[gelöst] Secure Erase nicht möglich bei SSD?

Hast Du Probleme mit Hardware, die durch die anderen Foren nicht abgedeckt werden? Schau auch in den "Tipps und Tricks"-Bereich.
Benutzeravatar
Houbey
Beiträge: 773
Registriert: 03.03.2012 05:13:32

[gelöst] Secure Erase nicht möglich bei SSD?

Beitrag von Houbey » 25.11.2024 21:03:09

Moin Debianer und Debianerinnen! :hail:

Ich habe da mal eine kurze Frage, da mir heute etwas aufgefallen ist. Wir haben mehrere SSD's, alle von Patriot, jeweils von den Modellen "Burst Elite".Zwei von denen haben 240 GB.

Die eine im Rechner ist laut Debianhdparm diese hier:

Code: Alles auswählen

hdparm -I /dev/sda

/dev/sda:

ATA device, with non-removable media
	Model Number:       Patriot Burst Elite 240GB               
	Serial Number:      PBEABBB211125083021 
	Firmware Revision:  U1124A0 
	Media Serial Num:   
	Media Manufacturer: 
	Transport:          Serial, ATA8-AST, SATA 1.0a, SATA II Extensions, SATA Rev 2.5, SATA Rev 2.6, SATA Rev 3.0
Standards:
	Used: unknown (minor revision code 0x0110) 
	Supported: 9 8 7 6 5 
	Likely used: 9
Configuration:
	Logical		max	current
	cylinders	16383	16383
	heads		16	16
	sectors/track	63	63
	--
	CHS current addressable sectors:    16514064
	LBA    user addressable sectors:   268435455
	LBA48  user addressable sectors:   468862128
	Logical  Sector size:                   512 bytes
	Physical Sector size:                   512 bytes
	Logical Sector-0 offset:                  0 bytes
	device size with M = 1024*1024:      228936 MBytes
	device size with M = 1000*1000:      240057 MBytes (240 GB)
	cache/buffer size  = unknown
	Form Factor: 2.5 inch
	Nominal Media Rotation Rate: Solid State Device
Capabilities:
	LBA, IORDY(can be disabled)
	Queue depth: 32
	Standby timer values: spec'd by Standard, no device specific minimum
	R/W multiple sector transfer: Max = 1	Current = 1
	Advanced power management level: 254
	DMA: mdma0 mdma1 mdma2 udma0 udma1 udma2 udma3 udma4 udma5 *udma6 
	     Cycle time: min=120ns recommended=120ns
	PIO: pio0 pio1 pio2 pio3 pio4 
	     Cycle time: no flow control=120ns  IORDY flow control=120ns
Commands/features:
	Enabled	Supported:
	   *	SMART feature set
	    	Security Mode feature set
	   *	Power Management feature set
	   *	Write cache
	   *	Look-ahead
	   *	Host Protected Area feature set
	   *	WRITE_BUFFER command
	   *	READ_BUFFER command
	   *	DOWNLOAD_MICROCODE
	   *	Advanced Power Management feature set
	    	SET_MAX security extension
	   *	48-bit Address feature set
	   *	Mandatory FLUSH_CACHE
	   *	FLUSH_CACHE_EXT
	   *	SMART error logging
	   *	SMART self-test
	   *	General Purpose Logging feature set
	   *	WRITE_{DMA|MULTIPLE}_FUA_EXT
	   *	WRITE_UNCORRECTABLE_EXT command
	   *	{READ,WRITE}_DMA_EXT_GPL commands
	   *	Segmented DOWNLOAD_MICROCODE
	   *	Gen1 signaling speed (1.5Gb/s)
	   *	Gen2 signaling speed (3.0Gb/s)
	   *	Gen3 signaling speed (6.0Gb/s)
	   *	Native Command Queueing (NCQ)
	   *	Phy event counters
	   *	READ_LOG_DMA_EXT equivalent to READ_LOG_EXT
	   *	DMA Setup Auto-Activate optimization
	   *	Software settings preservation
	   *	SANITIZE feature set
	   *	BLOCK_ERASE_EXT command
	   *	DOWNLOAD MICROCODE DMA command
	   *	WRITE BUFFER DMA command
	   *	READ BUFFER DMA command
	   *	Data Set Management TRIM supported (limit 8 blocks)
Security: 
	Master password revision code = 65534
		supported
	not	enabled
	not	locked
		frozen
	not	expired: security count
		supported: enhanced erase
	2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
Checksum: correct
Die Seriennummer und die Firmware ist etwas anders. Diese kann aber Secure Erase.

Die andere, die ich als externe nutzen wollte, hat folgende Ausgabe bei hdparm:

Code: Alles auswählen

hdparm -I /dev/sdd

/dev/sdd:

ATA device, with non-removable media
	Model Number:       Patriot Burst Elite 240GB               
	Serial Number:      PBEHHBB240815001478 
	Firmware Revision:  HDFED1.2
	Transport:          Serial, ATA8-AST, SATA 1.0a, SATA II Extensions, SATA Rev 2.5, SATA Rev 2.6, SATA Rev 3.0
Standards:
	Supported: 11 10 9 8 7 6 5 
	Likely used: 11
Configuration:
	Logical		max	current
	cylinders	16383	16383
	heads		16	16
	sectors/track	63	63
	--
	CHS current addressable sectors:    16514064
	LBA    user addressable sectors:   268435455
	LBA48  user addressable sectors:   468862128
	Logical  Sector size:                   512 bytes
	Physical Sector size:                   512 bytes
	Logical Sector-0 offset:                  0 bytes
	device size with M = 1024*1024:      228936 MBytes
	device size with M = 1000*1000:      240057 MBytes (240 GB)
	cache/buffer size  = unknown
	Form Factor: 2.5 inch
	Nominal Media Rotation Rate: Solid State Device
Capabilities:
	LBA, IORDY(can be disabled)
	Queue depth: 32
	Standby timer values: spec'd by Standard, no device specific minimum
	R/W multiple sector transfer: Max = 16	Current = 16
	DMA: mdma0 mdma1 mdma2 udma0 udma1 udma2 udma3 udma4 udma5 *udma6 
	     Cycle time: min=120ns recommended=120ns
	PIO: pio0 pio1 pio2 pio3 pio4 
	     Cycle time: no flow control=120ns  IORDY flow control=120ns
Commands/features:
	Enabled	Supported:
	   *	SMART feature set
	   *	Power Management feature set
	   *	Write cache
	   *	Look-ahead
	   *	WRITE_BUFFER command
	   *	READ_BUFFER command
	   *	NOP cmd
	   *	DOWNLOAD_MICROCODE
	   *	48-bit Address feature set
	   *	Device Configuration Overlay feature set
	   *	Mandatory FLUSH_CACHE
	   *	FLUSH_CACHE_EXT
	   *	SMART error logging
	   *	SMART self-test
	   *	General Purpose Logging feature set
	   *	WRITE_{DMA|MULTIPLE}_FUA_EXT
	   *	64-bit World wide name
	   *	WRITE_UNCORRECTABLE_EXT command
	   *	{READ,WRITE}_DMA_EXT_GPL commands
	   *	Segmented DOWNLOAD_MICROCODE
	    	unknown 119[8]
	   *	Gen1 signaling speed (1.5Gb/s)
	   *	Gen2 signaling speed (3.0Gb/s)
	   *	Gen3 signaling speed (6.0Gb/s)
	   *	Native Command Queueing (NCQ)
	   *	Phy event counters
	   *	READ_LOG_DMA_EXT equivalent to READ_LOG_EXT
	   *	DMA Setup Auto-Activate optimization
	   *	Software settings preservation
	   *	DOWNLOAD MICROCODE DMA command
	   *	WRITE BUFFER DMA command
	   *	READ BUFFER DMA command
	   *	DEVICE CONFIGURATION SET/IDENTIFY DMA commands
	   *	Data Set Management TRIM supported (limit 1 block)
Logical Unit WWN Device Identifier: 0000000000000000
	NAA		: 0
	IEEE OUI	: 000000
	Unique ID	: 000000000
Checksum: correct
Diese widerum schein kein Secure Erase zu können.
Könnte das ein Fehler sein, oder habe ich irgendwas übersehen? Ich meine, unten müsste ja auch etwas mit "not enabled, not frozen, not locked" etc. stehen dann. Tut res aber gar nicht.

Hat so etwas jemand auch bei sich einmal gehabt und weiß was da los sein könnte?
Zuletzt geändert von Houbey am 03.12.2024 06:12:56, insgesamt 1-mal geändert.
Viele Grüße
Houbey

------------------------------
Debian GNU/Linux 11.11 Bullseye, Xfce 4.16, als 64-Bit und bis jetzt noch glücklich damit. 8)

Benutzeravatar
kalle123
Beiträge: 3051
Registriert: 28.03.2015 12:27:47
Wohnort: Mönchengladbach

Re: Secure Erase nicht möglich bei SSD?

Beitrag von kalle123 » 25.11.2024 21:26:40

Die beiden Platten unterscheiden sich doch ziemlich.

Hier mal der Bereich Commands/features > 'Enabled Supported'

gallery/image/5193/medium

cu KH

Benutzeravatar
Houbey
Beiträge: 773
Registriert: 03.03.2012 05:13:32

Re: Secure Erase nicht möglich bei SSD?

Beitrag von Houbey » 25.11.2024 22:09:55

Oh kalle, das ist mir gar nicht so bewusst gewesen, dass die sich doch so ziemlich unterscheiden. Das da ein bisschen was fehlte habe ich gesehen, aber ea das doch so viel ist, nicht.

Mir fiel halt auf, dass da nichts mit Security Erase stand. Was habe ich mir da denn bloß gekauft? War ja der gleiche Händler. Aber dann muss da ja irgendetwas bei der Produktion anders gemacht worden sein.

Dann gehe ich davon aus, dass die Platte eher "wertlos" ist?
Viele Grüße
Houbey

------------------------------
Debian GNU/Linux 11.11 Bullseye, Xfce 4.16, als 64-Bit und bis jetzt noch glücklich damit. 8)

Benutzeravatar
kalle123
Beiträge: 3051
Registriert: 28.03.2015 12:27:47
Wohnort: Mönchengladbach

Re: Secure Erase nicht möglich bei SSD?

Beitrag von kalle123 » 25.11.2024 22:32:16

Hi Houbey.

Bei mir steht Patriot ähnlich wie Intenso auf der 'no-go' Liste, aber das war hier eine Patriot 210, die schlagartig den Geist aufgegeben hatte.

Gruß KH :wink:

Benutzeravatar
cosinus
Beiträge: 4349
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Secure Erase nicht möglich bei SSD?

Beitrag von cosinus » 25.11.2024 22:51:31

Houbey hat geschrieben: ↑ zum Beitrag ↑
25.11.2024 22:09:55
Dann gehe ich davon aus, dass die Platte eher "wertlos" ist?
Wieso ist die deiner Meinung nach denn deswegen gleich wertlos und warum überhaupt soll das ein Problem sein?
Probier den secure erase doch einfach mit hdparm aus. Ansonsten: Platte nur mit verschlüsseltem Dateisystem beutzen und optional gern noch ein Disk-Passwort. Kann man auch mit hdparm setzen. :)

Benutzeravatar
MSfree
Beiträge: 11665
Registriert: 25.09.2007 19:59:30

Re: Secure Erase nicht möglich bei SSD?

Beitrag von MSfree » 26.11.2024 08:23:17

cosinus hat geschrieben: ↑ zum Beitrag ↑
25.11.2024 22:51:31
Probier den secure erase doch einfach mit hdparm aus.
Die SSD kann man auch mit

Code: Alles auswählen

dd if=/dev/zero of=/dev/sd?
nullen. Das entspricht einem secure Erase, dauert aber etwas länger.

kreuzschnabel
Beiträge: 521
Registriert: 24.09.2020 14:51:14

Re: Secure Erase nicht möglich bei SSD?

Beitrag von kreuzschnabel » 26.11.2024 08:40:39

MSfree hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 08:23:17
Das entspricht einem secure Erase, dauert aber etwas länger.
Bei 500 MB/s sind 2 TB rechnerisch in 1¼ Stunden geschrieben. Das nur als Anhaltspunkt für das „etwas“ :)

Edit: Sehe gerade, es geht ja nur um 240 GB. Dann entsprechend kürzer.

--ks
Hier so: Debian Stable/Sid (nach Laune) – KDE Plasma – Lenovo Thinkpad T470p – i7-7700HQ – 32GB RAM

Benutzeravatar
MSfree
Beiträge: 11665
Registriert: 25.09.2007 19:59:30

Re: Secure Erase nicht möglich bei SSD?

Beitrag von MSfree » 26.11.2024 08:46:12

kreuzschnabel hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 08:40:39
Bei 500 MB/s sind 2 TB rechnerisch in 1¼ Stunden geschrieben.
Seit wann geht ess hier um 2TB? Die fragliche SSD hat 240GB!
Folglich wäre die in 8 Minuten genullt.
Wo ist das Problem? Das kann man im Hintergrunf laufen lassen, während man ein paar Minuten im Debianforum surft.

Benutzeravatar
Houbey
Beiträge: 773
Registriert: 03.03.2012 05:13:32

Re: Secure Erase nicht möglich bei SSD?

Beitrag von Houbey » 26.11.2024 10:31:00

MSfree hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 08:23:17
Die SSD kann man auch mit

Code: Alles auswählen

dd if=/dev/zero of=/dev/sd?
nullen. Das entspricht einem secure Erase, dauert aber etwas länger.
Hi MSfree,

seit wann ist es denn möglich eine SSD zu nullen oder mit Zufallszeichen zu überschreiben? Ich ging davon aus, weil es immer so gesagt und geschrieben wurde, dass man das Überschreiben nur bei HDD's also magnetische Platten und USB-Sticks könne. 8O Bei einer SSD muss doch dann das Secure Erase Verfahren angewandt werden, was ja quasi nur ein Zurücksetzen in den Werkszustand darstellt. Deswegen funktioniert doch auch DBAN nicht bei SSD's. Oder habe ich da jetzt etwas falsch verstanden?

Mit dd arbeite ich schon lange nicht mehr seitdem wanne damals in einem früheren Beitrag von mir empfohlen hatte, mit cat zu arbeiten. Seitdem mache ich das immer mit

Code: Alles auswählen

cat /dev/zero > /dev/sdX
oder
cat /dev/urandom > /dev/sdX
Aber trotzdem sehr gut das du dd nochmal erwähnst, denn gerade Neulinge wissen das vielleicht nicht, mit was man alles überschrieben kann. :THX:
cosinus hat geschrieben: ↑ zum Beitrag ↑
25.11.2024 22:51:31
Wieso ist die deiner Meinung nach denn deswegen gleich wertlos und warum überhaupt soll das ein Problem sein?
Probier den secure erase doch einfach mit hdparm aus. Ansonsten: Platte nur mit verschlüsseltem Dateisystem beutzen und optional gern noch ein Disk-Passwort. Kann man auch mit hdparm setzen. :)
Naja weißt du, wenn man seine Daten nicht vollständig und sicher vernichten kann, anstatt sie erstmal verschlüsseln zu müssen, wäre das ja eher wertlos oder? Also nicht jeder kann eine Platte verschlüsseln, daher hatte ich auch nur von dem Secure Erase gesprochen. wanne hatte damals auch irgendwo in einem Beitrag von mir glaube ich war es sogar geschrieben, dass man auch mittels openssl verschlüsseln könnte. 8O

Und der Secure Erase mit hdparm habe ich versucht gehabt bevor ich den Beitrag hier geschrieben hatte, aber die Platte war nicht angerührt worden, es war alles noch drauf, auch das Dateisystem und die Partitionstabelle war alles noch da.
Viele Grüße
Houbey

------------------------------
Debian GNU/Linux 11.11 Bullseye, Xfce 4.16, als 64-Bit und bis jetzt noch glücklich damit. 8)

Benutzeravatar
MSfree
Beiträge: 11665
Registriert: 25.09.2007 19:59:30

Re: Secure Erase nicht möglich bei SSD?

Beitrag von MSfree » 26.11.2024 10:44:22

Houbey hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 10:31:00
seit wann ist es denn möglich eine SSD zu nullen oder mit Zufallszeichen zu überschreiben?
Öhm, wie sonst sollte man Daten auf die SSD bringen können? Nullen sind letztlich auch nur Daten.
Ich ging davon aus, weil es immer so gesagt und geschrieben wurde, dass man das Überschreiben nur bei HDD's also magnetische Platten und USB-Sticks könne.
Man kann SSDs genauso überschreiben. Es gibt bei SSDs aber eine kleine Besonderheit, in der Regel ist ein gewisser Anteil an Flashspeicher als Reserve deklariert. Man kauft also keine 240GB-SSD sondern eine mit 242GB, von der nur 240 genutzt werden. Die extra 2GB nehmen aber am Wearlevelling teil und sie werden genutzt, falls mal ein Sektor endgültig verschlissen ist.

Beim Überschreiben mit Nullen wird dieser kleine Anteil an Extraspeicher natürlich nicht überschrieben. Man kann diesen Teil aber auch nicht direkt auslesen. Theoretisch ergibt sich dadurch die Möglichkeit, daß zufälligerweise in diesem Extrateil mal eine Klartext Passwortdatei gelagert wurde, die irgendwann dann Mal wieder in den genutzten Teil eingeblendet wird (Waerlevelling tut sowas) und man dann "Geheimnisse" offenlegen kann.

Secure Erase soll das Problem beheben und auch die Reservesektoren nullen. Nachprüfen läßt sich das allerdings für Normalnuzer nicht. Bei schlampiger Implementierung hätte man damit das gleiche Problem.

Benutzeravatar
hikaru
Moderator
Beiträge: 13943
Registriert: 09.04.2008 12:48:59

Re: Secure Erase nicht möglich bei SSD?

Beitrag von hikaru » 26.11.2024 11:00:43

MSfree hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 08:23:17
Die SSD kann man auch mit

Code: Alles auswählen

dd if=/dev/zero of=/dev/sd?
nullen. Das entspricht einem secure Erase, dauert aber etwas länger.
Nein, ein manuelles Überschreiben mit Nullen entspricht bei einer SSD nicht dem Secure Erase, und zwar aus zwei Gründen:
1. Secure Erase erfasst die gesamte SSD, das Nullen nur den momentan "sichtbaren" Bereich. Flashzellen die gerade im Overprovisioning sind, werden also bei Letzterem nicht erfasst. aher wäre es theoretisch denkbar, wenn auch praktisch äußerst unwahrscheinlich, dass kleine Überreste der ursprünglichen Daten erhalten bleiben.

2. Secure Erase ist eine "Black-Box-Magie". Was die Firmware dabei tatsächlich macht ist Geheimnis des jeweiligen Herstellers. Allgemein geht man allerdings davon aus, dass dabei zumindest die Adressierungstabelle der Firmware gelöscht wird, möglicherweise auch die Daten selbst.
Wohlgemerkt: Ein Überschreiben mit Nullen ist aus Sicht der Firmware kein Löschen (auch "0" ist eine Information). Daher kann ein Löschen bei einer SSD prinzipiell schneller gehen als ein Neuschreiben von Nullen.

Fazit:
Sowohl Nullen (wg. Overprovisioning) als auch Secure Erase (wg. Black Box) sind bei SSDs nicht als völlig sichere Löschmethoden anzusehen. Eine SSD die einmal wirklich kritische Daten im Klartext gesehen hat, sollte man daher nie funktionstüchtig weitergeben.

kreuzschnabel
Beiträge: 521
Registriert: 24.09.2020 14:51:14

Re: Secure Erase nicht möglich bei SSD?

Beitrag von kreuzschnabel » 26.11.2024 11:07:32

Houbey hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 10:31:00
Ich ging davon aus, weil es immer so gesagt und geschrieben wurde, dass man das Überschreiben nur bei HDD's also magnetische Platten und USB-Sticks könne. 8O
Da verwexelste wahrscheinlich was:

Es ist bei einer SSD technisch nicht möglich, einen bestimmten Datenbereich gezielt zu überschreiben (etwa um eine einzelne Datei sicher zu löschen), weil die Überschreibung wegen des Wearleveling mit praktisch 100-prozentiger Sicherheit an einer anderen physischen Stelle auf dem Datenträger landen wird, worüber das Betriebssystem auch keine Kontrolle hat.

Aber natürlich kann man eine SSD wie eine HDD mit Nullen oder Zufallsdaten vollschreiben, um den Inhalt des (nahezu, wegen Overprovisioning) gesamten Speicherbereichs zuverlässig zu löschen. Entweder mit dd oder – wenn du das Dateisystem behalten willst – durch Schreiben einer Riesendatei auf das gemountete Dateisystem, etwa mit

Code: Alles auswählen

cat /dev/zero >/media/ssd/nulldatei
Letzteres überschreibt auch einigermaßen vollständig den freien Speicherbereich. Vor Anwendung in der Rootpartition im Betrieb wird gewarnt :)

--ks
Zuletzt geändert von kreuzschnabel am 26.11.2024 11:33:58, insgesamt 2-mal geändert.
Hier so: Debian Stable/Sid (nach Laune) – KDE Plasma – Lenovo Thinkpad T470p – i7-7700HQ – 32GB RAM

Benutzeravatar
hikaru
Moderator
Beiträge: 13943
Registriert: 09.04.2008 12:48:59

Re: Secure Erase nicht möglich bei SSD?

Beitrag von hikaru » 26.11.2024 11:25:21

kreuzschnabel hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 11:07:32
Aber natürlich kann man eine SSD wie eine HDD mit Nullen oder Zufallsdaten vollschreiben, um den Inhalt des gesamten Speicherbereichs zuverlässig zu löschen.
Nein, eben das funktioniert wegen des Overprovisionings nicht zuverlässig.

kreuzschnabel
Beiträge: 521
Registriert: 24.09.2020 14:51:14

Re: Secure Erase nicht möglich bei SSD?

Beitrag von kreuzschnabel » 26.11.2024 11:31:28

hikaru hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 11:25:21
Nein, eben das funktioniert wegen des Overprovisionings nicht zuverlässig.
Ja, aber diese Einschränkung wurde oben schon erwähnt, das muss ich nicht wiederholen. Meine Antwort bezog sich auf die Annahme, es gehe überhaupt nicht.

--ks
Hier so: Debian Stable/Sid (nach Laune) – KDE Plasma – Lenovo Thinkpad T470p – i7-7700HQ – 32GB RAM

Benutzeravatar
cosinus
Beiträge: 4349
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Secure Erase nicht möglich bei SSD?

Beitrag von cosinus » 26.11.2024 20:10:23

MSfree hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 10:44:22
Man kann SSDs genauso überschreiben. Es gibt bei SSDs aber eine kleine Besonderheit, in der Regel ist ein gewisser Anteil an Flashspeicher als Reserve deklariert. Man kauft also keine 240GB-SSD sondern eine mit 242GB, von der nur 240 genutzt werden. Die extra 2GB nehmen aber am Wearlevelling teil und sie werden genutzt, falls mal ein Sektor endgültig verschlissen ist.
Und was ist daran anders als bei normalen HDDs? 8O
Die haben auch nen Reservebereich, dahin werden bad sectors hingemappt. Auch dieser Bereich ist nicht gezielt ansprechbar.

Benutzeravatar
cosinus
Beiträge: 4349
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Secure Erase nicht möglich bei SSD?

Beitrag von cosinus » 26.11.2024 20:29:19

Houbey hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 10:31:00
Naja weißt du, wenn man seine Daten nicht vollständig und sicher vernichten kann, anstatt sie erstmal verschlüsseln zu müssen, wäre das ja eher wertlos oder? Also nicht jeder kann eine Platte verschlüsseln,
Was soll das heißen, man kann weder sicher löschen noch vorher verschlüsseln? Das was du da bezeichnest ist doch eine Wissenslücke und kein technischer Mangel. V.a. wenn man so wie du solchen Wert drauf legt verstehe ich nicht, dass du weder was von cryptsetup/LUKS noch von dd gehört hast :|

Benutzeravatar
MSfree
Beiträge: 11665
Registriert: 25.09.2007 19:59:30

Re: Secure Erase nicht möglich bei SSD?

Beitrag von MSfree » 26.11.2024 21:40:15

cosinus hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 20:10:23
Und was ist daran anders als bei normalen HDDs? 8O
Bei Festplatten werden die Reservesektoren erst dann verwendet, wenn die die originalen nicht mehr lesbar sind. An die umgemapten Sektoren kommst du also schon deshalb nicht mehr ran, weil sie schlicht im Eimer sind.

Bei SSDs nehmen die Reserveblöcke immer und ständig am Wearlevelling teil. Es besteht also die theoretische Gefahr, daß irgendwann Daten wieder in den normalen Bereich gelangen, auf denen worher mal schützenswerte Daten lagen. Letzten Endes wirst du da aber keine vollständigen Dateien finden sondern nur Fragmente, die selbst James Bond nicht weiterbringen.

Natürlich ist man mit Verschlüsselung auf der sicheren Seite, weil dann auch die hin und her gemappten Reservesektoren nur zufälliges Rauschen beinhalten.

kreuzschnabel
Beiträge: 521
Registriert: 24.09.2020 14:51:14

Re: Secure Erase nicht möglich bei SSD?

Beitrag von kreuzschnabel » 26.11.2024 21:53:05

MSfree hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 21:40:15
sondern nur Fragmente, die selbst James Bond nicht weiterbringen.
Da verwexelste was. James Bond ist derjenige, der die SSD aus der Höhle des Bösen holt, sich den Weg durch tausend technisch überlegene Security-Leute bei nur minimaler Verschmutzung seines Anzuges freischießt, dann auf einem Ackergaul 50 Ferraris abhängt, M die SSD lächelnd auf den Schreibtisch legt und sich dann unerreichbar in $WELTMETROPOLE auf Kosten Ihrer Majestät wochenlang mit der Ex des Bösen im Bett räkelt. Kryptoanalyse ist eher nicht so seins.

--ks
Hier so: Debian Stable/Sid (nach Laune) – KDE Plasma – Lenovo Thinkpad T470p – i7-7700HQ – 32GB RAM

Benutzeravatar
cosinus
Beiträge: 4349
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Secure Erase nicht möglich bei SSD?

Beitrag von cosinus » 26.11.2024 21:53:18

MSfree hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 21:40:15
Bei Festplatten werden die Reservesektoren erst dann verwendet, wenn die die originalen nicht mehr lesbar sind. An die umgemapten Sektoren kommst du also schon deshalb nicht mehr ran, weil sie schlicht im Eimer sind.
Ok, ja, das stimmt. Ist in diesem Fall irrelevant, oder kannst du ausschließen, dass nicht mehr ansprechbarere Sektoren doch noch irgendwie lesbare Daten enthalten?
MSfree hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 21:40:15
Natürlich ist man mit Verschlüsselung auf der sicheren Seite, weil dann auch die hin und her gemappten Reservesektoren nur zufälliges Rauschen beinhalten.
Dan ist die Diskussion um den Reservebereich aber eh unnötig :mrgreen:

wanne
Moderator
Beiträge: 7594
Registriert: 24.05.2010 12:39:42

Re: Secure Erase nicht möglich bei SSD?

Beitrag von wanne » 26.11.2024 23:17:18

Zuerst mal:
SSDs haben meistens mehr als 0 und 1 als State. Gelöscht ist nicht unbedingt äquivalent mit 0. blkdiscard kann deswegen Blöcke löschen oder nullen (-z).
Daneben: "Moderne" SSDs können blkdiscard --secure das löscht auch Blöcke die ehemals der Block mit der passenden Adresse war aber noch nicht überschrieben wurde. Damit kann man jetzt sicher Partitionen löschen. (Prinzipiell sogar Dateien, da die beim ändern aber eventuell verschoben werden und Kopieen in diversen journals/caches haben ist das keine sehr zuverlässige Variante.)
Ok, ja, das stimmt. Ist in diesem Fall irrelevant, oder kannst du ausschließen, dass nicht mehr ansprechbarere Sektoren doch noch irgendwie lesbare Daten enthalten?
Genau deswegen versucht secure-erease da nochmal drüber zu bügeln.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
cosinus
Beiträge: 4349
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Secure Erase nicht möglich bei SSD?

Beitrag von cosinus » 26.11.2024 23:33:34

wanne hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 23:17:18
Genau deswegen versucht secure-erease da nochmal drüber zu bügeln.
War aber nicht das Fazit, dass es im Prinzip doch egal ist? Egal ob HDD oder SSD? Man bekommt wenn überhaupt nur Fragmente, mit denen James Bond was anzufangen weiß. :mrgreen:

Benutzeravatar
Houbey
Beiträge: 773
Registriert: 03.03.2012 05:13:32

Re: Secure Erase nicht möglich bei SSD?

Beitrag von Houbey » 27.11.2024 13:07:54

Moin an alle.

Vielen Dank für eure weiteren Antworten zu meinem Anliegen bezüglich der SSD von uns, die anscheinend kein Secure Erase kann oder dieses nicht aktiviert ist. Ich habe mit dem Verkäufer einmal Kontakt aufgenommen, wo ich diese damals gekauft habe, dieser hat mich zum Hersteller Patriot weitergeleitet und ich solle dies dem Hersteller bitte mitteilen. Also muss ich jetzt bei SSD's immer hoffen das die in der Lage sind, Secure Erase zu nutzen? Ich meine, hdparm selber kann das ja dann ausführen. Ist schon sehr komisch, dass diese eine besagte SSD es nicht kann. Das ein hersteller da solch Unterschiede macht.
wanne hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 23:17:18
Damit kann man jetzt sicher Partitionen löschen.
Lieber wanne, schön das man dich mal wieder liest. :hail:
Also sollte ich die SSD mit blkdiscard --secure versuchen zu löschen oder am besten gleich eine neue kaufen und hoffen, dass diese wie meine anderen Patriot Burst Elites auch Secure Erase können? 8O

kreuzschnabel hat geschrieben: ↑ zum Beitrag ↑
26.11.2024 11:31:28
Meine Antwort bezog sich auf die Annahme, es gehe überhaupt nicht.
Da hat man mich anscheinend falsch verstanden. Ich habe damit nicht gemeint, dass man eine SSD nicht mit Nullen und Zufallszahlen überschreiben kann. Das dies geht, weiß ich natürlich. Meine Aussage mit dem gar nicht gehen, war aber darauf bezogen, dass es bei einer SSD nichts bringen würde.
Viele Grüße
Houbey

------------------------------
Debian GNU/Linux 11.11 Bullseye, Xfce 4.16, als 64-Bit und bis jetzt noch glücklich damit. 8)

Benutzeravatar
FBT
Beiträge: 15
Registriert: 26.10.2024 06:00:34
Wohnort: /dev/null

Re: Secure Erase nicht möglich bei SSD?

Beitrag von FBT » 27.11.2024 13:18:13

Mit ein Grund warum ich privat seit Jahren ausschließlich Samsung SATA SSDs verwende. Die unterstützen alle Secure Erase und mit dem Samsung Magican Tool kann man am Windows PC einen bootbaren USB Stick bruzeln und dann die SSD in der dos command line zurücksetzen. Damit sind dann auch Windows User gut bedient.
Gruß
Fred

Benutzeravatar
MSfree
Beiträge: 11665
Registriert: 25.09.2007 19:59:30

Re: Secure Erase nicht möglich bei SSD?

Beitrag von MSfree » 27.11.2024 13:44:08

Houbey hat geschrieben: ↑ zum Beitrag ↑
27.11.2024 13:07:54
Meine Aussage mit dem gar nicht gehen, war aber darauf bezogen, dass es bei einer SSD nichts bringen würde.
Es ist eben nicht so, daß das Überschreiben mit Nullen "nichts bringt". Es bringt sogar sehr viel, denn damit löschst du 99% der Daten auf der SSD. Die restlichen 1%, die nur mit secure Erase erreichbar sind, beinhalten nur Dateifragmente, mit denen man nichts anfängt (was willst du mit 512 Bytes einer JPG-Datei denn anfangen?). Selbst ein 512 Bytes großes Fragment eines SSH-Schlüssels bringt dich nicht weiter.

Davon abgeshen unterstützen inzwischen namhafte Hersteller (z.B. Kioxia ehemals Toshiba, Samsung, Seagate, Solidigm ehemals Intel, SanDisk = WD, WD) secure Erase.
Zuletzt geändert von MSfree am 27.11.2024 13:54:39, insgesamt 1-mal geändert.

rhHeini
Beiträge: 2730
Registriert: 20.04.2006 20:44:10

Re: Secure Erase nicht möglich bei SSD?

Beitrag von rhHeini » 27.11.2024 13:52:41

Houbey hat geschrieben: ↑ zum Beitrag ↑
27.11.2024 13:07:54
Ist schon sehr komisch, dass diese eine besagte SSD es nicht kann. Das ein hersteller da solch Unterschiede macht.
Ich würd jetzt Patriot nicht ganz oben in die Reihe der besten Hersteller einordnen. Die stellen nichts selber her, sondern kaufen Kontroller und Speicherchips und bauen da irgendetwas zusammen, ähnlich wie Intensio. Wenn ich die Daten der beiden Laufwerke ansehe und die Firmware sowie die Seriennummern: ganz anders. Für mich nicht verwunderlich das hier etwas geht und an der anderen dasselbe eben nicht.

Antworten