метод Гутмана
Метод Гутмана представляет собой алгоритм безопасного стирания содержимого жестких дисков компьютера , например файлов . Разработанный Питером Гутманном и Колином Пламбом и представленный в статье « Безопасное удаление данных из магнитной и твердотельной памяти» в июле 1996 года, он включал в себя запись серии из 35 шаблонов в области, подлежащей стиранию.
Выбор шаблонов предполагает, что пользователь не знает механизм кодирования, используемый накопителем, поэтому включает шаблоны, разработанные специально для трех типов накопителей. Пользователь, знающий, какой тип кодировки использует накопитель, может выбирать только те шаблоны, которые предназначены для его накопителя. Для диска с другим механизмом кодирования потребуются другие шаблоны.
Большинство шаблонов метода Гутмана были разработаны для старых дисков с кодировкой MFM / RLL . Сам Гутманн отметил, что более современные приводы больше не используют эти старые методы кодирования, что делает некоторые части метода неактуальными. Он сказал: «С момента публикации этой статьи некоторые люди воспринимали описанную в ней 35-проходную технику перезаписи скорее как своего рода заклинание вуду для изгнания злых духов, чем как результат технического анализа методов кодирования дисков». [ 1 ] [ 2 ]
Примерно с 2001 года некоторые ATA IDE и SATA конструкции жестких дисков включают поддержку стандарта ATA Secure Erase , что устраняет необходимость применения метода Гутмана при стирании всего диска. [ 3 ] Метод Гутмана не применим к USB-накопителям: исследование 2011 года сообщает, что 71,7% данных остались доступными. На твердотельных накопителях это приводило к восстановлению 0,8–4,3%. [ 4 ]
Фон
[ редактировать ]Функция удаления в большинстве операционных систем просто помечает пространство, занимаемое файлом, как повторно используемое (удаляет указатель на файл), не удаляя немедленно какое-либо его содержимое. На этом этапе файл можно довольно легко восстановить с помощью многочисленных приложений для восстановления. Однако, как только пространство будет перезаписано другими данными, не существует известного способа использовать программное обеспечение для его восстановления. Это невозможно сделать только с помощью программного обеспечения, поскольку устройство хранения возвращает свое текущее содержимое только через обычный интерфейс. Гутманн утверждает, что спецслужбы располагают сложными инструментами, в том числе магнитно-силовыми микроскопами , которые вместе с анализом изображений могут обнаруживать предыдущие значения битов на пораженной области носителя (например, жестком диске ). Однако это утверждение кажется недействительным на основании тезиса «Реконструкция данных с жесткого диска с использованием магнитно-силовой микроскопии». [ 5 ]
Метод
[ редактировать ]Сеанс перезаписи состоит из начального четырех случайных шаблонов записи, за которыми следуют шаблоны с 5 по 31 (см. строки таблицы ниже), выполняемых в случайном порядке, и завершающего еще четырех случайных шаблонов.
Каждый из шаблонов с 5 по 31 был разработан с учетом конкретной магнитных носителей схемы кодирования , на которую нацелен каждый шаблон. На диск записывается для всех проходов, хотя в таблице ниже показаны только битовые комбинации для проходов, специально предназначенные для каждой схемы кодирования. Конечный результат должен скрыть любые данные на диске, так что только самое современное физическое сканирование (например, с использованием магнитно-силового микроскопа ) диска, вероятно, сможет восстановить любые данные.
Серия узоров следующая:
| Проходить | Записанные данные | Шаблон, записанный на диск для целевой схемы кодирования. | |||
|---|---|---|---|---|---|
| В двоичной записи | В шестнадцатеричной записи | (1,7) РЛЛ | (2,7) РЛЛ | МФМ | |
| 1 | (Случайный) | (Случайный) | |||
| 2 | (Случайный) | (Случайный) | |||
| 3 | (Случайный) | (Случайный) | |||
| 4 | (Случайный) | (Случайный) | |||
| 5 | 01010101 01010101 01010101 |
55 55 55 |
100... |
000 1000...
| |
| 6 | 10101010 10101010 10101010 |
AA AA AA |
00 100... |
0 1000...
| |
| 7 | 10010010 01001001 00100100 |
92 49 24 |
00 100000... |
0 100...
| |
| 8 | 01001001 00100100 10010010 |
49 24 92 |
0000 100000... |
100 100...
| |
| 9 | 00100100 10010010 01001001 |
24 92 49 |
100000... |
00 100...
| |
| 10 | 00000000 00000000 00000000 |
00 00 00 |
101000... |
1000... |
|
| 11 | 00010001 00010001 00010001 |
11 11 11 |
0 100000... |
||
| 12 | 00100010 00100010 00100010 |
22 22 22 |
00000 100000... |
||
| 13 | 00110011 00110011 00110011 |
33 33 33 |
10... |
1000000... |
|
| 14 | 01000100 01000100 01000100 |
44 44 44 |
000 100000... |
||
| 15 | 01010101 01010101 01010101 |
55 55 55 |
100... |
000 1000...
| |
| 16 | 01100110 01100110 01100110 |
66 66 66 |
0000 100000... |
000000 10000000... |
|
| 17 | 01110111 01110111 01110111 |
77 77 77 |
100010... |
||
| 18 | 10001000 10001000 10001000 |
88 88 88 |
00 100000... |
||
| 19 | 10011001 10011001 10011001 |
99 99 99 |
0 100000... |
00 10000000... |
|
| 20 | 10101010 10101010 10101010 |
AA AA AA |
00 100... |
0 1000...
| |
| 21 | 10111011 10111011 10111011 |
BB BB BB |
00 101000... |
||
| 22 | 11001100 11001100 11001100 |
CC CC CC |
0 10... |
0000 10000000... |
|
| 23 | 11011101 11011101 11011101 |
DD DD DD |
0 101000... |
||
| 24 | 11101110 11101110 11101110 |
EE EE EE |
0 100010... |
||
| 25 | 11111111 11111111 11111111 |
FF FF FF |
0 100... |
000 100000... |
|
| 26 | 10010010 01001001 00100100 |
92 49 24 |
00 100000... |
0 100...
| |
| 27 | 01001001 00100100 10010010 |
49 24 92 |
0000 100000... |
100 100...
| |
| 28 | 00100100 10010010 01001001 |
24 92 49 |
100000... |
00 100...
| |
| 29 | 01101101 10110110 11011011 |
6D B6 DB |
0 100… |
||
| 30 | 10110110 11011011 01101101 |
B6 DB 6D |
100… |
||
| 31 | 11011011 01101101 10110110 |
DB 6D B6 |
00 100… |
||
| 32 | (Случайный) | (Случайный) | |||
| 33 | (Случайный) | (Случайный) | |||
| 34 | (Случайный) | (Случайный) | |||
| 35 | (Случайный) | (Случайный) | |||
Закодированные биты, выделенные жирным шрифтом, — это то, что должно присутствовать в идеальном шаблоне, хотя из-за кодирования дополнительный бит фактически присутствует в начале дорожки.
Критика
[ редактировать ]Дэниел Финберг из Национального бюро экономических исследований , американской частной некоммерческой исследовательской организации, раскритиковал заявление Гутмана о том, что спецслужбы, вероятно, смогут читать перезаписанные данные, сославшись на отсутствие доказательств для таких утверждений. Он обнаруживает, что Гутманн цитирует один несуществующий источник и источники, которые на самом деле не демонстрируют восстановления, а лишь частично успешные наблюдения. Определение «случайного» также сильно отличается от обычного используемого: Гутманн ожидает использования псевдослучайных данных с последовательностями, известными восстанавливающей стороне, а не непредсказуемых, таких как криптографически безопасный генератор псевдослучайных чисел . [ 6 ]
Тем не менее, некоторые опубликованные правительственные процедуры безопасности считают, что диск, перезаписанный один раз, все еще остается конфиденциальным. [ 7 ]
Сам Гутманн ответил на некоторые из этих критических замечаний, а также раскритиковал злоупотребления его алгоритмом в эпилоге своей оригинальной статьи, в которой он заявляет: [ 1 ] [ 2 ]
Со времени публикации этой статьи некоторые люди воспринимали описанную в ней 35-проходную технику перезаписи скорее как своего рода заклинание вуду для изгнания злых духов, чем как результат технического анализа методов кодирования дисков. В результате они выступают за применение шаманства к дискам PRML и EPRML, даже несмотря на то, что это даст не больший эффект, чем простая очистка случайными данными. Фактически, полная 35-проходная перезапись бессмысленна для любого накопителя, поскольку она нацелена на сочетание сценариев, включающих все типы (обычно используемых) технологий кодирования, которые охватывают все, вплоть до методов MFM более 30-летней давности (если вы их не используете). не понял этого утверждения, перечитал статью). Если вы используете диск, использующий технологию кодирования X, вам нужно выполнить только те проходы, которые относятся к X, и вам никогда не потребуется выполнять все 35 проходов. Для любого современного диска PRML/EPRML лучшее, что вы можете сделать, это несколько проходов случайной очистки. Как говорится в статье: «Хорошая очистка случайных данных даст примерно такой же результат, как и можно было ожидать». Это было верно в 1996 году, и это справедливо и сейчас.
— Питер Гутманн, Безопасное удаление данных из магнитной и твердотельной памяти, факультет компьютерных наук Оклендского университета.
См. также
[ редактировать ]Примечания
[ редактировать ]- ^ Jump up to: а б Гутманн, Питер. (22–25 июля 1996 г.) Безопасное удаление данных из магнитной и твердотельной памяти. Факультет компьютерных наук Оклендского университета. Раздел Эпилог.
- ^ Jump up to: а б Кранор, Лорри Фейт; Гарфинкель, Симсон (25 августа 2005 г.). Безопасность и удобство использования: разработка безопасных систем, которыми могут пользоваться люди . п. 307. ИСБН 9780596553852 .
- ^ Очистка и рассекречивание электронных устройств хранения данных (PDF) (PDF) . Учреждение безопасности связи. Июль 2006. с. 7. Архивировано из оригинала (PDF) 3 марта 2014 г.
- ^ Майкл Вэй; Лаура М. Групп; Фредерик Э. Спада; Стивен Суонсон (2011). «Надежное удаление данных с твердотельных накопителей на базе флэш-памяти» (PDF) . FAST'11: Материалы 9-й конференции USENIX «Файловые технологии и технологии хранения» . Викиданные Q115346857 . Проверено 8 января 2018 г.
- ^ «Реконструкция данных с жесткого диска с помощью магнитно-силовой микроскопии» (PDF) . КАЛИФОРНИЙСКИЙ УНИВЕРСИТЕТ САН-ДИЕГО. 2013. Архивировано из оригинала 27 октября 2015 г.
- ^ Дэниел Финберг (2013) [2003]. «Могут ли спецслужбы читать перезаписанные данные? Ответ Гутману» . Национальное бюро экономических исследований.
- ^ «Очистка и рассекречивание электронных устройств хранения данных» (PDF) (PDF) . Учреждение безопасности связи. Июль 2006 г. Архивировано из оригинала (PDF) 3 марта 2014 г.
Внешние ссылки
[ редактировать ]- Безопасное удаление данных из магнитной и твердотельной памяти , оригинальная статья Гутмана
