SSDディスクの安全な削除に関連する潜在的な落とし穴

12

Linuxホストサーバーの1つから2つのSSDディスクを使用停止する必要があります。

ディスクに保存されたデータを安全に削除するために、私は使用することを計画していましたhdparm --security-erase

私はこのドキュメントを読みましたが、削除を意図したもの以外に、ホストに接続されているディスクがないことを提案しました。

また、この記事では、カーネルまたはファームウェアのバグがある場合、この手順によりドライブが使用できなくなるか、実行中のコンピューターがクラッシュする可能性があることを指摘しています

このサーバーは現在運用中であり、運用ディスク用のソフトウェアRAID構成を備えています。削除する必要があるディスク用のRAIDコントローラーはありません。

質問:

これは実稼働環境で実行するのにかなり安全な操作ですか、それとも別のホストでディスクを取り外してこの手順を実行する方がよいでしょうか?

編集:文書化された素敵な手順のリンク

ssd  secure-delete 
マティアス
ソース
8
真剣に燃やしてください。セキュリティが最も重要な場合、火でそれらを破壊するだけ
です。SSDは最近
2
軌道からそれらを弱めることの不足。
リリエンタール14年
1
誰かが電話しましたか?
モニカと軽さのレース

回答:

18

ATA Secure EraseはATA ANSI仕様の一部であり、正しく実装されるソフトウェアツールではなくハードウェアレベルでドライブの内容全体を消去します。ソフトウェアツールは、多くの場合複数のパスを介して、ハードドライブとSSDのデータを上書きします。SSDの問題は、そのようなソフトウェア上書きツールがSSDのすべてのストレージ領域にアクセスできず、ドライブのサービス領域にデータのブロックが残ることです(例:不良ブロック、予約済みウェアレベリングブロックなど)

ATA Secure Erase(SE)コマンドが適切にサポートされているSSDの内蔵コントローラーに対して発行されると、SSDコントローラーはすべてのストレージセルを空にリセットします(保存された電子を解放します)-SSDを工場出荷時のデフォルト設定と書き込みパフォーマンスに復元します。適切に実装されると、SEはメディアの保護されたサービス領域を含むすべてのストレージ領域を処理します。

http://www.kingston.com/us/community/articledetail?ArticleId=10 [archive.org経由]、強調鉱山から自由にコピー

問題は、製造業者によるATA Secure Eraseのサポートと適切な実装の両方が「欠けている」ということです。

2011年のこの研究論文は、テストされたSSDの半分で、ATAの安全な消去がドライブ上のデータを効果的に破壊できなかったことを示しています。

その同じ研究論文のテストでは、驚くべきことに、SSDの従来のマルチパス上書きは実際にはほとんど成功しましたが、まだいくつかのデータ(おそらくディスクのサイズを報告したSSDの予約領域から)が回復できることが示されました。

つまり、SSD全体をサニタイズするためにソフトウェアを使用することは、100%効果がある場合とそうでない場合があります。
ただし、それでも要件には十分な場合があります。

第二に、実稼働を実行しているサーバーでそれを行う:私の印象では、ほとんどのマニュアルはレスキューディスクからブートしてディスクをワイプすることを推奨しています。単純な理由は、ブート/ OSディスクをワイプするソフトウェアを使用すると悲惨に失敗し、ほとんどのラップトップとPCにはシングルディスク。
もちろん、本番システムで潜在的な(または意図的な)破壊的なコマンドを実行するという普遍的なリスクも当てはまります。

ドライブを暗号化すると、破棄されたディスク(SSDまたは回転する種類)からのデータの(部分的な)復元がはるかに少なくなります。ドライブ全体が暗号化されていて、もちろん暗号化されていない(スワップ)パーティションがなければ。

そうでなければ、これらは常にシュレッダーです。

HBruijn
ソース
8

基本的に-SSDの動作方法により-「安全に消去」することは不可能です。特にエンタープライズドライブの場合、ウェアレベリングの目的で「予備」の容量があるため、それらのほとんどは最初に表示されるサイズよりも大きくなっています。

同じウェアレベリングは、「上書き」スタイルの消去も、あなたが思っていることをしないことを意味します。

かなり基本的なレベルで、それはあなたが心配しているリスクが何であるかに依存します:

  • 不動産内でハードウェアを「クリーンアップ」して再デプロイする場合:フォーマットして完了します。
  • 悪意のある、リソースが豊富な相手が機密資料を入手するのを心配している場合:ワイプに煩わされず、物理的に破壊してください*。

(*)「物理的に破壊する」とは、細断、焼却、監査を意味します。DIYの誘惑に抵抗してください。とにかく、SSDではそれほど楽しくありません。

ソブリケ
ソース
1
-1、ディスクベンダーのATA Secure Erase実装が実際にすべてのブロックを消去しないと予想する理由はありません。
アンドリューメディコ14年
7
はい、あるからです。たとえば、cseweb.ucsd.edu / 〜m3wei / assets / pdf / FMS - 2010 -Secure- Erase.pdfを参照してください。「ディスクベースの安全な消去コマンドは信頼できません」(9つのコントローラーとSSDの組み合わせのうち、1つは拒否消去を実行するために、2つは適切に消去を実行しませんでした。1つはまったく実行しませんでしたが、実行したと報告しました。このレポートは数年前のものですが、現在動作していると仮定するだけでなく、最新のセキュア消去を信頼する肯定的な理由が必要であることを意味します。
MadHatter 14年
1
私は妄想です。「回復不能」が想定したほど回復不能ではない場合が多すぎます。しかし、私も指摘します-ほとんどの場合、それは単に重要ではありません。どこに行くのか漠然と信頼しており、コンテンツが驚くほど繊細でなければ、それほど違いはありません。そして、それが驚くほど敏感な場合、なぜそもそも建物から離れさせているのですか?
ソブリク14年
1
不可能ではないことを付け加えておきます。ただし、書き込みセクタコマンドのみを使用して信頼性の高い方法を実行することはできないため、製造元の実装を信頼する必要があります。
the-wabbit 14年
6

私は確かに持っているシステム上でセキュア消去動作を起動することをお勧めしません任意のあなたはまだ接続を気にドライブを。必要なのは、まだ使用中のドライブのデータを、回復の望みを超えて破壊するための小さなタイプミスです。

Secure Eraseを使用する場合、接続しようとしているドライブがないシステムで確実に実行してください。

アンドリュー・メディコ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.