[linux-support] daten löschen

Tue Jun 23 09:05:00 CEST 2020

Guten Morgen Christian

Danke für Deinen ausführlichen Beitrag!
Meine DBAN DVD ist so alt wie mein Rechner - 12 Jahre. Da es lief habe ich mir 
nie die Mühe gemacht, nach einer neuen Version zu suchen. Falls jemandem die 
alte Version noch nützt, weil der neu aufzusetzende Rechner auch alt ist, kann 
ich sie gerne zur Verfügung stellen.

Schönen Tag für alle die das lesen!

Klaus

On Monday, 22 June 2020 17:00:22 CEST Christian Vogler wrote:

> Am 22.06.20 um 11:32 schrieb klaus-dieter.fietze at bluewin.ch:
> > Ich nutze seit Jahren "Darik's Boot & Nuke". Es soll "NSA-sicher" sein,
> > dauert aber auch eine Weile - am besten über Nacht laufen lassen.
> > https://dban.org/
> 
> DBAN wird seit längerem nicht mehr weiterentwickelt, weil der Author
> etwas erzkommerzielles draus gemacht hat, was nicht mal mehr ansatzweise
> mit dem Original was zu tun hat. Wer braucht schon eine Cloud-Lösung zum
> Wipen? Der neue Müll heisst Blancco Drive Eraser und ich habe diesem
> Müll anno 2017 beim damaligen Arbeitgeber ausprobieren müssen, da wir
> zuvor mit DBAN zufrieden waren und es auf neuerer HW nicht mehr lief.
> 
> Dummerweise ist der Kernel der letzten "alten" Version (= noch DBAN)
> relativ alt und läuft deswegen nicht mehr auf neuerer HW. Was noch gehen
> sollte ist die Haswell-Generation von intel. Danach wird's eher nicht
> mehr gehen. Sofern die HW alt genug ist, kann man das alte DBAN aber auf
> jeden Fall noch gut verwenden.
> 
> Wer sich mal die Mühe macht auf dban.org nachzuschauen, wird wohl ein
> bisschen erschrecken. Weil kaum mehr was so ist, wie's mal war. Das alte
> DBAN kann man aber immer noch downloaden.
> 
> Wenn's um das "Wipen" von SSDs geht, sollte man sich meiner Meinung nach
> aber besser anderswo umschauen. Sofern die Firmware einem nicht
> verarscht (was eben schon möglich wäre...), würde in der Theorie das
> Löschen der Daten und ein TRIM-Kommando reichen. In der Praxis (bspw. in
> der Windoof-Monokultur meines Arbeitsgebers) geht's z.T. eleganter: Man
> lösche die Partitionen mit gparted vom Irgendwas-Live-Datenträger,
> schreibe eine neue GPT-Partitionstabelle damit und installiere Windoof
> wieder drüber und am Schluss wird (wieder) gebitlockert, was zur Folge
> hat, dass ich ein früheres Chiffrat (= war vorher schon gebitlockert)
> mit einem neuen Chiffrat überschreibe. Unter dem Strich habe ich so
> einige Schreibzyklen für die SSD gespart und habe je nach Sichtweise
> auch weniger Arbeitsschritte und es ist weniger Zeit nötig. Da wir in
> diesem Fall eben jedes Bit auf dem Datenträger bitlockern, kommen
> sowieso genug Schreibzyklen bei jedem Geräte-Neuinstall zusammen.
> 
> In der Praxis habe ich es häufig erlebt, dass man nach wie vor auf
> klassische Wipe-Utilities setzt um SSDs zu "wipen". Dies schadet primär
> der SSDs, weil damit sinnlos Schreibzyklen generiert werden, hat aber
> den Vorteil, dass man sich auf dem Papier argumentativ zurücklehnen
> kann, weil man ja "sauber wiped". Je nach Wear-Leveling der SSD und
> Verhalten des Controllers kann es aber gut sein, dass eine bestimmte
> Speicherzelle unberücksichtigt bleibt. Ist rein theoretischer Natur, da
> DBAN alles mehrfach überschreibt, aber für den Schreibzyklus-Schaden ist
> gesorgt.
> 
> So eine Art "Gold-Standard" für das Wipen von SSDs muss sich wohl erst
> noch etablieren. Sofern man überhaupt noch von "Wipen" sprechen sollte.
> 
> Was die Firmware und er Controller einer SSD macht, bleibt häufig eine
> Black Box. Dazu ein Gedankenspiel: Man nehmen eine 512GB SSD. Diese
> bekommt eine manipulierte Firmware, die 256GB davon in einem geschützen
> Speicherbereich versteckt (= nicht sichtbar für User und
> Betriebssystem). Dann bekommt das Ding das Gehäuse und die
> Beschriftungen der 256GB Version. Die manipulierte Firmware könnte dann
> dafür sorgen, dass die User-Daten auf dem sichtbaren Bereich in den
> geschützen Speicherbereich kopiert werden und dort vor eine Löschung
> durch den User sicher sind. Diejenigen, die den Controller manipuliert
> haben, können sich dann auf verschiedenem Wege Zugang zu den Datem im
> geschützen Speicherbereich verschaffen. Wenn man soweit geht, dass man
> noch die Beschriftung der Flash-Chips entsprechend ändert, dann ist die
> Manipulation u.U. schwierig bis kaum feststellbar. Soweit mir bekannt,
> hat bisher niemand sowas gemacht. Es wäre technisch aber schon vor
> Jahren realisierbar gewesen und die N$A hat deutlich komplexere Sachen
> durchgezogen.
> 
> 
> LG
> 
> Christian
> 
> _______________________________________________
> Linux-support mailing list
> Linux-support at lugbe.ch
> https://maillists.lugbe.ch/mailman/listinfo/linux-support