Medzinárodná konferencia vývojárov a používateľov slobodného a otvoreného softvéru

Гарантированное уничтожение информации

Виталий Балашов, Харьков, Ukraine

LVEE 2014

Today HDDs helps people to save a huge volumes of information. People often use a used HDDs to save the money. If the information, that stored in the HDD, should not to get to new HDD owner (or another third persons), it should be utilized by special methods. Use a special utilization methods is important for information security, because a lot of actual filesystems don`t wipe information. It only remove (delete) information. Information, that has not be wiped always at risk to be recovered.

Человек издавна старался сохранять информацию. Использовал для этого все возможные способы и всё время их совершенствовал в соответствии со своими потребностями в коммуникации. Рисунок на скале в пещере не поддавался транспортировке и человек придумал использовать различные каменные дощечки, которые уже легко перенести и показать своему собрату. Но дощечки тяжелые и неудобные, поэтому человек решил использовать более легкие варианты — из дерева или аналогичного материала. И весь этот долгий процесс эволюции носителей информации привёл нас к широко распространённым на сегодняшний день способам хранения информации с помощью фиксации состояния магнитного поля и дальнейшего его считывания. К сожалению, в таких носителях человек уже не может самостоятельно считывать информацию, обязательным становится использование устройства, умеющего интерпретировать магнитное поле в информацию, воспринимаемую человеком. Но эта жертва простительна учитывая современные требования к уровню коммуникации.

Мы научились хранить огромные объёмы самых разнообразнейших типов информации десятками лет и считывать их практически в режиме реального времени при этом находясь на другом континенте, а то и за пределами планеты.

Оперируя носителями информации, человек всегда хотел иметь возможность её гарантированного уничтожения. И если с краской на скале, берёзовой берестой, бумагой и другими носителями, хранящими информацию в доступном прямому восприятию человеком, всё достаточно просто, то с магнитными и транзисторными накопителями возникает вопрос: а действительно ли информация полностью и безвозвратно уничтожена?

Практически все существующие файловые системы не уничтожают информацию фактически, когда её уничтожают пользователи штатными средствами. Это позволяет добиться более высоких показателей производительности носителя и продления срока его службы. Информация не уничтожена, а удалена от пользователя, ему более не доступна, результат достигнут. Когда, с технической точки зрения, разрушить эту информацию будет целесообразным, тогда она и будет уничтожена. Бросить что-либо как есть всегда дешевле, чем проводить утилизацию (а если в ней нет критической необходимости, то и вообще не целесообразно).

Само собой, этот эффект имеет и обратную сторону медали. Информация, которая не должна попасть после её удаления пользователем в руки третьих лиц, остаётся доступной для её восстановления и использования.

Среди решений данной проблемы различают два основных метода гарантированного уничтожения информации:
1. Физическое уничтожение носителя;
2. Гарантированное уничтожение с сохранением работоспособности носителя и возможностью дальнейшей его эксплуатации.

Первый метод не нуждается в комментариях, носитель просто механически или химически разрушают (например, разбивают диски НЖМД молотком, используют мощный электромагнитный импульс и т. п.).

Рассмотрим подробнее метод №2. При больших количествах носителей, хранящих информацию, подлежащую уничтожению, их разрушение становится экономически накладным (пусть даже оправданным). Стоимость НЖМД позволяет уничтожать их большими объёмами разве что очень хорошо спонсируемым государственным ведомствам, например, военным или правоохранительным, но даже военные ведомства далеко не в каждой стране могут позволить себе подобное расточительство.

Гарантированно уничтожить информацию, не хуже чем при физическом уничтожении, позволяет её перезапись. На перезаписи базируются все существующие способы уничтожения информации с сохранением работоспособности носителя.

Но даже перезапись иногда может не спасти от полного уничтожения данных. К примеру, если данные были записаны в секторах, которые в последствие были помечены, как сбойные, не являясь таковыми по сути, то контроллер НЖМД не допустит его перезаписи, т. к. уже считает его сбойным и не использует в работе.

Иным способом восстановления, лишь частично предотвращаемым с помощью перезаписи, является считывание данных между дорожками разметки НЖМД. Запись в этих пространствах появляется за счёт рассеивания магнитного поля в зазоре между записывающей головкой и поверхностью диска. Когда ширина поля рассеивания становится больше ширины дорожки разметки, появляется теоретическая возможность считывания сигналов, сохранившихся на поверхности диска между дорожками.

Если же восстановление информации из перемещённых (bad) секторов может дать полезный эффект, в случае, когда этих секторов много и они подлежат считыванию, то восстановление из междорожечного пространства, учитывая плотность размещения дорожек в современных НЖМД, носит более теоретический характер.

Другим же фактором, который является больше теорией, является подход с использованием остаточной намагниченности магнитных доменов. Суть этого метода заключается в том, что уровень намагниченности не всегда соответствует уровню нуля или уровню единицы. Грубо говоря, если в магнитном домене содержался уровень 0 и был перезаписан уровнем единицы, то по факту уровень намагниченности будет равен, к примеру, 0,75. Или же наоборот, после содержания единицы, перезаписанной нулём, в домене уровень намагниченности будет ближе к 0,25. Контроллером НЖМД такие уровни будут округляться и декодироваться как 0 и 1, но если считать эти уровни в обход контроллера, например, с помощью магнитного силового микроскопа, то можно интерпретировать их по своему: 0,25 воспринимать как 1, а 0,75 как 0. Теоретически, в результате должна получиться информация, содержащаяся на данном участке накопителя до его перезаписи. Так же, теоретически, есть вероятность восстановления сигнала вплоть до нескольких перезаписей, к примеру, если сигналы имели различные характеристики частоты магнитного поля.

На данный момент данный подход имеет достаточное количество как теоретических, так и практических проблем и остаётся теорией, имеющей право на жизнь. Реально работающих устройств, либо компаний, реально гарантирующих восстановление данных после перезаписи, пока не известно. Сам же Питер Гутман, разработчик одного из наиболее эффективных методов гарантированного уничтожения данных с помощью перезаписи, утверждает, что у спецслужб такие устройства есть. Спецслужбы в свою очередь не дают подтверждения, но и как правило, их процедуры безопасности данных считают перезаписанный диск ненадёжным. К примеру, в США жесткие диски, на которых хранилась информация с грифом «СОВЕРШЕННО СЕКРЕТНО» подлежать только размагничиванию или физическому уничтожению (что по сути почти одно и тоже).

Питер Гутман предложил метод, охватывающий все возможные НЖМД, а так же предусматривающий эффективное уничтожение данных с НЖМД, использующих MFM и RLL кодирование, для которых были предназначены 27 проходов. В силу тех факторов, что пользователь, как правило, не знает, какое магнитное кодирование используется в утилизируемом НЖМД, метод Гутмана предусматривает в сумме 35 проходов перезаписи. Каждый проход записывает различные шаблоны данных в каждый байт каждого сектора, 8 из которых используют в качестве шаблонов случайные последовательности. При точном знании метода магнитного кодирования НЖМД, количество проходов перезаписи можно сократить без потери эффективности уничтожения данных. Так же, следует учитывать, что метод был предложен в 1996 году и некоторые методы кодирования уже являются устаревшими, что так же позволяет сократить количество проходов без потери качества уничтожения данных.

Для унификации и оптимизации методов уничтожения информации в различных странах были выпущены различные стандарты, которыми все на сегодняшний день и пользуются.

Министерством Обороны США был выпущен стандарт DoD 5220.22-M. Стандарт имеет различные модификации для различных областей применения. Количество проходов различными шаблонами данных, включая случайные шаблоны, колеблется от 2 до 7.

В Российской Федерации разработан стандарт ГОСТ P50739-95. Данный государственный стандарт, позволяет свободу в выборе шаблона перезаписи и предусматривает, в зависимости от класса автоматизированной системы, от 1 до 2 циклов перезаписи.

В Германии разработан стандарт VSITR. Стандарт предусматривает 7 циклов перезаписи, но не предусматривает случайных последовательностей в шаблонах перезаписи и использует всего три заранее заданных шаблона.

К сожалению, белорусских нормативных актов, регулирующих процессы уничтожения цифровой информации, найти не удалось, а украинские не описывают методы, которые должны применятся и лишь указывают на необходимость применения гарантированного уничтожения информации с цифровых носителей.

Как правило, на практике зачастую достаточно одного-трёх проходов для вполне успешного уничтожения данных и дальнейшего использования НЖМД без практической возможности восстановления информации, содержащейся на нём ранее.

Abstract licensed under Creative Commons Attribution-ShareAlike 3.0 license

Späť