Betrouwbaar gegevens wissen van een SSD

Het betrouwbaar wissen van gegevens van opslagmedia (opschonen van de media) is een cruciaal onderdeel van veilig gegevensbeheer. Flash-gebaseerde solid-state drives (SSD's) verschillen van harde schijven door zowel de technologie die ze gebruiken om gegevens op te slaan (flash-chips vs. magnetische schijven) als de algoritmes die ze gebruiken om die gegevens te beheren en te openen. SSD's handhaven een laag van indirection tussen de logische blokadressen die computersystemen gebruiken om toegang te krijgen tot gegevens en de ruwe flash-adressen die de fysieke opslag identificeren. De indirectielaag verbetert de prestaties en betrouwbaarheid van SSD's door de eigenzinnige interface van het flashgeheugen te verbergen en de beperkte levensduur te beheren. Het kan echter ook kopieën van de gegevens produceren die onzichtbaar zijn voor de gebruiker, maar kunnen worden hersteld door een geavanceerde aanvaller. Daarom is het zo belangrijk om de media volledig te zuiveren.

1. Gehele schijf opschonen

Er zijn vier verschillende technieken om een hele SSD te saniteren:

• Een ingebouwde sanitize opdracht geven
• Herhaaldelijk schrijven over de schijf met normale IO-bewerkingen
• De schijf elektrisch vernietigen met een hoogspanningsgenerator
• Gebruik maken van codering

1.1 Ingebouwde opschoonopdrachten

De meeste moderne schijven hebben ingebouwde opschoonopdrachten die de ingebouwde firmware opdracht geven om een opschoonprotocol op de schijf uit te voeren. Traditioneel specificeert de ATA-beveiligingscommandoset een "ERASE UNIT"-commando dat alle door de gebruiker toegankelijke gebieden op de schijf wist door alle binaire nullen of enen te schrijven. Er is ook een verbeterde opdracht "ERASE UNIT ENH" die een door de verkoper gedefinieerd patroon schrijft, zoals een binair bestand van 1 MB met een inhoud van 0x55. De ACS-2/ACS-3 specificatie specificeert een commando "BLOCK ERASE" dat deel uitmaakt van de SANITIZE functieset. Hiermee wordt een schijf geïnstrueerd om een blokwissing uit te voeren op alle geheugenblokken die gebruikersgegevens bevatten, zelfs als deze niet toegankelijk zijn voor de gebruiker. SP Industrial SSD's ondersteunen ACS-2/ACS-3 specificaties om een 4-weg interleave multiple block erase functie te bieden om een hele schijf effectief te wissen. Een 1TB SSD (SP010TSSD301RW0) of pSLC 512GB SSD (SP512GISSD501RW0) kan bijvoorbeeld worden geactiveerd door een 5-pins Feature Connector om een 4-weg interleave multiple block erase-functie uit te voeren om de hele schijf in ongeveer 10 seconden te zuiveren.

1.2 Herhaaldelijk schrijven over de schijf

De tweede saneringsmethode is om normale IO-commando's te gebruiken om elk logisch blokadres op de schijf te overschrijven. Het herhaaldelijk overschrijven van software vormt de kern van veel standaarden en hulpmiddelen voor het opschonen van schijven. Alle standaarden en gereedschappen die we hebben onderzocht gebruiken een vergelijkbare aanpak; ze overschrijven achtereenvolgens de hele schijf met patronen van 1 tot 35 bits. De US Air Force System Instruction 5020 is een goed voorbeeld; het vult de schijf eerst met binaire nullen, dan met binaire enen en tenslotte met een willekeurig karakter. De gegevens worden dan teruggelezen om te bevestigen dat alleen het willekeurige teken aanwezig is. De gevarieerde bitpatronen hebben als doel om zoveel mogelijk van de fysieke bits op de schijf om te wisselen en het daardoor moeilijker te maken om de gegevens via analoge middelen te herstellen. Bitpatronen zijn mogelijk ook belangrijk voor SSD's, maar om andere redenen. Aangezien sommige SSD's gegevens comprimeren voordat ze deze opslaan, zullen ze minder bits naar de flash schrijven als de gegevens zeer comprimeerbaar zijn. Dit suggereert dat voor maximale effectiviteit SSD-overschrijfprocedures willekeurige gegevens moeten gebruiken. De complexiteit van SSD FTL's betekent dat de gebruiksgeschiedenis voor het overschrijven van invloed kan zijn op de effectiviteit van de techniek. Om hier rekening mee te houden, hebben we SSD's getest door de eerste gegevensstroom sequentieel of willekeurig te schrijven. Vervolgens hebben we 20 sequentiële overschrijfbewerkingen uitgevoerd. Voor de willekeurige schrijfbewerkingen schreven we elke LBA precies één keer, maar in een pseudo-willekeurige volgorde. In de meeste gevallen was het twee keer overschrijven van de hele schijf voldoende om de schijf te zuiveren, ongeacht de vorige staat van de schijf. Het kost echter veel tijd om de hele schijf op deze manier te saneren.

1.3 De schijf elektrisch vernietigen met een hoogspanningsgenerator

Degaussing is een snelle en effectieve manier om harde schijven te vernietigen, omdat het de laag-niveau formattering van de schijf verwijdert (samen met alle gegevens) en de motor van de schijf beschadigt. Het mechanisme dat flashgeheugens gebruiken om gegevens op te slaan is echter niet gebaseerd op magnetisme, dus we verwachten niet dat de degausser de flashcellen direct kan wissen. Als alternatief kan een speciaal ontwerp met een hoogspanningsgenerator en een controller in de SSD NAND-flash fysiek vernietigen. Dit is echter geen normaal ontwerp voor SSD's. SP SSD's voor industriële toepassingen zijn uitgerust met een geïntegreerde actieve PMU (Power Management Unit) van industriële kwaliteit voor een hogere betrouwbaarheid van de voeding in vergelijking met traditionele discrete circuits. Ze beschikken ook over volledige bescherming met OVP, OCP, Surge Rejection en In-Out Short Protection om een hoger niveau van bescherming te bieden in vergelijking met een traditioneel zekeringontwerp. Daarom raden we niet aan om deze techniek toe te passen voor het saneren van hele schijven.

1.4 Gebruik maken van codering

De zelfversleutelende schijf (SED) van SP Industrial SSD's is voorzien van een AES-256 encryptie engine, die hardware-gebaseerde, veilige gegevensversleuteling biedt zonder prestatieverlies van de SSD. Deze SED volgt de TCG/Opal specificatie voor vertrouwde randapparatuur. De gegevensversleuteling is altijd actief; de versleutelingscodes worden echter niet beheerd en de gegevens zijn pas veilig als de TCG/Opal of ATA beveiligingsfunctiesets zijn ingeschakeld. Deze techniek is een snelle manier om de schijf te zuiveren, aangezien het verwijderen van de coderingssleutel in theorie de gegevens op de schijf onherstelbaar maakt.