CC BY
303
УДК 681.3.06
Р.А.Уточка, А.А.Фадин, И.Ю. Шахалов
ПРОБЛЕМНЫЕ ВОПРОСЫ ГАРАНТИРОВАННОГО УНИЧТОЖЕНИЯ ИНФОРМАЦИИ НА НОСИТЕЛЯХ С ПОЛУПРОВОДНИКОВОЙ ЭНЕРГОНЕЗАВИСИМОЙ ПЕРЕЗАПИСЫВАЕМОЙ ПАМЯТЬЮ
Проведен анализ проблемы гарантированного уничтожения информации на магнитных носителях. Представлен обзор подходов к гарантированному стиранию информации на носителях различного типа.
E-mail: a.fadin@cnpo.ru
Ключевые слова: информационная безопасность, методы стирания
информации.
Актуальность проблемы. Гарантированное удаление данных с носителей информации является важнейшим компонентом в системах информационной безопасности. В то время как удаление отдельных файлов с накопителей на жестких магнитных дисках (НЖМД) и полное затирание НЖМД изучены достаточно полно, твердотельные накопители (Solid State Drive, SSD) на основе электрически стираемых перепрограммируемых постоянных запоминающих устройств (ПППЗУ) имеют совершенно иную внутреннюю структуру, что вызывает определенные сомнения в эффективности применения методов гарантированного удаления информации с НЖМД к накопителям SSD. В данной работе оценивается эффективность методов, ориентированных на удаление информации с НЖМД, а также программ удаления, встроенных в накопители SSD.
В последние годы большой интерес у потребителей стали вызывать твердотельные накопители (SSD). Как правило, их внешний вид и разъемы аналогичны обычному НЖМД, при этом они обладают преимуществами по сравнению с традиционными магнитными дисками. SSD обычно быстрее, легче, потребляют меньше энергии, обеспечивают произвольный доступ к любой области данных без дополнительных издержек, имеют меньшее время задержки обращения к данным, более устойчивы к воздействиям окружающей среды (теплу, холоду, вибрациям, влажности, ударам), не производят колебаний и при правильном использовании имеют весьма долгий срок службы. При этом SSD лишь относительно недавно стали настолько дешевыми, чтобы быть доступными для широких слоев населения. Как толь-
ко себестоимость производства снизилась, производители оборудования стали проводить дальнейшие исследования и разработки для устранения определенных недостатков устройств этого типа (подробно эти особенности описаны ниже), что в итоге привело к значительному увеличению сложности этих накопителей, в частности микросхем контроллера.
Модель адресации и потоков данных в носителях типа флэш-ПППЗУ. Прежде всего следует отметить отличия накопителей на жестких магнитных дисках и SSD. НЖМД работают, создавая и считывая ориентированные в пространстве магнитные поля в фиксированных областях магнитной поверхности, которые называются блоками [2].
Каждый блок имеет трехмерное положение и область в рамках диска, определяемую по адресу «цилиндр/головка/сектор». По данному адресу можно, в частности, определить пластину диска (современные диски имеют несколько магнитных поверхностей), конкретную дорожку на диске (расстояние от центра) и определенный сектор (угловое расстояние вокруг диска).
Когда диск получает команду на запись определенного блока, он переводит ее математически в адрес «цилиндр/головка/сектор» и намагничивает магнитную поверхность диска в этом регионе требуемым образом. Если в этом месте уже имеются старые данные, они автоматически преобразуются в новые значения, аналогично тому, как запись телевизионных программ на видеомагнитофоне не требует никакой специальной подготовки носителя и, по существу, уничтожает данные, которые были на магнитной пленке до этого. Возможна такая ситуация, когда сектор жесткого диска не сохраняет данные в правильном виде. В этом случае контроллер диска сделает отметку о проблемном секторе и при доступе к нему перенаправит все запросы на дополнительную резервную поверхность небольшой площади, которая выделена на диске специально для таких ситуаций.
В отличие от НЖМД SSD, как правило, размещает данные в блоках по 512 кБ, обычно разделенных на 4-килобайтные страницы. Данные страницы и блоки состоят из больших массивов элементов типа И-НЕ. Они по своей сути аналогичны транзисторам, применяемым при разработке компьютерных процессоров. Однако у них имеется дополнительный затвор — «плавающий затвор», который используется для хранения электрического заряда (подобно тому, как хранится заряд в конденсаторе). Заряженный таким образом элемент способен хранить заряд годами без утечки, не требуя подзарядки. Чтение из массивов элементов И-НЕ осуществляется за десятки микросекунд, а запись — за сотни микросекунд, что обеспечивает серьезное преимущество по сравнению с НЖМД, где задержки чтения и записи составляют 3.. .10 мс, т. е. до 3 000 раз медленнее.
В SSD первых поколений обнаружены два нехарактерных для НЖМД недостатка [1]. Первым недостатком является износ. Достаточно перезаписать отдельные блоки в SSD примерно 10 000... ...100 000 раз, и они выйдут из строя. Проблема износа решается специальным алгоритмом распределения нагрузки, задача которого не допустить многократную перезапись одного и того же физического блока логических элементов. Вместо прямой адресации к физическому набору элементов вводится специальный метод трансляции адресов. Для обращения к данным на SSD компьютеру предоставляются логические адреса, а контроллер SSD-диска преобразует их при обращениях в физические адреса. Если компьютер по какой-либо причине перезаписывает данные по одному и тому же логическому адресу, контроллер SSD выделяет для этого логического адреса все новые и новые физические адреса из свободного пространства, отдавая приоритет наименее используемым. Этот алгоритм существенно снижает износ диска, однако фактически при перезаписи старые версии данных остаются на физическом носителе, а не «затираются» новой информацией. В некотором смысле этот алгоритм схож с механизмом обработки сбойных секторов на НЖМД, но в отличие от НЖМД он работает постоянно, фактически для каждого блока на SSD. Часть контроллера, отвечающую за трансляцию адресов, называют Flash Translation Layer (FTL) (см. рисунок). Как правило, на SSD также присутствует некоторое число резервных страниц для замены элементов, вышедших из строя в процессе эксплуатации.
Второй недостаток — низкая скорость перезаписи данных. Флэш-технология требует электронного удаления блоков перед повторным использованием. Процесс удаления идет крайне медленно по сравнению с процессами чтения и записи данных, иногда до 10 мс. Кроме того, по технологическим причинам могут быть удалены только целые блоки, а не отдельные страницы. В результате же работы алгоритма равномерного распределения нагрузки постепенно все блоки в физической памяти SSD станут заняты, что приведет к резкому снижению производительности, так как начиная с этого момента любой процедуре перезаписи требуется электронное удаление целевой ячейки памяти. Поэтому большинство производителей добавили в чип контроллера диска процедуры, которые с помощью специальных мер снижают влияние этого эффекта. Наиболее распространенной стратегией является «Сборка мусора» (Garbage Collection) или «Самовосстановление» (Self Healing). В ее основе лежит принцип сборки разбросанных по всему диску данных и их группирования, после чего освободившиеся области памяти удаляются во время простоя диска.
Filel
т '2' '3' ;4' '5' '6' FTL
1 2 3 4 5 6 7
Рис. 1. Filel использует блоки 1, 2 и 3 на диске
В результате работы описанных алгоритмов по всему физическому адресному пространству SSD-накопителя образуются многочисленные копии данных, контроль которых пользователями невозможен.
Анализ сложности гарантированного уничтожения информации на носителях типа флэш-ПППЗУ. В случае удаления файлов на уровне файловой системы, как правило, реального уничтожения данных не происходит. Файловая система лишь помечает участок на диске как свободный, освобождая это место для будущей записи. Поэтому большинство государственных стандартов и программ безопасного удаления данных используют многократную перезапись содержимого файла для гарантированного удаления данных на жестких дисках. За все годы в открытой печати так и не появились примеры восстановления данных с НЖМД после подобного уничтожения. В результате множество людей и организаций полагаются на программные методы уничтожения данных.
В случае SSD при перезаписи FTL будет писать новое содержимое сектора в другое место носителя и обновит карту соответствия так, что новые данные появятся по этому же логическому адресу. С точки зрения программы, обращающейся к диску, разницы нет, но в действительности в результате этих операций старые версии данных останутся на микросхемах флэш-памяти. Кроме того, алгоритм самовосстановления будет создавать дополнительные копии данных в процессе своей работы.
В результате этого методы удаления данных на основе их перезаписи, которые хорошо работают для жестких дисков, не подходят к SSD. Все эти методы предполагают, что перезапись порции данных в пространстве логических адресов приводит к перезаписи в том же месте на физическом носителе, где хранятся исходные данные. Перезапись данных на SSD приводит лишь к логическому удалению (т. е. данные становится невозможно извлечь с помощью SATA или SCSI-интерфейса), но при этом удаление данных из физической памяти не происходит.
Количество остаточной информации в SSD может быть довольно большим. Протестированные в работе [2] SSD имели реальный физический объем от 6 до 25 %, больший по сравнению с номинальным логическим объемом. Во время эксперимента на одном из SSD было создано 1 000 мелких файлов, далее диск разобрали, и на микросхемах памяти был запущен поиск содержимого файлов. Поиск показал, что в памяти находилось до 16 дубликатов для некоторых из этих файлов. Контроллер SSD создал данные копии во время работы алгоритмов распределения нагрузки и самовосстановления.
Осложняет ситуацию также то, что многие диски шифруют данные, а некоторые еще и сжимают информацию для улучшения производительности записи: по различным оценкам, скорость записи хорошо сжимаемой информации на 25 % выше, чем у данных, плохо поддающихся компрессии. Это добавляет дополнительный уровень сложности, отсутствующий в НЖМД, так как усложняет оценку корректности проведенной процедуры удаления данных.
Обзор подходов к гарантированному уничтожению информации в носителях типа флэш-ПППЗУ. Большинство современных накопителей имеет встроенные команды для запуска контроллером процедуры очистки накопителя. Поскольку производитель обладает полным знанием о внутреннем устройстве накопителя, эти встроенные команды должны быть очень надежны. Однако внедрение этих команд не является обязательным требованием стандарта изготовления накопителей информации.
Среди специфических команд ATA для гарантированного удаления данных существует команда «ERASE UNIT», которая затирает все доступные пользователю данные на накопителе путем записи во все ячейки единиц или нулей. Кроме того, существует расширенная команда «ERASE UNIT ENH», которая перезаписывает данные последовательностью, определяемой изготовителем накопителя (предполагая, что изготовитель лучше кого-либо другого знает эффективную последовательность, затирающую остаточную информацию на аналоговом уровне).
Второй метод затирания данных предполагает использование обычных команд ввода-вывода для перезаписи каждого блока по его логическому адресу. Многократная программная перезапись лежит в основе очень многих стандартов и инструментов гарантированного удаления данных. Все стандарты и инструменты, упоминаемые в данной работе, используют схожий подход: они последовательно перезаписывают все адресное пространство накопителя целиком, используя от 1 до 35 различных битовых последовательностей. Типичным примером является Руководящий документ Гостехкомиссии России по АС [3], предусматривающий ряд требований к механизму
уничтожения информации для систем определенных классов защищенности. В частности, для классов ЗА и 2А очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
Размагничивание является быстрым и эффективным средством уничтожения жестких дисков, так как разрушает низкоуровневое форматирование (вместе со всеми данными) и повреждает двигатель диска. Технология хранения данных, используемая в микросхемах флеш-памяти, не основана на магнетизме, поэтому не следует ожидать прямого стирания данных с запоминающих элементов в результате процедуры размагничивания. Однако сильное переменное магнитное поле, излучаемое системой размагничивания, индуцирует мощные токи в металлических слоях микросхемы. Эти токи могут повредить микросхемы, сделав чтение данных с них невозможным.
Многие из недавно появившихся SSD-накопителей шифруют данные по умолчанию, так как это обеспечивает повышенную безопасность. Шифрование также обеспечивает быстрый способ очистки устройства, так как удаление ключа шифрования из хранилища ключей в теории делает невозможным чтение данных. Преимуществом этого подхода является скорость. Опасность же заключается в том, что метод полагается на правильное затирание контроллером накопителя внутреннего хранилища информации, содержащего ключ шифрования и все производные значения, которые могут быть полезны при криптоанализе. С учетом обнаруженных в некоторых реализациях команд безопасного удаления ошибок было бы слишком оптимистичным полагаться на корректную очистку хранилища производителем. Кроме того, невозможно проверить, что удаление данных произошло.
Существует гибридный подход, который может обеспечить и скорость, и проверяемость. При применении этого подхода затирается хранилище ключей, а затем выполняется уничтожение каждого блока флеш-памяти. По окончании удаления накопитель переходит в «проверочное» состояние. В этом состоянии его можно разобрать и убедиться, что удаление блоков прошло успешно.
Затирание отдельных файлов необходимо для обеспечения безопасности данных в рабочих системах. Для систем типа персональных компьютеров и мобильных телефонов, в которых операционная система, программы и все пользовательские данные находятся на одном и том же SSD, затирание отдельных файлов является единственным вариантом удаления данных, не нарушающим рабочее состояние системы.
Удаление файла является более тонкой операцией, чем удаление всего адресного пространства. Эта операция требует удаления дан-
ных из одного или нескольких диапазонов логических адресов, оставляя прочее содержание накопителя без изменений. Ни для жестких дисков, ни для SSD не определены специальные команды удаления конкретных областей.
Существует много программных утилит, осуществляющих удаление отдельных файлов. Все они используют тот же подход, что и программные инструменты полного стирания дисков, — многократно перезаписывают файл несколькими битовыми последовательностями, а затем удаляют его. Некоторые программы гарантированного удаления также многократно перезаписывают свободное пространство (не выделенное никакому файлу).
Результаты экспериментов. Метод проверки стирания данных основан на использовании цифрового интерфейса самого низкого уровня: ножек отдельных микросхем флеш-памяти. Для проверки корректности затирания данных на SSD записывается определенная последовательность данных, называемая «отпечатком» и применяется тот или иной способ удаления данных. Отпечаток позволяет легко определить остаточную информацию на микросхемах памяти. Он содержит порядковый номер, являющийся уникальным для каждого отпечатка, байтовые шаблоны, помогающие определить и собрать отпечатки, и контрольную сумму. Также в его состав входит идентификатор, который используется для определения различных поколений отпечатков. Например, все отпечатки, записанные как часть одного цикла перезаписи или одного файла, будут иметь одинаковый идентификатор. Каждый отпечаток содержит 88 байт и повторяется пять раз в 512-байтовом секторе ATA.
После записи отпечатков и проведения процедуры очистки накопитель разбирается. Для извлечения данных с микросхем флеш-памяти используется система, основанная на программируемой пользователем вентильной матрице (ППВМ), обеспечивающей прямой доступ к микросхемам памяти.
Наконец, отпечатки собираются и анализируются для определения качества удаления. SSD-накопители могут различаться между собой в алгоритмах распределения и хранения данных на флэш-микросхемах: некоторые чередуют байты между микросхемами (например, нечетные байты на одной микросхеме памяти и четные байты на другой), некоторые инвертируют данные перед записью. Регулярность отпечатков позволяет легко определять и собирать их, невзирая на эти сложности. Подсчет числа отпечатков, которые удалось восстановить, и их категоризация по идентификаторам позволяет оценить эффективность процедур затирания.
При проверке не все накопители поддерживали встроенный набор команд гарантированного удаления ATA, а три из проверенных
накопителей не выполнили успешно команду очистки, которую официально поддерживают (табл. 1).
Таблица 1
Список команд удаления данных для разных типов контроллеров
Код Контроллер Команда безопасного Команда улучшенного безопасного
SSD удаления данных удаления данных
A 1-MLC Не поддерживается Не поддерживается
В 2-SLC Не работает1 Не поддерживается
C 1-MLC Не работает2 Не поддерживается
D 3-MLC Не работает2 Не поддерживается
E 4-MLC Шифрование3 Шифрование3
F 5-MLC Работает Работает
G 6-MLC Работает Работает
H 7-MLC Работает Работает
I 8-MLC Работает Работает
J4 9-TLC Не поддерживается Не поддерживается
K4 L4 10-MLC Не поддерживается Не поддерживается
11-MLC Не поддерживается Не поддерживается
1 Контроллер сообщил об успешном завершении операции, но все данные остались нетронутыми.
2 Затирание успешно только при определенных условиях.
3 Стирание методом удаления ключей шифрования, проверить удаление ключей невозможно.
4 Устройства USB Mass Storage Device не поддерживают команды безопасности ATA.
Всего тестировали 12 различных SSD. Прежде всего определяли, поддерживают ли они наборы команд гарантированного удаления данных. Если SSD поддерживает команду, эффективность ее работы проверяли путем многократной записи отпечатка во всю область данных и запуска команды очистки. Многократная перезапись более эффективно заполняет области памяти отпечатками. Поддержка команд и их реализация отличаются в зависимости от производителя и версии прошивки. Восемь накопителей сообщили, что они поддерживают команды из набора ATA SECURITY. Один из них шифрует данные, поэтому проверить корректность удаления данных не удалось. Из остальных семи накопителей только четыре надежно выполнили команду «ERASE UNIT».
Поведение накопителя B является наиболее тревожным: он сообщил, что затирание прошло успешно, но все данные остались нетронутыми, даже файловая система осталась в монтируемом состоянии. Еще два привода содержали ошибку, не позволявшую отработать команде «ERASE UNIT», если только прошивка контроллера не
была недавно обновлена, в противном случае команда затирала только первый логический адрес. Тем не менее эти накопители корректно сообщали, что команда не сработала. Значительные отличия между накопителями приводят к выводу, что каждая реализация команд безопасного удаления должна быть индивидуально протестирована прежде чем этим командам можно будет доверять.
В дополнение к стандартным командам несколько производителей SSD предоставляют специальные утилиты, которые дают контроллеру нестандартные команды удаления данных. Эти команды не проверяли, хотя предполагается, что результаты были бы похожи на полученные для команд ATA: большинство будет работать правильно, но некоторые могут содержать ошибки. Несмотря на это нестандартные команды имеют ограниченное применение: обычный пользователь может не знать, какой именно моделью SSD он владеет, не говоря уже о том, чтобы устанавливать специализированные утилиты для работы с ним. Кроме того, полезность утилиты зависит от того, будет ли производитель поддерживать ее в актуальном состоянии и доступной пользователям. Стандартные же команды должны работать корректно всегда.
Число в каждой колонке (табл. 2) указывает на число проходов, необходимых для полного удаления данных. Накопители с идентификаторами G-I используют шифрование данных, поэтому адекватно оценить эффективность способов затирания не удалось.
Таблица 2
Число проходов для удаления данных
Код 20 последовательных проходов 20 случайных проходов
при инициализации при инициализации
накопителя последовательной случайной последовательной случайной
A >20 Нет1 Нет1 Нет1
B 1 Нет1 Нет1 Нет1
C 2 2 2 2
D 2 2 Нет1 Нет1
F 2 121 ч 2 121 ч 2 121 ч 2
J 2 70 ч 2 70 ч 2 70 ч 2
K 2 140 ч 2 140 ч 2 140 ч 2
L 2 58 ч 2 58 ч 2 58 ч 2
1 Недостаточно накопителей для выполнения испытаний со всеми вариантами.
2 Для испытаний потребовалось слишком много времени, указано время одного прохода.
Различные битовые последовательности используются при перезаписи НЖМД для изменения наибольшего количества физических
бит на поверхности диска, и, как следствие, максимально затруднить восстановление данных аналоговыми средствами. Битовые последовательности потенциально важны и для SSD, но по другой причине. Поскольку некоторые SSD сжимают данные перед сохранением, они запишут меньше бит информации в память в том случае, если данные обладают высокой сжимаемостью. Отсюда предполагается, что для максимальной эффективности процедуры перезаписи SSD должны использовать случайные данные. Однако только один из тестируемых накопителей (накопитель G) использовал сжатие, а поскольку он использовал еще и шифрование, проверить эффективность удаления данных оказалось невозможным.
Оценить методы перезаписи можно, просто перезаписав накопитель многими поколениями отпечатков, а затем извлечением содержимого и подсчетом числа поколений, все еще присутствующих в памяти. Если k поколений остаются, и первое поколение полностью стерто, это означает, что k проходов достаточно, чтобы затереть накопитель.
Сложность слоя трансляции адресов SSD означает, что история использования накопителя до процедуры перезаписи может повлиять на эффективность метода. Для того чтобы учесть этот фактор, SSD-накопители специально подготавливали путем записи первого прохода данных последовательно или в случайном порядке. Затем проводили 20 последовательных перезаписей. Для случайных записей запись проводилась в каждый логический адрес ровно один раз, но в псевдослучайном порядке.
В табл. 2 приведены результаты для восьми протестированных накопителей без шифрования. Цифры показывают, сколько поколений отпечатков необходимо для удаления данных. Для некоторых накопителей случайные записи проходили чрезвычайно медленно — до 121 ч за один проход, так что случайные тесты для этих SSD не были выполнены. В большинстве случаев перезаписи всего адресного пространства двух раз было достаточно, чтобы затереть накопитель независимо от его предыдущего состояния. Зафиксированы три исключения: около 1 % (1 ГБ) данных остались на накопителе А после 20 проходов. Также была протестирована одна из реализаций стандарта 5220.22-M [5] для накопителя C. В случае последовательной инициализации этим способом удалили все данные, но для случайной инициализации один отпечаток остался.
В целом результаты для способа перезаписи неудовлетворительные: в то время, как перезапись кажется эффективной для широкого спектра накопителей, это явно не универсально надежный метод.
Размагничивание проводили для отдельных микросхем памяти, а не для всего накопителя в целом. Использовали семь микросхем, применяющих технологии SLC, MLC и TLC (Triple-Level Cell). Ин-
струментом размагничивания служила система размагничивания дисков Security, Inc HD-3D, проверенная Агентством национальной безопасности США и позволяющая полностью уничтожать данные на современных жестких дисках. Эта система размагничивает микросхемы путем приложения вращающегося магнитного поля с индукцией 14 000 Гс, компланарного к микросхемам, и перпендикулярного переменного магнитного поля с индукцией 8 000 Гс. Во всех случаях данные сохранились.
Накопитель E использует этот подход. Время выполнения команды стирания менее 1 с.
Проведено тестирование 13 протоколов, опубликованных в качестве различных государственных стандартов, а также коммерческого программного обеспечения, предназначенного для удаления отдельных файлов. В целях сокращения числа накопителей, необходимых для испытаний, проведено тестирование нескольких методов одновременно на одном накопителе. Накопитель отформатирован в Windows и заполнен сериями файлов размером 1 Гб с различными отпечатками. Затем к каждому файлу применили один из методов стирания, привод был разобран, и проведен поиск отпечатков.
Поскольку к накопителю применяется сразу несколько методов, эффекты от разных методов могут накладываться друг на друга: если после применения первого метода сохраняется остаточная информация, следующий метод может ее затереть. Для снижения уровня воздействия этого эффекта эксперимент проводился трижды с применением методов в разном порядке.
Один из протоколов (Gutmann) содержит 35 проходов и оказывает очень большое влияние на результаты протоколов, запущенных непосредственно перед ним. Поэтому проверку его эффективности проводили на отдельном накопителе.
Все протоколы затирания отдельного файла не справились с задачей (табл. 3): от 4 до 75 % содержимого файлов осталось на SATA SSD. Результаты для USB-накопителей не намного лучше: от 0,57 % до 84,9 % данных сохранилось.
Также проверяли метод перезаписи свободного пространства. Для моделирования использования накопителя его заполняли маленькими (4 Кб) и большими файлами (более 512 Кб). Затем мелкие файлы удаляли и свободное пространство перезаписывали 100 раз. Данные табл. 4 показывают, что независимо от количества свободного места метод перезаписи не эффективен.
Одновременно с перезаписью свободного пространства опробовали дефрагментацию диска. Предполагалось, что перестановка файлов в файловой системе может спровоцировать контроллер SSD повторно использовать больше физических адресов в микросхемах. Из табл. 4 следует, что это также неэффективно.
Ни один из протоколов не справился с задачей полного удаления остаточной информации о файле. Диапазоны значений показывают разброс результатов в нескольких экспериментах на одном алгоритме.
Таблица 3
Объемы неуничтоженных данных
Алгоритм затирания Объем неуничтоженных данных, %
SATA-устройства USB-устройства
Стандартное стирание в файловой 4,3...91,3 99,4
системе
Gutmann [4] 0,8...4,3 71,7
Gutmann "Lite" [4] 0,02...8,7 84,9
US DoD 5220.22-M (7) [5] 0,01...4,1 0,0...8,9
RCMP TSSIT OPS-II [6] 0,01...9,0 0,0...23,5
Schneier 7 Pass [7] 1,7...8,0 0,0...16,2
German VSITR [8] 5,3...5,7 0,0...9,3
US DoD 5220.22-M (4) [5] 5,6...6,5 0,0...11,5
British HMG IS5 (Enh.) [9] 4,3...7,6 0,0...34,7
US Air Force 5020 [10] 5,8...7,3 0,0...63,5
US Army AR380-19 [11] 6,91...7,07 1,1
British HMG IS5 (Base.) [9] 6,3...58,3 0,6
Псевдослучайные данные [9] 6,16...75,7 1,1
Операция надежного удаления 67,0 9,8
в Mac OS X
Таким образом, метод перезаписи неэффективен независимо от размера свободного пространства. Дефрагментирование накопителя незначительно влияет на эффективность метода (1.. .2 %).
Таблица 4
Объем восстановленных данных при их перестановке
Тип SSD Число перезаписей Свободное пространство, Мб Объем восстановленных данных, %
SATA SSD 100x 20 87
SATA SSD 100x 19,800 79
SATA SSD 100x + defrag. 20 86
USB SSD 100x 6 64
USB SSD 100x 500 53
USB SSD 100x + defrag. 6 62
Выводы. По итогам исследования можно сделать следующие выводы:
1. Встроенные команды удаления данных эффективны, но не всегда изготовитель реализует их корректно.
2. Двойная перезапись всего адресного пространства SSD-нако-пителя не обязательно гарантирует полное удаление данных.
3. Ни один из существующих методов гарантированного удаления отдельных файлов, применимых к НЖМД, не эффективен для SSD-накопителей.
Высокая сложность SSD-устройств по сравнению с НЖМД требует наличия встроенных команд гарантированной очистки данных, учитывающих всю специфику SSD. Поскольку тесты показали, что производители не всегда реализуют эти команды корректно, необходимо обеспечить верификацию этих механизмов. Текущие версии стандартов ATA и SCSI не предоставляют механизмов для верификации, а последние подходы в области встроенного шифрования и сжатия данных на этих носителях делают процедуру подобной верификации еще более сложной.
СПИСОК ЛИТЕРАТУРЫ
1. Graeme B. Bell, Richard Boddington. Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery? // The Journal of Digital Forensics, Security and Law. 2010. - Vol. 5, Ко. 3. - 20 p.
2. Michael Wei, Laura M. Grupp, Frederick E. Spada, Steven S w a n s o n . Reliably Erasing Data From Flash-Based Solid State Drives . FAST'11: 9th USENIX Conference on File and Storage Technologies, 2011. - 13 p.
3. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности АС и ИВС / Котенко И.В., Котухов М.М., Марков А.С и др. СПб.: ВУС, 2000. -190 с.
4. Gutmann P. Secure deletion of data from magnetic and solid-state memory. In SSYM'96: Proceedings of the 6th Conference on USENIX Security Symposium, Focusing on Applications of Cryptography, 1996. - 8 p.
5. U. S. Defense Security Services. Clearing and Sanitization Matrix, 2007.
6. Royal Canadian Mounted Police. G2-003, Hard Drive Secure Information Removal and Destruction Guidelines, 2003.
7. Schneier B. Applied cryptography (2nd ed.): protocols, algorithms, and source code in C. John Wiley & Sons, Inc., New York, NY, USA, 1995.
8. Bundesamts fr Sicherheit in der Informationstechnik. Richtlinien zum Geheimschutz von Verschlusssachen beim Einsatz von Informationstechnik, December 2004.
9. E r a s e r . http://eraser.heidi.ie/.
10. U. S. Air Force. Air Force System Security Instruction 5020, 1998.
11. U. S. Army. Army Regulation 380-19, 1998.
Статья поступила в редакцию 19.10.2011
