SSD | Flashspeicher sicher löschen

Im Kuketz-Forum kam folgende Frage auf:

Wie lässt sich eine einzelne Datei auf einem USB-Stick bzw. Flashspeicher »sicher« löschen?

Sicher löschen meint: Die Datei so zu löschen, dass sie ein Dritter nicht wiederherstellen kann.

Der entscheidende Tipp kam dann von cane:

USB-Sticks haben Flash-Speicher (wie bei SSDs). Um die Speicherzellen zu schonen, sorgt die interne Steuerelektronik der Flash-Speicher dafür, dass für jeden Schreibvorgang andere Zellen genutzt werden. Ein systematisches Überschreiben einzelner Dateien mit „shred“ oder „wipe“ ist nicht möglich. Außerdem haben Flash-Speicher zusätzliche Reserve-Zellen, die mit einem Überschreiben des gesamten Device nicht erreicht werden können. Die Auswertung der Raw-Daten der Flash Chips ermöglicht u.U. trotzdem eine Rekonstruktion mit forensischen Mitteln.

Unter Linux könnt ihr allerdings das Kommandozeilentool hdparm nutzen, um eine SSD-Festplatte oder Flashspeicher vollständig »sicher« zu löschen.

Zunächst lasst ihr euch alle Informationen zu einem Gerät anzeigen:

hdparm -I /dev/sdX

Prüft die Ausgabe auf den Wert »not frozen«:

Security: 
	Master password revision code = 65534
		supported
	not	enabled
	not	locked
	not	    frozen
	not	expired: security count
		supported: enhanced erase
	2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

Setzt ein (temporäres) Passwort für das Gerät:

hdparm --user-master u --security-set-pass passwort123 /dev/sdX

Ausgabe:

security_password="passwort123"

/dev/sda1:
Issuing SECURITY_SET_PASS command, password="passwort123", user=user, mode=high

Prüft ob der Vorgang erfolgreich war:

hdparm -I /dev/sdX

Ausgabe – vor enabled ist kein »not« sichtbar:

Security: 
       Master password revision code = 65534
               supported
               enabled
       not     locked
       not     frozen
       not     expired: security count
               supported: enhanced erase
       Security level high
       2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

Anschließend könnt ihr den Löschvorgang starten:

hdparm --user-master u --security-erase passwort123 /dev/sdX

Der Flashspeicher ist nun vollständig »sicher« gelöscht und lässt sich nicht wiederherstellen. Wenn der Vorgang erfolgreich war wird das Passwort wieder zurückgesetzt – das könnt ihr wie folgt prüfen:

hdparm -I /dev/sdX

Ausgabe – es erscheint nun wieder ein »not« bei enabled:

Security: 
       Master password revision code = 65534
               supported
       not            enabled
       not     locked
       not     frozen
       not     expired: security count
               supported: enhanced erase
       2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.

Hinweis

Je nach Schutzbedarf kann die Löschung via Secure Erase ausreichen, aber eine sicheres Löschen von SSDs nicht 100%ig garantiert werden kann. Besser ist es, die betriebssystemseitige Festplatten-Verschlüsselung (bspw. dm-crypt / LUKS) zu verwenden, anstatt sich auf die Firmware-Option des Flashspeichers zu verlassen.

Heißt also für die Praxis: Nutzt die Festplatten-Verschlüsselung (mit einem sicheren Passwort). Wenn ihr die Festplatte dann »sicher« entsorgen wollt geht ihr einfach nochmal zusätzlich mit hdparm darüber, um bspw. Meta-Informationen zur Verschlüsselung zu entfernen.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡