JT452
Forenlegende
Registration Date: 24.01.2004
Posts: 5,052
Herkunft: Hamburg
|
|
SSD: Secure Erase (sicheres Löschen) Workaround |
|
Einleitung:
Unser Thema Secure Erase (sicheres komplettes Löschen) einer SSD hat an Aktualität nichts verloren. Ganz im Gegenteil, häufig werden die Fragen gestellt, was es damit auf sich hat, womit es überhaupt möglich ist und wann es erforderlich sein kann oder muß, eine SSD komplett zu löschen bzw. in den Werkszustand zurückzusetzen. In diesem Workaround werden wir auf diese Fragen die expliziten Antworten liefern. Da bisher leider nur einige wenige SSD-Hersteller/Lieferanten wie bespielsweise Intel, OCZ, Plextor, Samsung oder Transcend entsprechende eigene Tools zur Verwaltung/Optimierung und Secure Erase ihrer SSD anbieten, welche nicht zu fremden SSD's kompatibel sind, haben wir als Allrounder die Live-Distribution PartedMagic getestet und für praktikabel befunden. Live-Distribution bedeutet, dass es um ein eigenständiges Betriebssystem auf einem bootfähigen Medium geht, welches nicht auf einer Festplatte installiert wird. Bei diesem Medium kann es sich entweder um eine CD/DVD oder einen USB-Stick handeln. In dieser ausführlichen Anleitung erfahrt Ihr vom Download der ISO, über die Erstellung des Mediums, bis hin zum Secure Erase und dessen Troubleshooting alles Nötige. Viel Spaß beim Weiterlesen...
Die Voraussetzungen:
Profil: fortgeschrittener SSD-Anwender
Wir benötigen:
- Die Parted Magic (kostenpflichtig)
ISO-Datei (optional UNetbootin
zur Erstellung des USB-Stick) Die letzte kostenlose Version gibt es hier
- Ein geeignetes Brennprogramm
- Einen Brenner
- Einen Rohling
- Als Alternative einen leeren USB-Stick
- Ein Image-Programm
(empfohlen), ein Image unseres Systems
- Diesen Workaround als Ausdruck (optional)
Hier sehen wir zum besseren Verständnis eine Übersicht der betreffenden Links auf der Homepage. Wir laden die benötigten Dateien herunter und speichern sie in einem Ordner unserer Wahl.
Im nächsten Schritt erstellen wir nun die Live-CD mit einem geeigneten Brennprogramm. Da dieser Workaround für fortgeschrittene Anwender gedacht ist, ersparen wir uns an dieser Stelle die Erläuterung der einzelnen Schritte. Zur Unterstützung sei lediglich dieser Artikel
erwähnt. Im Abschnitt Die Vorbereitung ist der Vorgang beschrieben.
Nutzer eines Netbooks verfügen aus Platzgründen über kein internes Laufwerk. Doch auch die Freunde dieser Geräte haben durchaus die Möglichkeit, ihre SSD sicher zu löschen. Dazu muss allerdings der bereits erwähnte USB-Stick erstellt werden. Des Weiteren muss das Netbook das Booten hiervon unterstützen, was im jeweiligen Handbuch dokumentiert sein sollte, ansonsten bitte beim hersteller nachfragen. Die Erstellung des Stick werden wir nun kurz erklären.
Nach dem Download der zusätzlichen Datei UNetbootin (das Tool wird nicht installiert) schließen wir im ersten Schritt einen leeren USB-Stick am Computer an. Das ist wichtig, da das Tool sonst keinen Stick findet. Erst jetzt klicken wir die Datei doppelt an und bestätigen die Warnung der Benutzerkontensteuerung mit OK. Das Tool startet sofort und wir erledigen die nötigen Einstellungen wie auf unserem Screenshot gezeigt. Der einzige Unterschied zwischen unserer und Eurer Einstellung dürfte der Laufwerksbuchstabe sein. Bitte achtet darauf, dass bei dieser Aktion nur der vorgesehene Stick angeschlossen ist. Andernfalls besteht die Gefahr des Datenverlust auf einem eventuell anderen Stick. Andere USB-Geräte wie Tastatur oder Maus können weiterhin angeschlossen bleiben.
Wenn alle Einstellungen erledigt sind und die ISO ausgewählt ist, erfolgt ein Klick auf OK und das Tool beginnt mit der Erstellung des bootfähigen Stick. Die Fortschritte werden in einem entsprechenden Fenster gezeigt. Nach wenigen Augenblicken werden wir gewarnt, dass eine bereits vorhandene Datei überschrieben werden soll. Wir erlauben das mit einem Klick auf Yes to All und es geht weiter. Wenig später wird uns der Abschluss der Aktion angezeigt.
Hier haben wir nun zwei Optionen: Den Computer neu starten und sofort mit unserem Vorhaben zu beginnen oder das Tool zu beenden und später weiter zu machen. Je nach Kenntnis entscheidet nun der Anwender. Wir schließen zunächst den Vorgang mit einem Klick auf Beenden ab. Wer wissen möchte, welche Ordner und Dateien auf dem Stick enthalten sind, kann das im Explorer überprüfen.
Somit sind unsere Vorbereitungen abgeschlossen, das nötige Werkzeug ist erstellt und wir beginnen mit dem Secure Erase unserer SSD.
Secure Erase mit Parted Magic:
Die Gründe für ein Secure Erase (sicheres Löschen) können sein:
- Die SSD in den Werkszustand zurück zu setzen, weil sie nach einiger Zeit deutlich spürbar langsamer arbeitet (z.B. typisches Verhalten von sandforce-basierten SSDs)
- Vor einem beabsichtigten Verkauf, da die 128-Bit Verschlüsselung bei einigen SSDs unzureichend ist
- Vor der Einsendung zur Reklamation an den Verkäufer/Hersteller, also aus Datenschutzgründen
- Bei unerklärlichen Funktionsstörungen aller Art (sofern alle anderen Diagnosemaßnahmen nicht greifen)
- Vor einer Neuinstallation (bei Bedarf)
Eines haben HDD und SSD gemeinsam: Wenn eine Datei gelöscht wird, so wird lediglich das Inhaltsverzeichnis des Mediums geändert, so dass der ursprünglich zur Speicherung der Datei genutzte Platz als überschreibbar gekennzeichnet wird. Wird auf einer HDD eine neue Datei gespeichert, so wird der frei gemeldete Bereich (Block) sofort wieder überschrieben. Geschieht das mehrmals, so ist die ursprüngliche Datei nicht mehr lesbar. Anders bei einer SSD. Hier wird der frei gegebene Speicherplatz zwar auch als überschreibbar, zunächst aber auch als ungültig dem Controller gemeldet. Beim Abspeichern einer neuen Datei wird deshalb der zuvor benutzte Bereich (Seite) nicht sofort wieder verwendet. Der Controller einer SSD überprüft zunächst die angrenzenden Speicherplätze (Seiten) auf die Häufigkeit der Nutzung (Wear-Leveling). Speicherzellen (NAND-Flash-Chips) einer SSD sind nur begrenzt haltbar und unterliegen einer bestimmten Anzahl (laut Herstellerangaben ca. 10.000 Schreibzyklen je Speicherzelle) an Schreibvorgängen. Entdeckt der Controller nun Seiten, die weniger oder noch gar nicht in Verwendung waren, so speichert er die neue Datei in einer (oder mehreren) dieser Seiten ab. Somit ist gewährleistet, dass alle Seiten möglichst gleichmäßig oft in Verwendung sind und somit eine ausgewogene Abnutzung stattfindet. Daraus ergibt sich die Logik, dass eine SSD mehrmals bis zum Rand mit Daten gefüllt werden müsste, damit eine Wiederherstellung der vermeintlich gelöschten Inhalte unmöglich ist. Selbst dann ist nicht sichergestellt, dass wirklich alle Daten unleserlich geworden sind. Forschungen haben ergeben, dass trotzdem Reste auf den Chips verbleiben und wiederhergestellt werden könnten, wenn auch mit hohem Aufwand. Der Controller der SSD verschlüsselt alle geschriebenen Daten. Somit ist ein sicheres Löschen einfach und schnell dadurch möglich, diesen kryptografischen Schlüssel vollständig zu löschen. Dies bedeutet vereinfacht formuliert Secure Erase.
Genug der Theorie, beschäftigen wir uns nun mit der Praxis. Wir stellen sicher, dass wir ein aktuelles Image unseres gut konfigurierten Systems an einem sicheren Ort erstellt haben. Sollte das nicht der Fall sein, so erledigen wir diese Aufgabe zuerst, andernfalls gibt es keinen Weg mehr zurück nach dem Secure Erase. Zumindest müssen alle persönlichen Daten (Downloads, Bilder, Dokumente u.s.w.) auf einem anderen Medium gesichert werden. Wer nach dem Secure Erase eine Neuinstallation machen möchte, kann auf das Image verzichten, was wir aber nicht empfehlen.
Hier noch zwei wichtige Hinweise:
Nach einem Secure Erase sind alle Daten und Formatierungen verloren!
Um Irritationen bei der späteren Auswahl der zu löschenden SSD zu vermeiden empfehlen wir eindringlich, alle weiteren Festplatten und SSD's vom Mainboard temporär zu trennen!
Jetzt geht es los:
Zunächst starten wir den Computer mittels unseres Parted Magic Mediums (CD oder USB-Stick). Ein Blick ins Handbuch des Mainboards oder auf den Monitor während des Bootens verrät uns, wie wir ins Bootmenü gelangen. Beim Erscheinen des ersten Screens ist die obere Option bereits grau unterlegt. Mit der Pfeiltaste abwärts selektieren wir die Sprachauswahl Language, treffen unsere Wahl und drücken die Enter-Taste. Es laufen einige Routinen ab und der gesamte Inhalt unseres Mediums wird in den RAM kopiert. Das gewährleistet ein flüssiges Arbeiten und vermittelt das Gefühl, als würden wir mit einem vollständig installierten System zu Werke gehen. Zum Schluss wird unsere CD ausgeworfen. Ein USB-Stick verbleibt natürlich im Port und schießt nicht wie eine Pfeil durch den Raum.
Je nach verwendetem Medium dauert dieser Vorgang einige Minuten. Dann erscheint der Desktop von Partet Magic und die Arbeit kann beginnen. Wir klicken nacheinander unten links auf das runde Symbol, anschließend auf System Tools und abschließend auf Erase Disk.
Im nächsten Fenster wählen wir die unterste Option Internal: Secure Erase command writes zeroes to entire data area aus und klicken danach auf Continue. Entgegen unserer eigenen Empfehlung haben wir zur Demonstation der Erkennungsfähigkeit des Tools alle Laufwerke angeschlossen. Es wird uns eine Liste mit erkannten HDD/SSD gezeigt und wir treffen unsere Wahl. In unserem Fall ist es die Plextor M3. Nach dem Setzen des Hakens erfolgt ein Klick auf OK.
In der Zusammenfassung wird uns mitgeteilt, dass ein Passwort nötig ist, jedoch bereits eins vergeben wurde. Die Empfehlung, dieses Passwort zu übernehmen bestätigen wir durch einen Klick auf OK. Die anschließende Warnung akzeptieren wir und klicken auf Yes.
Das Tool informiert uns darüber, dass die SSD den Secure Erase unterstützt und ob wir diese Methode anwenden möchten. Folglich Yes. Es erscheint ein Mitteilungsfenster und informiert uns über den laufenden Vorgang. Da es sehr schnell ging, haben wir darüber kein Bild. Denn im letzten Fenster werden wir darüber informiert, dass der Vorgang nach 14 Sekunden abgeschlossen wurde und komplett erledigt ist. Mit einem Klick auf Close schließen wir das Tool.
Da wir Parted Magic nicht mehr benötigen, klicken wir wieder unten links auf den Startbutton und wählen die Option Abmelden und anschließend Shutdown aus. Das System wird beendet und der Computer ausgeschaltet. Unsere SSD befindet sich nun wieder im Werkszustand und kann wie gewohnt verwendet werden. Jetzt kann das Image zurück gespielt werden oder die Neuinstallation erfolgen.
Da die Plextor M3 auf unserem Testsystem als zweite SSD in Betrieb war, möchten wir uns vom Erfolg der Aktion überzeugen. Dazu rufen wir über Start -> Systemsteuerung -> Verwaltung -> Computerverwaltung -> Datenträgerverwaltung die nötige Option auf. Sofort werden wir informiert, dass ein Datenträger initialisiert werden muss. Hierbei handelt es sich um unsere soeben sicher gelöschte SSD. Wir akzeptieren den Vorschlag des MBR-Partitionsstils und bestätigen den Hinweis durch einen Klick auf OK. Danach suchen wir in der Auflistung im unteren Teil des Fensters nach dem Datenträger und stellen fest, dass er lediglich unzugeordneten Speicherplatz enthält. Somit ist die Aktion von Erfolg gekrönt und die SSD kann von uns neu eingerichtet werden.
Nun werdet ihr feststellen, dass die SSD genau so aussieht, als wenn sie einfach nur formatiert oder die Partition z.B. mit Acronis Disk Director gelöscht wurde. Das stimmt, jedoch gibt es hier einen gravierenden Unterschied. Während nach einer Formatierung/Löschung der Partition lediglich der Speicherplatz wieder freigegeben wird, aber die Daten zumindest theoretisch wiederhergestellt werden könnten, so verhält es sich bei einem Secure Erase komplett anders.
Moderne SSD-Controller verschlüsseln die Daten bereits beim Schreiben. Bei einem Secure Erase wird der interne Kryptoschlüssel gelöscht und ein neuer erstellt. Somit können die alten Daten nicht mehr wiederhergestellt werden, da der passende Schlüssel verloren ist. Der neue Schlüssel bleibt dann bis zum nächsten Secure Erase erhalten, neu zu schreibende Daten werden mit diesem verschlüsselt. Ferner werden alle bis dato als ungültig gemeldete Seiten dem Controller wieder als gültig gemeldet und werden somit wie frische Seiten behandelt und beschrieben.
Troubleshooting:
1. Sollte Parted Magic aus welchen Gründen auch immer die SSD nicht erkennen, so können folgende Eingriffe helfen:
- Im BIOS: Umstellung von AHCI auf IDE/SATA
- Am Mainboard: Anschluss an einen anderen SATA-Port/Controller
- Verwendung eines anderen SATA-Kabels
- das temporäre Abklemmen aller anderen Datenträger, auch USB
2. Möglicherweise zeigt sich beim Versuch eure SSD mit Parted Magic zu erasen die Meldung, dass die SSD per Security Freeze Lock gegen eben diesen Erase sozusagen abgeriegelt wurde. Dort steht dann soviel wie "this drive is in frozen status"..., was natürlich zunächst erst einmal für Verwunderung sorgt. Diese Verwunderung löst sich aber schnell wieder auf, wenn man weiß, was sich dahinter verbirgt. In diesem Fall verweigert das BIOS den Zugriff auf die für unseren Erase notwendigen ATA-Security-Mechanismen. Das bedeutet, dass die SSD gegen versehentliches Löschen durch das BIOS geschützt ist.
Abhilfe: Es wird uns ein Popup gezeigt und wir sehen die Schaltfläche Sleep. Nach einem Klick darauf wird der PC ausgeschaltet, wir warten einige Sekunden und schalten ihn wieder ein. Sofort finden wir uns in Parted Magic wieder. Das Popup ist noch geöffnet, wir klicken oben rechts auf das kleine, weiße X, ein weiteres Popup erscheint. Hier erfolgt ein Klick auf OK. Diesen Vorgang müssen wir mehrmals wiederholen, bevor wir mit dem Tool weiter arbeiten können. Warum das so ist, entzieht sich unserer Kenntnis. Nachdem das Popup dann endlich verschwunden ist, starten wir den Secure Erase wie bereits beschrieben erneut, der Status Frozen ist aufgehoben und die SSD lässt sich nun sicher löschen.
Ferner können nachstehende Optionen ebenfalls helfen den Frozen-Status zu entsperren:
- Überprüfen, ob alle weiteren Laufwerke vom MB abgeklemmt sind
- Erase Disk beenden, Parted Magic jedoch nicht beenden
- Während des laufenden Betriebs beide Kabel (Strom und Datenkabel) von der SSD abklemmen
- Danach beide Kabel sofort wieder anschließen. Es muss Port 0 am SATA-Controller verwendet werden!
- Bei einem Notebook muss die SSD dazu kurz aus der Halterung gezogen und wieder eingesteckt werden
- Erase Disk erneut starten und den Vorgang wiederholen
Somit steht dem Secure Erase normalerweise jetzt nichts mehr im Wege.
Darüber hinaus existieren noch die bereits erwähnten Tools der Hersteller, mit denen es ebenfalls möglich sein kann. Hierbei ist aber zu beachten, dass die SSD dann nicht als Systemplatte verwendet werden darf, denn diese Tools benötigen ein aktiv laufendes Windows-System. Folglich müssen wir entweder auf einer HDD ein solches zur Verfügung haben, oder aber die SSD in einem anderen PC für diesen Vorgang verbauen, was alles Andere als komfortabel ist.
Darüber hinaus ist so eine Aktion unter einem laufendem Windows genauso riskobehaftet, wie ein BIOS Update, weil zu viele externe Faktoren wie Virenscanner oder 3rd-party Applikationen dazwischenfunken können, weitere Aspekte, die eindeutig für Parted-Magic sprechen.
Fazit
Es gibt noch andere Tools im Web, mit denen ein Secure Erase möglich sein kann, dazu gehört auch die windowseigene Bordwerkzeug cipher.exe
. Unserer Meinung nach ist Parted Magic aber auf Grund seiner intuitiven GUI das am einfachsten zu bedienende Tool und es verrichtet seine Arbeit schnell, sicher und effizient. Parted Magic eignet sich für alle auf dem Markt erhältlichen SSD's. Damit ist es möglich, die SSD auf den Werkszustand zurückzusetzen und somit im Idealfall die vollständige Performance zurück zu gewinnen. Außerdem haben wir nach einem Secure Erase die Gewissheit, dass unsere sensiblen Daten wirklich vernichtet sind. Dies alles gilt nicht nur für SSDs, sondern auch für HDDs, das wollen wir nicht unerwähnt lassen. Wer unsere Empfehlungen beherzigt, gelangt in der Regel sicher ans Ziel. Jetzt wünschen wir viel Spaß und Erfolg bei der Umsetzung des Secure Erase Workshops...
Historie:
13.06.13 Links aktualisiert
07.10.13 Hinweis auf kostenpflichtig hinzugefügt
07.10.13 Link zur letzten kostenlosen Version hinzugefügt
02.12.2013 Fazit ergänzt
Weiterführende Links:
SSD Optimierungen, Tipps, Tricks und FAQs
weitere SSD-Tools und Links
Paragon Festplattenmanager 15 Suite in der Praxis
Rufus - das USB-Tool und der Workaround -
JT452
|
|