Cancellazione affidabile dei dati da un'unità SSD

La cancellazione affidabile dei dati dai supporti di memorizzazione (sanificazione dei supporti) è un componente critico della gestione sicura dei dati. Le unità a stato solido (SSD) basate su memoria flash differiscono dalle unità disco sia per la tecnologia utilizzata per memorizzare i dati (chip flash contro dischi magnetici) sia per gli algoritmi utilizzati per gestire e accedere ai dati. Le unità SSD mantengono un livello di indirezione tra gli indirizzi logici dei blocchi che i sistemi informatici utilizzano per accedere ai dati e gli indirizzi flash grezzi che identificano la memoria fisica. Il livello di indirezione migliora le prestazioni e l'affidabilità delle unità SSD nascondendo l'interfaccia idiosincratica della memoria flash e gestendo la sua durata limitata. Tuttavia, può anche produrre copie dei dati invisibili all'utente ma recuperabili da un aggressore sofisticato. Per questo motivo è molto importante sanificare completamente il supporto.

1. Sanificazione dell'intera unità

Esistono quattro tecniche diverse per sanificare un'intera unità SSD:

• Emissione di un comando di sanificazione incorporato
• Scrittura ripetuta sull'unità utilizzando le normali operazioni di IO
• Distruzione elettrica dell'unità tramite un generatore ad alta tensione.
• Sfruttare la crittografia

1.1 Comandi di sanificazione integrati

La maggior parte delle unità moderne dispone di comandi di sanificazione integrati che istruiscono il firmware di bordo a eseguire un protocollo di sanificazione sull'unità. Tradizionalmente, il set di comandi di sicurezza ATA specifica un comando "ERASE UNIT" che cancella tutte le aree accessibili all'utente dell'unità scrivendo tutti gli zeri o gli uni binari. Esiste anche un comando avanzato "ERASE UNIT ENH" che scrive un modello definito dal fornitore, ad esempio un file binario di 1 MB con contenuto 0x55. Le specifiche ACS-2/ACS-3 specificano un comando "BLOCK ERASE" che fa parte del set di funzioni SANITIZE. Il comando indica a un'unità di eseguire una cancellazione di blocco su tutti i blocchi di memoria contenenti dati utente, anche se non sono accessibili all'utente. Le unità SSD SP Industrial supportano le specifiche ACS-2/ACS-3 per fornire una funzione di cancellazione a blocchi multipli con interleave a 4 vie per sanificare efficacemente un'intera unità. Ad esempio, un'unità SSD da 1 TB (SP010TSSD301RW0) o un'unità SSD pSLC da 512 GB (SP512GISSD501RW0) possono essere attivate da un connettore funzionale a 5 pin per eseguire una funzione di cancellazione a blocchi multipli interleave a 4 vie e completare la sanificazione dell'intera unità in circa 10 secondi.

1.2 Scrittura ripetuta sull'unità

Il secondo metodo di sanificazione consiste nell'utilizzare i normali comandi di IO per sovrascrivere ogni indirizzo di blocco logico sull'unità. La sovrascrittura software ripetuta è il cuore di molti standard e strumenti di sanificazione dei dischi. Tutti gli standard e gli strumenti esaminati utilizzano un approccio simile: sovrascrivono in sequenza l'intero disco con pattern da 1 a 35 bit. L'istruzione di sistema 5020 dell'Aeronautica Militare degli Stati Uniti è un buon esempio: riempie prima il disco di zeri binari, poi di uni binari e infine di un carattere arbitrario. I vari modelli di bit mirano a cambiare il maggior numero possibile di bit fisici dell'unità e, quindi, a rendere più difficile il recupero dei dati con mezzi analogici. I modelli di bit sono potenzialmente importanti anche per le unità SSD, ma per motivi diversi. Poiché alcune unità SSD comprimono i dati prima di memorizzarli, scriveranno meno bit sulla memoria flash se i dati sono altamente comprimibili. Ciò suggerisce che, per ottenere la massima efficacia, le procedure di sovrascrittura delle SSD dovrebbero utilizzare dati casuali. La complessità delle SSD FTL significa che la cronologia di utilizzo prima del passaggio di sovrascrittura può influire sull'efficacia della tecnica. Per tenerne conto, abbiamo testato le SSD scrivendo il primo passaggio di dati in modo sequenziale o casuale. Poi abbiamo eseguito 20 sovrascritture sequenziali. Per le scritture casuali, abbiamo scritto ogni LBA esattamente una volta, ma in un ordine pseudo-casuale. Nella maggior parte dei casi, la sovrascrittura dell'intero disco due volte è stata sufficiente per sanificare il disco, indipendentemente dallo stato precedente dell'unità. Tuttavia, per completare la sanificazione dell'intero disco in questo modo è necessario molto tempo.

1.3 Distruzione elettrica dell'unità tramite un generatore ad alta tensione

Il degaussing è un mezzo rapido ed efficace per distruggere i dischi rigidi, poiché rimuove la formattazione di basso livello del disco (insieme a tutti i dati) e danneggia il motore dell'unità. Tuttavia, il meccanismo utilizzato dalle memorie flash per memorizzare i dati non è basato sul magnetismo, quindi non ci aspettiamo che il degausser cancelli direttamente le celle flash. In alternativa, un progetto speciale con un generatore ad alta tensione e un controller all'interno dell'unità SSD può distruggere fisicamente la memoria flash NAND. Tuttavia, questo non è un progetto normale per le unità SSD. Le unità SSD SP Industrial sono dotate di una PMU (Power Management Unit) attiva di livello industriale integrata che garantisce una maggiore affidabilità dell'alimentazione rispetto ai circuiti discreti tradizionali. Sono inoltre dotati di una protezione completa con OVP, OCP, Surge Rejection e In-Out Short Protection per offrire un livello di protezione superiore rispetto ai fusibili tradizionali. Pertanto, si sconsiglia l'implementazione di questa tecnica per la sanificazione dell'intero disco.

1.4 Sfruttare la crittografia

L'unità con crittografia automatica (SED) delle unità SSD SP Industrial è dotata di un motore di crittografia AES-256, che fornisce una crittografia dei dati sicura basata su hardware senza perdita di prestazioni dell'unità SSD. Questa unità SED segue le specifiche TCG/Opal per le periferiche affidabili. La crittografia dei dati è sempre in funzione; tuttavia, le chiavi di crittografia non sono gestite e i dati non sono sicuri finché non vengono attivati i set di funzioni di sicurezza TCG/Opal o ATA. Questa tecnica è un mezzo rapido per sanificare l'unità, poiché l'eliminazione della chiave di crittografia renderà, in teoria, irrecuperabili i dati sull'unità.