Når SSD'en skal skrottes: Ingen sikker måde at slette data

Der er ingen garanteret løsning for, hvordan man sikrer, at fortrolige data bliver slettet på SSD-diske. Eneste skudsikre løsning er en makulator-kværn

Det er nok de færreste, der har haft en SSD-disk siddende længe nok i pc'en eller serveren til, at det er tid til at skifte den ud. Men hvad gør du, når disken har udstået sin levetid i dit system og skal bortskaffes?

Konventionelle harddiske er forholdsvis simple. Her ligger data som mønstre af magnetisk polarisering, hvor vi erfaringsmæssigt ved, at mønstrene kan ødelægges ved at overskrive dataene eller ved at ødelægge de magnetiske mønstre med meget kraftige, specielle magneter.

SSD-diskene er baseret på flash-hukommelse, hvor hver bit repræsenteres ved en hukommelsescelle, der med elektricitet kan sættes til enten nul eller et. Men svagheden ved flash-hukommelse er, at hver celle kun kan tåle at få skiftet værdien et begrænset antal gange.

Derfor har diskene en indbygget algoritme, som sørger for at fordele skrivningen af data ligeligt mellem alle celler på disken, så man undgår, at et bestemt område så at sige brænder ud, mens andre områder er helt uden slid.

Og disse wear-and-tear-algoritmer til fordeling af data er en udfordring for sletning af data på diskene.

»Wear-algoritmen sidder så at sige på den forkerte side af disk-controlleren, så man har ikke styr på, hvor data ligger. Derfor kan man ikke være 100 procent sikker på, at data bliver overskrevet,« siger direktør Henrik Andersen fra data recovery-virksomheden Ibas til Version2.

Læs også: Et utidigt ryk i USB-kablet kan rydde din harddisk

Et sletteværktøj til konventionelle diske vil normalt overskrive alle data på disken, og her har værktøjerne fuld adgang til at skrive til alle sektorer på disken og kan styre præcis, hvor der bliver overskrevet data.

På en SSD vil diskens disk-controller og indbyggede algoritmer fungere som et mellemlag, der vil sløre, hvor overskrivningen foregår. Derfor kan data godt blive overskrevet efter forskrifterne, men det er i praksis ikke muligt at dokumentere det.

»Med de gængse sletteværktøjer, så er det ikke noget, du kan dokumentere,« siger Henrik Andersen.

Data i bufferen kan ikke slettes
Der findes ganske vist en protokol for, hvordan dataene kan overskrives, men selvom man kan aktivere protokollen med producenternes egne diskværktøjer, så kan man ikke være sikker på, at alt er væk.

For det første er man afhængig af, at producenten har implementeret sletteprotokollen korrekt, og for det andet er det ikke sikkert, at sletningen omfatter alle data på disken.

Fordi SSD-diskene skal kunne fordele data mellem hukommelsescellerne, så de bliver slidt lige meget, så er der også indbygget en ekstra buffer eller midlertidigt lager. Og der kan ligge data i dette lager, som man ikke har adgang til via disk-controlleren. Derfor kan man heller ikke se, om eventuelle fortrolige data i lagret er slettet, efter man har aktiveret producentens sletteprotokol.

Hvis disken falder i de forkerte hænder vil det derimod være muligt at få adgang til lagret ved eksempelvis at skille disken ad for at få adgang til hukommelseschippene.

På grund af denne usikkerhed er rådet fra Henrik Andersen, at man indtil videre ikke skal stole på, at data på SSD-diske bliver slettet forsvarligt.

»Gem diskene indtil sletteteknologien er moden. Vi anbefaler at vente med at sætte brugte SSD-diske i omløb, hvis de har været brugt til fortrolige data,« siger han.

Tæv med hammer er ikke nok
Med konventionelle mekanisk-magnetiske harddiske kan man anvende kraftige magnetfelter til at slette alle informationer på en disk ved populært sagt at nulstille polariseringen af det magnetiske materiale på diskene. Den teknologi dur ikke med SSD, fordi kredsløbenes evne til at bevare information ikke påvirkes af magnetfelter.

Tilbage står fysisk destruktion af diskene, men velkendte lavteknologiske løsninger med boremaskiner eller en hammer er heller ikke nogen garanti. Selve chippene er nemlig forholdsvis hårdføre i deres indpakning, og selvom man ødelægger printkortet, de sidder på, så er det muligt at rekonstruere data, så længe chippene er intakte.

Derfor skal SSD-disken bogstavelig talt kværnes med en makulator, hvis man vil være helt sikker, men det er ikke ligefrem en miljøvenlig løsning.

Fysisk destruktion af harddiske er en nem løsning, som mange benytter sig af, men ofte kan diskene genbruges, og firmaer og organisationer, der indsamler pc'er til genbrug i eksempelvis u-lande, kan som regel ikke bruge pc'er uden diske, fordi det gør det for dyrt at gøre pc'erne køreklare igen.

Mange virksomheder sælger i dag brugte harddiske via eksempelvis eBay, og flere undersøgelser har vist, at mange af diskene indeholder data, der ikke er blevet slettet ordentligt.

Kryptering er den bedste løsning
Der findes flere værktøjer, der gør det muligt at slette indholdet fra konventionelle harddiske ved hjælp af én eller flere overskrivninger, alt efter hvilke krav fra brancher eller myndigheder man skal leve op til.

Disse værktøjer er imidlertid endnu ikke optimeret til SSD-diskene. Intel har ganske vist frigivet et værktøj, som ifølge Intel selv kan slette alle data på selskabets diske, men det er op til den enkelte organisation at vurdere, om værktøjet yder tilstrækkelig sikkerhed.

Flere producenter tilbyder også mulighed for indbygget kryptering af data på diskene, men igen er det en proces, som ikke direkte er synlig og dermed kan verificeres. Sikkerheden vil således afhænge af den krypteringsalgoritme som anvendes, og hvorvidt den yder tilstrækkelig sikkerhed, hvis disken falder i de forkerte hænder.

En løsning kan derfor være at vælge en krypteringsteknologi, hvor man krypterer alle data, der lægges på diskene. Hvis krypteringen er stærk nok, og alt er krypteret, så vil det være overordentligt vanskeligt for uvedkommende at få adgang til dataene, selvom man sælger diskene videre.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

Nogle SSD diske har mere fysisk plads end logisk plads, blandt andet for at have nogle sektorer i overskud, hvis nogle skulle "stå af". Så man kan ikke være helt sikker på, at alt er overskrevet.

Man kan selvfølgelig gentage proceduren så mange gange, at man overskrider det maksimale antal skrivninger til hver sektor, men så kan disken ikke bruges igen. Så kan man ligesågodt destruere disken fysisk.

Det sagt, så vil sletning og opfyldning nok kunne modstå de fleste angreb. Så hvis du ikke har tophemmeligt data på din disk, skal det nok virke nogenlunde godt.

Martin Bøgelund

Så vidt jeg kan læse mig til på det store, kloge internet[1], kan man få SSD'er med indbygget AES kryptering, så man ikke får performancetabet ved "almindelig" kryptering fra operativsystemet.

Desuden kan jeg læse mig til at når SSD'er implementerer den sikkerhedsfeature der hedder "Secure Erase", kan man ad den vej få en sikker sletning af sine data på SSD'er.

Er der nogen der har dybere viden omkring disse ting?

[1] http://www.sandforce.com/index.php?id=177&parentId=2
[2] http://cmrr.ucsd.edu/people/Hughes/documents/QandAforwebsite10212008_000...

Lars Tørnes Hansen

Hvis man absolut skal være rå, så kan man:

  • grille elektronikken inde i en passende stor tesla kugle
  • sætte noget højspænding på elektronikkens flash hukommelse
  • udsætte elektronikkens flash for en passende mængde røntgenstråling, eller
  • smide disken ind i en lettere brugt atomreaktor (hvis du ellers tør nærme dig den), hvor neutronstrålingen nok skal få has på al elektronikken.
Ask Holme

Jeg må indrømme at jeg har lidt svært ved at se business casen i at anvende ekstern kryptering på hele disken.
Som det er idag har SSD'er stadig en pæn pris markup over traditionelle diske (også når vi snakker enterprise udstyr).
Vælger man SSD er det derfor ofte en bevidst investering i bedre I/O (SSDer er især gode til random reads).

Men hvis man så til gengæld er nød til at lægge et krypteringslag ind foran disken, ja så er vi vel hurtigt der hvor business casen for at vælge SSD i første omgang er forsvundet

Jens Axboe

At overskrive det logiske addresserum (det du angiver med sektorer fra operativ systemet) er ingen garanti for at det fysiske medie er overskrevet også. Alle SSD diske har overprovisionering af flash for at undgå for store performance dyk når det logiske adresserum er ved at være fyldt op. Desuden er der langt fra en 1:1 mapping mellem det fysiske og logiske adresserum. Så en 'dd' lignende metode på en SSD disk er absolut ikke en god løsning.

Den eneste måde at få sikkert slettet en flash disk på er hvis fabrikanten giver dig en måde at udføre det på.

Ellers er der jo altid hammeren, eller som andre foreslår, krypter din disk inden du smider data på den.

Martin Jensen

Der nævnes flere gange at 'man bare' kan kryptere sine data og smide nøglen væk. Det er delvis sandt - man skal i så fald sørge for at vælge et værktøj der specifikt håndterer problemstillinger omkring wearlevelling som SSD'er laver - hvilket f.eks. TrueCrypt specifikt ikke håndterer:

http://www.truecrypt.org/docs/wear-leveling

Hvordan BitLocker gør ved jeg ikke - men pointen er at man ikke 'bare' skal kryptere - man skal når man krypterer forstå det og gøre det korrekt. Ellers er MegaAES-4096-XXL eller hvad algoritme der bruges ikke nødvendigvis din redning.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize