Comment puis-je effacer un SSD en toute sécurité? [dupliquer]

40

Cette question a déjà une réponse ici:

Un de nos clients demande la méthode DOD-7 Pass Erase pour les disques SSD.

Nous avons essayé d’effacer un SSD de 256 Go (Samsung Make) via Tabernus LAN, mais cela prend trop de temps.

S'il vous plaît, guidez-moi comment effacer le disque SSD de la version 7.3.1 de Tabernus.

entrez la description de l'image ici

Baskar Kumar
la source
5
1 passe devrait normalement suffire si la NSA ne vous cherche pas. Mais les disques SSD n’ont-ils pas une forme de commande TRIM qui rend les données inaccessibles sans les supprimer (enregistrement des cycles d’écriture)?
Paul Stelian
5
Vous devriez regarder le logiciel "Magician" de Samsung (un disque amorçable qui vous permet d'exécuter la commande "secure erase"). Maintenant, si TRIM ou "Secure Erase" d'un SSD satisfait à la conformité DoD, c'est autre chose ... je ne saurais le dire.
Kinnectus
5
@PaulStelian - n'oubliez pas que c'est le SSD dont parle le PO - effacer un SSD est une chose complètement différente d'un disque dur mécanique traditionnel.
Kinnectus
16
le plus sûr (mais plus cher) est de le faire fondre au feu
Sarge Borsch
7
Le DoD n'utilise même plus cet ancien standard. Il est totalement inutile et destructeur s'il est effectué sur un disque SSD.
Michael Hampton

Réponses:

62

Bref:

Un effacement par écrasement multiple (7) ne fait pas ce que vous attendez sur un disque SSD. Si nécessaire, vous pouvez l'implémenter et dire au client que vous l'avez fait, mais ne vous attendez pas à ce qu'il efface toutes les données .

Contexte:

Pour nettoyer les données d'un disque dur classique, vous avez eu les solutions suivantes:

  • Effacez l'index (par exemple, diskpart clean). Facile à récupérer de.
  • Écraser le disque entier. Cela l’efface pour les utilisateurs normaux. Si vous avez accès à un matériel très sensible, auquel seuls les gouvernements ont accès, vous pourrez alors récupérer une partie des données. Pensez-y comme à effacer des notes écrites au crayon et à écrire un nouveau texte. Une ombre reste.
  • Écrasez le disque plusieurs fois avec des motifs variables, en combattant même les attaquants les plus capables.

Les SSD fonctionnent différemment. Ils ont un certain nombre de blocs qui sont regroupés. Les écritures ne peuvent arriver qu'à un groupe. Pensez-y comme à un livre où vous ne pouvez écrire que sur une page. Si vous souhaitez ajouter une phrase, le contrôleur du SSD lira la page entière et écrira une nouvelle page (avec la phrase supplémentaire) dans un emplacement différent. Il marquera alors l'ancienne page comme vide et affectera l'ancien numéro de page à la nouvelle page.

Cela signifie qu'il n'y a pas de correspondance directe entre ce que voit le système d'exploitation sont des secteurs (pages) et ce qui est sur le disque.

Vous pourriez remplir le disque entier avec un nouveau fichier (par exemple, un fichier ne contenant que des zéros) et l'espace en réserve ne serait pas touché. Il reste donc des données récupérables. Vous pouvez le faire 7 fois et conserver les mêmes données récupérables.

Bonnes nouvelles

La bonne nouvelle est que les disques SSD sont souvent livrés avec un cryptage sur disque. Jetez la clé de cryptage et les données ne valent rien.

Encore mieux, ce cryptage de données peut toujours être utilisé. Même lorsque vous n'avez pas explicitement activé le cryptage. Dans ce cas, le disque écrit toujours les données cryptées avec une clé stockée quelque part sur le SSD. Dites-lui de jeter cette clé et de la remplacer par une nouvelle et vous avez terminé. C'est rapide et sécurisé.

Il existe même une commande pour le faire ( effacement sécurisé ATA ).

C'est la seule solution technique correcte . Faites-le même s'ils insistent pour passer 7 écrasements (faire le dernier seulement pour se conformer à leurs exigences et le premier à l'intention de ces exigences).

La lenteur de la mauvaise méthode

Je n'ai aucune expérience avec Tabernus LAN. Mais presque tous les SSD accepteront plus de 100 Mo / s d'écriture soutenue. Avec cette vitesse, même un disque SSD très lent devrait se terminer en une heure. Un disque SSD moyennement rapide devrait terminer sous un cinquième de ce temps.

Si vous n'atteignez pas cette performance, je suppose que votre solution consiste à écrire secteur par secteur. C'est mauvais. Il devrait vider les secteurs aussi vite que possible avec une profondeur de file d'attente de 32. Sans cela, vous obtenez l'analogie de la page vue du dessus.

Commençant par une page complète avec 8 phrases écrites.

  • Effacer la phrase 1.

    • Lire la page entière.
    • Supprimer la première phrase
    • Ecrivez une page entière avec 7 phrases dans un bloc / page différent
  • Essuyez la phrase 2.

    • Lire la page entière.
    • Supprimer la 2ème phrase
    • Ecrivez une page entière avec 6 phrases dans un bloc / page différent
  • Essuyez la phrase 3.

    • Lire la page entière.
    • Supprimer la 3ème phrase
    • Écrire une page entière avec 5 phrases dans un bloc / page différent
  • Effacer la phrase 4.

    • Lire la page entière.
    • Supprimer la 4ème phrase
    • Écrire une page entière avec 5 phrases dans un bloc / page différent
  • Effacer la phrase 5.

    • Lire la page entière.
    • Supprimer la 5ème phrase
    • Ecrivez une page entière avec 3 phrases dans un bloc / page différent
  • Effacer la phrase 6.

    • Lire la page entière.
    • Supprimer la 6ème phrase
    • Ecrivez une page entière avec 2 phrases dans un bloc / page différent
  • Effacer la phrase 7.

    • Lire la page entière.
    • Supprimer la 7ème phrase
    • Écrire une page entière avec 1 phrase dans un bloc / page différent
  • Effacer la phrase 8.

    • Marquez la page comme supprimée (mais ne l'effacez pas avant d'avoir besoin de plus d'espace)

Remarquez combien de temps ce texte a été? Même chose avec la vitesse SSD.

Hennes
la source
Les commentaires ne sont pas pour une discussion prolongée; cette conversation a été déplacée pour discuter .
Sathyajith Bhat
1
" Il existe même une commande pour ce faire (effacement sécurisé ATA). C’est la seule solution technique correcte. " Notez que ATA SE ne parvient pas à effacer de manière sécurisée certains disques SSD: usenix.org/events/fast11/tech/full_papers/Wei.pdf
Miles Wolbe
9

Le logiciel que vous avez utilisé ne semble apparemment pas fonctionner correctement. Une de vos captures d'écran indique 97 Mo / s en vitesse. Avec cette vitesse, le remplacement complet du disque en 7 passes sur un lecteur de 256 Go devrait prendre environ 5 heures. Calcul simple.

Vous voudrez peut-être essayer Blancco 5 à la place. Comme vous pouvez le constater, le lien qui était pour Tabernus Erase LAN est redirigé vers son site. Vous pouvez également considérer le dernier DBAN , qui semble être la version gratuite de Blannco.

Pour être honnête, je n'ai jamais utilisé aucun des logiciels ci-dessus. Je doute qu'ils fassent vraiment un meilleur travail qu'un simple écrasement aléatoire.

Personnellement, j'utilise shred dans GNU coreutils:

shred -v -n 7 /dev/sdX

Je ne vais pas vraiment utiliser -n 7cependant. Tout au plus je laisserai à la valeur par défaut: 3 passes, et peut-être avec un zéro supplémentaire remplir à la fin à la fin ( -z).

Ou bien, openssl:

openssl enc -aes-256-ctr -in /dev/zero -out /dev/sdX -pass file:/dev/urandom -nosalt

vous pouvez écrire une simple boucle bash pour lui faire faire plusieurs passes. Il ne rapporte pas les progrès comme shredsi.

En passant, selon certaines sources aléatoires sur Internet (comme Google, par exemple), il semble que le US DoD ait déjà rendu obsolète les spécifications relatives à la désinfection des données. Maintenant, il semble ne reconnaître que la destruction physique.

Une des raisons possibles, qui vous inquiètent, est qu'un simple écrasement peut ne pas "atteindre" tout l'espace réservé en arrière-plan sur un disque SSD pour un "surapprovisionnement" (effectué dans le firmware) et / ou une réallocation de secteurs défectueux. . Malheureusement, plusieurs passes de remplissage aléatoire de données sont probablement la meilleure chose à faire, si votre disque SSD ne prend pas en charge le cryptage matériel.


Ne comptez pas sur ATA DSM / TRIM si vous souhaitez que les données soient effacées de manière sécurisée. TRIM peut OU MÊME NE PEUT PAS donner au disque SSD une "apparence" (c’est-à-dire un vidage hexadécimal) complètement effacé, mais il ne détruit pas les données en arrière-plan comme un écrasement de toute façon.

Il ne faut PAS vraiment faire confiance à ATA Secure Erase 1 non plus. Les normes ACS exigent simplement qu’il effectue un remplissage de modèle (en une passe). Le mode normal doit avoir des zéros ou des uns comme motif, tandis que le mode amélioré doit avoir un motif spécifique au vendeur (mais il remplit tout de même les motifs) et effacer également les "données d'utilisateur réallouées".

Cependant, les fournisseurs ont longtemps abusé de l'ensemble de fonctionnalités pour effectuer des opérations non standard 3 , alors que le périphérique ATA SANITIZE DEVICE n'avait pas encore été introduit. Ainsi, le comportement de ATA Secure Erase peut être TOTALEMENT spécifique au fournisseur, en particulier sur SSD.

Sur un SSD, ATA Secure Erase est souvent mis en œuvre de la même manière que BLOCK ERASE de ATA SANITIZE DEVICE, ce qui correspond à peu près à l'équivalence d'un disque ATA TRIM complet (sur un disque SSD RZAT 2 ).

Le remplissage de modèle fixe (qui pourrait être incorporé dans certaines implémentations de "DOD erase" qui ne concerne pas le SSD) n'est pas vraiment utile car les contrôleurs "intelligents" du SSD peuvent effectuer une compression et même ignorer un tel écrasement répété.

Si cela est vraiment souhaité, pour une raison quelconque, je suppose que le meilleur moyen d’utiliser OVERWRITE of ATA SANITIZE DEVICE est. (Dans la mesure où, espérons-le , les fournisseurs veilleront à ce que le contrôleur ne "joue pas intelligemment" lorsque l'utilisateur le transmettra au lecteur.)


Sur le disque dur / SSD doté d’un chiffrement dit matériel, le mode amélioré de ATA Secure Erase est souvent mis en œuvre de la même manière que CRYPTO SCRAMBLE de ATA SANITIZE DEVICE, ce qui déclenche une régénération de la clé de chiffrement. C’est peut-être la meilleure méthode "rapide" à utiliser si vous voulez nettoyer en toute sécurité le disque, car c’est là l’intérêt du cryptage matériel non-Opal (alors que les gens pensaient généralement à tort que son objectif principal était de travailler avec. Mot de passe ATA).

FWIW, il faut toujours activer le jeu de fonctions de sécurité ATA d’abord (c’est-à-dire le "mot de passe de l’utilisateur") avant de l’effacer, ce qui bloque souvent le lecteur en raison d’une mauvaise implémentation (ou PEBKAC). Si le lecteur prend en charge le périphérique ATA SANITIZE DEVICE, vous devez le préférer. Malheureusement, contrairement à la sécurité ATA prise en charge par hdparm , il semble qu’il n’existe encore aucun utilitaire prenant en charge le jeu de fonctionnalités le plus récent. Au mieux, vous pouvez créer manuellement une commande SCSI ATA PASS-THROUGH et l’envoyer sg_rawdans sg3_utils .


Remarque:

1 Le nom de commande standard de ATA Secure Erase est SECURITY ERASE UNIT, qui est une commande obligatoire dans le jeu de fonctions de sécurité ATA.

2 renvoie les données de zéros après l'ajustement; voir les normes ACS pour sa définition exacte

3 Spécifications des SSD Intel 530 SATA ; voir "5.3 Ensemble de fonctions du mode de sécurité"; un exemple de fournisseur majeur "abusant" du jeu de fonctionnalités de sécurité ATA

Tom Yan
la source
... ou vous pouvez configurer un mappage simple dm-crypt et utiliser ddrescue pour écraser à partir de / dev / zero dans le mappage, pour une progression et une qualité cryptographique indiscernables de façon aléatoire.
un CVn
1
Étant donné que les disques SSD implémentent de nombreux mouvements de blocs sous le capot pour améliorer les performances et peuvent être surapprovisionnés (plus d'espace que prévu pour pouvoir effectuer les manipulations ci-dessus), l'écriture de données sur un disque SSD ne peut en aucun cas supprimer réellement toutes les données. La réinitialisation du fournisseur est le seul moyen de vider les cellules (et de les effacer, sans possibilité de les récupérer). Ceci est différent des disques durs, où il peut y avoir des résidus magnétiques qui pourraient être lus par un attaquant (bien qu'avec la densité de données sur les disques modernes, une seule écriture suffit aujourd'hui).
Alan Shutko
1
@AlanShutko uniquement si le lecteur dispose d'un cryptage matériel. Sinon, SANITIZE BLOCK ERASE / ATA Secure Erase ne fonctionnerait que comme TRIM (ou du moins, pourrait; jusqu'à présent, tous les disques SSD que j'ai vus les ont mis en oeuvre de cette façon). L'utilisation des commandes ATA pour effacer "en toute sécurité" votre disque est équivalente à "faire confiance à vos fournisseurs".
Tom Yan
1
Il ne semble pas que cela shred garantisse que les données sont effacées sur SSD et pour chaque type de système de fichiers. De son homme CAUTION: Note that shred relies on a very important assumption: that the file system overwrites data in place. Pouvez-vous s'il vous plaît ajouter les références sur le fonctionnement de shred (quelle commande envoie) quand fonctionne sur une partition complète?
Hastur
1
@Hastur parle de shredfichiers sur un système de fichiers, pas lorsque vous utilisez shredune partition / un disque.
Tom Yan
5

À partir de cette page archlinux sur la suppression des cellules de mémoire SSD après la page d'effacement sécurisé ATA, il est suggéré de:

  1. Étape 1 - Assurez-vous que la sécurité du lecteur n'est pas gelée
  2. Étape 2 - Activer la sécurité en définissant un mot de passe utilisateur
  3. Étape 3 - Émettez la commande ATA Secure Erase

Quelques détails plus

  • Pour l’étape 1, vous pouvez vérifier que le lecteur n’est pas gelé avec

    hdparm -I /dev/sdX
    

    Si le résultat de la commande indique "gelé", il est impossible de passer à l'étape suivante. Certains BIOS bloquent la commande ATA Secure Erase en émettant une commande "SECURITY FREEZE" pour "geler" le lecteur avant de démarrer un système d'exploitation.

  • Pour l'étape 2, lisez [ 1 ] l'avertissement relatif aux ordinateurs Lenovo:

    hdparm --user-master u --security-set-pass PasSWorD /dev/sdX security_password="PasSWorD"
    

    et il devrait répondre à quelque chose comme

    /dev/sdX:
    Issuing SECURITY_SET_PASS command, password="PasSWorD", user=user, mode=high
    

    puis vérifier à nouveau

    hdparm -I /dev/sdX
    
  • Pour l'étape 3:

    hdparm --user-master u --security-erase PasSWorD /dev/sdX
    

    Il existe le paramètre --security-erase-enhanced pour l'effacement de sécurité amélioré. Il est rapporté [ 1 ] que "Un court délai (environ 2 minutes) indique à son tour que le périphérique est auto-cryptable et que sa fonction de bios efface la clé de cryptage interne au lieu d’écraser toutes les cellules de données" , ce qui indique un délai plus long. un périphérique non crypté.

    Sur les appareils chiffrés, le même temps attendu peut être signalé pour les options --security-eraseet --security-erase-enhanced. Dans ce cas, on suppose qu'il utilisera le même algorithme [ 3 ] . Notez que pour le disque dur normal, le paramètre amélioré , parmi les autres différences, devrait écraser même les secteurs qui ne sont plus utilisés, car ils ont déclenché une erreur d’entrée / sortie à un moment donné et ont été remappés. Nous devrions supposer qu'il agira de la même manière pour le SSD, même parce que le nombre de blocs ne devrait pas être assez grand pour être reflété dans un décalage horaire supérieur à une minute. Lisez-en plus dans cette réponse sur Security SE .

    Dans l'exemple de la page d' effacement de la cellule de mémoire SSD, le temps de stockage relatif au SSD Intel X25-M 80GB est toutefois de 40 secondes.

    Attendez que la commande se termine. Cet exemple de sortie montre qu'il a fallu environ 40 secondes pour un SSD Intel X25-M 80GB.

Remarque: après les 3 étapes, le lecteur est effacé et la sécurité du lecteur doit automatiquement être désactivée (aucun mot de passe n'est donc requis pour l'accès).


Mise à jour

Sur la page d'effacement sécurisé ATA :

Cette procédure explique comment utiliser la commande hdparm pour émettre une instruction Secure Erase ATA sur un périphérique de stockage cible. Lorsqu'un effacement sécurisé est émis sur un lecteur SSD, toutes ses cellules sont marquées comme vides, ce qui rétablit les performances d'écriture par défaut.

AVERTISSEMENT: Cela effacera toutes vos données et ne sera pas récupérable, même par les services de récupération de données.

Hastur
la source
On occasion, users may wish to completely reset an SSD's cells to the same virgin state they were manufactured, thus restoring it to its factory default write performance.C’est tout ce que cela fait, et "état vierge" ne signifie PAS que les données sont effacées de manière sécurisée.
Tom Yan
avez-vous manqué --security-erase?
Hastur
Je suppose que tu veux dire --security-erase-enhanced. Vous savez quoi, j'ai le disque d'exemple exact (le foutu bon classique X25-M gen1 / 50nm 80GB). Il ne prend pas en charge le cryptage matériel ou TRIM. Il (semble) prendre en charge le mode normal et le mode amélioré d’effacement de la sécurité. Les deux ont le même temps estimé nécessaire (2min). Maintenant, devinez, font-ils quelque chose de différent? : P
Tom Yan
1
@TomYan Vous pouvez lire la réponse d'un modérateur de défaut du serveur qui fait référence aux mêmes spécifications ATA sur lesquelles est basée la réponse ci-dessus. DISCLAIMER: This will erase all your data, and will not be recoverable by even data recovery services.
Hastur
1
@ MichaelHampton C'est une phrase rapportée de la même page d'archlinux. Je suis d'accord sur les 2 secondes pour les touches, même si deux minutes, il me semble un temps trop court pour effacer tous les blocs, même s'il s'agit d'une commande interne (vitesse d'écriture maximale 70 Mo / s * 120 s ~ 8.4G = 1 / 10 de 80 Go). En outre, dans une réponse sur le site de sécurité SE, ils ont déclaré: _ "2 minutes ne suffisent pas pour écraser le disque entier; si ce disque implémente un" effacement sécurisé ", il doit utiliser le mécanisme de cryptage" _. Si vous en avez un référence à ce sujet s'il vous plaît ajouter, il sera utile.
Hastur
1

Dans la mesure où un disque SSD ne se soucie pas du nombre de passes de données que vous y avez insérées (sauf qu'il s'use rapidement), la récupération de données n'est plus possible après une passe complète (à moins que vous n'ayez inséré des données dans un espace alloué), il suffit d'écrire complètement avec 1 supprimera toutes les données existantes.

Le problème que vous rencontrez se situe principalement dans le stockage non accessible à l'utilisateur, tel que tout espace surchargé utilisé pour le nivellement d'usure, les caches et la mémoire NVRAM pouvant contenir des données identifiant un système, un système d'exploitation ou quelque chose du genre.

Pour effacer un disque SSD en toute sécurité, il doit explicitement le prendre en charge, ce qui est encore spécifique à l’automate et au microprogramme. L'utilisation d'un logiciel d'effacement sécurisé conçu pour les supports magnétiques est inutile, car la manière dont les données sont effacées en toute sécurité n'a fondamentalement aucune relation entre le stockage à l'état solide et le stockage magnétique. Avec le stockage magnétique, vous pouvez théoriquement récupérer les états de bits précédents, mais avec la mémoire flash, un bit ne peut pas vraiment avoir un état «précédent» que vous pouvez détecter. Il contient soit un 0, soit un 1 et non un pôle magnétique avec une intensité variable en fonction des valeurs qu'il détenait auparavant.

Je venais de mettre le circuit imprimé dans un mélangeur industriel, puis de transformer le flash en puce en poudre. Ne pas obtenir de données à ce sujet. La revente de disques SSD usagés n’est pas non plus une chose, car ils n’ont pas encore la même durée de vie / le même modèle d’utilisation que les disques durs. Au mieux, ils ont des données SMART «d'usure».

John Keates
la source
1

S'il s'agit de données vraiment importantes qui ne doivent jamais être récupérées, l'utilisation du disque n'est plus sûre.

Comme d'autres l'ont déjà dit, la réécriture ne fonctionne pas sur les disques SSD et si le fabricant utilise un cryptage incorrect (couper les coins pour économiser de l'argent, incompétence, etc.), même supprimer la clé ne résoudra pas les problèmes.

À compter de maintenant, DSS n'approuvera plus les procédures de remplacement pour la désinfection ou le déclassement (par exemple, le passage à des contrôles d'informations classifiées de niveau inférieur) des périphériques de stockage IS (par exemple, les disques durs) utilisés pour le traitement classifié.

Si vous travaillez avec des données confidentielles (en particulier celles impliquant le gouvernement), vous avez besoin de quelque chose d'un peu plus sécurisé. Je recommanderais un chalumeau:

Source, CNET

Tim
la source