Forum: PC Hard- und Software SSDs und SSHDs löschen

Sinnvoller als Nullen sind immer (pseudo-)zufällige Daten.

Wirklich garantieren kann dir das natürlich nur ein Hersteller-Tool am 
Ende, denn selbst wenn du die ganze SSD mit Zufallsdaten überschreibst, 
könnte es gut sein, dass irgendwo auf Reservesektoren alte Daten von dir 
liegen. Die sind zwar über das normale Interface dann nicht zugreifbar 
(wenn der Controller sich entscheidet, diese wieder ins Spiel zu 
bringen, dann tut er das ja für einen neuen Schreibvorgang), aber wenn 
jemand die SSD demontiert und die einzelnen Speicherchips ausbaut, dann 
könnte er an sowas rankommen.

Von SSDs mit eingebauter Verschlüsselung arbeiten mindestens einige, 
vielleicht alle, auch dann im internen Datenpfad mit aktiver 
Verschlüsselung, wenn man das nicht nutzt. Ein neuer Schlüssel löscht 
dann effektiv den Inhalt, denn mit dem, was dann auf dem Flash drauf 
ist, kann niemand mehr etwas anfangen. Das entsprechende Hersteller-Tool 
macht dann genau das.

Also bei SSDs werden mit dem s.g. Secure-Erase Kommando alle 
Speicherblöcke gelöscht (sind dann 0xFF). Das das nichts mit 
Überschreiben zu tun hat geht das auch recht schnell.
Ob es das bei SSHDs auch gibt bin ich überfragt, dort "sieht" ja das 
Betriebssystem nur einen Datenträger, was auf der SSD gespeichert wird 
entscheidet der Controller anhand der Zugriffsmuster.

Sascha

Sascha W. schrieb:
> Also bei SSDs werden mit dem s.g. Secure-Erase Kommando alle
> Speicherblöcke gelöscht (sind dann 0xFF).

Hängt vom Hersteller ab.
https://www.thomas-krenn.com/de/wiki/SSD_Secure_Erase

Robert schrieb:
> ich frage mich gerade, ob man bei SSDs und SSHDs durch ein
> Lösch-Verfahren sicherstellen kann, dass sich keine ursprünglichen Daten
> mehr auf dem Datenträger befinden?

Klare Antwort: nein
Man kann sich nicht sicher sein, da man nicht weiss, wie genau die SSD 
intern genau arbeitet.
Relativ sicher wäre wohl, wenn man die SSD mit Zufallszahlen 
überschreibt und dann diese Daten wieder zurückliest und mit den vorher 
geschriebenen vergleicht, die man irgendwo zwischengespeichert hat. So 
wäre man zumindest sicher, dass die Zufallszahlen auch alle geschrieben 
wurden, bis zur angegebenen Speicherkapazität.
Aber selbst dann weiss man ja nicht, wieviel Speicher die SSD 
tatsächlich hat und was sie da intern noch so umherkopiert hat.
Wenn sicheres Löschen zwingend notwendig ist, muss man sie nachwievor 
physikalisch zerstören, so wie dies schon bei mechanischen Festplatten 
der Fall war.

Man kann bei SSDs anwenderseitig nicht alle Blöcke der Flash-Chips 
sicher ansprechen, ohne das interne herstellerspezifische Verfahren der 
SSD zu kennen. Mit normalen Schreiboperationen gibt es also kein 
allgemeingültiges Verfahren, mit dem sicher alle Information gelöscht 
wird.

Ergo: Man vertraut dem Secure Erase des Herstellers,
oder man vertraut dem Vorschlaghammer.

Johnny B. schrieb:
> Relativ sicher wäre wohl, wenn man die SSD mit Zufallszahlen
> überschreibt und dann diese Daten wieder zurückliest und mit den vorher
> geschriebenen vergleicht, die man irgendwo zwischengespeichert hat. So
> wäre man zumindest sicher, dass die Zufallszahlen auch alle geschrieben
> wurden, bis zur angegebenen Speicherkapazität.
Wenn da nicht das selbe wieder zu lesen währe, dann ist das Ding defekt 
- dann kann man auch noch mal mit dem Hammer drüber gehen.

Sascha

ich empfehle folgende Standards zu lesen:

NIST Special Publication Guidelines for Media Sanitization [1]
Table A-8 : Flash Memory-Based Storage Device Sanitization

Anschließend musst du dir Gedanken machen, ob es in deinem Fall ein 
"Clear", "Pruge" oder "Destrory" sein soll. Figure 4-1 hilft dabei.

Wenn du dann meinst, alles ist schön, empfehle ich das Video "35C3 - 
Self-encrypting deception" zu schauen und noch etwas über fehlerhafte 
Implementierungen der SATA Lösch Kommando zu lesen.

Aus diesem Grund vertraue ich weder den ATA sanitize commands noch der 
Möglichkeit, einfach die Verschlüsselungskey der SSD Festplatte zu 
löschen.


Ich persönlich(!), würde so vergehen:
- Ganze SSD mit Zufallszahlen überschreiben. Zufallszahlen, damit die 
SSD die Daten nicht komprimieren kann und nicht irgendwelche 
Optimierungen nutzen kann. Damit sollte ein guter Teil der SSD 
überschrieben sein. Wie viel wirklich überschrieben ist weiß ich auch 
nicht, da ich keine Ahnung habe, wie groß der nicht ansprechbare Bereich 
für Wear-Leveling und ähnlichem ist.
- Anschließend ATA sanitize command nutzen.

Damit solltest du in den meisten Fällen auf der sicheren Seite sein.

Sonst gibt es noch solche SSDs: 
https://www.youtube.com/watch?v=SEMaqE-ecc8


Mein persönlicher Tipp:
Nie unverschlüsselte Daten auf einer SSD ablegen. 
Betriebssystemverschlüsselung aktivieren und nicht die eingebaute 
Verschlüsselung der SSD nutzen



[1] 
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
[2] https://www.youtube.com/watch?v=C5hLTk5MyGU&t=3113s

Robert schrieb:
> ich frage mich gerade, ob man bei SSDs und SSHDs durch ein
> Lösch-Verfahren sicherstellen kann, dass sich keine ursprünglichen Daten
> mehr auf dem Datenträger befinden?

Im Prinzip ja. Das setzt allerdings voraus, daß man dem Hersteller der 
SSD (respektive dem Autor der Firmware) vertraut. Und daß man darauf 
vertraut, daß die Firmware nicht manipuliert wurde.

> Von Samsung gibt es ein DOS-Tool, mit dem man die SSDs angeblich sicher
> löschen können soll. Da das Löschen einer 250 GB SATA-SSD damit jedoch
> nur wenige Sekunden dauert, können dort eigentlich nicht die Daten
> selbst überschrieben werden (das würde viel länger dauern).

Jein. Das charakteristische Merkmal von Flash-Speicher ist die schnelle 
Löschbarkeit. Eben Blitz-(Flash)-schnell. Die UL besagt, daß diese 
schnelle Löschbarkeit von Flash eine Forderung des US-Militärs war, die 
damit verhindern wollten, daß Gegner Daten aus abgefangenen Cruise 
Missiles und ähnlichen Waffen (heute wohl eher Drohnen) extrahieren.

> Ich habe das bei SSDs so verstanden, dass z.B. beim Überschreiben eines
> Sektors nicht der gewünschte Sektor überschrieben wird, sondern ein
> anderer, damit die Abnutzung der Speicherzellen möglichst gleichmäßig
> stattfindet.

Das betrifft normale Schreibzugriffe. Das schnelle, sichere Löschen 
über die SATA security extensions (aka secure erase) geht einen anderen, 
direkteren Weg. Statt das Flash blockweise zu löschen, macht es ein 
Bulk-Erase. Was nicht nur schneller ist, sondern auch aus- und 
umgemappte Blöcke gleich mit erledigt.

Das Verfahren an sich ist sicher. Die Frage ist nur, ob du der Firmware 
vertraust, daß sie es auch wirklich umsetzt.

Im Zweifelsfall verwende eine eigene Crypto-Schicht über der rohen 
Platte. Z.B. LUKS. Das hat den Vorteil, daß man den Media-Key sehr 
schnell und sicher überschreiben und dadurch die verschlüsselt 
gespeicherten Daten unlesbar machen kann - auch ohne die komplette 
Platte physisch überschreiben zu müssen. Und im Gegensatz zu 
Platten-interner Verschlüsselung muß man hierbei nicht einem nicht 
einsehbaren Firmware-BLOB vertrauen, sondern nur einem z.B. 
Linux-Kernel. Den man auch von einem read-only Medium starten kann.


Jörg W. schrieb:
> Sinnvoller als Nullen sind immer (pseudo-)zufällige Daten.

Jein. Für Flash mag das subtil anders sein. Für magnetische Medien ist 
das seit > 15 Jahren eine UL. Es ist vollkommen egal, womit man die 
Daten überschreibt. Man liest nachher nur Rauschen.

Schon für korrekt geschriebene Daten muß man tief in die Trickkiste 
greifen, um sie überhaupt zurücklesen zu können. Stichwort:

https://de.wikipedia.org/wiki/PRML

Axel S. schrieb:
> Im Zweifelsfall verwende eine eigene Crypto-Schicht über der rohen
> Platte. Z.B. LUKS. Das hat den Vorteil, daß man den Media-Key sehr
> schnell und sicher überschreiben und dadurch die verschlüsselt
> gespeicherten Daten unlesbar machen kann - auch ohne die komplette
> Platte physisch überschreiben zu müssen.

Würde aber nur funktionieren, wenn der Media-Key auf einem anderen 
Medium als der zu "löschenden" SSD abgelegt ist.
Denn sonst würde die SSD ja den Media-Key nicht wirklich überschreiben, 
sondern lediglich - dank wear leveling - den neuen Media-Key an einer 
freien Speicherstelle anderswo speichern und der alte wäre dennoch 
irgendwo vorhanden.

Johnny B. schrieb:
> Würde aber nur funktionieren, wenn der Media-Key auf einem anderen
> Medium als der zu "löschenden" SSD abgelegt ist.

Denk mal scharf darüber nach, warum dein Einwand ziemlicher Unsinn ist…

Johnny B. schrieb:
> Denn sonst würde die SSD ja den Media-Key nicht wirklich überschreiben,
> sondern lediglich - dank wear leveling - den neuen Media-Key an einer
> freien Speicherstelle anderswo speichern und der alte wäre dennoch
> irgendwo vorhanden.

Mach mal einen Datei-Explorer auf,
dann rechtsklick auf C:,
Eigenschaften,
Sicherheit,
Bearbeiten,
4x Entfernen,
OK,
OK.
Dann den Rechner neustarten.

Statt 4x Entfernen kannst du auch jeden Eintrag der oberen Liste einzeln 
markieren und in der unteren das oberste Kästchen für "Verweigern" 
ankreuzen.
Dann 2. OK und neustarten.

Das gleiche passiert, wenn der Key auf der SSD gespeichert ist und du 
einen neuen vergibst.

Lassen die sich nicht auch mit einem Starken elektrischen Feld löschen?

Ich kenne es aus einem Anlagensystem, wo sie die Steuerung extra in 
einem anderen Raum, weit ab der Leistungsversorgung platzieren mussten, 
weil die Speicherbausteine ständig Fehler hatten.