web-dev-qa-db-fra.com

Quelle est la différence entre ATA Secure Erase et Security Erase? Comment puis-je m'assurer qu'ils fonctionnent?

Je voudrais effacer une pile de disques (rotation et SSD) en toute sécurité. Je connais la commande ATA Secure Erase (SE) via hdparm, mais je ne sais pas si je devrais utiliser la commande Security Erase (SE +) à la place.

Il y a certaines preuves que ces commandes ne fonctionnent pas sur tous les lecteurs. Comment puis-je m'assurer que le disque est vraiment effacé, y compris les zones de réserve, les secteurs réaffectés, etc.?

Je prévois d'utiliser un CD live Linux (sur USB). Ubuntu fournit un CD live réalisable avec lequel je peux installer hdparm, mais y a-t-il une distribution de CD live plus petite avec des versions logicielles mises à jour que je devrais utiliser à la place?

Donc, en résumé:

Quels sont les avantages et les inconvénients de SE par rapport à SE +?

Comment puis-je m'assurer que le disque a été vraiment et complètement essuyé?

Quelle distribution Linux dois-je utiliser?

privacydeletion
32
Sophit

Comme cité dans cette page :

L'effacement sécurisé écrase toutes les zones de données utilisateur avec des zéros binaires. L'effacement sécurisé amélioré écrit des modèles de données prédéterminés (définis par le fabricant) dans toutes les zones de données utilisateur, y compris les secteurs qui ne sont plus utilisés en raison d'une réaffectation.

Cette phrase n'a de sens que pour les disques en rotation et sans chiffrement. Sur un tel disque, à tout moment, il y a une vue logique du disque comme une énorme séquence de secteurs numérotés; l '"effacement sécurisé" consiste à écraser tous ces secteurs (et seulement ces secteurs) une fois, avec des zéros. L '"effacement sécurisé amélioré" tente plus fort:

  • Il écrase les données plusieurs fois avec des modèles de bits distincts, pour être sûr que les données sont complètement détruites (si cela est vraiment nécessaire est sujet à débat, mais il y a beaucoup de Tradition à l'œuvre ici).

  • Il écrase également les secteurs qui ne sont plus utilisés car ils ont déclenché une erreur d'E/S à un moment donné et ont été remappés (c'est-à-dire que l'un des secteurs de rechange est utilisé par le micrologiciel du disque lorsque l'ordinateur le lit ou l'écrit).

C'est l'intention . Du point de vue de la spécification ATA, il y a deux commandes, et il n'y a aucun moyen réel de savoir comment l'effacement est implémenté, ou même s'il est est effectivement mis en œuvre. Les disques dans la nature sont connus pour prendre parfois certaines libertés avec la spécification (par exemple avec la mise en cache des données).

Une autre méthode d'effacement sécurisé, qui est beaucoup plus efficace, est cryptage:

  • Lorsqu'il est alimenté pour la première fois, le disque génère une clé symétrique aléatoire [~ # ~] k [~ # ~] et le conserve dans un espace de stockage résistant au redémarrage (par exemple, une EEPROM).
  • Chaque donnée lue ou écrite sera cryptée symétriquement, en utilisant [~ # ~] k [~ # ~] comme clé.
  • Pour implémenter un "effacement sécurisé", le disque doit juste oublier [~ # ~] k [~ # ~] en en générant un nouveau et en écrasant le précédent.

Cette stratégie est applicable à la fois aux disques en rotation et aux SSD. En fait, lorsqu'un SSD implémente un "effacement sécurisé", il DOIT utiliser le mécanisme de chiffrement, car le "remplacement par des zéros" a beaucoup moins de sens, compte tenu du comportement des cellules Flash et des couches de code de remappage/correction d'erreurs utilisées dans les SSD. .

Lorsqu'un disque utilise le chiffrement, il ne fera aucune distinction entre "effacement sécurisé" et "effacement sécurisé amélioré"; il peut implémenter les deux commandes (au niveau du protocole ATA), mais elles donneront les mêmes résultats. Notez que, de même, si un disque en rotation prétend également implémenter les deux modes, il peut très bien mapper les deux commandes sur la même action (si tout va bien, celle "améliorée").

Comme décrit dans cette page , la commande hdparm -I /dev/sdX Signalera quelque chose comme ceci:

Security: 
       Master password revision code = 65534
               supported
               enabled
       not     locked
       not     frozen
       not     expired: security count
               supported: enhanced erase
       Security level high
       2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

2 minutes ne sont pas suffisantes pour écraser le disque entier, donc si ce disque implémente un "effacement sécurisé" réel, ce doit être avec le mécanisme de cryptage. D'un autre côté, si hdparm signale ceci:

       168min for SECURITY ERASE UNIT. 168min for ENHANCED SECURITY ERASE UNIT.

alors nous pouvons conclure que:

  • Ce disque effectue un écrasement complet des données (c'est la seule raison pour laquelle cela prendrait près de trois heures).
  • L'effacement sécurisé et l'effacement sécurisé amélioré pour ce disque sont probablement identiques.

En fonction de la taille du disque et des performances normales pour les E/S en masse (peut être mesurée avec hdparm -tT /dev/sdX, On peut même déduire combien de fois les données sont prétendument écrasées. Par exemple, si le disque ci-dessus a une taille de 1 téraoctet et offre une bande passante d'écriture de 100 Mo/s, puis 168 minutes suffisent pour un seul écrasement, et non les trois passes ou plus que "l'effacement sécurisé amélioré" est censé entraîner.

(Il n'y a pas de différence entre les distributions Linux dans ce domaine; elles utilisent toutes le même utilitaire hdparm.)

Il faut noter que l'effacement sécurisé basé sur le cryptage n'efface vraiment les données que dans la mesure de la qualité du cryptage et de la génération de clés. Le chiffrement de disque n'est pas une tâche facile, car il doit être sécurisé et néanmoins prendre en charge l'accès aléatoire. Si le micrologiciel implémente simplement ECB , alors des blocs identiques de texte brut fuiront, comme cela est généralement illustré par l'image du pingouin. De plus, la génération de clé peut être bâclée; il est possible que le sous-jacent PRNG soit assez faible, et la clé se prêterait à une recherche exhaustive.

Ces "détails" sont très importants pour la sécurité, et vous ne pouvez pas les tester. Par conséquent, si vous voulez être sûr de l'effacement des données, il n'y a que deux façons:

  1. Le fabricant du disque vous donne suffisamment de détails sur ce que le disque implémente et garantit l'essuyage (de préférence contractuellement).

  2. Vous recourez à une bonne vieille destruction physique. Sortez les broyeurs lourds, le four chaud et le chaudron d'acide!

33
Thomas Pornin

Quand j'ai regardé cela, j'ai eu l'impression que l'effacement sécurisé ATA et d'autres fonctionnalités n'étaient pas encore bien implémentés par tous les fabricants en termes de suppression/désinfection des données. Effacement de sécurité ATA sur SSDhttp://arstechnica.com/security/2011/03/ask-ars-how-can-i-safely-erase-the-data-from- my-ssd-drive /

Ma compréhension (limitée) est que l'effacement sécurisé des SSD n'est pas encore complètement standardisé, même pour la fonction d'effacement sécurisé de hdparm. Les données ne sont pas nécessairement effacées, bien que la réponse de Polynomial à la question précédente indique que les seules données restantes seraient cryptées. Le mieux serait de contacter le vendeur et de voir ce qu'il dit.

En ce qui concerne les disques durs traditionnels, DBAN devrait suffire, bien qu'il ne garantisse pas que toutes les données sont vraiment effacées. (voir http://www.dban.org/about )

4
BenCundiff