staging.inyokaproject.org

Moin. Wären alle damit einverstanden, wenn ich diesen Artikel ein wenig überarbeite. Ich denke da speziell an die Hinweise.

1. Das Überschreiben mit Zufallszahlen ist Unsinn. Nullen genügen (siehe heise.de). 2. Im Fall von SSDs würde ich auf die sicheren Löschfunktionen von SSDs hinweisen (und den entspr. Artikel hier im Wiki)

So wie der Artikel jetzt dasteht ist er nach aktuellen Kenntnisstand bestenfalls fragwürdig und schlimmstenfalls gefährlich (für SSDs).

mniess schrieb:

So wie der Artikel jetzt dasteht ist er nach aktuellen Kenntnisstand bestenfalls fragwürdig und schlimmstenfalls gefährlich (für SSDs).

Ja, als der Artikel entstanden ist, gab es noch keine erschwinglichen SSDs. Falls Du da Wissen/Infos beisteuern kannst, gerne.

mniess schrieb:

1. Das Überschreiben mit Zufallszahlen ist Unsinn. Nullen genügen (siehe heise.de).

Nullen genügen - wenn das Speichermedium die Nullen auch tatsächlich schreibt. Und das ist bei intelligenten Speichermedien (SSD die z.B. komprimieren) nicht mehr gegeben.

2. Im Fall von SSDs würde ich auf die sicheren Löschfunktionen von SSDs hinweisen (und den entspr. Artikel hier im Wiki)

Hinweisen sicher, aber dann vertraust du darauf, daß die Hardware wirklich löscht. Nachprüfen kann man das nicht.

Zufallszahlen haben den Vorteil, daß das Speichermedium nicht drum herum kommt, sie tatsächlich zu schreiben. Du kannst ein Speichermedium mit Zufallsdaten überschreiben und danach verifizieren daß sich genau diese Daten auch tatsächlich darauf befinden (indem du z.B. verschlüsselt nullst und beim Entschlüsseln auch wieder Nullen rauskommen). Diese geschriebene Datenmenge ist dann auf dem Speichermedium dann auch tatsächlich überschrieben worden.

An eine etwaige Sektorreserve kommst du so nicht ran aber es ist trotzdem die sicherste Methode.

Es gibt auch keinen Grund, keine Zufallsdaten zu nehmen - shred o.ä. ist kein Stück langsamer als Nullen, und auf CPUs mit AES-NI geht auch Verschlüsselung ohne Geschwindigkeitsverlust...

Daten sicher löschen? Überschreibe das Ding einmal mit Zufallsdaten!

frostschutz schrieb:

Und das ist bei intelligenten Speichermedien (SSD die z.B. komprimieren) nicht mehr gegeben.

Woher kommt die Info?

Hinweisen sicher, aber dann vertraust du darauf, daß die Hardware wirklich löscht. Nachprüfen kann man das nicht.

Auf allen modernen SSDs werden die Daten verschlüsselt gespeichert. Der Schlüssel lieht im Controller. Löscht man diesen, sind die Daten nicht mehr zugreifbar. Das lässt sich durchaus nachprüfen. Dazu muss man die SSD allerdings zerlegen. An Unis wird das auch getan. Zuhause kann man es eher nicht nachprüfen. Was ein HDD controller in Wirklichkeit macht, kann man aber genauso schwer zu Hause nachvollziehen. Es gilt also: Entweder man vertraut darauf, dass der Controller tut was er soll, oder man setzt für kritische Daten keine SSDs ein.

Diese geschriebene Datenmenge ist dann auf dem Speichermedium dann auch tatsächlich überschrieben worden.

Aber nicht zwangsläufig an die gleichen Stellen wo die alten Daten lagen.

SSDs sollte man weder nullen, noch mit Zufallsdaten beschreiben wenn einem die Lebensdauer lieb ist. Die einzige Methode auf SSDs sicher Daten zu löschen ist den Schlüssel wegzuschmeissen (siehe SSD/Secure-Erase).

mniess schrieb:

Hinweisen sicher, aber dann vertraust du darauf, daß die Hardware wirklich löscht. Nachprüfen kann man das nicht.

Auf allen modernen SSDs werden die Daten verschlüsselt gespeichert. Der Schlüssel lieht im Controller. Löscht man diesen, sind die Daten nicht mehr zugreifbar.

Es sei denn, es existiert ein "Generalschlüssel" z.B. beim Hersteller oder den NSA, mit dem alle Daten entschlüsselt werden können. Insofern doch Vertrauen auf den Hersteller.

mniess schrieb:

Auf allen modernen SSDs werden die Daten verschlüsselt gespeichert.

Es gibt SSD die das unterstützen, aber nicht alle und die Funktion ist auch nicht unbedingt automatisch an.

Das lässt sich durchaus nachprüfen.

Nicht trivial...

SSDs sollte man weder nullen, noch mit Zufallsdaten beschreiben wenn einem die Lebensdauer lieb ist.

Wenn du für Lebensdauer löschen willst, machst du einfach ein blkdiscard (trim auf alles) und überschreibst gar nicht, weder mit Nullen noch mit Zufall. Mit Daten sicher löschen hat das dann aber nichts mehr zu tun.

Man könnte ja den Artikel in "Daten löschen" umbenennen und dann dort einfach die verschiedenen Strategien auflisten. Für den Heimgebrauch reicht ja TRIM völlig aus. Nur im Paranoiamodus kommt man dann halt um Zufallsdaten a la shred -n 1 oder dd if zero auf random-crypt nicht herum. Das ist die einzige sichere Methode die nicht von der Vertrauenswürdigkeit der Hardware abhängig ist. Wenn man die Speicherreserven auch erwischen will bleibt dann halt nur noch zusätzlich der Secure-Erase den die Hardware selbst anbietet und dann das beste hoffen.

Hallo,

Man könnte ja den Artikel in "Daten löschen" umbenennen und dann dort einfach die verschiedenen Strategien auflisten.

IMHO eine gute Idee.

BTW: die Diskussion "Zufallszahl vs. 0" kommt ja immer mal wieder, ohne echtes Ergebnis. Gibt ja auch für beides Gründe 😉

Gruß, noisefloor

Wenn du für Lebensdauer löschen willst,

Was ich meinte ist, dass man SSDs auf diese Weise ernsthaft kaputt macht und davor sollten wir warnen. Wenn man Angst vor Strafverfolgungsbehörden (oder der NSA) hat, sollte man betreffende Daten gar nicht erst auf SSDs speichern.

Was herkömmliche HDDs angeht ist es bisher noch niemandem gelungen Daten wiederherzustellen, die einmal genullt wurden. Ich wäre auch gespannt auf Studien/Versuche in denen es jemandem gelungen ist Daten von einer SSD wiederherzustellen, bei welcher der Schlüssel verworfen wurde (aka secure_delete). Solang es da keine nachvollziehzbaren Erkenntnisse gibt fallen anderweitige Behauptungen m.E. eher in den Bereich der Esoterik.

Allein dieser Block aus der Einleitung ist nicht nur unbelegter Unsinn sondern eine ziemlich sichere Methode eine SSD nachhaltig zu zerstören:

Ich würde für den Artikelaufbau folgendes vorschlagen:

Am Anfang einen aktuellen Stand, was sinnvoll oder nicht sinnvoll ist und warum (nach Speichermedium unterschieden). Danach die Vorstellung der Tools, wie sie jetzt auch im Artikel vorhanden ist.

mniess schrieb:

Was ich meinte ist, dass man SSDs auf diese Weise ernsthaft kaputt macht

Eine SSD geht vom einmaligen überschreiben nicht kaputt. Das ist FUD.

Klar, wenn man es jeden Tag macht ist es vielleicht was anderes, aber normalerweise ist sicher löschen doch eine einmalige Geschichte (z.B. bevor man das Speichermedium weiterverkauft).

Wenn man Angst vor Strafverfolgungsbehörden (oder der NSA) hat, sollte man betreffende Daten gar nicht erst auf SSDs speichern.

Das ist doch Unsinn. Natürlich werden Daten auf SSD gespeichert. Viele Systeme kommen heute ganz ohne HDD aus.

Was man machen sollte, ist direkt mit eigener Verschlüsselung arbeiten (Full Disk Encryption mit LUKS oder was immer). Dann ist das sichere Löschen auch nur noch halb so wild.

Was herkömmliche HDDs angeht ist es bisher noch niemandem gelungen Daten wiederherzustellen, die einmal genullt wurden.

Solange die Nullen tatsächlich geschrieben werden, ist daran auch nichts auszusetzen. Aber die Entwicklung geht derzeit nun mal stark in Richtung intelligente Speichermedien, und bei Deduplizierung, Komprimierung, et cetera wird eben nicht mehr alles überschrieben.

Bei Zufallsdaten dagegen hast du die Garantie daß sie geschrieben worden sein müssen. Wenn du wirklich sicher löschen willst, ist so eine Garantie viel wert.

Mit Pseudozufallsdaten a la shred oder mit verschlüsselten Daten (seit AES-NI) hast du gegenüber Nullen auch keinen Geschwindigkeitsnachteil mehr. Der Schreibvorgang dauert gleich lange. Es gibt keinen nachvollziehbaren Grund, fürs Überschreiben was anderes Zufallsdaten zu nehmen.

Solang es da keine nachvollziehzbaren Erkenntnisse gibt fallen anderweitige Behauptungen m.E. eher in den Bereich der Esoterik.

Esoterik ist im NSA-Zeitalter so eine Sache, nicht wahr?

Allein dieser Block aus der Einleitung ist nicht nur unbelegter Unsinn sondern eine ziemlich sichere Methode eine SSD nachhaltig zu zerstören:

Mehrfach überschreiben ist Unsinn. Einmal reicht. Was beim ersten Mal nicht überschrieben worden ist, das wird auch beim zweiten Durchgang nicht erwischt.

Daß man das gesamte Gerät (oder wenigstens den freien Speicher) überschreiben muss ist schon richtig. Einzelne Dateien lassen sich nicht sicher löschen, schon allein, weil das Dateisystem selbst nicht weiß, wo noch alte Kopien davon herumliegen könnten. Jedes Mal wenn du ein Dokument speicherst (oder das Officeprogramm das per Autosave für dich erledigt) hast du eine neue Kopie irgendwo.

SecureErase (wenn die Kiste das nicht eh durch freeze verhindert) und/oder TRIM ist schön und gut, vertraut eben darauf daß die Hardware die Daten schon nicht mehr rausrücken wird, das muss man dazu sagen.

frostschutz schrieb:

Eine SSD geht vom einmaligen überschreiben nicht kaputt. Das ist FUD.

Wenn du mir nicht glaubst probiere mal folgendes: 1. Kaufe eine neue SSD, 2. lege darauf ein Dateisystem an und mach Geschwindigkeitstests, 3. beschreibe das gesamte Medium per dd mit Zufallszahlen, wiederhole Punkt 2.

SecureErase (wenn die Kiste das nicht eh durch freeze verhindert) und/oder TRIM ist schön und gut, vertraut eben darauf daß die Hardware die Daten schon nicht mehr rausrücken wird, das muss man dazu sagen.

Wenn du darauf nicht vertraust, solltest du keine Hardware benutzen, die du nicht vollständig selbst gebaut hast. Du hast keine Kontrolle darüber, was in den Controlern passiert.

Zu den anderen Aussagen von dir würde ich gern mal irgendwelche Quellen sehen. Ich kann da leider nichts finden. Im Gegenteil ist es meines Wissen nach sogar so, dass ein einfaches TRIM (seit 14.04 per default aktiv) ausreichen sollte. NAND Bausteine bei SSDs werden nur beschrieben, wenn sie leer sind (d.h. alle bits stehen auf "1"). Schreibvorgänge bei SSDs bestehen ausschliesslich daraus bei unbeschriebenen NANDs bits von 1 auf 0 zu "drehen". Die andere Richtung ist nicht möglich. Daten auf SSDs werden nicht direkt überschrieben. Wenn TRIM ausgeführt wird, teilt das Betriebssystem der SSD mit, welches pages nicht mehr genutzt werden. Diese landen dann in der Warteschlange des Garbage Collectors vom Controller. Alle betreffenden NANDs werden gelöscht (bits werden auf 1 "gekippt") und als frei markiert. Von den betroffenen NANDs sind keine Daten mehr zu rekonstruieren.

Die Forensiker haben bei SSDs quasi aufgegeben und hoffen darauf, dass TRIM nicht aktiviert ist. Im Thomas Krenn Wiki ist man sogar der Meinung, dass man sich mit TRIM auch Secure_Erase sparen kann.

mniess schrieb:

Wenn du darauf nicht vertraust, solltest du keine Hardware benutzen, die du nicht vollständig selbst gebaut hast. Du hast keine Kontrolle darüber, was in den Controlern passiert.

Wenn ich Zufallsdaten schreibe habe ich die Kontrolle. Der Hardware bleibt nichts anderes übrig als diese zu schreiben, da sie diese Daten nicht wegoptimieren kann.

Wenn TRIM ausgeführt wird, teilt das Betriebssystem der SSD mit, welches pages nicht mehr genutzt werden.

...und was dann passiert, weiß nur die SSD selbst. Es ist schwierig da verläßliche Quellen zu finden.

Hier ist es z.B. recht schön beschrieben:

• http://www.micron.com/~/media/Documents/Products/Technical%20Marketing%20Brief/ssd_effect_data_placement_writes_tech_brief.pdf

• https://www.micron.com/-/media/Documents/Products/Technical%20Marketing%20Brief/ssd_multistep_write_tech_brief_lo.pdf

Nur wenn ich das lese, wird mir nicht klar, wann genau dieser Erase stattfindet. So genau steht das da nämlich nicht. Direkt beim TRIM? Irgendwann später? Im worst case doch wieder erst unmittelbar bevor etwas neues geschrieben wird?

Letztendlich ist es ja die Entscheidung des Controllers, wann es diesen Vorgang durchführt. TRIM kann somit auch erstmal nur eine logische Auszeichnung sein, bei der nicht direkt, nicht sofort gelöscht wird.

Ist das dann noch sicher löschen? Kann da irgendjemand die Hand für ins Feuer legen?

Dein eigener Link ( http://forensic.belkasoft.com/en/why-ssd-destroy-court-evidence ) schreibt ja auch:

A common misconception is that discarded blocks of an SSD drive are immediately erased. This is not usually the case. [...] the TRIM command does not erase the content of discarded blocks by itself. Instead, it adds them to a queue of pending blocks [...]

Der Erase passiert "irgendwann später". Wann genau, steht hier auch nicht dabei. Ich will die SSD aber löschen, direkt danach abstöpseln und dann ins Paket stecken und auf Ebay verticken. Und jetzt?

Bei Zufallsdaten weiß ich was los ist, ohne wissen zu müssen wie die Technik im Detail aussieht. Das funktioniert immer.

frostschutz schrieb:

Wenn ich Zufallsdaten schreibe habe ich die Kontrolle. Der Hardware bleibt nichts anderes übrig als diese zu schreiben, da sie diese Daten nicht wegoptimieren kann.

Das stimmt nicht für alle Daten, vielleicht bei einer billigen SSD. Eine teure hat in der Regel mehr Speicherkapazität als dem OS zur Verfügung gestellt wird. Somit bleiben noch um die zwanzig Prozent vom Speicher unbeschrieben, wenn das OS 100% schreibt. Daher ist es zweifelhaft, ob das OS wirklich alles einmal überschreiben kann.

Wenn du stattdessen Nullen schreibst hast du das gleiche Problem und bei Nullen im Gegensatz zu Zufallsdaten nicht die Garantie daß diese tatsächlich geschrieben werden. Und das ist ja das womit die Diskussion hier angefangen hat ("Nullen genügen").

Reserve / Spare Area / Overprovisioning ist eine andere Geschichte, da bist du in der Tat so oder so der Hardware ausgeliefert.

Nur wird diese Reserve schon allein aus Kostengründen bei Consumerhardware eher winzig ausfallen. Vom großzügigen Overprovisioning (256GB SSD als 240GB verkaufen) sind die Hersteller ja auch schon wieder abgekommen. Und selbst das waren keine 20%.

Der Erase passiert "irgendwann später". Wann genau, steht hier auch nicht dabei. Ich will die SSD aber löschen, direkt danach abstöpseln und dann ins Paket stecken und auf Ebay verticken. Und jetzt?

Zum dem "irgendwann später" bei TRIM: Das ist ja wohl klar. Ansonsten würde es ja wieder auf die Performance gehen (write amplification ist ja gerade, was man durch TRIM vermeiden will). Bei Ubuntu wird per default sogar das TRIM nur 1x/Woche (s. /etc/cron.weekly) ausgeführt. Der garbage collector arbeitet seine queue i.d.R. ab, sobald es nichts zu tun gibt. Wie es bei welchem Modell genau abläuft kann man in den Spezifikationen der Hersteller nachlesen.

Eine SSD, die du ein mal komplett mit Zufallsdaten beschrieben hast ist so kaputt, dass du sie auch nicht mehr auf eBay verkaufen solltest. Bitte gib mir eine Quelle wo steht, dass Secure Erase (für den Fall eines Weiterverkaufs) nicht funktioniert. Ansonsten plädiere ich dafür, dass wir im Artikel darauf hinweisen, dass man SSDs durch die von dir vorgeschlagene Methode in ihrer Haltbarkeit stark einschränkt.

mniess schrieb:

Eine SSD, die du ein mal komplett mit Zufallsdaten beschrieben hast ist so kaputt, dass du sie auch nicht mehr auf eBay verkaufen solltest.

Um sie kaputt zu machen, musst du eine Datenmenge in einer anderen Größenordnung ansetzen: http://www.golem.de/news/langzeittest-manche-ssds-ueberleben-1-petabyte-schreibvolumen-1406-107241.html

Zufallsdaten machen eine SSD nicht kaputt. Es spricht auch gar nichts dagegen, z.B. mit LUKS-Verschlüsselung zu arbeiten, da landen dann auch ausschließlich Zufallsdaten auf der SSD. Und wenn das Dateisystem mal voll wird, geht die Welt auch nicht unter. Na und? Dann macht man wieder was frei, TRIM und gut.

Bitte gib mir eine Quelle wo steht, dass Secure Erase (für den Fall eines Weiterverkaufs) nicht funktioniert.

Der Secure Erase funktioniert - wenn er tatsächlich löscht. Die Frage ist ob du darauf vertrauen willst/kannst. Wenn nicht, schreibst du halt selber.

Ansonsten plädiere ich dafür, dass wir im Artikel darauf hinweisen, dass man SSDs durch die von dir vorgeschlagene Methode in ihrer Haltbarkeit stark einschränkt.

Daß dabei auf die SSD geschrieben wird (und zwar genau die Menge die die SSD auch als Kapazität angibt), darauf kannst du gerne hinweisen, wenn das nicht offensichtlich genug ist. Das ist ja gerade der Sinn der Sache, das Speichermedium wird überschrieben.

Über die Haltbarkeit in Bezug auf Schreibzyklen gibt es zuviel Panikmache. Das führt dann dazu daß User Performanz verschenken weil sie aus Übervorsichtigkeit dann gar nicht für das genutzt wird, wo man eigentlich am meisten davon hätte. Am längsten hält die SSD wenn man sie sich einfach in die Vitrine stellt...

Edit: http://nvsl.ucsd.edu/index.php?path=projects/sanitize will mehrere SSD gefunden haben die nicht löschen.