Brève :

Un effacement par écrasement à plusieurs (7) passages ne fait pas ce que vous attendez de lui sur un SSD. Si nécessaire, vous pouvez l'implémenter et dire au client que vous l'avez fait, mais ne vous attendez pas à ce qu'il efface toutes les données. .

Le contexte :

Pour nettoyer les données d'un disque dur conventionnel, vous aviez les solutions suivantes :

• Essuyez l'index (par exemple, la partie de disque propre). Facile à récupérer.
• Écraser le disque entier. Cela l'efface pour les utilisateurs normaux. Si vous avez accès à un matériel très sensible, du type de ceux auxquels seuls les gouvernements ont accès, vous pourrez peut-être récupérer certaines des données. Pensez-y comme si vous effaciez des notes écrites au crayon et que vous écriviez un nouveau texte. Une ombre subsiste.
• Écraser le disque plusieurs fois avec des motifs différents, ce qui permet de vaincre même les attaquants les plus compétents.

Les SSD fonctionnent différemment. Ils possèdent un certain nombre de blocs qui sont regroupés. Les écritures ne peuvent se faire que sur un groupe. Pensez-y comme à un livre où vous ne pouvez écrire que sur une page. Si vous voulez ajouter une phrase, le contrôleur du SSD lira la page entière et écrira une nouvelle page (avec la phrase supplémentaire) à un autre endroit. Il marquera ensuite l'ancienne page comme vide et attribuera l'ancien numéro de page à la nouvelle page.

Cela signifie qu'il n'y a pas de correspondance directe entre ce que le système d'exploitation considère comme des secteurs (pages) et ce qui se trouve sur le disque.

Vous pourriez remplir tout le disque avec un nouveau fichier (disons un fichier contenant uniquement des zéros) et l'espace de réserve ne serait pas touché. Il reste donc des données récupérables. Vous pourriez faire cela 7 fois et toujours avoir les mêmes données récupérables.

Bonne nouvelle

La bonne nouvelle, c'est que les disques durs SSD sont souvent livrés avec le cryptage du disque. Jetez la clé de cryptage et les données sont sans valeur.

La meilleure nouvelle encore est que ce cryptage des données peut toujours être utilisé. Même si vous n'avez pas explicitement activé le cryptage. Dans ce cas, le disque écrit toujours des données cryptées avec une clé stockée quelque part sur le SSD. Dites-lui de jeter cette clé et de la remplacer par une nouvelle et le tour est joué. C'est rapide et sûr.

Il existe même une commande pour faire cela ( Effacement sécurisé ATA ).

C'est le seul moyen correct technique solution. Faites-le même s'ils insistent sur les écrasements de 7 passes (en ne faisant le second que pour vous conformer à leurs exigences, et le premier pour l'intention de ces exigences).

Lenteur de la mauvaise méthode

Je n'ai aucune expérience avec Tabernus lan. Mais presque tous les disques SSD acceptent des écritures soutenues de plus de 100 Mo/sec. Avec cette vitesse, même un SSD très lent devrait terminer en une heure. Un SSD moyennement rapide devrait terminer en moins d'un cinquième de ce temps.

Si vous êtes loin d'obtenir ces performances, je soupçonne que votre solution consiste à effectuer une écriture secteur par secteur. C'est mauvais. Elle devrait vider les secteurs aussi vite que possible avec une profondeur de file d'attente de 32. Sans cela, on en arrive à l'analogie de la page ci-dessus.

En commençant par une page entière avec 8 phrases écrites.

• Essuyez la phrase 1.

  • Lire la page entière.
  • Supprimer la première phrase
  • Écrivez une page entière avec 7 phrases dans un bloc/une page différente.

• Essuyez la phrase 2.

  • Lire la page entière.
  • Supprimer la 2ème phrase
  • Écrire une page entière avec 6 phrases à un bloc/une page différent(e)

• Essuyez la phrase 3.

  • Lire la page entière.
  • Supprimer la 3ème phrase
  • Écrivez une page entière avec 5 phrases dans un bloc/une page différent(e).

• Essuyez la phrase 4.

  • Lire la page entière.
  • Supprimer la 4ème phrase
  • Écrivez une page entière avec 5 phrases dans un bloc/une page différent(e).

• Essuyez la phrase 5.

  • Lire la page entière.
  • Supprimer la 5e phrase
  • Écrire une page entière avec 3 phrases à un bloc/une page différent(e)

• Essuyez la phrase 6.

  • Lire la page entière.
  • Supprimer la 6ème phrase
  • Écrire une page entière avec 2 phrases à un bloc/une page différent(e)

• Essuyez la phrase 7.

  • Lire la page entière.
  • Supprimer la 7ème phrase
  • Écrire une page entière avec une phrase à un bloc/une page différent(e)

• Essuyez la phrase 8.

  • Marquez la page comme supprimée (mais ne l'effacez pas tant que vous n'avez pas besoin de plus d'espace).

Vous avez remarqué la longueur de ce texte ? Même chose avec la vitesse du SSD.

Le logiciel que vous avez utilisé ne fonctionne apparemment PAS correctement. Une de vos captures d'écran indique 97MB/s comme vitesse. Avec cette vitesse, 7-pass d'écrasement de disque complet sur un disque de 256 Go devrait prendre environ 5 heures. Calcul simple.

Vous pouvez essayer Blancco 5 à la place. Comme vous pouvez le voir, le lien qui était pour Tabernus Erase LAN est redirigé vers son site. Vous pouvez également considérer le dernier DBAN qui semble être la version gratuite de Blannco.

Pour être honnête, je n'ai jamais utilisé aucun des logiciels ci-dessus. Je doute qu'ils fassent vraiment un meilleur travail qu'un simple écrasement aléatoire.

Personnellement, j'utilise shred dans GNU coreutils :

shred -v -n 7 /dev/sdX

Je ne vais pas vraiment utiliser -n 7 mais Tout au plus, je laisserai le système par défaut : 3 passes, et peut-être un remplissage à zéro supplémentaire en une seule passe à la fin ( -z ).

Ou, openssl :

openssl enc -aes-256-ctr -in /dev/zero -out /dev/sdX -pass file:/dev/urandom -nosalt

que vous pouvez écrire une simple boucle bash pour lui faire faire des passes multiples. Il ne rapporte pas la progression comme shred cependant.

D'ailleurs, d'après des sources aléatoires sur Internet (Google, s'il vous plaît), il semble que le ministère américain de la défense ait déjà rendu obsolètes les spécifications relatives à la désinfection des données. Maintenant, il semble qu'il ne reconnaisse que la destruction physique.

L'une des raisons possibles, qui vous préoccupe, est que le simple écrasement peut ne pas "atteindre" tout l'espace réservé en arrière-plan sur un SSD pour ce qu'on appelle le surapprovisionnement (effectué dans le firmware) et/ou la réaffectation des secteurs défectueux. Malheureusement, plusieurs passages de au hasard Le remplissage des données est probablement la meilleure chose à faire, si votre SSD ne prend pas en charge le cryptage matériel.

Ne comptez PAS sur ATA DSM/TRIM si vous avez besoin que les données soient effacées de manière sécurisée. TRIM peut OU NE PEUT PAS faire en sorte que le SSD "semble" (i.e. hexdump) complètement nettoyé, mais il ne détruit pas réellement les données derrière la scène comme l'écrasement de toute façon.

Il ne faut PAS vraiment faire confiance à l'effacement sécurisé ATA. 1 soit. Normes de l'AEC l'oblige simplement à effectuer un remplissage de motifs (en une seule passe). Le mode normal doit avoir des zéros ou des uns comme motif, tandis que le mode amélioré doit avoir un motif spécifique au fournisseur (mais il s'agit toujours de remplissage de motif) et effacer également les "données utilisateur réaffectées".

Cependant, les vendeurs ont longtemps abusé de cet ensemble de fonctionnalités pour faire des choses non standard. 3 alors que ATA SANITIZE DEVICE n'avait pas encore été introduit. Le comportement de l'effacement sécurisé ATA peut donc être TOTALEMENT spécifique au fournisseur, en particulier sur les SSD.

Sur un SSD, l'effacement sécurisé ATA est souvent implémenté comme la même chose que l'effacement de blocs de ATA SANITIZE DEVICE, qui est à peu près l'équivalent de ATA TRIM sur disque complet (sur un RZAT). 2 SSD).

Le remplissage de motifs fixes (qui pourrait être incorporé dans une implémentation de l'"effacement DOD" qui n'a pas les SSD à l'esprit) ne vaut pas vraiment la peine d'être fait car les contrôleurs "intelligents" des SSD peuvent faire de la compression et même ignorer ces écrasements répétés.

Si l'on veut vraiment le faire, pour une raison quelconque, je suppose que l'écrasement de l'ATA SANITIZE DEVICE est le meilleur moyen à utiliser. (Depuis, Avec un peu de chance, les vendeurs s'assureront que le contrôleur ne "joue pas au plus malin" lorsque l'utilisateur envoie ce message au lecteur).

Sur les disques durs/SSD qui ont un cryptage matériel, le mode amélioré de ATA Secure Erase est souvent mis en œuvre comme la même chose que CRYPTO SCRAMBLE de ATA SANITIZE DEVICE, qui déclenche une régénération de la clé de chiffrement et ainsi de suite. C'est peut-être la meilleure méthode "rapide" à utiliser si vous voulez effacer le disque de manière soi-disant sécurisée, puisque c'est à peu près le point entier de ces cryptages matériels non-Opal (alors que les gens ont généralement pensé à tort que son point principal est de travailler avec le mot de passe ATA).

FWIW, il faut toujours activer le jeu de fonctions de sécurité ATA d'abord (c.-à-d. "mot de passe utilisateur") avant d'effacer, ce qui bloque souvent le lecteur en raison d'une mauvaise implémentation (bien, ou PEBKAC). Si le lecteur supporte ATA SANITIZE DEVICE, il devrait vraiment être préféré. Malheureusement, contrairement à la prise en charge de la sécurité ATA dans hdparm Il semble qu'il n'existe pas encore d'utilitaire prenant en charge les fonctionnalités les plus récentes. On peut au mieux former manuellement un SCSI ATA PASS-THROUGH pour cela et l'envoyer avec sg_raw sur sg3_utils .

Nota:

1 Le nom de la commande standard de l'effacement sécurisé ATA est SECURITY ERASE UNIT, qui est une commande obligatoire dans le jeu de fonctions de sécurité ATA.

2 Retourne des données nulles après le découpage ; voir les normes ACS pour sa définition exacte.

3 Spécification des SSD Intel 530 SATA voir "5.3 Security Mode Feature Set" ; un exemple de fournisseur majeur "abusant" du jeu de fonctions de sécurité de l'ATA.

De cette page archlinux sur _Nettoyage des cellules de mémoire SSD_ à la suite de la Page d'effacement sécurisé ATA il est suggéré de

1. Étape 1 - Vérifiez que la sécurité du lecteur n'est pas gelée.
2. Étape 2 - Activez la sécurité en définissant un mot de passe utilisateur
3. Étape 3 - Émettez la commande d'effacement sécurisé ATA

Quelques détails en plus

• Pour l'étape 1, vous pouvez vérifier que le lecteur n'est pas gelé avec

  hdparm -I /dev/sdX

  Si la sortie de la commande indique "gelé", on ne peut pas passer à l'étape suivante. Certains BIOS bloquent la commande ATA Secure Erase en émettant une commande "SECURITY FREEZE" pour "geler" le disque avant de démarrer un système d'exploitation.

• Pour l'étape 2, lisez [ 1 ] pour l'avertissement relatif aux ordinateurs Lenovo :

  hdparm --user-master u --security-set-pass PasSWorD /dev/sdX security_password="PasSWorD"

  et il devrait répondre quelque chose comme

  /dev/sdX:
  Issuing SECURITY_SET_PASS command, password="PasSWorD", user=user, mode=high

  puis de vérifier à nouveau

  hdparm -I /dev/sdX

• Pour l'étape 3 :

  hdparm --user-master u --security-erase PasSWorD /dev/sdX

  Il existe le paramètre --security-erase-enhanced pour l'effacement à sécurité renforcée. Il est rapporté [ 1 ] que "Un temps court (comme 2 minutes) indique à son tour que l'appareil est auto-crypteur et que sa fonction bios effacera la clé de cryptage interne au lieu d'écraser toutes les cellules de données". En revanche, un temps demandé plus long devrait indiquer un dispositif non crypté.

  Sur les appareils cryptés, la même durée attendue peut être signalée pour la --security-erase y --security-erase-enhanced option. Dans ce cas, il est supposé qu'il sera utilisé le même algorithme [ 3 ] . Notez que pour le disque dur normal, le amélioré parmi les autres différences, devrait écraser même les secteurs qui ne sont plus utilisés parce qu'ils ont déclenché une erreur d'E/S à un moment donné et ont été remappés. Nous devons supposer qu'il agira de la même manière pour le SSD aussi, même parce que le nombre de ces blocs ne devrait pas être assez grand pour être reflété dans une différence de temps plus grande qu'une minute. Plus d'informations ici réponse sur Security SE .

  Dans le cas de l'exemple de l _Nettoyage des cellules de mémoire SSD_ pour le SSD Intel X25-M 80GB, il est cependant signalé un temps de 40 secondes.

  Attendez que la commande soit terminée. Cet exemple de sortie montre que cela a pris environ 40 secondes pour un SSD Intel X25-M de 80 Go.

Remarque : après ces trois étapes, le disque est effacé et la sécurité du disque est automatiquement désactivée (il n'est donc pas nécessaire d'entrer un mot de passe pour y accéder).

アップデート

Desde el Page d'effacement sécurisé ATA :

Cette procédure explique comment utiliser la commande hdparm pour envoyer une instruction ATA d'effacement sécurisé à un périphérique de stockage cible. Lorsqu'une instruction Secure Erase est émise à l'encontre d'un disque SSD, toutes ses cellules sont marquées comme vides, ce qui rétablit les performances d'écriture par défaut.

AVIS DE NON-RESPONSABILITÉ : Cette opération effacera toutes vos données et ne sera pas récupérable, même par les services de récupération de données.

Puisqu'un SSD ne se soucie pas du nombre de passages de données que vous y mettez (sauf qu'il s'use plus vite), et que la récupération des données n'est pas possible après un passage complet (sauf si vous mettez des données dans un espace surdimensionné), le fait d'écrire complètement avec des 1 supprimera toutes les données existantes.

Le problème auquel vous êtes confronté se situe principalement au niveau du stockage non accessible à l'utilisateur, tel que l'espace surprovisé utilisé pour le nivellement de l'usure, les caches et les éventuelles NVRAM qui peuvent contenir des données identifiant un système, un OS ou quelque chose de ce genre.

Pour effacer en toute sécurité un SSD, il faut qu'il le prenne explicitement en charge, ce qui est actuellement encore spécifique au contrôleur et au micrologiciel. L'utilisation d'un logiciel d'effacement sécurisé conçu pour les supports magnétiques est inutile dans ce cas, car la manière dont les données sont effacées en toute sécurité n'a fondamentalement aucun rapport entre le stockage à l'état solide et le stockage magnétique. Avec le stockage magnétique, vous pouvez théoriquement récupérer les états précédents des bits, mais avec la mémoire flash, un bit ne peut pas vraiment avoir un état "précédent" que vous pourriez détecter. Il contient soit un 0, soit un 1, et non un pôle magnétique dont la force varie en fonction des valeurs qu'il a précédemment détenues.

Je mettrais juste le PCB dans un mixeur industriel, et ensuite je réduirais la puce en poudre. On ne peut pas récupérer de données avec ça. La revente de disques SSD d'occasion n'est pas vraiment possible non plus, car leur durée de vie et leur mode d'utilisation ne sont pas encore aussi connus que ceux des disques durs. Au mieux, ils ont des données SMART de type "état d'usure".

S'il s'agit de données vraiment importantes qui ne doivent jamais être récupérées, il n'est plus prudent d'utiliser le disque.

Comme d'autres l'ont dit, l'écrasement ne fonctionne pas sur les SSD, et si le fabricant s'est trompé dans le cryptage (économies, incompétence, etc.), même la suppression de la clé ne sera d'aucune utilité.

À compter d'aujourd'hui, le DSS n'approuvera plus les procédures d'écrasement pour l'assainissement ou le déclassement (par exemple, la remise à des contrôles d'informations classifiées de niveau inférieur) des dispositifs de stockage IS (par exemple, les disques durs) utilisés pour le traitement des informations classifiées.

Si vous travaillez avec des données confidentielles (notamment celles qui concernent le gouvernement), vous avez besoin de quelque chose d'un peu plus sécurisé. Je vous recommande un chalumeau :

Source : CNET