简短的：

Question 1

简短的：

多次 (7) 遍覆盖擦除无法在 SSD 上达到预期效果。如果需要，您可以实施该操作并告知客户您已实施，但不要指望它会清除所有数据。

背景：

要清除传统硬盘上的数据，可以采用以下解决方案：

清除索引（例如，清除 diskpart）。易于恢复。
覆盖整个磁盘。这将清除普通用户的所有数据。如果您可以访问非常敏感的硬件（只有政府才能访问），那么您可能能够恢复部分数据。想象一下擦除铅笔书写的笔记并写下新文本。留下阴影。
使用不同的模式多次覆盖磁盘，甚至可以击败最有能力的攻击者。

SSD 的工作方式不同。它们有许多分组的块。写入只能发生在一个组中。可以把它想象成一本书，你只能在一页上写入。如果你想添加一个句子，那么 SSD 的控制器将读取整个页面并将新页面（带有额外的句子）写入不同的位置。然后它会将旧页面标记为空，并将旧页码分配给新页面。

这意味着操作系统看到的扇区（页面）和磁盘上的内容之间没有直接映射。

您可以用新文件（例如只包含零的文件）填充整个磁盘，而不会触及保留空间。因此仍有可恢复的数据。您可以执行此操作 7 次，并且仍可恢复相同的数据。

好消息

好消息是，SSD 通常带有磁盘加密功能。丢掉加密密钥，数据就毫无价值了。

更好的消息是，这种数据加密始终可用。即使您没有明确启用加密。在这种情况下，磁盘仍会使用存储在 SSD 某处的密钥写入加密数据。告诉它丢弃此密钥并用新密钥替换它，您就完成了。它快速而安全。

甚至有一个命令可以做到这一点（ATA 安全擦除）。

这是唯一正确的技术的解决方案。即使他们坚持 7 次覆盖，也要这样做（只进行后者才能符合他们的要求，而第一次覆盖则是为了满足这些要求的目的）。

糟糕方法的缓慢性

我没有使用过 tabernus lan。但几乎任何 SSD 都能接受超过 100MB/秒的持续写入。有了这种速度，即使是速度非常慢的 SSD 也应该在一小时内完成。中速 SSD 应该在五分之一的时间内完成。

如果您无法达到该性能，那么我怀疑您的解决方案是逐扇区写入。这很糟糕。它应该以 32 的队列深度尽可能快地刷新扇区。如果没有它，您将得到上面的页面类比。

从写了 8 句话的整整一页开始。

擦除句子 1。
- 阅读整页。
- 删除第一句
- 将一整页的 7 句话写到不同的区块/页面
擦除句子 2。
- 阅读整页。
- 删除第二句
- 将一整页的 6 句话写到不同的区块/页面
擦除句子 3。
- 阅读整页。
- 删除第三句
- 将 5 句话写成一整页到不同的区块/页面
擦除句子 4。
- 阅读整页。
- 删除第4句
- 将 5 句话写成一整页到不同的区块/页面
擦除句子5。
- 阅读整页。
- 删除第5句
- 将 3 句话写成一整页，放到不同的区块/页面中
擦除句子6。
- 阅读整页。
- 删除第6句
- 将整整一页的两句话写到另一个区块/页面
擦除句子 7。
- 阅读整页。
- 删除第7句
- 将整页内容写到不同的区块/页面
擦除句子 8。
- 将页面标记为已删除（但实际上不要删除它，直到您需要更多空间）

注意到那段文字有多长了吗？SSD 速度也是一样。

Answer

简短的：

多次 (7) 遍覆盖擦除无法在 SSD 上达到预期效果。如果需要，您可以实施该操作并告知客户您已实施，但不要指望它会清除所有数据。

背景：

要清除传统硬盘上的数据，可以采用以下解决方案：

清除索引（例如，清除 diskpart）。易于恢复。
覆盖整个磁盘。这将清除普通用户的所有数据。如果您可以访问非常敏感的硬件（只有政府才能访问），那么您可能能够恢复部分数据。想象一下擦除铅笔书写的笔记并写下新文本。留下阴影。
使用不同的模式多次覆盖磁盘，甚至可以击败最有能力的攻击者。

SSD 的工作方式不同。它们有许多分组的块。写入只能发生在一个组中。可以把它想象成一本书，你只能在一页上写入。如果你想添加一个句子，那么 SSD 的控制器将读取整个页面并将新页面（带有额外的句子）写入不同的位置。然后它会将旧页面标记为空，并将旧页码分配给新页面。

这意味着操作系统看到的扇区（页面）和磁盘上的内容之间没有直接映射。

您可以用新文件（例如只包含零的文件）填充整个磁盘，而不会触及保留空间。因此仍有可恢复的数据。您可以执行此操作 7 次，并且仍可恢复相同的数据。

好消息

好消息是，SSD 通常带有磁盘加密功能。丢掉加密密钥，数据就毫无价值了。

更好的消息是，这种数据加密始终可用。即使您没有明确启用加密。在这种情况下，磁盘仍会使用存储在 SSD 某处的密钥写入加密数据。告诉它丢弃此密钥并用新密钥替换它，您就完成了。它快速而安全。

甚至有一个命令可以做到这一点（ATA 安全擦除）。

这是唯一正确的技术的解决方案。即使他们坚持 7 次覆盖，也要这样做（只进行后者才能符合他们的要求，而第一次覆盖则是为了满足这些要求的目的）。

糟糕方法的缓慢性

我没有使用过 tabernus lan。但几乎任何 SSD 都能接受超过 100MB/秒的持续写入。有了这种速度，即使是速度非常慢的 SSD 也应该在一小时内完成。中速 SSD 应该在五分之一的时间内完成。

如果您无法达到该性能，那么我怀疑您的解决方案是逐扇区写入。这很糟糕。它应该以 32 的队列深度尽可能快地刷新扇区。如果没有它，您将得到上面的页面类比。

从写了 8 句话的整整一页开始。

擦除句子 1。
- 阅读整页。
- 删除第一句
- 将一整页的 7 句话写到不同的区块/页面
擦除句子 2。
- 阅读整页。
- 删除第二句
- 将一整页的 6 句话写到不同的区块/页面
擦除句子 3。
- 阅读整页。
- 删除第三句
- 将 5 句话写成一整页到不同的区块/页面
擦除句子 4。
- 阅读整页。
- 删除第4句
- 将 5 句话写成一整页到不同的区块/页面
擦除句子5。
- 阅读整页。
- 删除第5句
- 将 3 句话写成一整页，放到不同的区块/页面中
擦除句子6。
- 阅读整页。
- 删除第6句
- 将整整一页的两句话写到另一个区块/页面
擦除句子 7。
- 阅读整页。
- 删除第7句
- 将整页内容写到不同的区块/页面
擦除句子 8。
- 将页面标记为已删除（但实际上不要删除它，直到您需要更多空间）

注意到那段文字有多长了吗？SSD 速度也是一样。

Question 2

您使用的软件显然无法正常工作。您的一个屏幕截图显示速度为 97MB/s。以这个速度，在 256GB 驱动器上进行 7 次全盘覆盖大约需要 5 个小时。简单计算。

你可能想尝试白5取而代之。如您所见，Tabernus Erase LAN 的链接已重定向到其网站。您也可以考虑最新的数据库管理系统，它似乎是 Blancnco 的免费版本。

说实话，我从未使用过上述任何软件。我怀疑它们的效果是否真的比简单的随机覆盖更好。

就我个人而言，我在 GNU coreutils 中使用 shred：

shred -v -n 7 /dev/sdX

不过我不会真正使用-n 7它。最多我会保留默认值：3 次通过，并且可能在末尾额外进行一次零填充 ( -z)。

或者，openssl：

openssl enc -aes-256-ctr -in /dev/zero -out /dev/sdX -pass file:/dev/urandom -nosalt

您可以编写一个简单的 bash 循环来使其执行多次传递。但它不会报告进度shred。

顺便说一句，根据互联网上相当多的随机来源（请谷歌搜索），美国国防部似乎已经淘汰了数据清理规范。现在它似乎只承认物理破坏。

您所担心的一个可能原因是，简单的覆盖可能无法“达到”SSD 后台所有预留空间，无法进行所谓的过度配置（在固件中完成）和/或坏扇区重新分配。不幸的是，多次通过的随机的如果您的 SSD 不支持硬件加密，数据填充可能是您能做的最好的事情。

如果您需要安全擦除数据，请不要依赖 ATA DSM/TRIM。TRIM 可能会或甚至可能不会使 SSD“看起来”（即十六进制转储）完全被擦除，但它实际上不会像覆盖那样在后台破坏数据。

人们也不应该真正信任 ATA Secure Erase ¹。ACS 标准仅要求它执行（单次）模式填充。普通模式应使用零或一作为模式，而增强模式应使用供应商特定的模式（但仍是模式填充）并擦除“重新分配的用户数据”。

然而，在 ATA SANITIZE DEVICE 尚未推出时，该功能集长期以来一直被供应商滥用来做非标准的事情^{3 。因此，ATA 安全擦除的行为可能完全特定于供应商，尤其是在 SSD 上。}

在 SSD 上，ATA 安全擦除通常以与 ATA SANITIZE DEVICE 的 BLOCK ERASE 相同的方式实现，这几乎相当于全盘 ATA TRIM（在 RZAT ² SSD 上）。

固定模式填充（可能纳入某些不考虑 SSD 的“DOD 擦除”实现中）实际上不值得做，因为 SSD 中的“智能”控制器可以进行压缩，甚至忽略这种重复覆盖。

如果出于某种原因，确实需要这样做，我认为 ATA SANITIZE DEVICE 的 OVERWRITE 是最好的方法。（因为，希望，供应商将确保当用户向驱动器发出该指令时，控制器不会“玩智能游戏”。）

在具有所谓硬件加密的 HDD/SSD 上，增强模式ATA 安全擦除通常与 ATA SANITIZE DEVICE 的 CRYPTO SCRAMBLE 实现相同，后者会触发加密密钥的重新生成等。如果您想所谓的安全擦除驱动器，这可能是最好的“快速”方法，因为这几乎就是那些非 Opal 硬件加密的全部目的（而人们通常错误地认为其主要目的是使用 ATA 密码）。

FWIW，在擦除之前，始终需要先启用 ATA 安全功能集（即“用户密码”），这通常会因实施不当（或 PEBKAC）而导致驱动器变砖。如果驱动器支持 ATA SANITIZE DEVICE，那么它应该是首选。不幸的是，与 ATA 安全不同，hdparm，似乎还没有实用程序支持较新的功能集。最多只能手动形成一个SCSI ATA 直通命令并将其发送sg_raw至sg3_utils。

笔记：

¹ ATA 安全擦除的标准命令名称是 SECURITY ERASE UNIT，这是 ATA 安全功能集中的强制命令

²修剪后返回零数据；请参阅 ACS 标准以了解其确切定义

³ 英特尔 530 SATA SSD 规格；参见“5.3 安全模式功能集”；主要供应商“滥用” ATA 安全功能集的一个例子

Answer

您使用的软件显然无法正常工作。您的一个屏幕截图显示速度为 97MB/s。以这个速度，在 256GB 驱动器上进行 7 次全盘覆盖大约需要 5 个小时。简单计算。

你可能想尝试白5取而代之。如您所见，Tabernus Erase LAN 的链接已重定向到其网站。您也可以考虑最新的数据库管理系统，它似乎是 Blancnco 的免费版本。

说实话，我从未使用过上述任何软件。我怀疑它们的效果是否真的比简单的随机覆盖更好。

就我个人而言，我在 GNU coreutils 中使用 shred：

shred -v -n 7 /dev/sdX

不过我不会真正使用-n 7它。最多我会保留默认值：3 次通过，并且可能在末尾额外进行一次零填充 ( -z)。

或者，openssl：

openssl enc -aes-256-ctr -in /dev/zero -out /dev/sdX -pass file:/dev/urandom -nosalt