gebruikersdata ta-gebieden met binaire nullen. Verbeterd beveiligd wissen schrijft vooraf bepaalde gegevenspatronen (ingesteld door de fabrikant) naar alle gegevensgebieden van gebruikers, inclusief sectoren die niet langer in gebruik zijn vanwege herverdeling.

Deze zin is alleen zinvol voor draaiende schijven en zonder codering. Op zon schijf is er op elk moment een logische weergave van de schijf als een enorme opeenvolging van genummerde sectoren; het " veilig wissen " gaat over het overschrijven van al deze sectoren (en alleen deze sectoren) een keer , met nullen . De " verbeterde beveiligde wisfunctie " probeert harder:

  • Gegevens worden meerdere keren overschreven met verschillende bitpatronen, om er zeker van te zijn dat de gegevens grondig worden vernietigd (of dit echt nodig is, is onderwerp van discussie, maar er is hier veel traditie aan het werk).

  • Het overschrijft ook sectoren die niet langer worden gebruikt omdat ze op een gegeven moment een I / O-fout veroorzaakten, en opnieuw werden toegewezen (dwz een van de reservesectoren wordt gebruikt door de diskfirmware wanneer de computer deze leest of schrijft).

Dit is de intentie . Vanuit het oogpunt van ATA-specificatie zijn er twee commandos , en er is geen echte manier om te weten hoe het wissen is geïmplementeerd, of zelfs of het is daadwerkelijk geïmplementeerd. Van schijven in het wild is bekend dat ze soms wat vrijheden nemen met de specificatie (bijvoorbeeld met gegevenscaching).

Een andere methode voor veilig wissen, die veel efficiënter is, is encryptie :

  • Wanneer het voor het eerst wordt aangezet, genereert de schijf een willekeurige symmetrische sleutel K en bewaart deze in een of andere herstartbestendige opslagruimte (bijvoorbeeld een EEPROM) .
  • Elke gelezen of geschreven data wordt symmetrisch versleuteld, met K als sleutel.
  • Om een " secure erase ", de schijf hoeft alleen K te vergeten door een nieuwe te genereren en de vorige te overschrijven.

Deze strategie is van toepassing op zowel draaiende schijven als SSD. Wanneer een SSD " secure erase " implementeert, MOET deze het coderingsmechanisme gebruiken, omdat de " overschrijven met nullen " heeft een stuk minder zin, gezien het gedrag van Flash-cellen en de zware codelagen die worden gebruikt in SSDs om fouten te corrigeren.

Als een schijf versleuteling gebruikt, maakt deze geen onderscheid tussen " veilig wissen " en " verbeterd veilig wissen "; het kan beide commandos implementeren (op het ATA-protocolniveau), maar ze zullen dezelfde resultaten opleveren. Merk op dat, als een draaiende schijf beweert ook beide modi te implementeren, deze beide commandos heel goed kan toewijzen aan dezelfde actie (hopelijk is de " verbeterde " one).

Zoals beschreven in deze pagina , de hdparm -I /dev/sdX commando zal iets als dit rapporteren:

Security: Master password revision code = 65534 supported enabled not locked not frozen not expired: security count supported: enhanced erase Security level high 2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT. 

2 minuten zijn niet genoeg om de hele schijf te overschrijven, dus als die schijf een of andere daadwerkelijke " veilig wissen ", het moet met het versleutelingsmechanisme zijn.Aan de andere kant, als hdparm dit rapporteert:

 168min for SECURITY ERASE UNIT. 168min for ENHANCED SECURITY ERASE UNIT. 

, dan kunnen we concluderen dat:

  • Deze schijf voert een volledige gegevensoverschrijving uit (dat is de enige reden waarom het bijna drie uur zou duren).
  • De " beveiligde erase " en " verbeterd veilig wissen " voor die schijf zijn waarschijnlijk identiek.

Afhankelijk van de schijfgrootte en normale prestaties voor bulk-I / O (kan worden gemeten met hdparm -tT /dev/sdX, kan men zelfs afleiden hoe vaak de gegevens ogenschijnlijk overschreven. Als de bovenstaande schijf bijvoorbeeld een grootte heeft van 1 terabyte en een schrijfbandbreedte van 100 MB / s biedt, is 168 minuten voldoende voor een enkele overschrijving, niet de drie of meer passages die " verbeterde beveiligde erase " zou moeten inhouden.

(Er is geen verschil tussen Linux-distributies op dat gebied; ze gebruiken allemaal hetzelfde hdparm hulpprogramma.)


Men moet er rekening mee houden dat het op encryptie gebaseerde veilig wissen de gegevens alleen in de mate van de kwaliteit van de versleuteling en het genereren van sleutels. Schijfversleuteling is geen gemakkelijke taak, omdat het veilig moet zijn en toch willekeurige toegang moet ondersteunen. Als de firmware eenvoudig ECB implementeert, zullen identieke blokken platte tekst lekken, zoals gewoonlijk wordt geïllustreerd door de pinguïn afbeelding . Bovendien kan de sleutelgeneratie mislukken; het is mogelijk dat de onderliggende PRNG vrij zwak is en dat de sleutel vatbaar is voor uitgebreid zoeken.

Deze " details " zijn erg belangrijk voor de veiligheid, en je kunt er niet op testen . Daarom, als u zeker wilt zijn van het wissen van de gegevens, zijn er slechts twee manieren:

  1. De fabrikant van de schijf geeft u voldoende details over wat de schijf implementeert, en garandeert het wissen (bij voorkeur contractueel).

  2. Je neemt je toevlucht tot goede oude fysieke vernietiging. Haal de zware versnipperaars, de hete oven en de ketel met zuur tevoorschijn!

Opmerkingen

  • # 1 ½. Je draait nog een laag van de juiste FDE bovenop de bescherming die de drive biedt, en bepaalt van tevoren wat er moet gebeuren om alle kopieën van het FDE-schema ' s sleutels te overschrijven. (Als u bijvoorbeeld LUKS gebruikt, wordt bijna gegarandeerd dat het overschrijven van de eerste ~ 10 MB van de container alle kopieën van de sleutels overschrijft, waardoor de rest van de container slechts willekeurige gegevens is. Zodra de software-FDE-sleutels zijn verdwenen, kunt u zeker een ATA Secure Erase ook, maar zelfs als dat slecht is geïmplementeerd, moeten uw gegevens redelijk veilig blijven als de software FDE correct wordt uitgevoerd.
  • Ik denk dat ik het niet eens ben met " 2 minuten zijn niet genoeg om de hele schijf " te overschrijven, omdat ik begrijp hoe SSDs dit in het algemeen implementeren, is dat ze een nul sturen naar elk blok, bijna tegelijkertijd. Mijn schijf zegt 2 minuten voor SE en 8 minuten voor Enhanced SE. Ik ' m vermoedend dat de tweede hetzelfde doet, maar voor gegevens die niet nul zijn?
  • Als het om beveiliging gaat, ' ben ik wantrouwend ten opzichte van code (dat wil zeggen ROMs). Ik kan ' mezelf compileren en branden / installeren. We al weet w De NSA heeft nieuw aangeschafte routers onderschept en er achterdeurtjes in geïnstalleerd. Waarom saboteer je ook de ingebouwde encryptie van de ' harde schijf niet? Waarom zou je eigenlijk die standaardprocedure niet maken?
  • @sherrellbc: Dat ' is eigenlijk niet zo onverwacht. Een SSD gebruikt een " fysiek-naar-logische " toewijzing. Om veiligheidsredenen zou u deze toewijzing ook na een veilige wisactie opnieuw willen instellen. In het bijzonder wilt u alle logische sectoren resetten naar een schildwacht " geen toewijzing ". Dit zou worden gecodeerd tot allemaal nullen; alleen bij de eerste keer schrijven zou de SSD een daadwerkelijke mapping creëren.
  • Ik heb hier een schijf waar verbeterd wissen 2 minuten duurt (eigenlijk minder dan 1 seconde) en normaal wissen 8+ uur duurt. more than 508min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

Antwoord

Toen ik hiernaar keek, Ik kreeg de indruk dat ATA secure erase en andere functies “nog niet goed door alle fabrikanten zijn geïmplementeerd in termen van daadwerkelijke gegevensverwijdering / opschoning”. ATA security wissen op SSD http://arstechnica.com/security/2011/03/ask-ars-how-can-i-safely-erase-the-data-from-my-ssd-drive/

Ik heb (beperkt) begrepen dat het veilig wissen van SSDs nog steeds niet volledig gestandaardiseerd is , zelfs voor de veilige wisfunctie van hdparm.De gegevens worden niet noodzakelijk gewist, hoewel het antwoord van Polynomial op de vorige vraag aangeeft dat de enige overgebleven gegevens zouden worden versleuteld. Het is misschien het beste om contact op te nemen met de verkoper en te kijken wat ze zeggen.

Met betrekking tot traditionele HDDs zou DBAN moeten volstaan, hoewel het “niet garandeert dat alle gegevens echt worden gewist. (zie http://www.dban.org/about )

Antwoord

Met betrekking tot draaiende harde schijven gebruik ik liever dd (op linux) om er 100% zeker van te zijn dat alle sectoren worden gewist en niet afhankelijk zijn van de fabrikant, implementeer de SATA-wisopdracht daadwerkelijk correct.

dd status=progress if=/dev/urandom of=/dev/sdx bs=512K 

Helaas werkt dit niet op SSDs (het werkt wel, maar de kans is groot dat alle gegevens niet worden gewist).

Nog een voordeel met dd krijg je een voortgangsindicator, krijg je dat niet met hdparm en met dd kun je de bewerking annuleren, zo lijkt het een beetje moeilijker met hdparm.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *