Wie lösche ich sicher auf einer SSD gespeicherte Dateien?

Aus einem (sehr langen, aber definitiv lesenswerten) Artikel über SSDs :

Wenn Sie eine Datei in Ihrem Betriebssystem löschen, reagiert weder eine Festplatte noch eine SSD darauf. Erst wenn Sie den Sektor (auf einer Festplatte) oder die Seite (auf einer SSD) überschreiben, verlieren Sie tatsächlich die Daten. Dateiwiederherstellungsprogramme nutzen diese Eigenschaft zu ihrem Vorteil, und auf diese Weise können Sie gelöschte Dateien wiederherstellen.

Der Hauptunterschied zwischen Festplatten und SSDs ist jedoch, was passiert, wenn Sie eine Datei überschreiben. Während eine Festplatte die neuen Daten einfach in denselben Sektor schreiben kann, weist eine SSD den überschriebenen Daten eine neue (oder zuvor verwendete) Seite zu. Die Seite mit den jetzt ungültigen Daten wird einfach als ungültig markiert und irgendwann gelöscht.

Was ist der beste Weg, um auf einer SSD gespeicherte Dateien sicher zu löschen? Das Überschreiben mit zufälligen Daten, wie wir es von Festplatten gewohnt sind (z. B. mit dem Dienstprogramm "shred"), funktioniert nur, wenn Sie das GANZE Laufwerk überschreiben ...

Wie wäre es, das Volume selbst zu verschlüsseln? Die gelöschten Daten bleiben erhalten, sollten jedoch ohne den entsprechenden Schlüssel für niemanden zugänglich sein.

Wenn das SSD-Laufwerk den ATA-Sicherheitsmodus unterstützt, ist eine Funktion zum sicheren Löschen integriert, auf die Sie mit Secure Erase zugreifen können sollten, die hier und hier dokumentiert ist .

Selbst wenn Sie das gesamte Laufwerk überschreiben, können Sie nicht absolut sicher sein, da sowohl Festplatten als auch SSDs Ersatzsektoren enthalten, die bei Fehlern oder bei SSDs zur Unterstützung des Verschleißausgleichs ausgetauscht werden .

Wenn Sie absolut sicher sein möchten, dass die Daten nicht wiederherstellbar sind, müssen Sie das Laufwerk physisch unwiderruflich zerstören. Das Überschreiben gibt Ihnen eine angemessene Sicherheit bei HDs - bei SSDs gibt es nicht einmal eine Möglichkeit, dies zu erreichen. Wenn Sie das gesamte Laufwerk füllen, ist es dennoch möglich, dass der Block, in dem sich die Daten befanden, zum Ausgleich des Verschleißes auf einen Ersatzblock umgestellt wurde und später wieder angezeigt wird.

Aufgrund der Natur des NAND-Flash-Speichers können SSDs Daten nicht direkt überschreiben. Das wiederholte Überschreiben einer Datei vor dem Löschen löscht sie nicht sicher auf einer SSD - die Daten würden nur an einer anderen Stelle im NAND geschrieben.

Um zu verstehen, warum dies der Fall ist, muss erklärt werden, wie SSDs im Inneren funktionieren.

• NAND-Flash ist in Blöcke unterteilt , die jeweils aus einer Reihe von Seiten bestehen, die in der Regel 4 KB groß sind (zuzüglich fehlerkorrigierender Codes). Die meisten modernen SSDs verwenden NAND mit Blöcken von 128 Seiten für eine Blockgröße von 512 KB, obwohl einige Laufwerke, insbesondere ältere, möglicherweise 256 KB oder kleinere Blöcke verwenden. Das folgende Diagramm geht von 256-KB-Blöcken aus, das Konzept ist jedoch unabhängig von der Blockgröße dasselbe.

^{Quelle - Courtesy Music Sorter bei Wikipedia, CC BY-SA 3.0}

• Jede Seite kann einzeln beschrieben werden, aber die Seiten können erst nach dem Löschen neu geschrieben werden, und das Löschen kann nur in ganzen Blöcken erfolgen. Dies bedeutet, dass die SSD bei jedem erneuten Schreiben von Daten die Daten auf den betroffenen Seiten als ungültig markieren und an einer anderen Stelle, möglicherweise in einem anderen Block, neu schreiben muss. Zu einem angemesseneren Zeitpunkt, im Idealfall, wenn sich das Laufwerk im Leerlauf befindet und alle Seiten in einem Block als ungültig markiert sind, kann die SSD Blöcke löschen, die nicht mehr verwendet werden. Dieser Bereinigungsprozess wird als Garbage Collection bezeichnet .

• Damit die SSD weiß, welche Blöcke gelöscht werden können, muss das Betriebssystem ihr mitteilen, welche Blöcke keine gültigen Daten mehr enthalten. Dies erfolgt mit dem Befehl ATA TRIM . Der SSD steht es dann frei, diese unbenutzten Blöcke zu entsorgen.

SSDs versuchen, Schreibvorgänge gleichmäßig über das NAND zu verteilen, um vorzeitige Ausfälle zu vermeiden. Dies hängt vom verfügbaren Speicherplatz des Laufwerks ab.

• Jeder NAND-Block kann nur eine begrenzte Anzahl von Schreib- / Löschzyklen unterstützen. Viele der heutigen Consumer-SSDs verwenden 19-21-nm-NAND, wobei jeder Block ungefähr 3.000 Zyklen lang gültig ist, bevor er unbrauchbar wird, obwohl Enterprise-SSDs und mehrere High-End-Consumer-SSDs, die haltbarere NAND-Typen verwenden, im Handel erhältlich sind.

• In allen Fällen müssen SSDs jedoch Schreibzugriffe auf das gesamte Laufwerk ausbreiten, um übermäßigen Verschleiß an einem einzelnen Block zu vermeiden, damit das Laufwerk nicht vorzeitig ausfällt . Dies wird als Verschleißausgleich bezeichnet . Ein effizienter Verschleißausgleich kann nur erreicht werden, wenn eine bestimmte Menge an Speicherplatz ( Überversorgung ) reserviert ist, um bei Bedarf eine effiziente Müllabfuhr zu ermöglichen, selbst wenn das Laufwerk fast voll ist.

• Unter extremen Bedingungen, in denen die SSD aufgefordert wird, Daten schneller zu schreiben, als sie alte Blöcke löschen kann (häufig bei Workloads mit hohem Datenaufkommen), muss sie möglicherweise die Daten in einem Block in einen anderen Block umschreiben und dann den alten Block sofort löschen um Platz für neue Daten zu machen, bevor sie die Möglichkeit hatten, die Garbage Collection durchzuführen.

• Das erzwungene Neuschreiben eines Blocks ist nicht ideal, da es die Leistung beeinträchtigt und zur Schreibverstärkung beiträgt , bei der mehr Daten in das zugrunde liegende NAND geschrieben werden, als das Laufwerk tatsächlich schreiben soll. Durch das Hinzufügen von Over-Provisioning wird die Schreibverstärkung verringert, da mehr Speicherplatz zum erneuten Schreiben von Daten und Löschen alter Blöcke zur Verfügung steht. Aus diesem Grund sind High-End-SSDs für Unternehmen wie die Samsung SSD 845DC PRO in Größen wie 200 GB und 400 GB erhältlich, obwohl das Laufwerk tatsächlich mehr als 256 bzw. 512 GB NAND enthält. Siehe auch: Warum haben SSDs seltsame Größen?

• Die Whitepaper-Reihe zu SSDs von Samsung enthält eine ausführliche Erläuterung der Funktionsweise von SSDs. Das Schreiben und Löschen von NAND-Seiten und Blöcken sowie die Speicherbereinigung werden in Whitepaper 04 erläutert.

Die einzige Möglichkeit, Daten auf einer SSD wirklich zu löschen, besteht in der Verwendung der ATA Secure Erase-Befehle.

• Secure Erase weist das Laufwerk an, alle gespeicherten Daten zu löschen, einschließlich der Daten, die möglicherweise in den überprovisionierten NAND-Regionen verbleiben. Dabei werden alle Blöcke gelöscht, was zu einem makellosen Laufwerk führt.

• Bei Laufwerken mit Selbstverschlüsselungsfunktion kann Secure Erase einfach durch Löschen des Verschlüsselungsschlüssels implementiert werden. Da die Daten auf dem NAND eines verschlüsselten Laufwerks ohne den Schlüssel nicht lesbar sind, müssen nicht alle Blöcke gelöscht werden, wie dies auf einem unverschlüsselten Laufwerk erforderlich wäre.

Wie von @teabot angegeben, umgeht die Verwendung der vollständigen Festplattenverschlüsselungssoftware das Problem des sicheren Löschens, da Sie keine weiteren Schritte ausführen müssen. Wie in einer verwandten Frage ausgeführt , hat dies jedoch enorme Auswirkungen auf die Leistung, da viele Funktionen des Controllers wie Komprimierung und TRIM verhindert werden und die Leistung Berichten zufolge auf ein Niveau gesenkt wird, bei dem eine normale Festplatte schneller ist als die teure SSD. Für SandForce-basierte Geräte gibt es eine bessere Lösung: Diese Geräte führen standardmäßig eine AES-Verschlüsselung durch und der Schlüssel wird gelöscht, wenn Sie die ATA-Funktion für sicheres Löschen verwenden. Auf diese Weise ist der Zugriff auf alle Daten nur dann möglich, wenn der Angreifer AES unterbrechen kann (128 Bit für aktuelle 256 Bit) für die im März 2011 erschienenen neuen Laufwerke).

Wie Sie dachten, ist das Löschen des gesamten freien Speicherplatzes, um sicherzustellen, dass alle Blöcke, in denen sich die Daten befanden, gelöscht werden, die einzige Möglichkeit, um sicherzugehen. Nun, abgesehen davon, dass man die Seite aus dem Orbit entfernt ...

Dies ist sehr zeitaufwendig und verkürzt die Lebensdauer der Flash-Chips, wenn Sie einen Multi-Pass-Shred verwenden.

Die andere Möglichkeit, die gelöschten Daten zu schützen, besteht darin, sie an den ersten Stellen verschlüsselt in einem verschlüsselten Dateisystem zu speichern, das so etwas wie truecrypt verwendet.