Надежное стирание данных с SSD

Надежное стирание данных с носителей информации (форматирование носителей) является ключевым компонентом безопасного управления данными. Твердотельные накопители (SSD) на основе флеш-памяти отличаются от жестких дисков как по используемой технологии хранения данных (флеш-чипы вместо магнитных дисков), так и по алгоритмам управления и доступа к этим данным. SSD поддерживают уровень косвенности между логическими блочными адресами, которые используют компьютерные системы для доступа к данным, и необработанными адресами флеш-памяти, которые идентифицируют физическое хранение. Уровень косвенности повышает производительность и надежность SSD, скрывая особенности интерфейса флеш-памяти и управляя ее ограниченным сроком службы. Однако он также может создавать копии данных, невидимые для пользователя, но восстанавливаемые опытным злоумышленником. По этой причине так важно полностью форматировать носитель.

1. Полное форматирование накопителя

Существует четыре различные техники форматирования всего SSD:

• Выпуск встроенной команды очистки диска
• Повторная запись на диск с использованием обычных операций ввода-вывода
• Электрическое уничтожение диска с использованием генератора высокого напряжения
• Использование шифрования

1.1 Встроенные команды форматирования

У большинства современных накопителей есть встроенные команды форматирования, которые указывают встроенной прошивке выполнить протокол форматирования на накопителе. Традиционно набор команд безопасности ATA предусматривает команду "ERASE UNIT", которая стирает все области, доступные пользователю, на накопителе, записывая все бинарные нули или единицы. Также существует усовершенствованная команда "ERASE UNIT ENH", которая записывает определенный поставщиком шаблон, например, 1-мегабайтный бинарный файл с содержимым 0x55. Спецификация ACS-2/ACS-3 предусматривает команду "BLOCK ERASE", которая является частью ее функционала форматирования. Она указывает накопителю выполнить блочное стирание всех блоков памяти, содержащих данные пользователя, даже если они не доступны пользователю. SSD от SP Industrial поддерживают спецификации ACS-2/ACS-3 для предоставления функции многоблочного стирания с 4-сторонним чередованием для эффективной очистки всего накопителя. Например, 1-терабайтный SSD (SP010TSSD301RW0) или SSD объемом 512 ГБ с технологией pSLC (SP512GISSD501RW0) могут быть активированы с использованием 5-контактного разъема для выполнения функции многоблочного стирания с 4-сторонним чередованием и завершения полной очистки всего накопителя за примерно 10 секунд.

1.2 Повторная запись на диск

Второй метод форматирования заключается в использовании обычных команд ввода/вывода для перезаписи каждого логического блока на диске. Повторная программная перезапись лежит в основе многих стандартов и инструментов очистки диска. Все стандарты и инструменты, которые мы изучили, используют схожий подход: они последовательно перезаписывают весь диск с использованием паттернов от 1 до 35 бит. Инструкция Системы 5020 ВВС США - хороший пример; сначала заполняется диск бинарными нулями, затем бинарными единицами, и, наконец, произвольным символом. Затем данные снова читаются, чтобы подтвердить наличие только произвольного символа. Разнообразные битовые паттерны направлены на переключение как можно большего числа физических битов на диске и, следовательно, усложнение восстановления данных аналогичными методами. Битовые паттерны могут быть важны также для SSD по другим причинам. Поскольку некоторые SSD сжимают данные перед записью, они запишут меньше битов во флэш-память, если данные сильно сжимаемы. Это подразумевает, что для максимальной эффективности процедуры перезаписи SSD должны использовать случайные данные. Сложность SSD FTL означает, что перезапись прошлой истории использования может повлиять на эффективность технологии. Чтобы учесть это, мы тестировали SSD, записывая первый проход данных либо последовательно, либо случайным образом. Затем мы проводили 20 последовательных перезаписей. Для случайных записей мы записывали каждый логический блок ровно один раз, но в псевдослучайном порядке. В большинстве случаев двойная перезапись всего диска была достаточной для очистки диска, независимо от предыдущего состояния диска. Однако такой способ требует много времени для завершения очистки всего диска.

1.3 Электрическое уничтожение диска с использованием генератора высокого напряжения

Размагничивание является быстрым и эффективным способом уничтожения жестких дисков, поскольку оно удаляет низкоуровневое форматирование диска (вместе со всеми данными) и повреждает двигатель диска. Однако механизм, который используют флэш-память для хранения данных, не основан на магнетизме, поэтому мы не ожидаем, что размагничивание сможет напрямую стереть ячейки флэш. В качестве альтернативы специальное конструктивное исполнение с генератором высокого напряжения и контроллером внутри SSD может физически уничтожить NAND-флэш. Однако это не является стандартной конструкцией для SSD. Промышленные SSD от SP оснащены встроенным индустриальным активным PMU (блоком управления питанием) для обеспечения более высокой надежности электропитания по сравнению с традиционными дискретными схемами. Они также имеют полную защиту с OVP, OCP, защитой от перенапряжений и защитой от короткого замыкания на входе и выходе, что обеспечивает более высокий уровень защиты по сравнению с традиционной конструкцией предохранителей. Поэтому мы не рекомендуем применять этот метод для полной очистки диска.

1.4 Использование шифрования

Самошифрующийся накопитель (SED) SSD от SP Industrial оснащен шифровальным механизмом AES-256, предоставляя аппаратное шифрование данных без потери производительности SSD. Этот SED следует спецификации TCG/Opal для доверенных периферийных устройств. Шифрование данных всегда активно; однако ключи шифрования не управляются, и данные не являются безопасными, пока не будут активированы наборы функций безопасности TCG/Opal или ATA. Эта техника является быстрым способом очистить накопитель, так как теоретически удаление ключа шифрования делает данные на накопителе невосстанавливаемыми.