Метод Гутмана

Алгоритм безопасного стирания жестких дисков компьютеров

Метод Гутмана — это алгоритм для безопасного стирания содержимого жестких дисков компьютеров , например файлов . Разработанный Питером Гутманном и Колином Пламбом и представленный в статье « Безопасное удаление данных из магнитной и твердотельной памяти» в июле 1996 года, он включал в себя запись серии из 35 шаблонов в области, подлежащей стиранию.

Выбор шаблонов предполагает, что пользователь не знает механизм кодирования, используемый приводом, поэтому он включает шаблоны, разработанные специально для трех типов приводов. Пользователь, который знает, какой тип кодирования использует привод, может выбрать только те шаблоны, которые предназначены для его привода. Для привода с другим механизмом кодирования потребуются другие шаблоны.

Большинство шаблонов в методе Гутмана были разработаны для старых дисков с кодировкой MFM / RLL . Сам Гутманн отметил, что более современные приводы больше не используют эти старые методы кодирования, что делает части метода неактуальными. Он сказал: «За время, прошедшее с момента публикации этой статьи, некоторые люди относились к описанной в ней технике перезаписи с 35 проходами скорее как к своего рода заклинанию вуду для изгнания злых духов, чем как к результату технического анализа методов кодирования приводов». ^{[1] [2]}

Начиная примерно с 2001 года, некоторые производители жестких дисков ATA IDE и SATA поддерживают стандарт ATA Secure Erase , что устраняет необходимость применять метод Гутмана при стирании всего диска. ^[3] Метод Гутмана не применим к USB-накопителям: исследование 2011 года сообщает, что 71,7% данных остались доступными. На твердотельных дисках это привело к восстановлению 0,8–4,3%. ^[4]

Фон

Функция удаления в большинстве операционных систем просто отмечает пространство, занимаемое файлом, как пригодное для повторного использования (удаляет указатель на файл), не удаляя немедленно какое-либо его содержимое. На этом этапе файл может быть довольно легко восстановлен многочисленными приложениями восстановления. Однако, как только пространство перезаписывается другими данными, нет известного способа использовать программное обеспечение для его восстановления. Это невозможно сделать только с помощью программного обеспечения, поскольку устройство хранения данных возвращает свое текущее содержимое только через свой обычный интерфейс. Гутманн утверждает, что у разведывательных агентств есть сложные инструменты, включая магнитно-силовые микроскопы , которые вместе с анализом изображений могут обнаруживать предыдущие значения битов на пораженной области носителя (например, жесткого диска ). Однако это утверждение кажется недействительным на основании тезиса «Восстановление данных с жесткого диска с помощью магнитно-силовой микроскопии». ^[5]

Метод

Сеанс перезаписи состоит из ввода четырех случайных шаблонов записи, за которыми следуют шаблоны с 5 по 31 (см. строки таблицы ниже), выполняемые в случайном порядке, и вывода еще из четырех случайных шаблонов.

Каждый из шаблонов 5–31 был разработан с учетом определенной схемы кодирования магнитных носителей , на которую нацелен каждый шаблон. Диск записывается для всех проходов, хотя в таблице ниже показаны только битовые шаблоны для проходов, специально предназначенных для каждой схемы кодирования. Конечный результат должен скрыть любые данные на диске, так что только самое передовое физическое сканирование (например, с использованием магнитно- силового микроскопа ) диска, вероятно, сможет восстановить какие-либо данные.

Серия узоров выглядит следующим образом:

Закодированные биты, выделенные жирным шрифтом, должны присутствовать в идеальном шаблоне, хотя из-за кодирования дополнительный бит фактически присутствует в начале дорожки.

Критика

Дэниел Финберг из Национального бюро экономических исследований , американской частной некоммерческой исследовательской организации, раскритиковал утверждение Гутмана о том, что разведывательные агентства, вероятно, смогут прочитать перезаписанные данные, сославшись на отсутствие доказательств для таких утверждений. Он обнаружил, что Гутман ссылается на один несуществующий источник и источники, которые на самом деле не демонстрируют восстановление, а только частично успешные наблюдения. Определение «случайного» также довольно сильно отличается от обычного: Гутман ожидает использования псевдослучайных данных с последовательностями, известными восстанавливающей стороне, а не непредсказуемых, таких как криптографически безопасный генератор псевдослучайных чисел . ^[6]

Тем не менее, некоторые опубликованные правительственные процедуры безопасности считают, что диск, перезаписанный один раз, все еще является конфиденциальным. ^[7]

Сам Гутман ответил на некоторые из этих критических замечаний, а также раскритиковал то, как его алгоритм был использован не по назначению, в послесловии к своей оригинальной статье, в котором он заявляет: ^{[1] [2]}

За время, прошедшее с момента публикации этой статьи, некоторые люди стали относиться к описанной в ней технике перезаписи в 35 проходов скорее как к своего рода заклинанию вуду для изгнания злых духов, чем как к результату технического анализа методов кодирования дисков. В результате они рекомендуют применять вуду к дискам PRML и EPRML, хотя это не даст большего эффекта, чем простая очистка случайными данными. Фактически, выполнение полной перезаписи в 35 проходов бессмысленно для любого диска, поскольку она нацелена на смесь сценариев, включающих все типы (обычно используемых) технологий кодирования, которые охватывают все, вплоть до методов MFM, которым более 30 лет (если вы не понимаете этого утверждения, перечитайте статью). Если вы используете диск, который использует технологию кодирования X, вам нужно выполнить только проходы, специфичные для X, и вам никогда не нужно выполнять все 35 проходов. Для любого современного диска PRML/EPRML несколько проходов случайной очистки — это лучшее, что вы можете сделать. Как говорится в статье, «хорошая очистка случайными данными даст примерно такой же результат, как и можно ожидать». Это было верно в 1996 году и верно сейчас.

—  Питер Гутманн, Безопасное удаление данных с магнитных и твердотельных запоминающих устройств, факультет компьютерных наук Оклендского университета

Смотрите также

• Остаточная намагниченность данных
• Восстановление данных
• Компьютерная криминалистика

Примечания

1. Гутманн, Питер. (22–25 июля 1996 г.) Безопасное удаление данных из магнитной и твердотельной памяти. Кафедра компьютерных наук Оклендского университета. Раздел «Эпилог».
2. Cranor, Lorrie Faith; Garfinkel, Simson (25 августа 2005 г.). Безопасность и удобство использования: проектирование безопасных систем, которые могут использовать люди. стр. 307. ISBN 9780596553852.
3. Очистка и рассекречивание электронных устройств хранения данных (PDF) (PDF). Communications Security Establishment. Июль 2006 г. стр. 7. Архивировано из оригинала (PDF) 2014-03-03.
4. Майкл Вэй; Лора М. Групп; Фредерик Э. Спада; Стивен Свонсон (2011). «Надежное стирание данных с твердотельных накопителей на основе флэш-памяти» (PDF) . FAST'11: Труды 9-й конференции USENIX по технологиям хранения файлов . Wikidata  Q115346857 . Получено 08.01.2018 .
5. "Реконструкция данных с жесткого диска с использованием магнитно-силовой микроскопии" (PDF). УНИВЕРСИТЕТ КАЛИФОРНИИ, САН-ДИЕГО. 2013. Архивировано из оригинала 27.10.2015.
6. Дэниел Финберг (2013) [2003]. «Могут ли разведывательные агентства читать перезаписанные данные? Ответ Гутману». Национальное бюро экономических исследований.
7. "Очистка и рассекречивание электронных устройств хранения данных" (PDF) (PDF). Communications Security Establishment. Июль 2006 г. Архивировано из оригинала (PDF) 2014-03-03.

Внешние ссылки

• Безопасное удаление данных из магнитной и твердотельной памяти, оригинальная статья Гутмана