Niezawodne usuwanie danych z dysku SSD

Niezawodne usuwanie danych z nośników pamięci (sanityzacja nośników) jest krytycznym elementem bezpiecznego zarządzania danymi. Dyski półprzewodnikowe oparte na pamięci flash (SSD) różnią się od dysków twardych zarówno technologią używaną do przechowywania danych (chipy flash vs. dyski magnetyczne), jak i algorytmami używanymi do zarządzania i uzyskiwania dostępu do tych danych. Dyski SSD utrzymują warstwę pośrednią między logicznymi adresami bloków, których systemy komputerowe używają do uzyskiwania dostępu do danych, a nieprzetworzonymi adresami flash, które identyfikują fizyczną pamięć masową. Warstwa pośrednia zwiększa wydajność i niezawodność dysków SSD, ukrywając idiosynkratyczny interfejs pamięci flash i zarządzając jej ograniczoną żywotnością. Może jednak również tworzyć kopie danych, które są niewidoczne dla użytkownika, ale możliwe do odzyskania przez wyrafinowanego atakującego. Z tego powodu tak ważne jest całkowite oczyszczenie nośnika.

1. Odkażanie całego dysku

Istnieją cztery różne techniki sanityzacji całego dysku SSD:

• Wydanie wbudowanego polecenia sanitize
• Wielokrotny zapis na dysku przy użyciu normalnych operacji wejścia/wyjścia
• Elektryczne niszczenie dysku za pomocą generatora wysokiego napięcia
• Wykorzystanie szyfrowania

1.1 Wbudowane polecenia sanityzacji

Większość nowoczesnych dysków ma wbudowane polecenia sanityzacji, które nakazują wbudowanemu oprogramowaniu sprzętowemu uruchomienie protokołu sanityzacji na dysku. Tradycyjnie zestaw poleceń bezpieczeństwa ATA określa polecenie "ERASE UNIT", które usuwa wszystkie dostępne dla użytkownika obszary na dysku, zapisując wszystkie binarne zera lub jedynki. Istnieje również rozszerzone polecenie "ERASE UNIT ENH", które zapisuje wzorzec zdefiniowany przez dostawcę, taki jak plik binarny o rozmiarze 1 MB i zawartości 0x55. Specyfikacja ACS-2/ACS-3 określa polecenie "BLOCK ERASE", które jest częścią zestawu funkcji SANITIZE. Polecenie to nakazuje dyskowi wykonanie wymazywania bloków na wszystkich blokach pamięci zawierających dane użytkownika, nawet jeśli nie są one dostępne dla użytkownika. Przemysłowe dyski SSD SP obsługują specyfikacje ACS-2/ACS-3, aby zapewnić 4-kierunkową funkcję wymazywania wielu bloków w celu skutecznej sanityzacji całego dysku. Przykładowo, dysk SSD o pojemności 1 TB (SP010TSSD301RW0) lub pSLC 512 GB SSD (SP512GISSD501RW0) może zostać wyzwolony przez 5-pinowe złącze Feature Connector w celu wykonania funkcji 4-way Interleave Multiple Block Erase, aby zakończyć sanityzację całego dysku w około 10 sekund.

1.2 Wielokrotny zapis na dysku

Drugą metodą sanityzacji jest użycie zwykłych poleceń IO do nadpisania każdego adresu bloku logicznego na dysku. Wielokrotne nadpisywanie oprogramowania jest podstawą wielu standardów i narzędzi sanityzacji dysków. Wszystkie standardy i narzędzia, które przeanalizowaliśmy, stosują podobne podejście; sekwencyjnie nadpisują cały dysk wzorcami od 1 do 35 bitów. Dobrym przykładem jest US Air Force System Instruction 5020, który najpierw wypełnia dysk binarnymi zerami, następnie binarnymi jedynkami, a na końcu dowolnym znakiem. Dane są następnie odczytywane w celu potwierdzenia, że obecny jest tylko dowolny znak. Zróżnicowane wzorce bitów mają na celu przełączenie jak największej liczby fizycznych bitów na dysku, a tym samym utrudnienie odzyskania danych za pomocą środków analogowych. Wzorce bitów są również potencjalnie ważne dla dysków SSD, ale z innych powodów. Ponieważ niektóre dyski SSD kompresują dane przed ich zapisaniem, będą one zapisywać mniej bitów w pamięci flash, jeśli dane są wysoce skompresowane. Sugeruje to, że dla maksymalnej skuteczności, procedury nadpisywania SSD powinny wykorzystywać losowe dane. Złożoność FTL dysków SSD oznacza, że historia użytkowania przed nadpisaniem może mieć wpływ na skuteczność tej techniki. Aby to uwzględnić, przetestowaliśmy dyski SSD, zapisując pierwszy przebieg danych sekwencyjnie lub losowo. Następnie wykonaliśmy 20 sekwencyjnych nadpisań. W przypadku losowych zapisów zapisaliśmy każdy LBA dokładnie raz, ale w pseudolosowej kolejności. W większości przypadków dwukrotne nadpisanie całego dysku wystarczyło do oczyszczenia dysku, niezależnie od poprzedniego stanu dysku. Jednak ukończenie sanityzacji całego dysku w ten sposób zajmuje dużo czasu.

1.3 Elektryczne niszczenie dysku za pomocą generatora wysokiego napięcia

Rozmagnesowanie jest szybkim i skutecznym sposobem niszczenia dysków twardych, ponieważ usuwa niskopoziomowe formatowanie dysku (wraz ze wszystkimi danymi) i uszkadza silnik dysku. Mechanizm, którego pamięci flash używają do przechowywania danych, nie jest jednak oparty na magnetyzmie, więc nie spodziewamy się, że degausser bezpośrednio wymaże komórki flash. Alternatywnie, specjalna konstrukcja z generatorem wysokiego napięcia i kontrolerem wewnątrz dysku SSD może fizycznie zniszczyć pamięć flash NAND. Nie jest to jednak normalna konstrukcja dla dysków SSD. Przemysłowe dyski SSD SP są wyposażone w zintegrowany aktywny moduł PMU (Power Management Unit) klasy przemysłowej, który zapewnia wyższą niezawodność zasilania w porównaniu z tradycyjnymi obwodami dyskretnymi. Posiadają również pełną ochronę z OVP, OCP, odrzucaniem przepięć i ochroną przed zwarciem na wyjściu, aby zapewnić wyższy poziom ochrony w porównaniu z tradycyjną konstrukcją bezpieczników. Dlatego nie zalecamy wdrażania tej techniki do sanityzacji całego napędu.

1.4 Wykorzystanie szyfrowania

Dysk samoszyfrujący (SED) dysków SP Industrial SSD jest wyposażony w mechanizm szyfrowania AES-256, który zapewnia sprzętowe, bezpieczne szyfrowanie danych bez utraty wydajności dysku SSD. Dysk SED jest zgodny ze specyfikacją TCG/Opal dla zaufanych urządzeń peryferyjnych. Szyfrowanie danych jest zawsze uruchomione; jednak klucze szyfrowania nie są zarządzane, a dane nie są bezpieczne, dopóki nie zostaną włączone zestawy funkcji zabezpieczeń TCG/Opal lub ATA. Technika ta jest szybkim sposobem na oczyszczenie dysku, ponieważ usunięcie klucza szyfrowania teoretycznie sprawi, że dane na dysku będą nieodwracalne.