ubuntuusers.de

Hi Leute,

dies ist sicherlich ein Thema, an welchem sich die Geister scheiden. Ich möchte dazu eure Meinung hören.

Für magnetische Datenträger wie HDDs oder Disketten funktioniert wipe optimal. Je nach Größe der Platte benötigt er zwar einige Stunden (im Extremfall Tage; habe ich sogar einmal erlebt), aber danach sollen die Daten unwiderruflich weg und forensisch nicht wiederherstellbar sein.

Für Flash-Speichern vom Typ SSD gibt es hdparm. Damit lassen sich mit Hilfe des ATA Secure Erase sämtliche Speicherblöcke überschreiben. Ähnlich soll nvme-cli für NVME-Speicher funktionieren. Beide Programme habe ich (noch) nicht ausprobiert, werde es aber zukünftig regelmäßig in Betracht ziehen müssen. Ich möchte daher wissen:

Habt ihr mit den beiden Programmen bereits Erfahrungen sammeln können? Wenn ja, macht es zum gegenwärtigen Zeitpunkt Sinn, diese zukünftig auf Flash-Speichern anzuwenden? Und empfehlt ihr danach dennoch ein zusätzliches Übeschreiben mittels wipe?

Vielen Dank für eure Antworten.

LG

EinMensch

SecureErase habe ich mal bei ner SSHD gemacht, lieft ganz normal durch.

Du willst Datenträger überschreiben, um gespeicherte Inhalte zu vernichten.

Bei modernem Flash-Speicher ist das nicht möglich.

„Überschreiben“ setzt nämlich voraus, dass der Anwender bestimmen kann, an welche Stelle des Datenträgers der neue Inhalt geschrieben wird. Bei Flash-Speicher ist diese Voraussetzung nicht erfüllt, denn einzig der Controller des Speichers bzw. dessen Firmware bestimmt den Ablageort. Wenn ein bereits beschriebener Sektor erneut beschrieben werden soll, wird der neue Inhalt an eine freie Stelle geschrieben und der Sektor mit dem alten Inhalt als unbenutzt deklariert.

Du kannst also jedes beliebige Programm zum Überwachreiben des Flash-Speichers benutzen, richtig in Bezug auf Deine Aufgabenstellung wird keines funktionieren. Jedes dieser Programme wird aber die restliche Lebensdauer des Flash-Speichers verkürzen.

Flash-Speicher kann man, wenn überhaupt, nur durch die vom Hersteller in der Firmware implementierte Löschfunktion löschen. Diese ist über Namen wie "Secure Erase" zugänglich, sofern überhaupt eine solche Funktion implementiert ist. Das und auch was "secure" bzw. "erase" wirklich bedeuten, entscheidet ganz alleine der Hersteller. Ob im Einzelfall das Ergebnis forensischen Methoden der Datenwiederherstellung widersteht, kann wohl niemand vorher beantworten.

OK, also ich entnehme euren Antworten, dass es sich hierbei um ein reines Vabanque-Spiel handelt. Es KANN funktionieren, MUSS aber nicht, da jeder Hersteller hier sein eigenes Ding dreht. Heißt: ich muss für jeden Hersteller rausfinden, was genau für ein Programm zum Löschen bereitgestellt wird.

Naja, sowas habe ich auch schon gelesen. Ich danke erstmal für die Antworten.

kB schrieb:

Du willst Datenträger überschreiben, um gespeicherte Inhalte zu vernichten.

Bei modernem Flash-Speicher ist das nicht möglich.

Moment, wenn ich eine SSD oder einen USB Stick komplett mit Daten beschreibe, zum Beispiel einer Mp3 Datei die so groß ist wie die gesamte SSD, dann wird JEDER Speicherblock überschrieben, auch wenn der Controller vorzugsweise erst Blöcke beschreibt, die weniger genutzt wurden. Ansonsten wäre ja Datenverlust vorprogrammiert. Bitte berichtigt mich, wenn ich mit meiner Aussage falsch liege.

ferbani55 schrieb:

Bitte berichtigt mich, wenn ich mit meiner Aussage falsch liege.

Du liegst nicht falsch. Es gibt eben unterschiedliche Blickwinkel.

SSDs haben eine interne Reserve die du nicht überschreiben kannst, selbst wenn du "jeden Speicherblock überschreibst", da diese Reserve im logischen Laufwerk gar nicht sichtbar ist.

In der Praxis werden die SSDs ihre Reserven und die per fstrim freigegebenen Speicherbereiche sehr wahrscheinlich tatsächlich löschen, schon allein weil sich daraus ein Performanzvorteil ergibt - nur gelöschte Zellen können neu beschrieben werden. Daten aufheben, die auf normalem Weg nie wieder ausgelesen werden können, macht für die SSD somit keinen Sinn. Wirklich nachprüfen kann man es leider nicht, daher die ganze Paranoia von wegen "SSDs kann man nicht überschreiben".

Du kannst SSDs in sekundenschnelle Löschen, ohne irgendwas zu überschreiben. blkdiscard, fstrim reicht völlig aus. Man sollte jedoch prüfen (auch nach Secure Erase), daß das Laufwerk anschließend nur noch Nullen zurückgibt. Es gibt SSDs die Discard nicht ordentlich implementieren und Controller, die Discard-Befehle nicht durchlassen. Diese Operationen können also auch mal schief gehen und dann sind die Daten noch da.

Beim Überschreiben mit Zufallsdaten sollte man diese idealerweise ebenso nachprüfen (per cryptsetup+badblocks -w oder h2testw in Windows). Erst mit der Prüfung hast du den Beweis, daß das Speichermedium deine Daten tatsächlich in voller Länge gespeichert (und somit anderes zwangsweise überschrieben) hat, und nicht irgendwie schummelt. So erkennt man dann auch die Fake-SD-Karten von Aliexpress oder Ebay, es ist das gleiche Prinzip.

Mit der nicht überschriebenen internen Reserve der SSD ist man dann beim Händedesinfektionsmittel... da steht auch nur 99% drauf und nicht 100%, aber wenn man die Wahl hat zwischen 99% und 0%, nimmt man doch die 99%.

Ein Forensiker wird sich beschweren, wenn irgendwo ein wenige Bytes langer Schnipsel überlebt. Für praktisch verwertbare Daten brauchst du jedoch zusammenhängende Blöcke von Megabytes, Gigabytes und mehr... diese existieren schon nach einfachem TRIM nicht mehr und nach dem Überschreiben erst recht nicht.

Wer höhere Ansprüche hat, der verschlüsselt ohnehin alles, von Anfang an.