Sicheres löschen für SSD

Hampti

Overclocking Team Member

Registered: Feb 2004
Location: Wien
Posts: 4176

23.03.2021 - 11:38

Hallo,

für HDD gibt es ja einige Schlagworte in diesem Zusammenhang bzw. Standards nach denen man sich richten kann wie z.B. DoD 5220.22-M , oder mehrfaches Überschreiben nach DIN 33858 bzw. VSITR.

Alle diese Varianten greifen jedoch nicht bei SSDs. Hat jemand Erfahrungen gemacht bezügl. welche Standards hier greifen?

Vielen Dank für die Unterstützung.
LG

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19786

23.03.2021 - 12:20

Mehrfach überschreiben wär mir bei einer SSD zu schade, für privaten Gebrauch wird ja einmal überschreiben hoffentlich reichen (mal abgesehen davon, kann man bei Flash Speicher nach einmal überschreiben überhaupt noch was rekonstruieren - ist ja kein magnetischer Speicher wie bei einer Spindel)?
Mit einer Linux Maschine einfach die komplette Platte einmal mit 1en oder so vollschreiben mit so einem Einzeiler?

/Edit: Außer die machen irgendeine interne Kompression, dann sollten die Daten eher random sein vermute ich - sonst wird da vermutlich kaum was überschrieben. Thema ist vermutlich gar nicht so einfach.

Bearbeitet von daisho am 23.03.2021, 12:24

Hampti

Overclocking Team Member

Registered: Feb 2004
Location: Wien
Posts: 4176

23.03.2021 - 12:39

Geht um Anforderungen bei Multifunktionsgeräten respektive deren eingebauten Festplatten. Std. wäre hier ja noch HDD aber SSD kommt immer öfter.

.Gh#Z7

Addicted

Registered: May 2005
Location: AdW
Posts: 556

23.03.2021 - 12:59

Kenn dazu leider auch nichts gutes. Einige Firmen haben zu Beginn vorgeschrieben SSDs zu vernichten wenn die Datenklassifizierung sichere Löschung erfordert, aber wird spätestens mit fix eingebauten dann komplett unlustig.

Ich war bisher auch immer der Meinung, dass es extrem unrealistisch ist, etwas zu recovern, durch wear leveling, compression, ... Eine konkrete und referenzierbare Aussage dazu fehlt mir aber bisher auch.

Edit: Die NIST erwähnt auch, dass einfaches Überschreiben bei Flash Speicher nicht ausreichen "kann" + ein paar Alternativen. Muss man dann auch noch vom konkreten Modell abhängig machen, ob die anwendbar sind. https://nvlpubs.nist.gov/nistpubs/S...SP.800-88r1.pdf

Bearbeitet von .Gh#Z7 am 23.03.2021, 13:07

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19786

23.03.2021 - 13:07

Ich würde davon ausgehen dass der Hersteller eine Secure Erase Funktion mitliefert.
Ähnlich der SSD Tool Softwares diverser Hersteller bei Consumer-SSDs.

Bei einer SSD o.Ä. in einem MFP würde ich auch davon ausgehen dass ansonsten ein manuelles Erase welcher Art auch immer (z.B. via SSH Zugriff) z.B. auch die Firmware wiped und das Gerät dann unbenutzbar ist. Ausbau von der Platte ist dann halt auch so ein Ding, kann man vermutlich nicht immer davon ausgehen dass das bei jedem Gerät so einfach geht (bzw. niemand mehr den MFP nachher will wenn auf die Weise geöffnet).

Ich vermute bei wirklich sensiblen Daten in bestimmten Bereichen werden die Geräte und/oder SSDs dann einfach geschrottet bevor man sich da so etwas antut ...

/Edit:
Noch kurz zur generellen Fragestellung. Würde es überhaupt ein geeignetes Verfahren geben das Allgemeingültig funktioniert nachdem theoretisch jeder Controller etc. der SSDs anders funktionieren kann? Ist man da nicht sowieso auf Herstellertools angewiesen?

.Gh#Z7

Addicted

Registered: May 2005
Location: AdW
Posts: 556

23.03.2021 - 13:11

Das hier klingt schon besser, ist hald die Frage ob das alle supporten? Aus https://h20195.www2.hp.com/v2/GetDo...me=4AA7-8067ENW

Zitat
Block Erase is a function supported in SATA SSDs. Using the ATA command BLOCK ERASE EXT, this function will instruct the SSD controller to apply an erase voltage to all NAND cells of the device (including any cells which form blocks that have been retired, re-allocated, involved in garbage collection or over-provisioning or are part of a reserved pool of spare blocks). This functionality provides a very fast, complete and robust erasure of the SSD.

[...]

Crypto Erase is a function supported on SATA Self-Encrypting Drives (SEDs). Using the ATA command CRYPTO SCRAMBLE EXT, this function removes the encryption key on the drive, effectively making it impossible to reconstruct any of the data on the storage device.

NVMe devices support sanitize functions, such as BLOCK ERASE and CRYPTO ERASE operations by using the SANACT command. So, by setting some specific bits in this command structure, functions similar to these operations can be carried out.

p1perAT

-

Registered: Sep 2009
Location: AT
Posts: 2952

23.03.2021 - 13:17

Wie sicher das Verfahren ist, das ich gewählt habe, kann ich nicht sagen, da ich nicht versucht hab die Daten wiederherzustellen, folgendes war zumindest bisher meine Vorgehensweise bei SSDs:

- Format unter Linux mit 'Erase...' als Option gesetzt.
- anschließend ATA Secure Erase anhand folgender Anleitung(en) durchgeführt: Kernel.org - ATA Secure Erase bzw. ubuntuusers - SSD Secure Erase

Als theoretisch dritten Punkt hatte ich auch mal ein Script, welches die Platte voll schreibt. Hab ich tatsächlich afair aber nur bei 1 oder 2 Platten zusätzlich verwendet.

Rogaahl

Elder
interrupt

Registered: Feb 2014
Location: K
Posts: 2393

23.03.2021 - 14:43

Solid state drive/Memory cell clearing - ArchWiki

Link: wiki.archlinux.org

XXL

insomnia

Registered: Feb 2001
Location: /dev/null
Posts: 15703

23.03.2021 - 14:47

Wirklich interessant wäre das erst wenn die SSD am Ende ihrer Writes ist, weil dann kannst du Softwareseitig normal gar nichts mehr Löschen

Also wie löscht du eine Platte sicher die sich selber zu einem ROM geschrieben hat ...

Ansonsten wird wahrscheinlich ein Durchgang random writes ziemlich sicher alles löschen ...

.Gh#Z7

Addicted

Registered: May 2005
Location: AdW
Posts: 556

23.03.2021 - 15:33

Aber dann steht ja einer physischen Zerstörung auch nichts mehr im Wege?

Michi

¯\_(ツ)_/¯

Registered: Aug 2000
Location: nö
Posts: 2298

23.03.2021 - 15:53

Recht interessant wie das Thema in unterschiedlichen Firmen angegangen wird. Hier wird einfach die Festplatte ausgebaut - sofern möglich - und gemeinsam mit der Hardware vernichtet

Da brauchst dir keine Gedanken über "Daten überschreiben" machen

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

23.03.2021 - 16:51

Hab irrtümlich mal eine ganze Menge Videos auf einer externe SSD gelöscht. Ließ sich mit keinem der bekannten Tools wieder vernünftig herstellen. Ist aber schon eine Weile her ..

roscoe

tinkerer

Registered: Mar 2005
Location: 1050 Wien
Posts: 715

23.03.2021 - 17:02

SSDs/Secure Erase ist ein interessantes Thema; wenn es kein Hersteller Tool gibt oder das Tool nicht durch den (RAID-)Controller "durch" kann, baue ich die SSDs aus und lösche sie mit Parted Magic.

sichNix

Here to stay

Registered: Nov 2014
Location: 1230
Posts: 1080

23.03.2021 - 19:44

ich kenn nur den nist beitrag, aber standards sind mir damals (~5 jahre her) nicht untergekommen.

wir haben uns mit https://support.lenovo.com/de/de/downloads/ds019026 und https://support.hp.com/id-en/document/c06204100 beholfen und "drauf vertraut" -> ab c-level wurden alle nicht beweglichen speichermedien physisch vernichtet.

Römi

Hausmeister

Registered: Feb 2001
Location: Bez. Tulln
Posts: 5324

25.03.2021 - 18:20

Privat würden sich die Hersteller tools empfehlen (zb wd dashboard kann secure erase).

Für die Firma würd ich die shreddern lassen. Alles andere ist imo nicht wirklich praktikabel. Außer das Gerät wos drin sind bietet von haus aus secure erase an, wenn das leicht/schnell geht und man das Gerät asl ganzes irgendwie verwerten will.

Bearbeitet von Römi am 25.03.2021, 18:22

Hampti Overclocking Team Member Registered: Feb 2004 Location: Wien Posts: 4176	23.03.2021 - 11:38 Hallo, für HDD gibt es ja einige Schlagworte in diesem Zusammenhang bzw. Standards nach denen man sich richten kann wie z.B. DoD 5220.22-M , oder mehrfaches Überschreiben nach DIN 33858 bzw. VSITR. Alle diese Varianten greifen jedoch nicht bei SSDs. Hat jemand Erfahrungen gemacht bezügl. welche Standards hier greifen? Vielen Dank für die Unterstützung. LG
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19786	23.03.2021 - 12:20 Mehrfach überschreiben wär mir bei einer SSD zu schade, für privaten Gebrauch wird ja einmal überschreiben hoffentlich reichen (mal abgesehen davon, kann man bei Flash Speicher nach einmal überschreiben überhaupt noch was rekonstruieren - ist ja kein magnetischer Speicher wie bei einer Spindel)? Mit einer Linux Maschine einfach die komplette Platte einmal mit 1en oder so vollschreiben mit so einem Einzeiler? /Edit: Außer die machen irgendeine interne Kompression, dann sollten die Daten eher random sein vermute ich - sonst wird da vermutlich kaum was überschrieben. Thema ist vermutlich gar nicht so einfach. Bearbeitet von daisho am 23.03.2021, 12:24
Hampti Overclocking Team Member Registered: Feb 2004 Location: Wien Posts: 4176	23.03.2021 - 12:39 Geht um Anforderungen bei Multifunktionsgeräten respektive deren eingebauten Festplatten. Std. wäre hier ja noch HDD aber SSD kommt immer öfter.
.Gh#Z7 Addicted Registered: May 2005 Location: AdW Posts: 556	23.03.2021 - 12:59 Kenn dazu leider auch nichts gutes. Einige Firmen haben zu Beginn vorgeschrieben SSDs zu vernichten wenn die Datenklassifizierung sichere Löschung erfordert, aber wird spätestens mit fix eingebauten dann komplett unlustig. Ich war bisher auch immer der Meinung, dass es extrem unrealistisch ist, etwas zu recovern, durch wear leveling, compression, ... Eine konkrete und referenzierbare Aussage dazu fehlt mir aber bisher auch. Edit: Die NIST erwähnt auch, dass einfaches Überschreiben bei Flash Speicher nicht ausreichen "kann" + ein paar Alternativen. Muss man dann auch noch vom konkreten Modell abhängig machen, ob die anwendbar sind. https://nvlpubs.nist.gov/nistpubs/S...SP.800-88r1.pdf Bearbeitet von .Gh#Z7 am 23.03.2021, 13:07
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19786	23.03.2021 - 13:07 Ich würde davon ausgehen dass der Hersteller eine Secure Erase Funktion mitliefert. Ähnlich der SSD Tool Softwares diverser Hersteller bei Consumer-SSDs. Bei einer SSD o.Ä. in einem MFP würde ich auch davon ausgehen dass ansonsten ein manuelles Erase welcher Art auch immer (z.B. via SSH Zugriff) z.B. auch die Firmware wiped und das Gerät dann unbenutzbar ist. Ausbau von der Platte ist dann halt auch so ein Ding, kann man vermutlich nicht immer davon ausgehen dass das bei jedem Gerät so einfach geht (bzw. niemand mehr den MFP nachher will wenn auf die Weise geöffnet). Ich vermute bei wirklich sensiblen Daten in bestimmten Bereichen werden die Geräte und/oder SSDs dann einfach geschrottet bevor man sich da so etwas antut ... /Edit: Noch kurz zur generellen Fragestellung. Würde es überhaupt ein geeignetes Verfahren geben das Allgemeingültig funktioniert nachdem theoretisch jeder Controller etc. der SSDs anders funktionieren kann? Ist man da nicht sowieso auf Herstellertools angewiesen?
.Gh#Z7 Addicted Registered: May 2005 Location: AdW Posts: 556	23.03.2021 - 13:11 Das hier klingt schon besser, ist hald die Frage ob das alle supporten? Aus https://h20195.www2.hp.com/v2/GetDo...me=4AA7-8067ENW Zitat Block Erase is a function supported in SATA SSDs. Using the ATA command BLOCK ERASE EXT, this function will instruct the SSD controller to apply an erase voltage to all NAND cells of the device (including any cells which form blocks that have been retired, re-allocated, involved in garbage collection or over-provisioning or are part of a reserved pool of spare blocks). This functionality provides a very fast, complete and robust erasure of the SSD. [...] Crypto Erase is a function supported on SATA Self-Encrypting Drives (SEDs). Using the ATA command CRYPTO SCRAMBLE EXT, this function removes the encryption key on the drive, effectively making it impossible to reconstruct any of the data on the storage device. NVMe devices support sanitize functions, such as BLOCK ERASE and CRYPTO ERASE operations by using the SANACT command. So, by setting some specific bits in this command structure, functions similar to these operations can be carried out.
p1perAT - Registered: Sep 2009 Location: AT Posts: 2952	23.03.2021 - 13:17 Wie sicher das Verfahren ist, das ich gewählt habe, kann ich nicht sagen, da ich nicht versucht hab die Daten wiederherzustellen, folgendes war zumindest bisher meine Vorgehensweise bei SSDs: - Format unter Linux mit 'Erase...' als Option gesetzt. - anschließend ATA Secure Erase anhand folgender Anleitung(en) durchgeführt: Kernel.org - ATA Secure Erase bzw. ubuntuusers - SSD Secure Erase Als theoretisch dritten Punkt hatte ich auch mal ein Script, welches die Platte voll schreibt. Hab ich tatsächlich afair aber nur bei 1 oder 2 Platten zusätzlich verwendet.
Rogaahl Elder interrupt Registered: Feb 2014 Location: K Posts: 2393	23.03.2021 - 14:43 Solid state drive/Memory cell clearing - ArchWiki Link: wiki.archlinux.org
XXL insomnia Registered: Feb 2001 Location: /dev/null Posts: 15703	23.03.2021 - 14:47 Wirklich interessant wäre das erst wenn die SSD am Ende ihrer Writes ist, weil dann kannst du Softwareseitig normal gar nichts mehr Löschen Also wie löscht du eine Platte sicher die sich selber zu einem ROM geschrieben hat ... Ansonsten wird wahrscheinlich ein Durchgang random writes ziemlich sicher alles löschen ...
.Gh#Z7 Addicted Registered: May 2005 Location: AdW Posts: 556	23.03.2021 - 15:33 Aber dann steht ja einer physischen Zerstörung auch nichts mehr im Wege?
Michi ¯\_(ツ)_/¯ Registered: Aug 2000 Location: nö Posts: 2298	23.03.2021 - 15:53 Recht interessant wie das Thema in unterschiedlichen Firmen angegangen wird. Hier wird einfach die Festplatte ausgebaut - sofern möglich - und gemeinsam mit der Hardware vernichtet Da brauchst dir keine Gedanken über "Daten überschreiben" machen
Guest Deleted User Registered: n/a Location: Posts: n/a	23.03.2021 - 16:51 Hab irrtümlich mal eine ganze Menge Videos auf einer externe SSD gelöscht. Ließ sich mit keinem der bekannten Tools wieder vernünftig herstellen. Ist aber schon eine Weile her ..
roscoe tinkerer Registered: Mar 2005 Location: 1050 Wien Posts: 715	23.03.2021 - 17:02 SSDs/Secure Erase ist ein interessantes Thema; wenn es kein Hersteller Tool gibt oder das Tool nicht durch den (RAID-)Controller "durch" kann, baue ich die SSDs aus und lösche sie mit Parted Magic.
sichNix Here to stay Registered: Nov 2014 Location: 1230 Posts: 1080	23.03.2021 - 19:44 ich kenn nur den nist beitrag, aber standards sind mir damals (~5 jahre her) nicht untergekommen. wir haben uns mit https://support.lenovo.com/de/de/downloads/ds019026 und https://support.hp.com/id-en/document/c06204100 beholfen und "drauf vertraut" -> ab c-level wurden alle nicht beweglichen speichermedien physisch vernichtet.
Römi Hausmeister Registered: Feb 2001 Location: Bez. Tulln Posts: 5324	25.03.2021 - 18:20 Privat würden sich die Hersteller tools empfehlen (zb wd dashboard kann secure erase). Für die Firma würd ich die shreddern lassen. Alles andere ist imo nicht wirklich praktikabel. Außer das Gerät wos drin sind bietet von haus aus secure erase an, wenn das leicht/schnell geht und man das Gerät asl ganzes irgendwie verwerten will. Bearbeitet von Römi am 25.03.2021, 18:22

Sicheres löschen für SSD

Forum Index > Hardware > Komponenten > Storage & Memory

Hampti

daisho

Hampti

.Gh#Z7

daisho

.Gh#Z7

p1perAT

Rogaahl

XXL

.Gh#Z7

Michi

Guest

roscoe

sichNix

Römi