Login
Immer anmelden
SSL Login
Noch kein Login?
Daten vergessen?

 
Newsletter
Werbung
Shopping
International Shopping
 
 


Yatego Shopping bei über 10000 Händlern und über
3 Mio. Artikel.


Linux

:

Linux-Bücher

Handy
Shop

  und Computer.

Viele Services

:

Apple iPad Reader,


Ratgeber,

 

Techniktops,

 

Yatego Clicks

  & über 3000

Gutscheine.

 
Mi, 2. Mai 2007, 00:00
Allgemeine Themen

Daten sicher löschen

Die Hauptaufgabe eines Systemadministrators sind Schutz und Verfügbarmachung von Daten. Doch Daten müssen teilweise wieder sicher vernichtet werden. Dies ist beispielsweise der Fall, wenn alte Rechner oder Datenträger ausgesondert werden oder gesetzliche Aufbewahrungsfristen überschritten werden. In diesem Artikel wird gezeigt, welche Methoden zur sicheren Datenlöschung existieren, was bei den verschiedenen Datenträgern zu beachten ist und wie man die Datenvernichtung bereits im Vorfeld plant.

Flash-EEPROM

Flash-EEPROMs werden in USB-Sticks oder Compact-Flash-Karten verwendet. Sie verwenden keinen Magnetismus, um Daten abzulegen, sondern sogenannte »Floating Gates« der Feldeffekt-Transistoren (FETs). Vereinfacht gesprochen ist das Floating Gate ein Leiter zwischen zwei Punkten (Source und Drain, Quelle und Abfluss genannt). Durch Anlegen einer Spannung kann der Leiter blockiert werden, eine gleich hohe, aber negative Spannung öffnet den Leiter wieder. Je nachdem, ob der Leiter offen oder blockiert ist, wird eine logische 1 oder 0 repräsentiert. Ein FET ist also im Prinzip nichts anderes als ein sehr kleiner Schalter.

Daten können erst überschrieben werden, nachdem die alten Daten gelöscht wurden. Die Löschoperation kann dabei nur bei bestimmten EEPROMs auf Byte-Ebene erfolgen; meist geschieht dies Sektor-weise, woher auch der Name Flash rührt. Da es bei den Feldeffekt-Transistoren nicht möglich ist, vorige Belegungen zu rekonstruieren, genügt ein einfaches Überschreiben der Daten mit einem beliebigen Bit-Muster. Praktisch lässt sich dies am einfachsten mit einem dd if=/dev/zero of=/dev/sd0d realisieren.

Beachten Sie aber, dass ein Flash-Speicher systembedingt nur eine begrenzte Anzahl von Lösch-Operationen durchführen kann. Dies rührt daher, dass bei jedem Durchtunneln der Oxid-Schicht des Floating-Gates diese Schicht beschädigt wird. Zur Zeit geben die Hersteller Zyklen von 100.000 bis 1.000.000 Löschvorgängen an.

Zerstörungsfreie Datenvernichtung

Um Daten auf magnetischen Datenträgern, wie Festplatten, Disketten oder Bändern, sicher zu löschen, müssen die Blockinhalte der Datei überschrieben werden. Dazu gibt es verschiedene Standards und Methoden, die unterschiedliche Sicherheitsstufen bieten.

Problematisch sind hierbei allerdings grundsätzliche Probleme: Die bereits erwähnten Datei-Reste in Blöcken sowie die Existenz nicht bekannter Kopien der Daten. Das Betriebssystem kann eine Datei unter anderem in den Swap-Speicher ausgelagert haben, sodass sich die Daten auf der Swap-Partition befinden. Ebenso kann die Datei im temporären Verzeichnis /tmp abgelegt werden. Daher kann man zwar dafür sorgen, dass die bekannte Datei sicher gelöscht wird, nicht jedoch alle anderweitig existierenden Kopien der Daten. Außerdem können nur Dateien überschrieben werden, die noch existieren. Bereits unsicher gelöschte Dateien können nicht ohne Weiteres überschrieben werden.

Außerdem funktioniert Überschreiben nicht, wenn das Dateisystem die Blockgröße bei jedem Speichervorgang neu zuordnet. Dies tut beispielsweise das BSD-Dateisystem LFS. Um Daten sicher zu überschreiben, muss der Schreib-Cache der Platte deaktiviert werden. Verwenden Sie dazu unter NetBSD dkctl(8) in der Form dkctl GERÄT setcache none. Leider schalten nicht alle IDE-Platten den Schreib-Cache ab, obwohl dies implementiert sein müsste. SCSI-Platten können generell ihren Schreib-Cache abschalten.

Ein weiterer Kritikpunkt ist die Abhängigkeit der statischen Bitmuster vom Speicherverfahren der Festplatte. Eine Platte mit FM benötigt andere Bitmuster als MFM. Inzwischen gibt es eine Vielzahl unterschiedlicher Verfahren - auch proprietäre und daher unbekannte. Bisher existiert kein spezifisches Schema der Bitfolgen für die neueren Verfahren wie EEPRML, MTR oder Trellis, da sie kaum oder gar nicht öffentlich dokumentiert sind. Hier hilft nur der Einsatz von Zufallsdaten, die das Signal der Daten verrauschen.

Alles in allem sind Überschreibeverfahren im Dateisystem kritisch zu beurteilen. Sie sind nicht hinreichend, wenn der Datenträger ausgesondert wird. Sie sind nur dann nützlich, wenn der Datenträger weiter im Besitz bleibt und möglichst verschlüsselnde Dateisysteme eingesetzt werden.

Einfaches Überschreiben mit Nullen

Beim einfachen Überschreiben des Datenträgers wird jeder Block mit Nullen überschrieben. Damit schützt man sich zwar vor Programmen, die die Daten wiederherzustellen versuchen, nicht jedoch vor anderen Maßnahmen. Durch das gleichmäßige Bitmuster lassen sich die vorher gespeicherten Daten relativ einfach wieder rekonstruieren. Dies wird zwar schwerer, je höher die Datendichte (und damit Kapazität) der Festplatte ist, ist aber nicht unmöglich.

Diese Methode ist nicht empfehlenswert.

US DoD 5220.22-M (E) und (ECE)

Ein vom US DoD (United States Department of Defense, US-amerikanisches Verteidigungsministerium) herausgegebener Standard. In drei Durchläufen werden die Daten erst mit 0xFF, dann mit 0x00 und abschließend mit Zufallsdaten überschrieben.

Eine Erweiterung des (E)-Standards ist die (ECE)-Version mit insgesamt sieben Durchläufen. Zuerst und zuletzt werden die drei Durchläufe der (E)-Version (0xFF, 0x00, Zufallsdaten) geschrieben. Als 4. Durchlauf werden wiederum Zufallsdaten geschrieben.

Die Zufallsdaten erhöhen die Sicherheit des (ECE)-Verfahrens, schützen jedoch nicht vor aufwendigen Laboranalysen. Außerdem werden beide Standards in [11] nicht im Dateisystem eingesetzt, sondern direkt auf den Datenträger geschrieben.

Weiterhin wurde befohlen, dass das US-Militär mittels Überschreiben keine Daten löschen darf, die als Geheim oder Streng Geheim eingestuft wurden. Derartige Daten dürfen nur über Degaußer vernichtet werden.

Richtlinie zum Geheimschutz von Verschlusssachen beim Einsatz von Informationstechnik

Die Richtlinie zum Geheimschutz von Verschlusssachen beim Einsatz von Informationstechnik des Bundesamtes für Sicherheit in der Informationstechnik spezifiziert sieben Durchläufe, je dreimal 0xFF und 0x00 im Wechsel und abschließend ein Durchlauf mit 0xAA.

Aufgrund der statischen Bitmuster nicht empfehlenswert.

Bruce Schneier

Bruce Schneiers Algorithmus aus [6] überschreibt die Daten erst mit 0xFF, 0x00 und fünfmal mit im streng kryptographischen Sinne zufälligen Daten. Streng zufällige Daten sind jedoch aus signaltheoretischer Sicht nicht zwingend erforderlich, da die zu löschenden Daten »lediglich« durch unregelmäßige Signale verrauscht werden sollen. Hierzu genügen auch pseudo-zufällige Daten wie aus /dev/urandom generiert oder aus Anwendungsdateien wie Videos oder MP3-Dateien.

Vorherige 1 2 3 4 5 6 7 8 Nächste
In diesem Artikel:
Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Newsletter
Neue Nachrichten

0
OpenSuse Con­fe­rence 2012 in Prag

1
Mozilla startet Web­ma­ker-Pro­jekt

0
Libre Graphics Magazine 1.4 er­schie­nen

7
LLVM 3.1 frei­ge­ge­ben

9
Pa­tent­an­sprü­che von Oracle an Google ab­ge­wie­sen

17
Linux Mint 13 mit MATE, Cinnamon und MDM

7
»Make Play Live« startet Part­ner­netz­werk

0
LinuxTag: Uni­v­en­ti­on-Ab­sol­ven­ten­preis 2012 verliehen

0
Linuxtag 2012 eröffnet

3
Netz­werk­mo­ni­tor Zabbix in Version 2.0 ver­öf­fent­licht