Julho 19, 2020
Articles
Sem comentários

Qual é a diferença entre ATA Secure Erase e Security Erase? Como posso garantir que funcionaram?

Gostaria de limpar uma pilha de unidades (giratórias e SSD) com segurança. Estou familiarizado com o comando ATA Secure Erase (SE) via hdparm , mas não tenho certeza se devo usar o comando Security Erase (SE +).

alguma evidência de que esses comandos não trabalhe em todas as unidades. Como posso garantir que a unidade foi realmente limpa, incluindo áreas de reserva, setores realocados e assim por diante?

Estou planejando usar um live CD Linux (em USB). O Ubuntu oferece um live CD viável com que posso instalar o hdparm, mas há uma distro menor em live CD com versões de software atualizadas que devo usar?

Então, em resumo:

Quais são os prós e contras do SE versus SE +?

Como posso garantir que a unidade foi verdadeira e completamente limpa?

Qual distribuição Linux devo usar?

Comentários

  • Como regra geral, ' é melhor não incluir várias perguntas em uma pergunta. Isso torna as respostas mais longas e complicadas e é mais difícil procure perguntas. Apenas uma dica – eu ' não estou tentando repreender você!

Resposta

Conforme citado desta página :

O apagamento seguro sobrescreve todos os dados do usuário áreas ta com zeros binários. O apagamento seguro aprimorado grava padrões de dados predeterminados (definidos pelo fabricante) em todas as áreas de dados do usuário, incluindo setores que não estão mais em uso devido à realocação.

Esta frase faz sentido apenas para discos giratórios e sem criptografia. Em tal disco, a qualquer momento, há uma visão lógica do disco como uma enorme sequência de setores numerados; o " apagamento seguro " trata da substituição de todos esses setores (e apenas desses setores) uma vez , com zeros . O " apagamento seguro aprimorado " se esforça mais:

  • Ele sobrescreve os dados várias vezes com padrões de bits distintos, para garantir que os dados sejam totalmente destruídos (se isso é realmente necessário é assunto para debate, mas há muita tradição em ação aqui).

  • Ele também sobrescreve setores que não são mais usados porque dispararam um erro de E / S em algum ponto e foram remapeados (ou seja, um dos setores sobressalentes é usado pelo firmware do disco quando o computador o lê ou grava).

Esta é a intenção . Do ponto de vista da especificação ATA, existem dois comandos , e não há uma maneira real de saber como o apagamento é implementado, ou mesmo se é realmente implementado. Discos em estado selvagem são conhecidos por tomar algumas liberdades com a especificação às vezes (por exemplo, com cache de dados).

Outro método para eliminação segura, que é bem mais eficiente, é a criptografia :

  • Quando é ligado pela primeira vez, o disco gera uma chave simétrica aleatória K e a mantém em algum espaço de armazenamento resistente a reinicialização (digamos, algum EEPROM) .
  • Todos os dados lidos ou gravados serão criptografados simetricamente, usando K como chave.
  • Para implementar um " apagamento seguro ", o disco só precisa esquecer K gerando um novo e substituindo o anterior.

Esta estratégia é aplicável a discos giratórios e SSD. Na verdade, quando um SSD implementa " apagamento seguro ", ele DEVE usar o mecanismo de criptografia, porque o " sobrescrever com zeros " faz muito menos sentido, dado o comportamento das células Flash e as pesadas camadas de código de remapeamento / correção de erros usadas em SSDs.

Quando um disco usa criptografia, ele não fará distinção entre " apagamento seguro " e " apagamento seguro aprimorado "; ele pode implementar ambos os comandos (no nível do protocolo ATA), mas eles produzirão os mesmos resultados. Observe que, da mesma forma, se um disco giratório afirma implementar ambos os modos também, ele pode muito bem mapear os dois comandos para a mesma ação (esperançosamente, o " melhorado " um).

Conforme descrito nesta página , a hdparm -I /dev/sdX reportará algo assim: 

Security: Master password revision code = 65534 supported enabled not locked not frozen not expired: security count supported: enhanced erase Security level high 2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

2 minutos não são suficientes para sobrescrever todo o disco, então se esse disco implementar algum " apagamento seguro ", deve estar com o mecanismo de criptografia.Por outro lado, se hdparm relatar isso: 

 168min for SECURITY ERASE UNIT. 168min for ENHANCED SECURITY ERASE UNIT.

então podemos concluir que:

  • Este disco realiza uma substituição completa dos dados (essa “é a única razão pela qual levaria quase três horas).
  • O " seguro apagar " e " apagamento seguro aprimorado " para esse disco são provavelmente idênticos.

Dependendo do tamanho do disco e do desempenho normal para E / S em massa (pode ser medido com hdparm -tT /dev/sdX, pode-se até inferir quantas vezes os dados são supostamente sobrescrito. Por exemplo, se o disco acima tiver 1 terabyte e oferecer largura de banda de gravação de 100 MB / s, 168 minutos serão suficientes para uma única sobregravação, não as três ou mais passagens que " apagamento seguro aprimorado " deve implicar.

(Não há diferença entre as distribuições Linux nessa área; todas usam o mesmo utilitário hdparm.)

É preciso observar que o apagamento seguro baseado em criptografia realmente apaga os dados apenas na medida da qualidade de a criptografia e geração de chave. A criptografia de disco não é uma tarefa fácil, pois deve ser segura e, ainda assim, suportar acesso aleatório. Se o firmware simplesmente implementar ECB , blocos idênticos de texto simples vazarão, como geralmente é ilustrado pelo pinguim imagem . Além disso, a geração de chaves pode ser danificada; é possível que o PRNG subjacente seja bastante fraco, e a chave seria passível de pesquisa exaustiva.

Esses " detalhes " são muito importantes para a segurança e você não pode testá-los . Portanto, se você deseja ter certeza sobre a eliminação dos dados, existem apenas duas maneiras:

  1. O fabricante do disco fornece detalhes suficientes sobre o que o disco implementa e garante a limpeza (de preferência contratualmente).

  2. Você recorre à boa e velha destruição física. Tragam os trituradores resistentes, a fornalha quente e o caldeirão de ácido!

Comentários

  • # 1 ½. Você executa outra camada de FDE adequada sobre a proteção que a unidade oferece e determina com antecedência o que precisa ser feito para sobrescrever todas as cópias das chaves do esquema FDE '. (Por exemplo, com LUKS, sobrescrever os primeiros ~ 10 MB do contêiner será quase garantido que sobrescreverá todas as cópias das chaves, renderizando o resto do contêiner apenas dados aleatórios. Depois que as chaves FDE do software forem eliminadas, você certamente poderá executar um ATA Secure Erase também, mas mesmo que seja mal implementado, seus dados devem permanecer razoavelmente seguros se o software FDE for feito corretamente.
  • Acho que discordo de " 2 minutos não são suficientes para sobrescrever todo o disco " porque meu entendimento de como os SSDs geralmente implementam isso é que eles enviam um zero a cada bloco, quase simultaneamente. Meu disco diz 2 minutos para SE e 8 minutos para Enhanced SE. Eu ' estou supondo que o segundo faz o mesmo, mas para dados diferentes de zero?
  • Quando se trata de segurança, eu ' suspeito de código (significando ROMs), posso ' compilar e gravar / instalar sozinho. já sei w a NSA interceptou roteadores recém-adquiridos e instalou portas traseiras neles. Por que não sabotar também a criptografia interna ' do disco rígido? Na verdade, por que não fazer esse procedimento operacional padrão?
  • @sherrellbc: Isso ' não é tão inesperado. Um SSD usa um mapeamento " físico para lógico ". Por motivos de segurança, você também deve redefinir esse mapeamento após um apagamento seguro. Em particular, você deseja redefinir todos os setores lógicos para uma sentinela " sem mapeamento ". Isso seria codificado para todos os zeros; apenas na primeira gravação o SSD criaria um mapeamento real.
  • Tenho uma unidade aqui em que o apagamento aprimorado leva 2 minutos (na verdade, menos de 1 segundo) e o apagamento normal dura 8+ horas. more than 508min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

Resposta

Quando eu olhei para isso, Tive a impressão de que o apagamento seguro de ATA e outros recursos ainda não foram bem implementados por todos os fabricantes em termos de exclusão / higienização de dados reais. Apagamento de segurança de ATA em SSD http://arstechnica.com/security/2011/03/ask-ars-how-can-i-safely-erase-the-data-from-my-ssd-drive/

Meu (limitado) entendimento é que o apagamento seguro de SSDs ainda não está totalmente padronizado , mesmo para o recurso de apagamento seguro do hdparm.Os dados não são necessariamente apagados, embora a resposta da Polinomial à pergunta anterior indique que os únicos dados restantes seriam criptografados. Sua melhor aposta pode ser entrar em contato com o fornecedor e ver o que ele diz.

Com relação aos HDDs tradicionais, o DBAN deve ser suficiente, embora não “garanta que todos os dados sejam realmente apagados. (consulte http://www.dban.org/about )

Resposta

Em relação aos HDDs de spinnings, prefiro usar dd (no Linux) para ter 100% de certeza de que todos os setores foram apagados e não depender do fabricante realmente implementar o comando SATA erase corretamente. 

dd status=progress if=/dev/urandom of=/dev/sdx bs=512K

Infelizmente, isso não funcionará em SSDs (bem, funcionará, mas há uma grande chance de todos os dados não serem apagados).

Outra vantagem usando dd se você obtiver um indicador de progresso, não conseguirá isso usando hdparm e usando dd você pode cancelar a operação, parece um pouco mais difícil com hdparm.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *