web-dev-qa-db-ja.com

消去ファイルとフォルダを保護する方法は?

異なるファイルシステム(NTFS、ext3、ext4)のファイルまたはフォルダを安全に消去/削除する方法ファイルを削除する必要があるため、そのファイルを回復することは不可能であり、メタデータのトレースとジャーナリングシステムのトレースは残りません。どうすればいいですか? SSDに使用する上書きのパス数とHDDのパス数は? OS:Linuxディストリビューション

encryptionlinuxforensicsdeletioninformation-gathering
2
user15943

この質問は、ドライブ自体へのデータの保存方法について少し混乱していると私に思わせるので、最初にそれについて触れます。

ファイルシステムタイプext3NTFSなどは、ファイルシステムのタイプにすぎません。使用されているファイルシステムのタイプ(ほとんどの場合)は、ドライブを安全にワイプする機能にzero影響を与えます。これは、すべての安全なワイプでは、無害化されるためです。

おそらくご存知のとおり、削除キーを押しても、ディスク上のスペースが完全に消去されるわけではありません。ディスクの領域に「空」のマークを付けるだけで、その領域に新しいデータを書き込むことができます。それをキュービクルと考えてください:

|  Joe  |  James  |       | Amy |

JamesとAmyの間の空のキュービクルを見ることができます。それはそのままスペースです。ジェームズが解雇されたとしましょう。したがって、彼は自分のキュービクルを片付けて去ります-しかし、彼が使用したスペースはempty-であり、-ntouchedではありません。これは重要な違いです。

|  Joe  |  *empty*  |       | Amy |

どうして?これは、新しい従業員が加わると(ここでディスクに書き込まれる新しいデータの間に平行線が描画される)、新しい従業員にfreshキャビン(Amyの左側)または中古のいずれかを与えることができますが、空のキャビン(ジェームズの古い部屋)。

これは重要な観察につながります-現在、ジェームズの古いキュービクルには誰もいませんが、データフォレンジックプログラムが探すものと同様に、新しい従業員がジェームズが残したものを見つける可能性があります。

次に、質問の次の部分に進みます。

異なるファイルシステム(NTFS、ext3、ext4)のファイルまたはフォルダーを安全に消去/削除するにはどうすればよいですか?

ファイルシステムのタイプは無関係であることがわかったので、ここでの唯一の真の考慮事項はhowです。ハードドライブ全体を消去しようとするデータ破壊プログラムは、すべてのハードドライブ領域同じように見えるの場合、以前に何が存在していたかを特定するのが非常に難しいという原則に基づいて機能します。 HDD上のデータは1と0として保存されます。したがって、ワイププログラムのタイプによっては、ディスク全体を0で調べ、すべてのセクターに0を書き込みます。これは一般的に、ドライブからzero'ingと呼ばれます。ゼロになる前の様子は次のとおりです。

|10101100|00110000|11001010|10101010|

以降:

|00000000|00000000|00000000|00000000|

この段階では、本当に本当の混乱に陥っていない限り、ほとんどの人はあきらめるかもしれません。一方、3文字のエージェンシーに追われている場合は、電子顕微鏡を使って、ビットをゼロで上書きする前にビットがどのように整列しているかを調べることができます。

そこで、新しいワイピング方法が導入されました。

これには、ゼロ化、ランダムデータの書き込み、その後のゼロ化が数回繰り返されます。各反復はpassと呼ばれていました。さまざまなパスを使用してデータを回復不能にするいくつかの手法がありましたが、市民への販売の種類を問わず、7パスを超えるとやり過ぎになります(そして、とにかくディスクの寿命を台無しにするでしょう)。

ジョンが答えで言うように ここ

ハードドライブを安全に消去するための唯一のNIST承認方法は、磁気記録研究センター(CMRR)に文書化されている安全な内部消去コマンドを利用することであり、それは誰もがすべきことです。これはATAコマンドであり、(S)ATAインターフェイスをカバーしています。

その後、オプションでドライブを消磁してファームウェア自体を消去できます。

SSD

SSDの消去は、データが磁気ディスクではなくフラッシュチップに保存される方法が原因で、よりトリッキーです。 この答え SSDを安全に消去するための最良の方法に答えます:

ATAセキュリティ消去

SSDを安全に消去する唯一の方法は、ATAのセキュリティ消去機能を使用することです。これは、すべてのATA6準拠ドライブ(つまり、事実上すべての最新のもの)に存在します。 SSDのデータを上書きしようとしても、上記のスペースのオーバープロビジョニングにより、実際にはすべてが削除されるわけではありません。残念ながら、このオーバープロビジョニングスペースのため、ドライブに存在するすべてを実際に読み取ることはできません。このスペースは常に非表示であるため、すべてを上書きしたかどうかを確認することはできません。

ATA Security Eraseは、すべての単一セクターを低レベルで上書きすることにより、この問題を解決するように設計されています。一部の新しいSSDでは、ATA拡張セキュリティ消去と呼ばれる追加機能を使用して、ドライブがデータを透過的に暗号化および復号化するために使用するマスターキーを破棄できます。キーの破棄は瞬時に行われますが、暗号化されたすべてのコンテンツにアクセスできなくなります。

そして* nixのコマンド:

# it must say "not locked", "not frozen", and "supported: enhanced erase"
hdparm -I /dev/sda | grep -A8 "^Security:"

# overwrite the drive with a repeating pattern to check for after
yes "You should not see me" > /dev/sda

# begin the erasure, without using a password
hdparm --security-set-pass NULL /dev/sda
hdparm --security-erase-enhanced NULL /dev/sda

# check if the repeating pattern is anywhere to be found
strings /dev/sda | grep "You should not see me"

これが役に立てば幸いです!

3
thel3l