Mögliche Fallstricke beim sicheren Löschen von SSD-Festplatten

12

Ich muss zwei SSD-Festplatten von einem meiner von Linux gehosteten Server außer Betrieb nehmen.

Um Daten sicher löschen in den Scheiben gespeichert Ich hatte geplant , zu verwenden: hdparm --security-erase.

Ich habe dieses Dokument gelesen und vorgeschlagen, keine anderen als die zum Löschen vorgesehenen Datenträger an den Host anzuschließen.

In diesem Artikel wird darauf hingewiesen, dass bei Kernel- oder Firmware-Fehlern das Laufwerk durch dieses Verfahren möglicherweise unbrauchbar wird oder der Computer abstürzt, auf dem es ausgeführt wird .

Dieser Server befindet sich derzeit in Produktion und verfügt über eine Software-RAID-Konfiguration für Produktionsfestplatten. Es gibt keinen RAID-Controller für die Festplatten, die ich entfernen muss.

Frage:

Ist dies ein ziemlich sicherer Vorgang in einer Produktionsumgebung, oder ist es besser, die Datenträger zu entfernen und diesen Vorgang auf einem anderen Host durchzuführen?

Edit: nur ein Link mit einem schön dokumentierten Ablauf

ssd secure-delete Matías
quelle
8
Verbrenne sie einfach ernsthaft, wenn Sicherheit das Wichtigste ist, zerstöre sie einfach mit Feuer, SSDs sind heutzutage vergleichsweise billig - das ist der einzige Weg, um sicherzugehen :)
Chopper3
2
Kurz davor, sie aus dem Orbit zu vertreiben.
Lilienthal
1
Hat jemand angerufen?
Leichtigkeit Rennen mit Monica

Antworten:

18

ATA Secure Erase ist Teil der ATA ANSI-Spezifikation und löscht bei korrekter Implementierung den gesamten Inhalt eines Laufwerks auf Hardwareebene anstatt über Software-Tools. Software-Tools überschreiben Daten auf Festplatten und SSDs, häufig in mehreren Durchgängen. Das Problem bei SSDs ist, dass solche Software-Überschreibtools nicht auf alle Speicherbereiche auf einer SSD zugreifen können und Datenblöcke in den Serviceregionen des Laufwerks zurückbleiben (Beispiele: Bad Blocks, reservierte Wear-Leveling-Blöcke usw.).

Wenn ein ATA Secure Erase (SE) -Befehl für den integrierten SSD-Controller ausgegeben wird , der ihn ordnungsgemäß unterstützt , setzt der SSD-Controller alle Speicherzellen als leer zurück (wobei gespeicherte Elektronen freigesetzt werden), wodurch die SSD auf die werkseitigen Standardeinstellungen und die Schreibleistung zurückgesetzt wird . Bei ordnungsgemäßer Implementierung verarbeitet SE alle Speicherregionen, einschließlich der geschützten Serviceregionen der Medien.

Großzügig kopiert von http://www.kingston.com/us/community/articledetail?ArticleId=10 [über archive.org] , Schwerpunkt Mine.

Das Problem ist, dass einigen zufolge sowohl die Unterstützung als auch die ordnungsgemäße Implementierung von ATA Secure Erase durch die Hersteller "fehlen".

Dieses Forschungspapier aus dem Jahr 2011 zeigt, dass bei der Hälfte der getesteten SSDs die sichere Löschung durch ATA die Daten auf dem Laufwerk nicht effektiv zerstört werden konnten.

Im selben Forschungsbericht haben Tests gezeigt, dass das Überschreiben von SSDs mit mehreren Durchläufen in der Regel überraschenderweise zum größten Teil erfolgreich war, obwohl immer noch einige Daten (möglicherweise aus den reservierten Bereichen einer SSD, die außerhalb der angegebenen Festplattengröße liegen) wiederhergestellt werden konnten .

Die kurze Antwort lautet also: Die Verwendung von Software zur Desinfektion einer gesamten SSD kann 100% effektiv sein oder auch nicht.
Für Ihre Anforderungen kann es dennoch ausreichend sein.

Zweitens, auf einem Server, auf dem die Produktion ausgeführt wird: Mein Eindruck ist, dass die meisten Handbücher das Booten von einer Rettungsdiskette zum Löschen von Datenträgern empfehlen, da die Verwendung von Software zum Löschen der Boot- / Betriebssystemdiskette kläglich fehlschlägt und die meisten Laptops und PCs nur eine einzelne Festplatte.
Natürlich gelten auch die allgemeinen Risiken, potenziell (oder eher absichtlich) destruktive Befehle auf Produktionssystemen auszuführen.

Durch das Verschlüsseln Ihrer Laufwerke wird die (teilweise) Wiederherstellung von Daten von entsorgten Festplatten (SSDs oder rotierenden Festplatten) viel unwahrscheinlicher. Solange das gesamte Laufwerk verschlüsselt war und Sie nicht über eine unverschlüsselte (Swap-) Partition verfügten, war dies selbstverständlich.

Ansonsten sind diese immer der Schredder .

HBruijn
quelle
8

Grundsätzlich ist es - aufgrund der Funktionsweise von SSDs - unmöglich, sicher zu wischen. Speziell für Enterprise-Laufwerke - die meisten sind größer als sie ursprünglich angezeigt wurden, da in ihnen Kapazitätsreserven zum Ausgleich des Verschleißes vorhanden sind.

Dieselbe Abnutzungskorrektur bedeutet, dass das Löschen des Stils "Überschreiben" nicht das tut, was Sie denken.

Auf einer ziemlich grundlegenden Ebene hängt es davon ab, welches Risiko Sie befürchten:

  • Wenn Sie nur die Hardware in Ihrem Nachlass "bereinigen" und neu bereitstellen möchten: Formatieren und fertig.
  • Wenn Sie sich Sorgen machen, dass ein böswilliger, gut ausgestatteter Gegner sensibles Material beschafft: Wischen Sie nicht, zerstören Sie es physisch *.

(*) Wobei mit "physisch zerstören" das Zerkleinern, Verbrennen und Prüfen gemeint ist. Widerstehen Sie der Versuchung zum Selbermachen - auf SSDs macht es sowieso nicht so viel Spaß.

Sobrique
quelle
1
-1, es gibt keinen Grund zu der Annahme, dass die ATA Secure Erase-Implementierung des Festplattenanbieters nicht alle Blöcke löscht .
Andrew Medico
7
+1 von mir da gibt es ja. Siehe z. B. cseweb.ucsd.edu/~m3wei/assets/pdf/FMS-2010-Secure-Erase.pdf : " Festplattenbasierte sichere Löschbefehle sind unzuverlässig " (von neun getesteten Controller-SSD-Kombinationen wurde eine abgelehnt) um den Löschvorgang durchzuführen, haben zwei den Löschvorgang nicht ordnungsgemäß ausgeführt, und einer hat ihn überhaupt nicht ausgeführt, hat jedoch gemeldet, dass dies der Fall war). Dieser Bericht ist ein paar Jahre alt, aber es bedeutet, dass wir positive Gründe brauchen, um dem modernen sicheren Löschen zu vertrauen, anstatt nur davon auszugehen, dass es jetzt funktioniert.
MadHatter
1
Ich bin paranoid. Ich habe zu viele Fälle gesehen, in denen "nicht wiederherstellbar" nicht so unwiederbringlich ist, wie ich annehmen würde. Allerdings würde ich auch darauf hinweisen - meistens spielt es einfach keine Rolle. Wenn Sie vage vertrauen, wohin es geht, und der Inhalt nicht erstaunlich sensibel ist, macht es keinen großen Unterschied. Und wenn es erstaunlich empfindlich ist, warum lässt du es dann überhaupt das Gebäude verlassen?
Sobrique
1
Ich sollte hinzufügen, dass es nicht unmöglich ist. Sie müssten jedoch der Implementierung des Herstellers vertrauen, da Sie dies nicht zuverlässig allein mit den Befehlen für den Schreibsektor tun können.
The-Wabbit
6

Ich würde auf keinen Fall empfehlen, Secure Erase-Vorgänge auf einem System zu starten, auf dem noch Laufwerke angeschlossen sind, die Sie interessieren. Alles, was Sie brauchen, ist ein kleiner Tippfehler, um die Daten eines noch in Gebrauch befindlichen Laufwerks zu zerstören, ohne auf eine Wiederherstellung hoffen zu können.

Wenn Sie Secure Erase verwenden möchten, sollten Sie dies auf jeden Fall in einem System tun, an das keine Laufwerke angeschlossen sind.

Andrew Medico
quelle