SSD'ler için neden güvenli bir silme 'gerekli değildir'?

18

SSD ile 2010 MacBook Pro'da işlem yapmak üzereyim. Ancak, "Güvenlik Seçenekleri" düğmesi grileştiğinden kurtarma diskinden (bilgisayar satmadan veya vermeden önce mekanik sabit sürücülerle yaptığım gibi) Güvenli Silme yapamıyorum.

Apple'ın bilgi tabanındaki bir makaleye dayanarak , düğme SSD'ler için bilerek devre dışı bırakılmıştır, çünkü:

Not: SSD sürücüsünde, Disk İzlencesi'nde Güvenli Silme ve Boş Alanı Silme kullanılamaz. SSD sürücüsü için bu seçeneklere gerek yoktur, çünkü standart silme işlemi SSD'den veri kurtarmayı zorlaştırır.

Bu bana iyi geliyor ve bu görüş hem Genius Bar'da hem de Apple'ı arayarak doğrulandı.

Sorun şu ki , bu konuda bulabildiğim hemen hemen her makale Apple'ın bir SSD'yi silme konusundaki iyimser görüşüyle ​​çelişiyor. SSD'nin yazma sırasında blokları dinamik olarak yeniden eşlemesi ve işletim sistemi tarafından erişilemeyen büyük miktarda boş alanı olduğu için, tüm sürücünün üzerine yazmak imkansızdır.

Bu iki perspektifi uzlaştırabilen tek açıklama, MacBook SSD'lerin "kendi kendini şifrelediği" , yani rastgele bir anahtar oluşturdukları ve diskin meta verilerinde sakladıkları ve sürücüye depolanan tüm verileri bu anahtarla şifrelediğidir ( burada ek açıklama ). Bir SSD'de Disk İzlencesi'nin Sil düğmesini kullandığımda, Mac bu anahtarı temizler, bu nedenle verilerin üzerine yazılmamış olsa bile, artık erişilemeyen şifreli metin artık anahtar gitti ve sıfırlanmış kadar iyi.

Sorun şu ki, bu görünümü yedeklemek için bulabildiğim tek şey Apple Destek Forumlarının bilgili bir üyesi tarafından gönderilen bir gönderi. Bunun gerçekten doğru olup olmadığını bilen var mı? Beni Apple'ın SSD'lerinin bunu yaptığını doğrulayan bir şeye işaret edebilir misiniz?

macbook  hard-drive  security  ssd  disk-utility 
fatura
kaynak
Kendi tecrübelerime dayanarak: kesinlikle teknik uzmanlık açısından konuşursak, Linc Davis şüphesiz ASC'nin en bilgili üyesidir. Kaba ve aşındırıcı olabilir, ancak bu forumlara yıllarca katkıda bulundum ve abartı olmadan, asla yanlış bilgi verdiğini görmedim - bu noktada, cevaplarını güvenilir kaynak malzeme olarak alıyorum.
njboot
Bir yerde bir SSD ve dosya kasası etkinse bu seçeneklerin kaybolduğunu okuduğumu sanıyordum. Yapıyor musun?
Harv
@njboot Anlaştı, Linc çok bilgili görünüyor, ama yine de daha somut bir şey görmek istiyorum.
Bill
@Harv Hayır, FileVault'um yoktu.
Bill

Yanıtlar:

16

O kadar da gerekli değil ...

Partiye birkaç yıl geç kaldım, ancak Apple'ın (şimdi "Güvenli Silme" seçeneklerini Disk İzlencesi uygulamasından tamamen kaldıran) seçeneği gerçekten kaldırmadıklarını belirtmeye değer olabilir " gerekli "- El Capitan güvenlik sürüm notlarına göre , güvenli bir silme garantisi veremedikleri için yaptılar :

Açıklama: Flash belleğe sahip olanlar gibi bazı sistemlerde Çöp Kutusu dosyalarının güvenli bir şekilde silinmesini sağlamada bir sorun vardı. Bu sorun “Güvenli Boş Çöp Kutusu” seçeneği kaldırılarak giderildi.

Glenn Fleishman, " El Capitan'ın eksik Güvenli Boş Çöp Kutusu nasıl değiştirilir " konusunda iyi bir genel bakış sunar . Şu anda, tek DoD / NSA onaylı SSD sanitasyon prosedürünün, sürücüyü bir tozun eritilmesi veya ince bir toz haline getirilmesi , bir sürücüyü kesinlikle silme zorluğunu yansıtıyor.

İse bir SSD veri kurtarmak için oldukça zor ...

Trane Francks'ın açıkladığı gibi, bir SSD'den veri kurtarmak varsayılan olarak oldukça zordur. Verilerin şifrelenmesi zorunlu değildir, ancak tek bir konuma (hem performans hem de sürücü ömrü için) mümkün olduğunca az sayıda yazma işlemi gerçekleştirmek için birçok konuma veri dağıtılır. Veriler silindikten sonra, bir dosyanın içinde bulunduğu yeri bulmak milyonlarca parçalı bilmecenin bir araya getirilmesi gibidir (sürücüyü toplayan çöplerden önce karar vermeden önce). Bir SSD'den dosyaları kurtarmak mümkündür , ancak bu genellikle çok fazla çaba gerektirir.

Kurtarma araçlarını zorlaştırmak için ...

SSD'yi her türlü uygun güvenli anahtarla şifrelemek ve ardından bu anahtarı silmek, herhangi bir veriyi kurtarmayı neredeyse imkansız hale getirir . Bu, Mac'te FileVault'u etkinleştirerek, kurtarma moduna önyükleme yaparak, sürücünün kilidini açıp Disk Yardımcı Programı ile sürücüyü silerek yapılabilir.

Sadece mevcut verileri bozmadan bir şeyin güvenli bir şekilde silinmesini diskutilsağlamak istiyorsanız, güvenli silme seçeneklerinin kaldırılmadığı TerminalU komutunun DiskUtility komut satırı sürümü olan komutunu kullanmayı deneyebilirsiniz :

sudo diskutil secureErase freespace 0 "/Volumes/[Disk Name]"

Bu, tüm sabit sürücüyü dolduracak birkaç geçici dosya yazmaya ve silmeye çalışmalıdır. Bunu yaparken, mevcut her alan doldurulmalı ve daha sonra temizlenmelidir.

Tüm bu seçenekler hakkında iyi bilgi " Mac SSD'yi Güvenli Bir Şekilde Silme " bölümünde bulunabilir .

Ayrıca, hemen kullanılabilir veri olup olmadığını görmek için her zaman bazı veri kurtarma araçlarını çalıştırmayı deneyebilirsiniz.

TheMadDeveloper
kaynak
Terminal komut çözümünüz hala High Sierra ile ilgilidir. Yükleyiciden çalıştırıldığında, "sudo" gerekmez. - Tam da ihtiyacım olan şey!
ElmerCat
Man diskutil'den: "NOT: Bu tür güvenli silme artık güvenli kabul edilmez." Denedim ve HD'nin boş alanı büyüyordu, bu şüpheli.
gagarine
5

"Hemen hemen her makalede" gördüğüm sorun 3-4 yaşında olmaları. Bazıları, verileri temizlemenin bir yolu olarak sürücülerin manyetikliğini kaldırmayı denediğinden bile bahsediyor. Bu, Flash depolama alanının ilk başta nasıl çalıştığının anlaşılmaması anlamına gelir. Ciddi anlamda. Degaussing?

"ATA Secure Erase", sürücüye tüm blokları sıfırlamasını bildirmenin bir yoludur. Ayrıca, bir SSD'yi monte etmek ve TRIM etkinken tüm dosyaları silmek, tüm sayfaların veri içeren herhangi bir blokta sıfırlanmasına neden olur. Tabii ki, bu TRIM'in doğru bir şekilde uygulandığını varsayar. Genellikle, TRIM silme komutları SSD kontrolörü tarafından birkaç dakika içinde tamamlanır.

http://en.wikipedia.org/wiki/Write_amplification

http://en.wikipedia.org/wiki/Data_remanence#Data_on_solid-state_drives

Silinen SSD'lerden veri kurtarma işinin bahçe çeşitliliği olan bilgisayar korsanları tarafından mümkün olmadığını belirtmek gerekir. Teknik raporların genel olarak tarif ettiği teknikler, sürücülerin sökülmesini ve bireysel bellek bileşenlerinin incelenmesini içerir.

Tüketici sınıfı açısından, kurtarma bölümünüze önyükleme yapmak, birincil veri bölümünü silmek, birimi ve biçimi yeniden bölümlendirmek için fazlasıyla yeterli olmalıdır. Kullanılmış bir MacBook satın alıp veri arayan herkesin hayal edilmesi zor. Eğer varsa gerçekten mesafeyi gitmek istiyorum, sen önce bölümleri kaldırarak için FileVault sürüşünü şifreleyebilirsiniz. Bu noktada, bir kraker veri avlama dürtüsünü parçalasa bile, buldukları her şey yine de şifrelenirdi.

Ben sadece bunun muhtemel olduğunu düşünmüyorum. Eğer gerçekten bu şansı alamıyorsanız, yeni bir HDD satın alın ve SSD'yi tutmak için takas edin.

Ayrıca njboot ile de aynı fikirdeyim: Linc eşyalarını biliyor.

Trane Franck
kaynak
1
Maalesef, belirttiğim gibi, SSD'm dört yıldan biraz eski. Bu yüzden güncel olmayan makaleler benim için geçerli olabilir. Ve (ne yazık ki) Disk Yardımcı Programında Sil aracını zaten kullandım, bu yüzden dosyaları silmek ve TRIM'in çalışmasına izin vermek için çok geç.
Bill
ATA Secure Erase hakkında birçok makaleye rastladım, ancak Mac'te bir tane yapmak için basit bir yol yok gibi görünüyor.
Bill
Şifrelenmemiş bir sürücüyü zaten sildiyseniz - seçenekleriniz sınırlıdır, çünkü SSD'ye sürücüyü sıfırlamasını söylerseniz - bu sizi görmezden gelir. Bu yüzden sürücüyü filmlerle dolduruyorum - sonra onu şifreleyeceğim (dosya kasası) ve sonra sileceğim.
niico
1
@niico - Sürücüyü sıfırlamak için komut satırı disk yardımcı programını kullanabilmeniz gerektiğine inanıyorum, sürücüyü her şeyi doldurmak için bir dizi geçici dosya yazarak sudo diskutil secureErase freespace 0 "/Volumes/[Disk Name]"
yapmalısınız
2

Elbette doğru cevap, "SSD'ler için güvenli silme" yerine "SSD donanım şifreleme anahtarını değiştir" adı verilen bir özellik olması gerektiğidir.

Ardından, kullanıcının ayrı şifreleme kullanmadığı SSD salt okunur duruma geçtiğinde, anahtarı değiştirmek için komutu gönderebilirsiniz.

Performansa yönelik kullanım için, bitlocker'ın destek varsa sadece donanım seviyesi şifreleme kullanma seçeneğine sahip olması da tercih edilir. Yapılandırmaya bağlı olarak (ultrabook vs masaüstü) bazı mükemmel ve güç tasarrufu özellikleri olabilir. Örneğin. Surface gibi TDP kapağında çalışan ultrabook'unuz varsa, içinde VM'ler çalıştırın, iki kez şifreleme yapmaktan kaynaklanan pil israfı olabilir. Gerçek ölçümler olmadan önemli olup olmadığını söylemek zor ama masaüstünde bitlocker ssd perf biraz etkilediğini ölçtüm, bu yüzden biraz etkisi bekleniyor.

Ayrıca VM'leri ayrı ayrı şifrelediğimden, sistemin aslında 4 şifreleme katmanı vardır: ssd dahili, ana bilgisayar bitlocker, vm konuk bitlocker ve son olarak klasör şifreleme. Sanal makine harici USB SSD ile senkronize edilir, bu nedenle seyahat sırasında dizüstü bilgisayar veya çantanız alınırsa / kaybolursa, en azından bunlardan birine sahip olmanız olasıdır, böylece başka bir ssd veya dizüstü bilgisayar satın alabilir ve hiçbir şey olmamış gibi çalışmaya devam edebilirsiniz. Değişiklikler bulut yedeklemesine farklı şekilde yüklenir. Yalnızca bulut depolamayı kullanmamanın nedeni, bazı işlerin, örneğin oyun geliştirme veya stüdyo çalışması gibi düşük gecikme süresine sahip çok sayıda yerel varlık gerektirebilmesidir.

Anonim Korkak
kaynak
0

man diskutil

secureErase

"Güvenli" (ancak aşağıdaki NOT'a bakın) yöntemini kullanarak tüm diski (bölümlenmişse tüm bölümlerini içeren) veya yalnızca bağlı bir birimdeki boş alanı (dosyalar için kullanılmaz) silin . Güvenli silme, "dosya kurtarma" yazılımını kullanarak veri kurtarmayı zorlaştırır.

...

Bu tür güvenli silme artık güvenli kabul edilmemektedir. Modern cihazlar, bu komutlar tarafından tamamen silinemeyen aşınma dengeleme, blok yedekleme ve muhtemelen kalıcı önbellek donanımına sahiptir. Verilerinizi hızlı ve güvenli bir şekilde silmek için modern çözüm şifrelemedir. Güçlü şifrelenmiş veriler, anahtar (şifre) yok edilerek (veya kaybedilerek) anında “silinebilir”, çünkü bu, verilerinizi pratik açıdan geri alınamaz kılar. APFS şifrelemesini (FileVault) kullanmayı düşünün.

Kaynak:

pkamb
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.