首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

SSD如何格式化消毁数据,又如何恢复数据?

上一期有人问,如何知道SSD的寿命是否到了末期呢?企业级SSD都设计了SMART数据可以清楚看到寿命消耗的 % 数,通用SMART工具都可以查询。

好了,回到本期:

SSD如何格式化消毁数据,又如何恢复数据?虽然看似一个矛盾的话题,很多客户两个点同时都关心!

话分两端,先说销毁数据:

存储数据的生命期过程中,有时,我们希望盘内的数据被彻底清除,避免秘密泄露,回忆一下2008年某西GG,电脑硬盘数据泄露,在“SLC型号”的床上不可描述的视频。(SLC床就是单层床,不明白,看看秒懂SSD-1文章吧,后附链接)。

物理损坏:扔钢铁厂熔炉熔化;粉末打碎机等是最彻底的数据清除手段,坏处显而易见,太“费钱”。相当于不只是倒掉洗澡水,把洗澡盆都砸了,换新的(避免洗澡人的DNA泄露,呵呵)。机要部门和组织才能负担。粉碎机,要注意Flash芯片的颗粒粉末的毫米尺寸,半导体保密销毁国家标准有要求,觉得越细越好,

清除数据:商业组织很多场景只需要数据清除,盘片需要重新使用

如:集团内一个业务的存储设备调剂给另一个业务去重新使用;又如,故障坏盘,在维保范围内,也希望返厂“换钱”或者“换盘”(双方都要核销帐目);又如云服务租用的空间回收,数据清除,给另一个客户用(如果不清除数据,新的租户可能mount文件系统后,啥都看见了)

怎么办?覆盖写几次?!NO!

你也许听说过 ,SSD覆盖写,并不能彻底覆盖旧数据。

这是真的。所以针对HDD哪些覆盖写清除数据的工具和标准,不安全了。

还记得前面几期讲到的宿舍房间吗? 如果一个新同学来了,他不会去占用任何一个房间内的空位,即使那个空位的同学已经转学了,或者被开除了。就是说,老的床位位置仍然保持着老的状态,还在,可以恢复出这里发生过的一切(可以认为灵魂还在这里,DNA在这里。事实上Flash芯片这里的数据是原本完整的,只是被管理员标注了一下空闲,等待GC回收清除)。

直到 – 整个房间打扫除后,旧的遗迹和灵魂才会消失。 所以写入一个LBA逻辑地址新的数据,并不能清除老的数据(这一点和HDD有本质不同),“宿舍房间大扫除”可能很久才会发生,也可能很快就会发生,优先级取决于这个房间有多少人搬走了。想想,管理员也是怕白忙活的,也要减少房间内留守同学的挪动,是吧。

SSD的数据被清除,可以从两个SSD的标准命令解读

1 Trim 命令

2 Security Erase Format 命令

注意!!!

命令1 高效,秒级完成但不安全;

命令2 才是安全的,通常时间也不久,几分钟~10几分钟不等,看容量。

Trim 命令就是做一个标记,告诉宿舍管理员在自己的学生-床位表格上做了一个标记(FTL表),某某位置的同学被学校开除了,实际上同学还一直赖在原来床位,宿舍管理员是不会立刻去打扫的,他也会偷(统)懒(筹)的。也许你注意到了,在打扫之前,有个时间差,数据在这个时间差内是不安全的,只要掉电,可以用于数据获取/取证。

Trim主要价值是,文件系统可以及时通知SSD,哪些文件逻辑上已经无效了,不需要了,通知管理员,有空就回收吧,别太懒了,现在腾出空间,后面有新同学来,入住快啊!

最推荐的是 Security Erase Format 命令。

Security Erase Format是一个暴力清除数据的命令,没有后悔药,也没有时间差。相当于宿舍管理员收到强制命令后,立刻赶走宿舍内的所有同学,进行全楼打扫,每个房间都被清除干净。可以在分钟级,变成一个全新的SSD,等待着下一次使用/入住。SSD内部,实际上就是对每个Flash芯片内的Block进行高压擦除,高压将电子从芯片中的束缚材料中拉出来,表达信息0,1的电子都被强行整体拉出,自然信息也就消失了。

什么? 如果电子拉的不干净?又想讨论另一个战线的事情?商业应用不用操那么多心,好吧打住,那个很困难,不懂。

密钥销毁:

具有TCG,FIPS标准加密数据的SSD,可以用简单快速方法销毁数据。即销毁数据加密的DEK,或者DEK随机重新生成(1秒完成)。

如:

LOVEU原始数据写入SSD,当时的DEK = “randomABC”

加密后保存到SSD是WFDSG,解密后是 LOVEU。

如果密钥销毁,DEK重新生成= “randomXYZ”了,用新密钥解密老数据,读出的数据是无意义的,比如:UALSF,

就这样,达成快速了快速使得数据无意义的效果。

但是,根据中国法规,FIPS标准不能在中国范围内应用,应用需要向国家商密局备案获得批准(就像热的发紫的比特币被央行暂停禁止一样,控制和失控之间有矛盾的考量)。关于数据加密,中国有自己的SM系列国密标准,国家希望在2020年推广商业,金融等规范落地。

为啥各国有自己标准,认证。是容易理解的,进口的SSD,DEK销毁,真的没有其他后门了吗?!没有私自保留历史DEK给自己XXX局备用?好吧,我虽然信任厂家,但应该不是全体人都信。

结论:

对于商业系统数据清除,推荐系统集成支持Security Erase Format 命令或者按照相关工具软件的操作指导进行。

集成安全擦除命令的工具如:

Intel Solid State Toolbox

OCZ Toolbox

Corsair SSD Toolbox

Samsung SSD Products

SanDisk SSD Toolkit

这里也呼吁,SSD需要成立可信擦除认证组织,对市场上SSD的数据擦除设计进行检验认证。

话分两端,再说数据恢复:没错SSD也可以做数据恢复,不要人云亦云!不只是HDD才可以做数据恢复!

~~~内容太多,下次再讲吧。 超过您的碎片时间长度了。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180412G1AOMB00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券