Müşterilerimizden biri SSD'ler için DOD-7 Geçiş Silme yöntemini istiyor.

Tabernus lan aracılığıyla bir SSD 256 GB (Samsung Marka) silmeyi denedik, ama çok zaman alıyor.

Lütfen SSD'yi Tabernus lan 7.3.1 sürümünden nasıl sileceğimi lütfen yönlendirin.

Kısa, özet:

Çoklu (7) geçiş üzerine yazma silme, SSD'de yapmasını beklediğiniz şeyi yapmaz. Gerekirse uygulayabilir ve müşteriye yaptığınızı söyleyebilirsiniz, ancak tüm verileri silmesini beklemeyin .

Arka fon:

Geleneksel bir sabit diskten verileri temizlemek için aşağıdaki çözümlere sahip oldunuz:

• Dizini silin (örn. Diskpart clean). Kurtarmak kolaydır.
• Tüm diskin üzerine yaz. Bu normal kullanıcılar için temizler. Çok hassas bir donanıma erişiminiz varsa, yalnızca hükümetlerin erişebildiği türden, o zaman bazı verileri kurtarabilirsiniz. Kalem yazılı notları silmek ve yeni metin yazmak olarak düşünün. Bir gölge kalır.
• En yetenekli saldırganları bile yenerek, değişik desenlerde diskin üzerine birkaç kez yazın.

SSD'ler farklı çalışır. Gruplandırılmış birkaç bloğa sahiptirler. Yazma sadece bir gruba olabilir. Bunu yalnızca bir sayfaya yazabileceğiniz bir kitap olarak düşünün. Bir cümle eklemek istiyorsanız, SSD'nin denetleyicisi tüm sayfayı okuyacak ve farklı bir yere yeni bir sayfa (fazladan cümle ile) yazacaktır. Daha sonra eski sayfayı boş olarak işaretler ve eski sayfaya yeni sayfayı atar.

Bu, işletim sisteminin gördüğü sektörler (sayfalar) ile disktekiler arasında doğrudan bir eşleştirme olmadığı anlamına gelir.

Tüm diski yeni bir dosyayla doldurabilirsiniz (yalnızca sıfır içeren bir dize) ve ayırma alanına dokunulmaz. Bu yüzden hala kurtarılabilir veriler var. Bunu 7 kez yapabilir ve yine de kurtarılabilir veriye sahip olabilirsiniz.

İyi haberler

İyi haber şu ki, SSD'ler genellikle disk şifrelemeyle birlikte gelir. Şifreleme anahtarını atın ve veri değersizdir.

Daha da iyi haber, bu veri şifrelemenin her zaman kullanılabileceği. Açıkça şifrelemeyi etkinleştirmediyseniz bile. Bu durumda, disk hala SSD'de bir yerde saklanan bir anahtarla şifrelenmiş veri yazar. Bu anahtarı atmasını ve yenisiyle değiştirmesini söyle, işin bitti. Hızlı ve güvenli.

Bunu yapmak için bir komut bile var ( ATA güvenli silme ).

Bu tek doğru teknik çözüm. 7 geçişte yazmakta ısrar etseler bile bunu yapın (ikincisini sadece onların taleplerini yerine getirebilmeniz için yapın ve bu taleplerin niyetine ilk siz)

Kötü yöntemin yavaşlığı

Tabernus lan ile hiç bir tecrübem yok. Ancak neredeyse her SSD 100 MB / sn'den uzun süren yazıları kabul edecektir. Bu hızda, çok yavaş bir SSD bile bir saat içinde bitmelidir. Orta hızlı bir SSD, bu sürenin beşte birinin altında bitmelidir.

Bu performansın hiçbir yerinde kalmazsanız, çözümünüzün sektörlere göre sektör yazmakta olduğundan şüpheleniyorum. Bu kötü. 32 kuyruk derinliği ile olabildiğince hızlı yıkaması gerekiyor. Bu olmadan yukarıdan sayfa analojisine ulaşıyorsunuz.

8 cümle ile dolu bir sayfa ile başlar.

• Cümleyi sil 1.

  • Tüm sayfayı oku.
  • İlk cümleyi sil
  • 7 cümle ile bütün bir sayfayı farklı bir bloğa / sayfaya yaz

• Cümleyi 2 sil.

  • Tüm sayfayı oku.
  • 2. cümleyi sil
  • Tüm bir sayfayı 6 cümle ile farklı bir bloğa / sayfaya yaz

• Cümleyi sil 3.

  • Tüm sayfayı oku.
  • 3. cümleyi sil
  • 5 cümle ile bütün bir sayfayı farklı bir bloğa / sayfaya yaz

• Cümleyi 4 sil.

  • Tüm sayfayı oku.
  • 4. cümleyi sil
  • 5 cümle ile bütün bir sayfayı farklı bir bloğa / sayfaya yaz

• Cümleyi 5 sil.

  • Tüm sayfayı oku.
  • 5. cümleyi sil
  • Bir sayfanın tamamını 3 cümle ile farklı bir bloğa / sayfaya yaz

• Cümleyi sil 6.

  • Tüm sayfayı oku.
  • 6. cümleyi sil
  • Sayfayı 2 cümle ile farklı bir bloğa / sayfaya yaz

• Cümleyi 7 sil.

  • Tüm sayfayı oku.
  • 7. cümleyi sil
  • 1 cümle ile bütün bir sayfayı farklı bir bloğa / sayfaya yaz

• Cümleyi sil 8.

  • Sayfayı silinmiş olarak işaretle (ancak daha fazla alana ihtiyaç duymadıkça onu silmeyin)

Bu metnin ne kadar sürdüğüne dikkat et. SSD hızıyla aynı şey.

Kullandığınız yazılım görünüşe göre düzgün çalışmıyor. Ekran görüntülerinden biri hız olarak 97 MB / sn gösteriyor. Bu hızda, 256 GB'lık bir sürücüdeki 7 geçişli tam disk üzerine yazma işlemi yaklaşık 5 saat sürecektir. Basit hesaplama

Bunun yerine Blancco 5'i denemek isteyebilirsiniz . Gördüğünüz gibi, Tabernus Erase LAN için olan bağlantı siteye yönlendirildi. Ayrıca, en son düşünebilir DBAN Blannco ücretsiz sürümü gibi görünüyor.

Dürüst olmak gerekirse, yukarıdaki yazılımın hiçbir parçasını hiç kullanmamıştım. Gerçekten basit bir rastgele üzerine yazmaktan daha iyi bir iş çıkardıklarından şüpheliyim.

Şahsen, ben GNU coreutils içinde shred kullanın:

shred -v -n 7 /dev/sdX

Ben gerçekten kullanmayacağım -n 7. En fazla varsayılan olarak bırakacağım: 3-geçiş ve belki de sonunda ekstra bir tek-geçişli sıfır-doldurma ( -z).

Veya openssl:

openssl enc -aes-256-ctr -in /dev/zero -out /dev/sdX -pass file:/dev/urandom -nosalt

Basit bir bash döngüsünü yazmanız için çoklu geçişler yapmanız yeterlidir. shredOlsa da ilerleme kaydetmiyor .

Bu arada, İnternet'teki bazı rastgele kaynaklara göre (sadece Google lütfen), ABD’nin DoD’nun veri temizliği konusundaki spesifikasyonları zaten mahkum ettiği görülüyor. Şimdi sadece fiziksel yıkımı tanıdığı görülüyor.

Endişenizin olası nedenlerinden biri, basit yazma işleminin, söz konusu aşırı tedarik (ürün yazılımında yapılır) ve / veya kötü sektör yeniden tahsisi için SSD'de yer alan tüm ayrılmış alanlara "erişemeyebilmesi" dir. . Maalesef, SSD'niz donanım şifrelemesini desteklemiyorsa , rastgele veri doldurmanın birden çok geçişi muhtemelen yapabileceğiniz en iyi şeydir.

Verilerin güvenli bir şekilde silinmesini istiyorsanız ATA DSM / TRIM'e güvenmeyin. TRIM, VEYA EVEN, SSD'nin "görünmesini" (yani hexdump) tamamen silmemesini sağlayabilir, ancak yine de üzerine yazmak gibi sahnenin arkasındaki verileri gerçekten tahrip etmez.

Biri de ATA Secure Erase ^1'e gerçekten güvenmemelidir . ACS standartları sadece (tek geçişli) desen doldurma gerçekleştirmesini gerektirir. Normal mod, desen olarak sıfır veya sıfır olmalıdır; gelişmiş mod, satıcıya özel bir desene sahip olmalıdır (ancak yine de desen dolgusu) ve "Yeniden Tahsis Edilen Kullanıcı Verileri" ni de silmelidir.

Ancak, özellik seti uzun süredir ATA SANITIZE CİHAZI tanıtılmamışsa, standart dışı şeyler ³ yapmak için satıcılar tarafından istismara uğramıştır. Dolayısıyla, ATA Secure Erase'ın davranışı, özellikle SSD'de TAMAMEN satıcıya özel olabilir.

Bir SSD'de, ATA Güvenli Silme, genellikle tam disk ATA TRIM'in (bir RZAT ² SSD'de) hemen hemen bir eşdeğeri olan ATA SANİTİZE CİHAZIN BLOCK ERASE ile aynı şekilde uygulanır .

Sabit kalıp dolgusu (SSD'ye sahip olmayan bazı "DOD silme" uygulamasına dahil edilebilecek), gerçekten yapmaya değmez çünkü SSD'deki "akıllı" denetleyiciler sıkıştırma yapabilir ve hatta tekrar tekrar yazılmayabilir.

Gerçekten yapılması isteniyorsa, nedense ATA SANITIZE CİHAZIN GENEL YAZIMINI kullanmanın en iyi yolu olduğunu düşünüyorum. (Yana umarım , satıcılar kontrolör "akıllı oynamak" olmaz emin olacaktır kullanıcı sorunu olduğunu sürücüye.)

Donanım şifrelemesi olan HDD / SSD'de , gelişmiş ATA Güvenli Silme modu , genellikle şifreleme anahtarının yenilenmesini tetikleyen ATA SANITIZE DEVICE'ın CRYPTO SCRAMBLE ile aynı şekilde uygulanır. Sürücüyü güvenli bir şekilde silmek istediğinizde kullanmanız en iyi "hızlı" yöntem olabilir, çünkü Opal olmayan donanım şifrelemesinin esas noktası budur. ATA şifresi).

FWIW, silinmeden önce her zaman ilk olarak ayarlanan ATA Security özelliğini (yani "kullanıcı şifresi") etkinleştirmelidir; bu, sürücüyü kötü uygulamalardan (peki veya PEBKAC) dolayı sık sık tuğladan kaldırır. Sürücü ATA SANITIZE DEVICE özelliğini destekliyorsa, gerçekten tercih edilmelidir. Ne yazık ki, ATA Security'nin hdparm'da desteklenmesinden farklı olarak , henüz ayarlanan en yeni özelliği destekleyen hiçbir yardımcı program yok gibi görünüyor. Birisi en iyi şekilde bunun için bir SCSI ATA PASS-THROUGH komutu oluşturabilir ve sg3_utilssg_raw içinde gönderebilir .

Not:

¹ ATA Secure Erase'nin standart komut adı, ATA Security özellik setinde zorunlu bir komut olan SECURITY ERASE UNIT'dir.

² Düzeltme işleminden sonra verileri sıfırlar; Kesin tanımı için ACS standartlarına bakınız.

³ Intel 530 SATA SSD'lerin Özellikleri ; bkz. "5.3 Güvenlik Modu Özellik Seti"; ATA Güvenliği özellik setinin "kötüye kullanılması" konusunda temel satıcılara örnek

Hakkında bu Arch Linux sayfasından SSD hafıza hücresi temizleme aşağıdaki ATA güvenli Silme sayfasına bunun için önerilir

1. Adım 1 - Sürücü güvenliğinin donmadığından emin olun
2. Adım 2 - Bir kullanıcı şifresi ayarlayarak güvenliği etkinleştirin
3. Adım 3 - ATA Güvenli Silme komutunu verin

Bazı detaylar daha fazla

• 1. adım için, sürücünün donmadığını kontrol edebilirsiniz.

  hdparm -I /dev/sdX
  

  Komut çıkışı "donmuş" gösteriyorsa bir sonraki adıma geçilemez. Bazı BIOS'lar, bir işletim sistemini başlatmadan önce sürücüyü "dondurmak" için bir "GÜVENLİK DONDUR" komutu vererek ATA Güvenli Sil komutunu engeller.

• Adım 2'de, Lenovo bilgisayarlara göre uyarının [ 1 ] bölümünü okuyun :

  hdparm --user-master u --security-set-pass PasSWorD /dev/sdX security_password="PasSWorD"
  

  ve bunun gibi bir şeyi cevaplamalıdır

  /dev/sdX:
  Issuing SECURITY_SET_PASS command, password="PasSWorD", user=user, mode=high
  

  sonra tekrar kontrol etmek için

  hdparm -I /dev/sdX
  

• 3. adım için:

  hdparm --user-master u --security-erase PasSWorD /dev/sdX
  

  --security-erase-enhanced Gelişmiş güvenlik silme parametresi var . ^{[ 1 ]} , "sırayla kısa bir süre (2 dakika gibi), cihazın kendisinin şifrelendiğini ve bios işlevinin, tüm veri hücrelerinin üzerine yazmak yerine dahili şifreleme anahtarını sileceği" olduğunu bildirmiştir , bu arada daha uzun bir süre şifreli olmayan bir cihaz.

  Şifreli cihazlarda --security-eraseve --security-erase-enhancedseçeneği için beklenen aynı zaman bildirilebilir . Bu durumda, aynı algoritmanın kullanılacağı varsayılmaktadır ^{[ 3 ]} . Normal HDD için geliştirilmiş parametrenin, diğer farkların yanı sıra, bir noktada bir G / Ç hatası tetiklediğinden ve yeniden kaydedildiğinden artık kullanılmayan sektörlerin üzerine yazması gerektiğini unutmayın. SSD için de aynı şekilde hareket edeceğini varsaymalıyız, çünkü bu blokların sayısı bir dakikadan daha büyük bir zaman farkında yansıtılacak kadar büyük olmamalıdır. Güvenlik SE'de bu cevapta daha fazlasını okuyun .

  SSD bellek hücresi temizleme sayfasının örneğinde , Intel X25-M 80GB SSD için ise 40 saniyelik bir süre rapor edildi.

  Komut tamamlanana kadar bekleyin. Bu örnek çıktı, bir Intel X25-M 80GB SSD için yaklaşık 40 saniye sürdüğünü gösteriyor.

Not: 3 adımdan sonra sürücü silinir ve sürücü güvenliği otomatik olarak devre dışı bırakılmalıdır (bu nedenle erişim için bir şifre gerektirmez).

Güncelleme

Gönderen ATA Silme sayfasını güvenceye :

Bu prosedür, bir hedef depolama aygıtına Secure Erase ATA komutu vermek için hdparm komutunun nasıl kullanılacağını açıklar. Bir SSD sürücüsüne karşı bir Güvenli Silme işlemi yapıldığında, tüm hücreleri boş olarak işaretlenir ve fabrika varsayılan yazma performansına geri döner.

YASAL UYARI: Bu, tüm verilerinizi silecek ve hatta veri kurtarma hizmetleri tarafından kurtarılamayacak.

Bir SSD, koyduğunuz veri girişini umursamadığından (sadece daha hızlı tükenmesi dışında) ve tam bir geçişten sonra veri sağlama mümkün değildir (önceden verilen alana veri koymazsanız), sadece tamamen 1 ile mevcut tüm verileri kaldıracak.

Karşılaştığınız sorun, aşınma seviyelendirme için kullanılan fazladan korunan alan, herhangi bir önbellek ve bir sistemi, işletim sistemini veya benzeri bir şeyi tanımlayan verileri tutabilecek olası NVRAM'lar gibi, kullanıcı tarafından erişilemeyen depoda olacaktır.

Bir SSD'yi güvenli bir şekilde silmek için, bunu açıkça desteklemesi gerekir ve bu şu anda hala denetleyici ve bellenim özgüdür. Manyetik ortam için tasarlanan güvenli silme yazılımının kullanılması, burada verilerin güvenli bir şekilde silinmesi nedeniyle temelde katı değildir ve manyetik depolama arasında bir ilişki yoktur. Manyetik depolama ile, önceki bit durumlarını teorik olarak geri kazanabilirsiniz, ancak flash bellekte, biraz tespit edebileceğiniz bir 'önceki' duruma sahip olamazsınız. Daha önce sahip olduğu değerlere bağlı olarak değişken kuvvete sahip olan manyetik kutbu 0 veya 1'dir.

PCB'yi sadece endüstriyel bir karıştırıcıya koyardım ve daha sonra flaş çipi toz haline gelir. Bundan veri almak yok. Kullanılmış SSD'lerin yeniden satılması da aslında bir şey değil, çünkü HDD’lerin sahip olduğu kadar bilinen bir yaşam / kullanım modeline sahip değiller. En iyi ihtimalle bir 'aşınma durumu' SMART verisine sahipler.

Bu, asla kurtarılmaması gereken gerçekten önemli bir veri ise, diski kullanmak artık güvenli değildir.

Diğerlerinin söylediği gibi, üzerine yazma SSD'lerde çalışmaz ve eğer üretici şifrelemeyi yanlış yaptıysa (para tasarrufu için köşeleri kesmek, yetersizlik vb.), O zaman anahtarı kaldırmak bile yardımcı olmaz.

Hemen etkili olan DSS, sınıflandırılmış işlem için kullanılan IS depolama cihazlarının (örn. Sabit sürücüler) sterilizasyonu veya azaltılması (örneğin düşük seviyeli sınıflandırılmış bilgi kontrollerine bırakma) üzerine yazma prosedürlerini artık onaylamayacaktır.

Gizli verilerle çalışıyorsanız (özellikle hükümeti içerenler), biraz daha güvenli bir şeye ihtiyacınız vardır. Kaynak makinesi tavsiye ederim:

Kaynak, CNET