Hallo habr Wir sprechen oft über Möglichkeiten, Daten auf Magnet- und Solid-State-Laufwerken wiederherzustellen, Backups zu
erstellen, RAIDs zu erstellen und andere Tricks, die uns helfen, im ungünstigsten Moment unseres digitalen Lebens nicht ohne wichtige Informationen zu bleiben. Aber was ist, wenn wir irgendwann Daten auf einem der SSD-Laufwerke löschen und in den ursprünglichen Zustand zurückversetzen müssen, als ob es sich um ein Standardlaufwerk handeln würde?
Oder umgekehrt. Sie haben beispielsweise alle Daten auf einem Solid-State-Laufwerk sicher gelöscht. Und so war es unmöglich, sie wiederherzustellen. Und dann kennt man nie die neugierigen Leute und Datenjäger. Was ist in solchen Situationen zu tun? Reicht es aus, die SSD nur wie eine herkömmliche Festplatte zu formatieren (wenn Sie die "Tin" -Firmware nicht schamanisiert haben), oder benötigen Sie etwas anderes?
Leider kann die einfache Formatierung von Speicherzellen nicht als hohe Garantie für eine zuverlässige Datenlöschung bezeichnet werden. Bei SATA-Laufwerken hilft die ATA Secure Erase-Funktion, über die wir
in einem anderen Artikel gesprochen haben . Aber was tun mit m.2 / mSATA-Laufwerken? Hier kommt die kryptografische Löschfunktion (Crypto Erase), die auf Geräten wie Kingston
UV500 ,
A2000 ,
KC2000 ,
KC600 implementiert ist . Sicherheit ist eine der Hauptfunktionen dieser Laufwerke, einschließlich 256-Bit-Selbstverschlüsselung basierend auf AES-Algorithmus, Kompatibilität mit TCG Opal 2.0-Sicherheitslösungen, IEEE1667-Sicherheitsstandard sowie integrierter Unterstützung für Microsoft eDrive und BitLocker.
Mit den oben genannten SSDs können Endbenutzer alle Daten vor neugierigen Blicken schützen, selbst wenn das Laufwerk vom Hauptcomputer entfernt und auf einem anderen PC installiert wird. Es ist nicht schwer zu erraten, dass solche Laufwerke hauptsächlich im Geschäftsumfeld eingesetzt werden, um beispielsweise Versuche der Industriespionage zu verhindern. Es ist ebenso schwierig anzunehmen, dass es für die Gewährleistung maximaler Sicherheit in diesen Laufwerken einfach die Möglichkeit geben muss, Daten für immer zu löschen. In unserem Fall heißt diese Funktion TCG Revert.
Selbstverschlüsselnde SSDs: Wie funktioniert das?
Selbstverschlüsselnde Laufwerke (SED / Self-Encrypting Drive) sind seit vielen Jahren auf dem Markt, aber in Wirklichkeit nutzen nur sehr wenige Menschen die Möglichkeiten dieser Laufwerke voll aus. Solche SSDs verwenden den in den Laufwerks-Controller integrierten Verschlüsselungsmechanismus, um jede in Flash-Speicherzellen gespeicherte Datei zu verschlüsseln. Diese hardwarebasierte Verschlüsselungsmethode bietet ein hohes Maß an Datensicherheit, ist für den Benutzer unsichtbar, kann nicht deaktiviert werden und beeinträchtigt die Leistung nicht.
Moderne selbstverschlüsselnde Laufwerke basieren auf dem Industriestandard SSC V1.0 Trusted Computing Group (TCG) Enterprise. In älteren Produkten würde der Hardwareverschlüsselungsmechanismus einfach den vom Benutzer bereitgestellten Verschlüsselungsschlüssel verwenden. Im Fall von TCG Opal 2.0 verwendet der Hardwaremechanismus einen zufälligen „Schlüsselverschlüsselungsschlüssel“ (KEK), der von einem Zufallszahlengenerator erstellt wurde. Dieser Schlüssel ist für keine externe Schnittstelle verfügbar und wird zum Verschlüsseln von MEK-Schlüsseln (oder „Multimedia-Verschlüsselungsschlüsseln“) verwendet, die immer in verschlüsselter Form im SED-SSD-Controller gespeichert sind.
Was ist TCG Opal?
Die TCG-Sicherheits-Subsystemklasse ist eine Hardwarefunktion für selbstverschlüsselnde SED-SSDs, mit der die Datenverschlüsselung auf dem Laufwerk beschleunigt werden kann. Im Gegensatz zu Software befreit die Hardwareverschlüsselung den Prozessor oder das Betriebssystem von der Last des Ver- und Entschlüsselungsprozesses, sodass die Gesamtleistung nicht beeinträchtigt wird. Das Opal SSC-Spezifikationsset selbst ist ein Satz von Sicherheitsmanagementstandards zum Schutz von Daten vor Diebstahl und Manipulation durch skrupellose Personen, die auf das Speichergerät oder Hostsystem zugreifen können, in dem es installiert ist. Es ist zu beachten, dass die TCG Opal-Funktion nicht alleine funktioniert, sondern die Installation einer speziellen Software (von Symantec, McAfee, WinMagic und anderen Unternehmen) auf dem Laufwerk umfasst, die bei jedem Einschalten des Computers Sicherheitseinstellungen und Benutzerinitialisierung bereitstellt.
Die Opal SSC-Spezifikationen dienen zum Schutz von Daten in Ruhe, wenn das Speichergerät ausgeschaltet und der Benutzer vom System abgemeldet wurde. In diesem Fall sollten Sie den Ruhezustand nicht mit dem Ruhezustand verknüpfen, wenn der Benutzer das System nicht verlässt. Ergebnis: Sie müssen auf die komfortable Nutzung des StandBy-Modus verzichten. Es ist auch zu berücksichtigen, dass SED-SSDs nicht zum Schutz vor Datenzugriff entwickelt wurden, nachdem das Speichergerät mit gültigen Anmeldeinformationen entsperrt wurde.
Im Ruhezustand ist der Hauptbereich der Festplatte vollständig gesperrt und nicht zugänglich. Beim Systemstart startet die verschlüsselte Festplatte jedoch eine Schattenkopie der Hauptstartpartition zur Identifizierung vor dem Start. Dieser Schatten-MBR ist ein kleines Betriebssystem, das den Benutzer nach einem Kennwort vom Laufwerk fragt, das dann über OPAL-Befehle an den SSD-Controller übertragen wird. Wenn das Kennwort gültig ist, wird die Festplatte entsperrt und das echte Betriebssystem gestartet. Infolgedessen können nur autorisierte Benutzer auf Daten auf dem Gerät zugreifen, dem sie einen Kennwortschutz hinzugefügt haben. Dies minimiert die Wahrscheinlichkeit von Diebstahl, Manipulation oder Datenverlust.
Wie lösche ich dauerhaft Daten von einer SSD?
Einige SSD-Laufwerke, auch selbstverschlüsselnde, können aufgrund dieser Hardwareverschlüsselung nicht vollständig gelöscht werden. Gleichzeitig gibt es eine effektive Lösung, die das sogenannte kryptografische „Löschen“ von Informationen durch den Betrieb von PSID Revert ermöglicht. Tatsächlich läuft der gesamte Reinigungsvorgang darauf hinaus, alle Verschlüsselungsschlüssel zu zerstören. Somit können die Daten nicht mehr entschlüsselt werden. Bitte beachten Sie, dass diese Methode nicht auf SSDs ohne TCG Opal-Unterstützung angewendet werden kann. Es funktioniert auch nicht, wenn die Optionen TCG Opal und eDrive nicht aktiviert sind. Ein ausführlicheres Handbuch für die Arbeit mit TCG Opal in Bezug auf Kingston-Antriebe finden Sie
auf der offiziellen Website des Unternehmens . In diesem Artikel werden wir nur auf das Thema des vollständigen Löschens von Daten von einer SSD eingehen, ohne auf die Feinheiten der vorbereitenden Einstellungen einzugehen, die vor der Verwendung von Opal-kompatiblen Laufwerken vorgenommen werden müssen.
Also ... von Worten zu Taten. Um alle Daten von einer Kingston KC2000 500 GB SSD mit der Methode "Zurücksetzen" zu löschen, müssen Sie das oben genannte "Laufwerk" in Windows 8, 10 oder Windows Server 2012 als sekundäres Laufwerk festlegen. Wenn alles fertig ist, müssen Sie nur das Dienstprogramm von der offiziellen Website des Herstellers herunterladen
Kingston SSD Manager , installieren Sie es auf dem Hauptlaufwerk und führen Sie es aus (für Laufwerke anderer Hersteller werden auch Notfalldienstprogramme mit ähnlichen Funktionen bereitgestellt, sodass die kryptographische Löschmethode ähnlich ist). Unter den Einstellungen für die Wartung der Festplatte gibt es eine Option, die zum Zurücksetzen des Laufwerks erforderlich ist.
Sie finden es auf der Registerkarte Sicherheit, wo Sie den Befehl TCG-Zurücksetzen auswählen müssen („TCG-Grundeinstellungen zurücksetzen“). Um den Zugriff auf die SSD zu bestätigen, geben Sie die PSID-Nummer in das Textfeld rechts neben TCG Revert ein - eine eindeutige 32-stellige SSD-ID (diese befindet sich auf dem Laufwerk selbst) und aktivieren Sie die Option zum Zurücksetzen. Nach Abschluss des Rücksetzvorgangs zeigt das Programm eine Meldung über den erfolgreichen Abschluss des Vorgangs an. Andernfalls (falls die Meldung nicht erscheint: Sie haben beispielsweise einen Fehler gemacht und die falsche PSID-Nummer eingegeben) müssen die Einstellungen erneut zurückgesetzt werden.
Basierend auf den Ergebnissen des Vorgangs werden alle Daten auf dem Laufwerk kryptografisch gelöscht und die SSD wird auf die Werkseinstellungen zurückgesetzt. Die IEEE1667-Unterstützung muss noch deaktiviert werden, und das Laufwerk kann wieder verwendet werden, ohne dass die Informationen darauf wiederhergestellt werden müssen. Darüber hinaus können Sie mit jeder kompatiblen Sicherheitsanwendung OPAL oder eDrive auf einer solchen SSD reaktivieren.
Weitere Informationen zu den Produkten von Kingston Technology finden Sie auf
der offiziellen
Website des Unternehmens .