È necessario eseguire una cancellazione ATA sicura su un'unità non SSD?

9

Quando si esegue il comando hdparm -I /dev/sda viene generato il seguente output.

ATA device, with non-removable media
        Model Number:       WDC WD10JPVX-75JC3T0                    
        Serial Number:      WX51A9324970
        Firmware Revision:  01.01A01
        Transport:          Serial, SATA 1.0a, SATA II Extensions, SATA Rev 2.5, SATA Rev 2.6, SATA Rev 3.0
Standards:
        Supported: 9 8 7 6 5 
        Likely used: 9
Configuration:
        Logical         max     current
        cylinders       16383   16383
        heads           16      16
        sectors/track   63      63
        --
        CHS current addressable sectors:    16514064
        LBA    user addressable sectors:   268435455
        LBA48  user addressable sectors:  1953525168
        Logical  Sector size:                   512 bytes
        Physical Sector size:                  4096 bytes
        Logical Sector-0 offset:                  0 bytes
        device size with M = 1024*1024:      953869 MBytes
        device size with M = 1000*1000:     1000204 MBytes (1000 GB)
        cache/buffer size  = 8192 KBytes
        **Nominal Media Rotation Rate: 5400**

Di interesse è la descrizione e il valore Nominal Media Rotation Rate: 5400 . Questo indica che il disco rigido è meccanico e non lampeggia.

C'è un supporto per la cancellazione sicura di ATA come suggerito dall'output anche se non avrei previsto una cancellazione sicura che durasse fino a 198 minuti.

Security: 
        Master password revision code = 65534
                supported
        not     enabled
        not     locked
        not     frozen
        not     expired: security count
                supported: enhanced erase
        198min for SECURITY ERASE UNIT. 198min for ENHANCED SECURITY ERASE UNIT.

Dato che il dispositivo non è un'unità a stato solido, dovrebbe comunque essere eseguita una cancellazione ATA sicura?

Se no, perché? Se sì, perché?

Sarebbe il shred --verbose --random-source=/dev/urandom -n1 /dev/sda a supportare lo stesso risultato o un risultato simile, cioè i dati irrecuperabili compresi i settori difettosi o deallocati?

    
posta Motivated 25.12.2018 - 03:41
fonte

1 risposta

10

Given that the device is not a solid state drive, should a secure ATA erase still be performed?

Se si desidera cancellare i dati, è possibile utilizzare ATA Secure Erase. Non è pensato solo per le unità a stato solido e funziona bene sulla rotazione della ruggine. Richiede molto più tempo rispetto agli SSD perché è meno probabile che i dischi rigidi supportino il SED, che consente la cancellazione istantanea distruggendo una chiave di crittografia.

Se si utilizza o meno la cancellazione sicura del firmware o si cancella il dispositivo a blocchi, è compito dell'utente. Entrambe le opzioni hanno vantaggi e svantaggi. Ad esempio, ATA Secure Erase è progettato per cancellare aree del disco che potrebbero non essere toccate scrivendo sul dispositivo a blocchi, ad esempio settori danneggiati e HPA (Host Protected Area). D'altra parte, qualsiasi cancellazione implementata nel firmware può essere interrotta o implementata in modo errato, in quanto non si ha la capacità di dire facilmente come si sta eseguendo la cancellazione. Se hai tempo, puoi eseguire entrambi i metodi per ottenere il meglio da entrambi.

Would shred --verbose --random-source=/dev/urandom -n1 /dev/sda support the same or a similar outcome i.e. irrecoverable data including defective or deallocated sectors?

No, questo non cancellerebbe i settori danneggiati, né cancellerebbe le aree del disco come l'HPA. Nota che il comando che hai dato è funzionalmente equivalente a cat /dev/urandom > /dev/sda . Tuttavia, è possibile utilizzare smartmontools per determinare quanti settori danneggiati vengono segnalati dall'unità. Se il valore è zero, allora ogni settore accessibile può essere cancellato semplicemente scrivendo sul dispositivo a blocchi.

Se vuoi sovrascrivere il dispositivo a blocchi, puoi farlo con dd :

dd if=/dev/urandom of=/dev/sda bs=256k conv=fsync

Questo scriverà dati casuali sul dispositivo a blocchi e sincronizzerà le modifiche non appena completato. Nei kernel Linux precedenti, il driver casuale è molto lento, nel qual caso dovresti usare altre fonti di casualità, ad esempio creando un dispositivo crittografato con cryptsetup e scrivendo degli zeri su di esso.

In futuro, c'è una tecnica che dovresti utilizzare per assicurarti di non essere più inserito in questa posizione. È necessario utilizzare la crittografia completa del disco con qualcosa come LUKS, che mantiene la password principale generata a caso sull'unità, crittografata con una password utente specificata. La semplice sovrascrittura della password principale crittografata è sufficiente per rendere completamente irrecuperabili tutti gli altri dati presenti sull'unità. Questo funziona per i dischi rigidi in cui non vi è alcun livello di usura in atto. Sulle unità a stato solido, questo non funzionerà.

    
risposta data 25.12.2018 - 04:50
fonte

Leggi altre domande sui tag