Hola Habr! A menudo hablamos de formas de recuperar datos en unidades magnéticas y de estado sólido, hacer copias de seguridad,
crear RAID y otros trucos que nos ayudan a no quedarnos sin información importante en el momento más inoportuno de nuestra vida digital. Pero, ¿qué sucede si, en algún momento, necesitamos destruir datos en una de las unidades SSD y devolverlos a su estado original, como si estuvieran listos para usar?
O viceversa. Le tomó, por ejemplo, borrar de forma segura todos los datos en una "unidad" de estado sólido. Y para que fuera imposible restaurarlos. Y entonces nunca conoces a las personas curiosas y los cazadores de datos. ¿Qué hacer en tales situaciones? ¿Es suficiente simplemente formatear el SSD, como un HDD tradicional (si no ha chamanizado el firmware "tin", por supuesto), o necesitará algo más?
Desafortunadamente, el formato simple de las celdas de memoria no se puede llamar una alta garantía de borrado confiable de datos. En el caso de las unidades SATA, la función ATA Secure Erase, de la que
hablamos en otro artículo, ayudará. Pero, ¿qué hacer con las unidades m.2 / mSATA? La función de borrado criptográfico (Crypto Erase), que se implementa en dispositivos como Kingston
UV500 ,
A2000 ,
KC2000 ,
KC600 ,
viene al rescate . La seguridad es una de las funciones principales de estas unidades, incluido el autocifrado de 256 bits basado en el algoritmo AES, la compatibilidad con las soluciones de seguridad TCG Opal 2.0, el estándar de seguridad IEEE1667 y el soporte integrado para Microsoft eDrive y BitLocker.
Con los SSD anteriores, los usuarios finales pueden mantener todos los datos a salvo de miradas indiscretas, incluso si la unidad se retira de la computadora principal y se instala en otra PC. No es difícil adivinar que tales unidades se utilizan principalmente en el entorno empresarial para evitar, por ejemplo, intentos de espionaje industrial. Es igualmente difícil suponer que para garantizar la máxima seguridad en estas unidades, simplemente debe existir la posibilidad de borrar datos para siempre. En nuestro caso, esta función se llama TCG Revert.
SSD autocifrados: ¿cómo funciona?
Las unidades de autocifrado (Unidad SED / Autocifrado) han existido en el mercado durante muchos años, pero en realidad muy pocas personas aprovechan al máximo las capacidades de estas unidades. Dichos SSD utilizan el mecanismo de cifrado integrado en el controlador de la unidad para cifrar cada archivo almacenado en las celdas de memoria flash. Este método de cifrado basado en hardware proporciona un alto nivel de seguridad de datos, es invisible para el usuario, no se puede deshabilitar y no afecta el rendimiento.
Las unidades modernas de autocifrado se basan en el estándar de la industria SSC V1.0 Trusted Computing Group (TCG) Enterprise. En productos más antiguos, el mecanismo de cifrado de hardware simplemente usaría la clave de cifrado proporcionada por el usuario. En el caso de TCG Opal 2.0, el mecanismo de hardware utiliza una "clave de cifrado de clave" aleatoria (KEK) creada por un generador de números aleatorios. Esta clave no está disponible para ninguna interfaz externa y se utiliza para cifrar las claves MEK (o "claves de cifrado multimedia"), que siempre se almacenan en forma cifrada dentro del controlador SSD SED.
¿Qué es TCG Opal?
La clase de subsistema de seguridad TCG es una característica de hardware para SSD SED de autocifrado que ayuda a acelerar el cifrado de datos en la unidad. A diferencia del software, el cifrado de hardware libera al procesador o al sistema operativo de la carga del proceso de cifrado y descifrado, por lo que el rendimiento general no se deteriora. El conjunto de especificaciones SSC de Opal es un conjunto de estándares de gestión de seguridad para proteger los datos del robo y la manipulación por parte de personas sin escrúpulos que pueden acceder al dispositivo de almacenamiento o al sistema host en el que está instalado. Vale la pena señalar que la función TCG Opal no funciona por sí sola, sino que implica instalar un software especial en el disco (de Symantec, McAfee, WinMagic y otras compañías), que proporciona configuraciones de seguridad e inicialización del usuario cada vez que se enciende la computadora.
Las especificaciones Opal SSC están diseñadas para proteger los datos en reposo cuando el dispositivo de almacenamiento se ha apagado y el usuario ha cerrado la sesión del sistema. En este caso, no debe asociar el estado inactivo con el "modo de suspensión" cuando el usuario no sale del sistema. Como resultado: debe comprometer y abandonar el uso conveniente del modo StandBy. También vale la pena considerar que los SSD SED no están diseñados para proteger contra el acceso a datos después de que el dispositivo de almacenamiento se haya desbloqueado con credenciales válidas.
En reposo, el área principal del disco está completamente bloqueada e inaccesible. Sin embargo, cuando el sistema arranca, el disco encriptado lanza una instantánea de la partición de arranque principal para la identificación previa al arranque. Este shadow MBR es un pequeño sistema operativo que le pide al usuario una contraseña de la unidad, que luego se transfiere al controlador SSD a través de comandos OPAL. Si la contraseña es válida, el disco se desbloquea y luego se inicia el sistema operativo real. Como resultado, solo los usuarios autorizados pueden acceder a los datos en el dispositivo al que han agregado protección con contraseña; Esto minimiza la probabilidad de robo, manipulación o pérdida de datos.
¿Cómo borrar permanentemente los datos de un SSD?
Algunas unidades SSD, incluidas las de autocifrado, simplemente no se pueden borrar por completo debido a este cifrado de hardware. Al mismo tiempo, existe una solución efectiva que permite la llamada "eliminación" criptográfica de información a través de la operación de reversión de PSID. De hecho, todo el procedimiento de limpieza se reduce al proceso de destruir todas las claves de cifrado. Por lo tanto, los datos ya no se pueden descifrar. Tenga en cuenta que este método no se puede utilizar en SSD sin el soporte TCG Opal. Además, no funcionará si las opciones TCG Opal y eDrive no están activadas. Puede encontrar un manual más detallado para trabajar con TCG Opal, en relación con las unidades Kingston,
en el sitio web oficial de la compañía . En este artículo, solo tocaremos el tema de la eliminación completa de datos de un SSD, sin entrar en las complejidades de las configuraciones preliminares que deben realizarse antes de usar unidades compatibles con Opal.
Entonces ..., de las palabras a la acción. Para borrar todos los datos de un SSD Kingston KC2000 de 500 GB utilizando el método Revertir, deberá designar la "unidad" anterior como unidad secundaria en Windows 8, 10 o Windows Server 2012. Cuando todo esté listo, solo necesita descargar la utilidad desde el sitio web oficial del fabricante.
Kingston SSD Manager , instálelo en la unidad principal y ejecútelo (para unidades de otros fabricantes, también se proporcionan utilidades de emergencia con una funcionalidad similar, por lo que el método de borrado criptográfico será similar). Entre las configuraciones para dar servicio al disco, hay una opción que necesitamos para restablecer la unidad.
Puede encontrarlo en la pestaña Seguridad, donde deberá seleccionar el comando TCG Revert ("Restablecer configuración inicial de TCG"). Para confirmar el acceso a la SSD, ingrese el número de PSID en el cuadro de texto a la derecha de TCG Revert, un identificador único de SSD de 32 dígitos (puede encontrarlo en la unidad) y active la opción de reinicio. Después de completar la operación de reinicio, el programa mostrará un mensaje sobre la finalización exitosa de la operación. De lo contrario (si el mensaje no aparece: por ejemplo, cometió un error e ingresó el número PSID incorrecto), la configuración debe restablecerse nuevamente.
Según los resultados del procedimiento, todos los datos del disco se eliminarán criptográficamente y el SSD se restablecerá a la configuración de fábrica. Queda por desactivar el soporte IEEE1667, y la unidad está lista para su reutilización sin preocuparse por el hecho de que se restaurará la información que contiene. Además, puede usar cualquier aplicación de seguridad compatible para reactivar OPAL o eDrive en tal SSD.
Para obtener más información sobre los productos de Kingston Technology, visite
el sitio
web oficial de
la compañía .