web-dev-qa-db-ja.com

SSD以外のドライブでセキュアなATA消去を実行する必要がありますか?

コマンドhdparm -I /dev/sdaを実行すると、次の出力が生成されます。

ATA device, with non-removable media
        Model Number:       WDC WD10JPVX-75JC3T0                    
        Serial Number:      WX51A9324970
        Firmware Revision:  01.01A01
        Transport:          Serial, SATA 1.0a, SATA II Extensions, SATA Rev 2.5, SATA Rev 2.6, SATA Rev 3.0
Standards:
        Supported: 9 8 7 6 5 
        Likely used: 9
Configuration:
        Logical         max     current
        cylinders       16383   16383
        heads           16      16
        sectors/track   63      63
        --
        CHS current addressable sectors:    16514064
        LBA    user addressable sectors:   268435455
        LBA48  user addressable sectors:  1953525168
        Logical  Sector size:                   512 bytes
        Physical Sector size:                  4096 bytes
        Logical Sector-0 offset:                  0 bytes
        device size with M = 1024*1024:      953869 MBytes
        device size with M = 1000*1000:     1000204 MBytes (1000 GB)
        cache/buffer size  = 8192 KBytes
        **Nominal Media Rotation Rate: 5400**

興味深いのは、説明と値Nominal Media Rotation Rate: 5400です。これは、ハードドライブが機械的でフラッシュされていないことを示しています。

出力で示されているとおり、ATAの安全な消去がサポートされていますが、198分もかかる安全な消去は想定していませんでした。

Security: 
        Master password revision code = 65534
                supported
        not     enabled
        not     locked
        not     frozen
        not     expired: security count
                supported: enhanced erase
        198min for SECURITY ERASE UNIT. 198min for ENHANCED SECURITY ERASE UNIT.

デバイスがソリッドステートドライブではない場合、安全なATA消去を実行する必要がありますか?

いいえの場合、なぜですか?はいの場合、なぜですか?

shred --verbose --random-source=/dev/urandom -n1 /dev/sdaは、同じまたは同様の結果、つまり欠陥のあるセクターまたは割り当て解除されたセクターを含む回復不可能なデータをサポートしますか?

9
Motivated

デバイスがソリッドステートドライブではない場合、安全なATA消去を引き続き実行する必要がありますか?

データを消去したい場合は、ATA Secure Eraseを使用できます。ソリッドステートドライブのみを対象としたものではなく、Rustの回転で問題なく動作します。ハードドライブはSEDをサポートする可能性が低いため、SSDよりもはるかに時間がかかります。これにより、暗号化キーを破壊することで瞬時に消去できます。

ファームウェアの安全な消去を使用するかブロックデバイスを消去するかは、あなた次第です。どちらのオプションにも利点と欠点があります。たとえば、ATA Secure Eraseは、破損したセクターやHPA(ホスト保護領域)など、ブロックデバイスへの書き込みではアクセスできないドライブの領域を消去するように設計されています。一方、ファームウェアに実装されている消去は、消去の実行方法を簡単に判別できないため、壊れているか、正しく実装されていない可能性があります。時間がある場合は、両方の方法を実行して両方の長所を利用できます。

shred --verbose --random-source=/dev/urandom -n1 /dev/sdaは、同じまたは類似の結果、つまり欠陥のあるセクターまたは割り当て解除されたセクターを含む回復不可能なデータをサポートしますか?

いいえ、それは損傷したセクターを消去することも、HPAのようなディスクの領域を消去することもありません。指定したコマンドは、機能的にはcat /dev/urandom > /dev/sdaと同等です。ただし、smartmontoolsを使用して、ドライブが報告している損傷したセクターの数を判別できます。値がゼロの場合、ブロックデバイスに書き込むだけで、アクセス可能なすべてのセクターをワイプできます。

ブロックデバイスを上書きする場合は、ddを使用して上書きできます。

dd if=/dev/urandom of=/dev/sda bs=256k conv=fsync

これにより、ランダムなデータがブロックデバイスに書き込まれ、変更が完了するとすぐに変更が同期されます。古いLinuxカーネルでは、ランダムドライバーは非常に低速です。この場合、他のランダム性のソースを使用する必要があります。たとえば、cryptsetupで暗号化されたデバイスを作成し、それにゼロを書き込みます。


将来的には、あなたが再びこのポジションに置かれないようにするために利用すべきテクニックがあります。 LUKSなどのフルディスク暗号化を使用する必要があります。LUKSは、ランダムに生成されたマスターパスワードをドライブに保持し、指定したユーザーパスワードで暗号化します。暗号化されたマスターパスワードを上書きするだけで、ドライブ上の他のすべてのデータを完全に回復できなくなります。これは、ウェアレベリングが設定されていないハードドライブで機能します。ソリッドステートドライブでは、これは機能しません。

11
forest