Метод Гутмана
Метод Гутмана — алгоритм безопасного удаления данных (например, файлов) с жесткого диска компьютера. Метод разработан Питером Гутманом и Коллином Пламбом. Метод состоит из 35 проходов, ориентированных на уничтожение записей, закодированных методами MFM и различными модификациями RLL.
Выбор проходов предполагает, что пользователь не знает механизм кодирования, используемый диском, и потому включает в себя проходы, разработанные специально для трех различных типов приводов. Если пользователь знает, какой тип кодировки использует привод, он может выбрать только те проходы, которые предназначены для его диска. Для диска с различными механизмами кодирования требуются различные проходы.
Большинство проходов были разработаны для дисков, закодированных по схемам MFM и RLL. В относительно современных дисках эти старые методы кодирования не используются, что делает многие проходы метода Гутмана лишними[1]. Кроме того, примерно с 2001 года в конструкции жестких дисков ATA IDE и SATA включена поддержка стандарта «Secure Erase», что устраняет необходимость применения метода Гутмана при очистке всего диска[2].
Метод впервые был представлен в работе «Безопасное удаление данных с магнитных и твердотельных накопителей» в июле 1996 года.
Технические основы
Один из стандартных методов восстановления данных, перезаписываемых на жесткий диск, состоит в захвате и обработке аналогового сигнала, получаемого из привода головок чтения/записи, прежде, чем этот сигнал будет оцифрован. Этот аналоговый сигнал близок к цифровому, но различия раскрывают важную информацию. Рассчитав цифровой сигнал, а затем вычтя его из фактического аналогового, можно усилить сигнал, оставшийся после вычитания, и использовать его, чтобы определить, что ранее было написано на диске
Например:
Analog signal: +11.1 -8.9 +9.1 -11.1 +10.9 -9.1 Ideal Digital signal: +10.0 -10.0 +10.0 -10.0 +10.0 -10.0 Difference: +1.1 +1.1 -0.9 -1.1 +0.9 +0.9 Previous signal: +11 +11 -9 -11 +9 +9
Эта процедура может быть повторена, чтобы увидеть ранее записанные данные:
Recovered signal: +11 +11 -9 -11 +9 +9 Ideal Digital signal: +10.0 +10.0 -10.0 -10.0 +10.0 +10.0 Difference: +1 +1 +1 -1 -1 -1 Previous signal: +10 +10 -10 -10 +10 +10
Даже при неоднократной перезаписи диска со случайными данными теоретически возможно восстановить предыдущий сигнал. Диэлектрическая проницаемость среды изменяется с частотой магнитного поля. Это означает, что низкая частота поля проникает глубже в магнитный материал на диске, чем высокая частота оного. Так низкочастотный сигнал теоретически может быть определен даже после того, как перезапись производилась сотни раз на высокой частоте сигнала.
Используемые проходы предназначены для применения переменного магнитного поля различных частот и различных фаз на поверхности диска, приближая тем самым размагничивание материала под поверхностью диска[3].
Описание метода
Состав перезаписываемой сессии следующий: в первые 4 прохода записываются случайно выбранные символы в каждый байт каждого сектора, с 5 по 31 проход происходит запись определенной последовательности символов (см. строки из таблицы ниже), в последние 4 прохода снова записываются случайно выбранные символы[4].
Каждый проход с 5 по 31 был разработан с учетом конкретной схемы магнитного кодирования, то есть как целевой проход. На диске записываются все дорожки, хотя таблица показывает только битовые проходы для дорожек, которые специально ориентированы на каждой схеме кодирования. Конечный результат должен скрывать любые данные на диске, так что только самые передовые технологи физического сканирования (например, с помощью магнитного силового микроскопа) привода, вероятно, будут способны восстановить любые данные[4].
Серия проходов выглядит следующим образом:
| Проход | Запись | Шаблон | |||
|---|---|---|---|---|---|
| В Двоичной нотации | В Шестнадцатеричной нотации | (1,7) RLL | (2,7) RLL | MFM | |
| 1 | (Случайно) | (Случайно) | |||
| 2 | (Случайно) | (Случайно) | |||
| 3 | (Случайно) | (Случайно) | |||
| 4 | (Случайно) | (Случайно) | |||
| 5 | 01010101 01010101 01010101 | 55 55 55 | 100… | 000 1000… | |
| 6 | 10101010 10101010 10101010 | AA AA AA | 00 100… | 0 1000… | |
| 7 | 10010010 01001001 00100100 | 92 49 24 | 00 100000… | 0 100… | |
| 8 | 01001001 00100100 10010010 | 49 24 92 | 0000 100000… | 100 100… | |
| 9 | 00100100 10010010 01001001 | 24 92 49 | 100000… | 00 100… | |
| 10 | 00000000 00000000 00000000 | 00 00 00 | 101000… | 1000… | |
| 11 | 00010001 00010001 00010001 | 11 11 11 | 0 100000… | ||
| 12 | 00100010 00100010 00100010 | 22 22 22 | 00000 100000… | ||
| 13 | 00110011 00110011 00110011 | 33 33 33 | 10… | 1000000… | |
| 14 | 01000100 01000100 01000100 | 44 44 44 | 000 100000… | ||
| 15 | 01010101 01010101 01010101 | 55 55 55 | 100… | 000 1000… | |
| 16 | 01100110 01100110 01100110 | 66 66 66 | 0000 100000… | 000000 10000000… | |
| 17 | 01110111 01110111 01110111 | 77 77 77 | 100010… | ||
| 18 | 10001000 10001000 10001000 | 88 88 88 | 00 100000… | ||
| 19 | 10011001 10011001 10011001 | 99 99 99 | 0 100000… | 00 10000000… | |
| 20 | 10101010 10101010 10101010 | AA AA AA | 00 100… | 0 1000… | |
| 21 | 10111011 10111011 10111011 | BB BB BB | 00 101000… | ||
| 22 | 11001100 11001100 11001100 | CC CC CC | 0 10… | 0000 10000000… | |
| 23 | 11011101 11011101 11011101 | DD DD DD | 0 101000… | ||
| 24 | 11101110 11101110 11101110 | EE EE EE | 0 100010… | ||
| 25 | 11111111 11111111 11111111 | FF FF FF | 0 100… | 000 100000… | |
| 26 | 10010010 01001001 00100100 | 92 49 24 | 00 100000… | 0 100… | |
| 27 | 01001001 00100100 10010010 | 49 24 92 | 0000 100000… | 100 100… | |
| 28 | 00100100 10010010 01001001 | 24 92 49 | 100000… | 00 100… | |
| 29 | 01101101 10110110 11011011 | 6D B6 DB | 0 100… | ||
| 30 | 10110110 11011011 01101101 | B6 DB 6D | 100… | ||
| 31 | 11011011 01101101 10110110 | DB 6D B6 | 00 100… | ||
| 32 | (Случайно) | (Случайно) | |||
| 33 | (Случайно) | (Случайно) | |||
| 34 | (Случайно) | (Случайно) | |||
| 35 | (Случайно) | (Случайно) | |||
Жирным шрифтом выделены закодированные биты, которые должны быть представлены в идеальной модели, но из-за кодирования дополнительных бит, фактически находятся в начале.
Критика
Функция удаления в большинстве операционных систем просто удаляет указатель на файл без немедленного удаления его содержимого. В этот момент файл легко идентифицируется многими приложениями восстановления. Однако, как только пространство записывается другими данными, нет никакого известного способа восстановить удаленную информацию. Это невозможно осуществить с помощью только программного обеспечения, потому как устройство хранения возвращает текущее содержимое через его обычный интерфейс. Гутман утверждает, что спецслужбы имеют сложные инструменты, в том числе и магнитные силовые микроскопы, которые, вместе с анализом изображений, позволяют обнаружить предыдущие значения битов на пораженных областях средств информации (например, жесткий диск).
Национальное бюро экономических исследований отвечает на утверждения Гутмана тем, что спецслужбы, вероятно, будут в состоянии прочитать перезаписи данных[5]. Не существует еще опубликованных данных относительно способности спецслужб восстанавливать файлы, сектора которых были перезаписаны, хотя опубликованные правительством процедуры безопасности рассматривают перезаписанный диск как уязвимый[6].
Компании, специализирующиеся на восстановлении поврежденных носителей информации (например, носители, поврежденные огнём или иным образом) не могут восстановить полностью поврежденные файлы. Ни одна частная компания по восстановлению информации не берется утверждать, что способна восстановить полностью перезаписанные данные.
Гутман сам ответил на некоторые из этих критических замечаний[4]:
С тех пор, как этот документ был опубликован, некоторые люди отнеслись к 35-проходной методике перезаписи скорее как к своего рода заклинанию Вуду, чтобы изгнать злых духов, нежели как к результату технического анализа методов кодирования диска. Как результат, они выступают за применение Вуду для PRML и EPRML дисков, даже если Вуду будет иметь меньший эффект, чем простая очистка со случайными данными. На самом деле, нет смысла проводить полную 35-проходную перезапись для каждого диска, поскольку она нацелена на сочетание сценариев с участием всех трех типов кодирования технологии, которая охватывает все более чем 30-летние MFM методы. Если вы используете диск, который использует технологии кодирования Х, вам не нужно выполнять все 35 проходов, нужно выполнить только определенные. Лучшее, что вы можете сделать для любого современного PRML/EPRML привода – это несколько случайных проходов очистки. Как пишет газета, «хорошая очистка со случайными данными будет делать так хорошо, как этого можно ожидать» Это было верно в 1996 году, это актуально и сейчас.
Программное обеспечение
- CCleaner и Recuva, утилиты компании Piriform
- Darik's Boot and Nuke (DBAN) (только весь диск)
- Дисковая утилита, программа для macOS
- FreeOTFE и FreeOTFE Explorer (система шифрования диска)
- Lavasoft
- PeaZip функции безопасного удаления (только файлы и каталоги)
- shred программа от GNU Core Utilities
- srm, также используется в Mac OS X
- TrueCrypt (система шифрования диска) (только свободное пространство)
- Ashampoo HDD Control 2
- iObit Toolbox
- Auslogics Disk Cleaner
- Eraser
См. также
Ссылки
- Secure Deletion of Data from Magnetic and Solid-State Memory, оригинальная публикация Питера Гутмана
- Recovering Unrecoverable Data
- A Guide to Understanding Data Remanence in Automated Information Systems
- Clearing and Declassifying Electronic Data Storage Devices
- Secure Erase utility from the Center for Magnetic Recording Research at the University of California, San Diego
Примечания
- Secure Deletion of Data from Magnetic and Solid-State Memory, публикация Питера Гутмана (англ.)
- Communications Security Establishment. July 2006. Clearing and Declassifying Electronic Data Storage Devices, стр. 7 Архивировано 3 марта 2014 года. (англ.)
- Recovering Unrecoverable Data (англ.)
- Secure Deletion of Data from Magnetic and Solid-State Memory (англ.)
- «Can Intelligence Agencies Read Overwritten Data? A response to Gutmann.» (англ.)
- アーカイブされたコピー. Дата обращения: 22 сентября 2010. Архивировано 3 марта 2014 года. (англ.)