Solución:
Como se cita en esta página:
El borrado seguro sobrescribe todas las áreas de datos del usuario con ceros binarios. El borrado seguro mejorado escribe patrones de datos predeterminados (establecidos por el fabricante) en todas las áreas de datos del usuario, incluidos los sectores que ya no están en uso debido a la reasignación.
Esta oración tiene sentido solo para discos giratorios y sin cifrado. En tal disco, en cualquier momento, hay un lógico ver el disco como una enorme secuencia de sectores numerados; el “borrado seguro” consiste en sobrescribir todos estos sectores (y solo estos sectores) una vez, con ceros. El “borrado seguro mejorado” se esfuerza más:
-
Sobrescribe los datos varias veces con distintos patrones de bits, para asegurarse de que los datos se destruyan por completo (si esto es realmente necesario está sujeto a debate, pero hay mucha tradición en juego aquí).
-
También sobrescribe los sectores que ya no se utilizan porque provocaron un error de E / S en algún momento y se reasignaron (es decir, el firmware del disco utiliza uno de los sectores de repuesto cuando la computadora lo lee o escribe).
Este es el intención. Desde el punto de vista de la especificación ATA, hay dos comandos, y no hay una forma real de saber cómo se implementa el borrado, o incluso si es realmente implementado. Se sabe que los discos en la naturaleza se toman algunas libertades con la especificación en ocasiones (por ejemplo, con el almacenamiento en caché de datos).
Otro método de borrado seguro, que es bastante más eficaz, es cifrado:
- Cuando se enciende por primera vez, el disco genera una clave simétrica aleatoria K y lo mantiene en un espacio de almacenamiento resistente al reinicio (por ejemplo, alguna EEPROM).
- Cada lectura o escritura de datos se cifrará simétricamente, utilizando K como clave.
- Para implementar un “borrado seguro”, el disco solo necesita olvidar K generando uno nuevo y sobrescribiendo el anterior.
Esta estrategia es aplicable tanto a los discos giratorios como a los SSD. De hecho, cuando un SSD implementa el “borrado seguro”, DEBE usar el mecanismo de cifrado, porque “sobrescribir con ceros” tiene mucho menos sentido, dado el comportamiento de las celdas Flash y las capas de código de corrección de errores / reasignación pesada que se usan en los SSD .
Cuando un disco utiliza cifrado, no hará distinciones entre “borrado seguro” y “borrado seguro mejorado”; puede implementar ambos comandos (a nivel de protocolo ATA), pero producirán los mismos resultados. Tenga en cuenta que, de manera similar, si un disco giratorio afirma implementar ambos modos, es muy posible que asigne ambos comandos a la misma acción (con suerte, la “mejorada”).
Como se describe en esta página, el hdparm -I /dev/sdX
comando informará algo como esto:
Security:
Master password revision code = 65534
supported
enabled
not locked
not frozen
not expired: security count
supported: enhanced erase
Security level high
2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
2 minutos no son suficientes para sobrescribir todo el disco, por lo que si ese disco implementa algún “borrado seguro” real, debe ser con el mecanismo de cifrado. Por otro lado, si hdparm
informa esto:
168min for SECURITY ERASE UNIT. 168min for ENHANCED SECURITY ERASE UNIT.
entonces podemos concluir que:
- Este disco realiza una sobrescritura de datos completa (esa es la única razón por la que tomaría casi tres horas).
- El “borrado seguro” y el “borrado seguro mejorado” para ese disco son probablemente idénticos.
Dependiendo del tamaño del disco y el rendimiento normal para E / S masivas (se puede medir con hdparm -tT /dev/sdX
, incluso se puede inferir cuántas veces los datos se sobrescriben supuestamente. Por ejemplo, si el disco anterior tiene un tamaño de 1 terabyte y ofrece un ancho de banda de escritura de 100 MB / s, entonces 168 minutos son suficientes para una sola sobrescritura, no las tres o más pasadas que se supone que implica el “borrado seguro mejorado”.
(No hay diferencia entre las distribuciones de Linux en esa área; todas usan el mismo hdparm
utilidad.)
Cabe señalar que el borrado seguro basado en cifrado realmente borra los datos solo en la medida de la calidad del cifrado y la generación de claves. El cifrado de disco no es una tarea fácil, ya que debe ser seguro y, al mismo tiempo, admitir el acceso aleatorio. Si el firmware simplemente implementa ECB, entonces se filtrarán bloques idénticos de texto sin formato, como generalmente se ilustra en la imagen del pingüino. Además, el generación de claves puede ser chapucero; Es posible que el PRNG subyacente sea bastante débil y la clave sea susceptible de una búsqueda exhaustiva.
Estos “detalles” son muy importantes para la seguridad y no puedes probarlos. Por lo tanto, si desea asegurarse de eliminar los datos, solo hay dos formas:
-
El fabricante del disco le brinda suficientes detalles sobre lo que implementa el disco, y garantías la limpieza (preferiblemente por contrato).
-
Recurre a la vieja destrucción física. ¡Saca las trituradoras de alta resistencia, el horno caliente y el caldero de ácido!
Cuando miré esto, tuve la impresión de que el borrado seguro ATA y otras características aún no están bien implementadas por todos los fabricantes en términos de eliminación / desinfección de datos reales. Borrado de seguridad ATA en SSD http://arstechnica.com/security/2011/03/ask-ars-how-can-i-safely-erase-the-data-from-my-ssd-drive/
Mi entendimiento (limitado) es que el borrado seguro de SSD aún no está completamente estandarizado, incluso para la función de borrado seguro de hdparm. Los datos no se borran necesariamente, aunque la respuesta de Polynomial a la pregunta anterior indica que los únicos datos restantes se cifrarían. Lo mejor que puede hacer es ponerse en contacto con el proveedor y ver lo que dice.
Con respecto a los discos duros tradicionales, DBAN debería ser suficiente, aunque no garantizará que todos los datos se borren realmente. (ver http://www.dban.org/about)