如果您最近的正常硬盘上有私人数据 - 您需要删除多少次才能使其无法恢复?
这并不意味着一个由 20 名专家组成的取证团队可以花费 1 亿欧元或美元的预算和 10 年的时间从已知地址恢复几个字节,并且准确率达到 80%,而是只有几千欧元/美元预算的几个人,他们不会在这项工作上花费超过两周的时间,也不知道他们在驱动器上的哪个位置进行搜索。
Linux/GNUshred在手册中说:
-n, --iterations=N
overwrite N times instead of the default (3)
但一方面,我听说 NSA 建议覆盖 27 次,另一方面,专业的数据恢复公司无法从仅被擦除一次的驱动器中恢复数据。
证据、文件、证明?
注意:本问题不是:
- 这与坏扇区无关,坏扇区可能会让数据漏出
- 这与 90 年代早期的旧 MFM/RLL 驱动器无关
- 这与不同的工具无关
- 这与方法(随机数 0、0xFF 和奇特的模式)关系不大。
- 这与安全地擦拭它的不同技术无关(磁力、熔化、填沙和转动)。
- 这与闪存驱动器的特殊问题无关
答案1
一次。
现代磁性介质非常高效,几乎不会留下以前比特位置的痕迹。要留下痕迹则需要电子显微镜和/或高科技磁力计(或任何名称)扫描仪。所有这些设备都非常昂贵,即使有最好的设备和最熟练的专家,也需要花费大量的时间(想想单个盘片需要数年时间;所有硬盘都有多个盘片),并且故障率非常高。
如果您处理的是政府机密(例如 NSA),那么一次写入可能不够好,因为中国可以轻松获取和使用这些设备,也不会雇用数百名专业专家团队来使用它们。
另一方面,如果你只是处理个人银行密码和你的秘密 pr0n 存储,一次传递就足以使数据完全无法从任何实际的方法。
话虽如此,现代磁盘速度非常快,除非您要擦除整个硬盘,否则多次遍历只需很少的时间,因此没有理由不这样做。因此,虽然您必须使用复杂的遍历模式多次覆盖的谬论已经非常普遍,以至于所有“安全删除”软件都默认为多次遍历,但覆盖这些默认值实际上没有什么意义。当我使用shred(默认遍历次数:3)时,我让它执行 3 次遍历;当我在 Windows 上使用 Eraser(文件的默认遍历次数:35)时,我让它执行 35 次遍历。(Eraser 在删除硬盘上的可用空间时默认只执行一次遍历;我也让它以默认值运行。)
因此,您的问题(需要多少次传递?)的答案是:“一次。”您的隐含问题(我应该覆盖 shred 的默认 3 次传递吗?)的答案是:“不。”
另一方面,如果你是一名秘密政府特工,那么一张通行证是不够的,因为你做让中国来追踪你的数据。如果是这样的话,你应该询问你的上级/上级,你的机构对敏感数据的安全删除有什么规定,而不是 SU。;-)
警告:基于闪存的介质采用一种称为“磨损均衡”的系统来延长设备的使用寿命。不必深究这个术语的含义或背后的原因,它意味着你真的不能安全删除闪存介质上的文件,除非你安全擦除全部的媒体,而且即使这样也不能保证磨损均衡算法不会留下您无法写入的未擦除数据。对于基于闪存的媒体,最好的办法是使用强密码加密写入其中的所有敏感数据。
TrueCrypt 的文档包括这个问题的精彩讨论,以及解决方法。
答案2
这是一个老问题,但鉴于我有法医数据恢复经验,我感到有必要发表一下自己的看法。
所提问题纯属学术问题,因此这个答案也纯属学术问题。实际上,公认的答案是正确的;一次操作足以使驱动器上的数据无法恢复。但是,有一个原因政府强制要求多次通行。
人们认为硬盘是一种数字设备;磁位以紧密的模式排列,并由驱动器磁头“翻转”打开或关闭。但实际上,就磁性介质的物理特性而言,硬盘是一种模拟设备。盘片表面涂有一层充满磁偶极子的基板,这些偶极子比它们编码的数字“位”小。在一个方向上有足够数量的这些偶极子,相对于另一个方向,在单个位层面上构成净电阻。这是抵抗阈值它决定将一个位解释为 1 还是 0,而不是数字的“开”或“关”极性。
就驱动器的电子元件而言,来自磁头的电信号是经过调制的正弦波,而不是 1 和 0 的比特流。这正是几十年前磁带记录音频信号的方式——只是现在的基质密度要高得多,而且我们正在使用数学从模拟“噪音”中提取数字信号。
现在,从物理上讲,制造 100% 完美的盘片是不可能的,即使你能制造,操作环境也永远不会 100% 完美。在现代硬盘驱动器运行的物理尺度上,实际上有数百个因素共同造成信号中的微观缺陷,它们造成的问题非常严重,以至于典型驱动器上多达 1-2% 的空间被“浪费”在错误纠正上以处理它们。你的硬盘驱动器实际上是在从错误中恢复每时每刻正常的硬盘操作实际上是一个概率游戏,其中一个“好”扇区仅仅是 n% 的概率,该扇区中编码的数据是准确的。
现在让我们看一下坏扇区的情况,您可以看到如何将相同的技术应用于好扇区。
如果某个扇区被标记为“坏扇区”(由控制器而不是操作系统标记),则意味着特定扇区内所有数据位的概率(作为一个整体)已降至驱动器纠错算法的数学可恢复性阈值以下。这确实不是意味着这些位实际上已经死了;只是控制器不能确定它们是正确的。
但是,您可以通过读取数百次甚至数千次来恢复坏扇区,具体取决于损坏程度。每次磁头经过“坏”扇区时,扇区的读取方式都会略有不同。盘片摆动、温度、振动、时钟偏差等都可能略有不同。但是,如果您将每次经过与之前的数千次经过进行比较足够多次,您就可以恢复(略低于绝对确定性)坏扇区在损坏之前包含的数据。这正是 SpinRite 等数据恢复软件的工作原理。
现在让我们将这个逻辑应用到一个“好”扇区。当你一次性擦除驱动器时,控制器 100% 确定每个扇区都包含你填充驱动器的任何位模式。但仍然这些读数存在错误,并且控制器仍在纠正它们。 一些这些错误都是环境因素造成的,但很有可能其中许多错误也是该扇区被覆盖之前的数据残留。
请记住,我们讨论的是几十年来在录音带上使用的相同技术。并非所有磁偶极子都在那一次传递中翻转,因此噪声中仍然存在“幽灵”信号。
引用亚当·萨维奇(《流言终结者》的作者)的话:“我拒绝你的现实,代之以我自己的现实。”如果你把驱动器的控制器(以及它对擦除数据模式的数学确定性)从等式中取出,只看驱动器电子设备发出的正弦波,它可能有可能理论上重建驱动器被擦除之前的数据 - 就像我们以前对已“删除”的录音带所做的那样。
或许不是。它对尼克松水门事件录音带缺失的 18 分钟没有帮助……还是有帮助?;-)
那么,这可行吗?这种能够做到这一点的设备真的存在吗?也许存在。也许不存在。如果存在,那肯定是国家机密。但既然理论上可行,那么理论上就必须防范。这意味着要用多种位模式进行多次传递,以尽可能扰乱幽灵信号。
如果你是政府,想删除机密数据,那么考虑这个问题很重要。如果这是你的秘密色情资料,那么可能不行(除非你的妻子为 NSA 工作)。