web-dev-qa-db-ja.com

ゼロ(またはランダムデータ)をハードドライブに複数回書き込むのは、1回だけ行うよりも優れているのはなぜですか?

Darik's Boot and Nuke などのさまざまなプログラムを使用すると、ハードドライブを1回実行するよりも安全であるかのように見せかけ、複数回ハードドライブを上書きできます。どうして?

94
Tom Marthenal

要約:古いドライブの方がわずかに優れていましたが、今は問題ではありません。複数のパスは、やり過ぎで木を消去しますが、森の残りを逃します。暗号化を使用します。

Originは、ディスクビットにメモリがあることを示したPeter Gutmannによる作業にあります。ゼロで上書きされたゼロは、1/2より大きい確率で、ゼロで上書きされたものと区別できます。 。ただし、Gutmannの仕事はやや誇張されており、最近のディスクには適用されません。 Brian Smithson による「マルチパスハードディスクの上書きとDoD 5220-22-Mの都市伝説」には、このトピックの概要がよく記載されています。

それを始めたのは 1996年にUSENIXで発表されたPeter Gutmann による「磁気および固体メモリからのデータの安全な削除」です。彼は、ワイプを繰り返した後のデータ残留を測定し、 31パス後、彼は(高価な機器を使用して)多重上書きされたゼロと多重上書きされたゼロを区別することができなかったことがわかりました。そのため、彼はオーバーキル対策として35パスワイプを提案しました。

この攻撃は、ディスクへの物理的なアクセスと多少高価な機器を持つ攻撃者を想定していることに注意してください。そのような手段を持つ攻撃者が、たとえば リードパイプ暗号化 ではなく、この攻撃方法を選択すると想定することは、かなり非現実的です。

グットマンの発見は、データをますます詰め込む現代のディスク技術にまで及んでいない。 Craig Wright、Dave Kleiman、Shyaam Sundhar による「ハードドライブデータの上書き:大規模なワイピング論争」は、このトピックに関する最近の記事です。彼らは最近のドライブでガットマンの回復を再現することができませんでした。また、連続するビットを復元する確率には強い相関関係がないため、攻撃者が完全な秘密鍵やバイトなどを復元する可能性は非常に低いことにも注意しています。ゼロを使​​用した上書きは、ランダムデータを使用した上書きよりも破壊的ではありませんが、ゼロを使用した1回のパスでも、有用な回復の確率は非常に低くなります。 Gutmannは記事に多少異議を唱えています ;ただし、彼の回復手法は最新のディスクには適用できないという結論に同意します。

現代のドライブはどれも絶望的なタスクになる可能性が高く、超高密度と垂直記録の使用では、MFMがどのように使用可能な画像を取得できるかはわかりません。EPRMLを使用すると、魔法のようにある種の画像をファイルに転送する場合、それをデコードして元のデータを復元する機能は非常に困難です。

グトマンは後に フラッシュテクノロジー を研究しました。

物理的にディスクを所有し、高価な機器を持っている攻撃者を心配している場合、上書きの品質は心配する必要のあるものではありません。ディスクはセクターを再割り当てします。セクターが欠陥として検出された場合、ディスクはソフトウェアにアクセスできなくなりますが、そこに格納されていたデータは攻撃者によって復元される可能性があります。この現象は、SSDではウェアレベリングのために悪化します。

一部のストレージメディアには、安全な消去コマンド(ATA Secure Erase)があります。 UCSD CMRRは、このコマンドを実行するためのDOSユーティリティを提供します ; Linuxではhdparm --security-erase。このコマンドは広範囲にわたるテストを経ていない可能性があることに注意してください。揚げられた電子機器、モーターの故障、またはヘッドのクラッシュが原因でディスクが故障した場合は、それ以上のコストがかかる損傷を修復しない限り、このコマンドを実行できません。新しいディスク)。

攻撃者がディスクを手に入れることに懸念がある場合は、機密データをディスクに置かないでください。または、暗号化します。暗号化は安価で信頼できます(パスワードの選択やシステムの整合性と同じくらい信頼できます)。

この件に関しては、よく知られている参考文献 Peter Gutmannによる記事 があります。ただし、その記事は少し古く(15年)、記載されているように新しいハードディスクは動作しない場合があります。

2つの現象が原因で、一部のデータが1回の書き込みで完全に消去されない場合があります。

  • ビット(0または1)を書き込みたいのですが、物理信号はアナログです。データは、強磁性媒体内の原子グループの向きを操作することによって格納されます。リードバックすると、ヘッドはアナログ信号を生成し、しきい値でデコードされます。たとえば、信号が3.2(架空の単位)を超える場合は1になり、それ以外の場合は0になります。残留:おそらく、以前は0であったものに1を書き込むと、4.5が生成されますが、すでに1であったものに1を書き込むと、信号が4.8にポンプアップされます。ディスクを開き、より正確なセンサーを使用することにより、古いデータを回復するのに十分な信頼性を持って差異を測定できたと考えられます。

  • データはディスク上のトラックごとに編成されています。既存のデータを上書きする場合、ヘッドは前のトラックの上に大まかに配置されますが、そのトラック上では正確に正確に配置されることはほとんどありません。各書き込み操作には、「横方向のジッタ」が少し発生する場合があります。したがって、以前のデータの一部は、おそらく「サイドで」読み取ることができます。

さまざまなパターンの複数の書き込みは、これら2つの効果の相殺を目的としています。

最近のハードディスクは非常に高いデータ密度を実現しています。データ密度が高いほど、古い上書きデータの痕跡を回復するのが難しくなるのは当然です。 もっともらしい今日のテクノロジーでは上書きされたデータを回復することはもはや不可能です。少なくとも、現在そのようなサービスを積極的に宣伝している人は誰もいません(しかし、これはそれができないということではありません...)。

ディスクが損傷したセクター(読み取り時のチェックサムエラー)を検出すると、そのセクターに対する次の書き込み操作は、警告なしにスペアセクターに再マッピングされます。つまり、損傷したセクター(少なくとも1つは間違っているが、必ずしも1つ以上ではない)は、そのイベント後も永久に変更されないままであり、書き換えによってその状態が変わることはありません(ディスク電子ボード自体がそのセクターの使用を拒否します)二度と)。データを確実に消去したい場合は、そもそもデータがディスクに到達しないようにする方がはるかに優れています。フルディスク暗号化を使用してください。

32
Tom Leek

これまでに提供された回答は有益ですが、不完全です。データは マンチェスターコーディング を使用して(磁気)ハードディスクに保存されます。つまり、磁区が上向きか下向きかで1または0をエンコードするのではなく、です。ビットをエンコードするupとdownの間の遷移

マンチェスターのコーディングは通常、信号の「リズム」を定義するのに適した少しの意味のないデータから始まります。データをすべて0で上書きしようとする試みが、元のデータが保存されたタイミングと正確に一致しなかった場合でも、元のリズムとエッジを検出するのは非常に簡単であると想像することは可能です。すべてのデータを再構築します。

5
user185

の素敵な質問には2つの部分からなる答えがあります。

  1. "ye average hard disk"について話すとき、複数回上書きする最初の理由があります。

    つまり、HDは磁気ディスクのようなものです。回復できる「シャドウバイト」が残る可能性があります。 NSAとcoが古くから複数の上書きを使用している理由です。これらの「シャドウバイト」は、以前に削除および上書きされたデータの「ゴースト」残骸にすぎません。HDリカバリ会社は実際に使用していますそれらが失われたときに重要なデータを回復するもの。

    別の方法は、強力な磁気を使用してHDを殺すことですが、その方法-十分に強力な磁力を使用しないか、必要以上にHDを破壊する可能性が高くなります。だからそれは本当にオプションではありません。

  2. また、データ消去標準のいくつかで詳細情報を確認することもできます http://en.wikipedia.org/wiki/Data_erasure#Standards標準は1回のみ上書きし、常にデータ消去検証を必須にします

    「一部のオペレーティングシステム」(ここでは、最高または最悪のオペレーティングシステムについての政治的議論を開始していないことに注意してください)では、この消去検証は、必要なほど確実ではありませんbe ...つまり、それらの「消失検証」は、回復できる潜在的なシャドウバイトの残骸について考えることを始めるよりも、実際には心配するのに十分安全ではありません。

[〜#〜]更新[〜#〜]

これは非常に議論された主題であり、1996年にPeter Gutmannによって発行された「磁気および固体メモリからのデータの安全な削除」ペーパーを引用しながら、多くの人々が「賛成」および「反対」と言っているため( http://www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann/index.html )、次の点に注意してください:

...昨年の情報システムセキュリティに関する国際会議(ICISS)で発表された論文をレビューしたHeise Securityのセキュリティ研究者は、56%の確率で1バイトのデータを回復できると説明していますが、ヘッドは正確に8回位置決めされますが、それ自体は0.97%の確率で発生します。 「1バイトを超えるものを回復する可能性はさらに低くなります」と研究者達は結論付けています...

(ソース: http://news.softpedia.com/news/Data-Wiping-Myth-Put-to-Rest-102376.shtml

一方で、複数の上書きを必須として定義する軍や政府のデータ消去があります。 (私はそれを判断することを控えますが、あなたはこの事実の「理由」について考えるべきです。)

結局、それはあなたがそれを消去することによって「保護したい」どのようなデータの問題であり、どのような場合でも消去されたデータが回復不可能であることはどれほど重要であるかです。このようにしましょう:個人の乳製品を削除したい場合、おそらくすべての自由セクターを上書きする必要はありません...しかし、原子力発電所またはいくつかの「秘密のプロジェクト」の計画に取り組んでいる場合政府にとっては、1バイトをそのままにしたくないでしょう。

人々が私に個人的に尋ねるとき、私は常に答えます: "申し訳ありませんがより安全です。解放されたセクターの複数の上書きを必須として定義する確かな基準があります。その理由があります。科学論文(最近でも消去されたデータの回復はさまざまな方法で可能であることを示しています。チャンスが小さい場合でも、私はリスクを取ることはなく、そのリスクについて考えないように誰かに助言することは専門家ではないと思います。」

それが最良の方法だと思います。

ラッピングITアップ

だから、あなたの質問に正しく答えるには:

Darik's BootやNukeなどのさまざまなプログラムを使用すると、ハードドライブを1回だけ実行するよりも安全であるかのように見せかけて、ハードドライブを複数回上書きできます。どうして?

彼らは、ガットマンの論文と政府機関が使用している既存の基準に基づいてそれを行っています。

4
user6373