leselejtezett SSD adathordozó tanúsított adattörlés előtt

SSD adattörlés: miért nem elég a formázás, és hogyan működik a kriptográfiai törlés?

Az SSD-k felhasználói formázása és gyári visszaállítása nem számít megbízható adattörlésnek: a flash tároló vezérlője az adatokat a felhasználó elől rejtett cellákba is szétteríti, így a felülírás sikere nem bizonyítható teljeskörűen. SSD-nél a nemzetközi médiatisztítási iránymutatás szoftveres útként jellemzően a kriptográfiai törlést emeli ki: a meghajtó titkosító kulcsának dokumentált megsemmisítését tanúsított folyamatban, amitől a tárolt tartalom — igazolhatóan titkosított meghajtón a rejtett cellákra is kiterjedően — visszafejthetetlenné válik. A módszer feltétele az igazolhatóan működő titkosítás és a dokumentált, tanúsított folyamat; ha ez nem áll fenn, SSD-nél a tanúsított fizikai megsemmisítés marad a védhető lezárás.
Legfontosabb megállapítások:

  • Az SSD formázása, gyári visszaállítása vagy egyszerű felülírása a kiegyenlítés (wear leveling) és a rejtett tartalékterület miatt nem ad bizonyítható, teljes adattörlést.
  • A kriptográfiai törlés nem a cellákat írja felül, hanem a titkosító kulcsot semmisíti meg — igazolhatóan titkosított meghajtón így a hatása a rejtett és tartalék cellákra is kiterjed, de csak tanúsított, dokumentált folyamatban ér valamit.
  • Ha a titkosítás nem verifikálható, a meghajtó sérült, vagy a folyamat nem dokumentálható, SSD-nél a tanúsított fizikai megsemmisítés a védhető út.

Egy leselejtezett SSD önmagában olcsó eszköz, a rajta maradt adat kockázata viszont akár egy egész adatvédelmi incidensé. A szervezetek mégis gyakran ugyanazzal a reflexszel kezelik a flash meghajtókat, mint a régi merevlemezeket: formáznak, gyári visszaállítást futtatnak, majd az eszközt továbbadják vagy raktárba teszik. Ami merevlemeznél nagyjából működött, az SSD-nél hamis biztonságérzet.

Az NIST SP 800-88 Rev. 2 médiatisztítási iránymutatása éppen ezért kezeli külön az SSD-ket: flash alapú tárolónál a felülíráson alapuló törlés nem ad ugyanolyan bizonyosságot, mint mágneses lemeznél, ezért szoftveres útként jellemzően a kriptográfiai törlést emeli ki. Hogy adott meghajtónál ez vagy a fizikai megsemmisítés a megfelelő, az az adat bizalmassági szintjén és az eszköz állapotán múlik.

Az általános, minden adathordozó-típusra érvényes döntési keretet — mikor törlés, mikor megsemmisítés — a fizikai megsemmisítés vagy tanúsított adattörlés írásunk tárgyalja. Ez a cikk a technika mélyére megy: miért nem törölhető hagyományos módon a flash tároló, pontosan hogyan működik a kriptográfiai törlés, és mik a feltételei, amelyek nélkül a módszer csak egy jól hangzó szó.

Miért nem számít adattörlésnek a formázás egy SSD-n?

A hagyományos merevlemez egy adott logikai szektort ugyanarra a fizikai helyre ír. Ha felülírják, az eredeti adat helyére ténylegesen új adat kerül. Az SSD egészen máshogy működik, és pontosan ez a különbség teszi félrevezetővé a megszokott törlési módszereket.

A flash memóriának korlátozott az írási ciklusszáma, ezért a vezérlő folyamatosan szétteríti az írásokat a cellák között. Ezt hívják kiegyenlítésnek (wear leveling), és emellett az SSD egy rejtett tartalékkapacitást is fenntart (over-provisioning). Amikor a felhasználó „felülír” egy fájlt, a régi adat fizikailag gyakran egy másik, kívülről közvetlenül nem címezhető cellában marad.

A gyakorlatban ez azt jelenti, hogy a felhasználói formázás, az operációs rendszerből indított gyári visszaállítás és a fájlszintű törlés egyike sem ad megbízható bizonyítékot arról, hogy minden adat végleg elérhetetlenné vált. A meghajtó kifelé üresnek látszik, miközben a rejtett cellákban ott maradhatnak az eredeti adattöredékek. A szoftveres felülírás sikere ráadásul nem is ellenőrizhető ugyanolyan egyértelműen, mint mágneses lemeznél: a vezérlő dönti el, mely cellákba ír valójában.

Fontos árnyalat: léteznek gyártói, eszközszintű secure erase és sanitize műveletek, amelyek valódi kriptográfiai törlést hajthatnak végre. A különbség nem a gomb nevében van, hanem a bizonyítékban: az operációs rendszerből indított visszaállítás vagy felhasználói formázás önmagában azért nem tekinthető tanúsított SSD adattörlésnek, mert az eredménye nem igazolt és nem dokumentált.

Hogyan működik a kriptográfiai törlés?

Egyes vállalati SSD-k, illetve az önmagukat titkosító meghajtók (self-encrypting drive, SED) alapból titkosítva tárolják az adatot: minden, ami a meghajtóra kerül, egy belső kulccsal titkosítva íródik le. Ilyenkor magának a felhasználói adatnak a törlése helyett elég a titkosító kulcsot megsemmisíteni. Kulcs nélkül a meghajtón maradt teljes tartalom — a rejtett és tartalék cellákban lévő töredékekkel együtt — értelmezhetetlen adathalmazzá válik.

Ezt nevezi a szakma kriptográfiai törlésnek, és két tulajdonsága miatt ez az SSD-k természetes törlési módszere. Az egyik a sebesség: nem kell a teljes kapacitást órákon át felülírni, a kulcs megsemmisítése rövid, gépi művelet. A másik a lefedettség: mivel nem a cellákat írja felül, hanem az értelmezésükhöz szükséges kulcsot szünteti meg, a hatása azokra a területekre is kiterjed, amelyeket a felülírás soha nem érne el — feltéve, hogy a meghajtó valóban minden adatot titkosítva tárolt.

A módszer ereje ugyanakkor teljes egészében a feltételein múlik. A kriptográfiai törlés nem egy gomb, amit bármely SSD-n meg lehet nyomni, hanem eljárás, amelynek minden lépése igazolható kell legyen.

A kriptográfiai törlés három feltétele

SSD adathordozó közeli képe szerverkörnyezetben, adatbiztonsági selejtezés szemléltetése
SSD adathordozó selejtezés előtt: a kriptográfiai törlés csak igazolható feltételekkel ér valamit

Első feltétel: a titkosításnak igazolhatóan, a meghajtó teljes élettartama alatt működnie kellett. Ha nem bizonyítható, hogy az adat végig titkosítva íródott a cellákba, a kulcs megsemmisítése csak a titkosított részt teszi olvashatatlanná — a korábbi, titkosítatlan töredékeket nem. Az, hogy egy SSD tud titkosítani, nem azonos azzal, hogy ez a funkció aktív és megbízható is volt.

Második feltétel: a kulcs megsemmisítésének eszközszintű, gyártói parancson keresztül, ellenőrzötten kell történnie. A jelszó átállítása vagy a partíció törlése nem kulcs-megsemmisítés. A szakszerű folyamat a meghajtó vezérlőjének dedikált parancsával dolgozik, és a végrehajtást gépszinten naplózza. Ide tartozik az is, hogy a kulcsnak ne létezzen külső másolata — mentés, kulcsletét vagy olyan gyártói hozzáférés, amely a későbbi visszanyerést lehetővé tenné.

Harmadik feltétel: a folyamatról tanúsítható, eszközre azonosított riport készül. A GDPR elszámoltathatósági elve nem a technológia nevét kéri számon, hanem a bizonyíthatóságot: dokumentálni kell tudni, melyik meghajtóval, mikor, mi történt. A tanúsított szoftveres adattörlés pontosan ettől több, mint egy házilag futtatott segédprogram — a folyamat végén hiteles tanúsítvány áll, ami a selejtezési audit alapdokumentuma.

Ha a három feltétel bármelyike nem teljesül — a meghajtó sérült, a vezérlő nem elérhető, a titkosítás múltja nem igazolható, vagy az adat érzékenysége miatt a szervezet nem vállal maradék-kockázatot —, akkor SSD-nél a tanúsított fizikai megsemmisítés a védhető út: dokumentált eszközazonosítással végzett, kontrollált vágásos eljárás, ellenőrzött végállapottal és hiteles tanúsítvánnyal. A kettő közötti mérlegelés szempontjait a fent hivatkozott döntési útmutató részletezi.

Mit jelent ez a költségek oldalán?

A kriptográfiai törlés üzleti vonzereje, hogy az eszköz működőképes és újrahasznosítható marad: egy értékes laptopnál vagy szervernél a meghajtó bent maradhat, a gép pedig a törlés után megőrizheti, sőt növelheti az eladási értékét. A tanúsított törlés közvetlen díja jellemzően magasabb, mint néhány vágásé — szoftverlicencet és felügyelt folyamatot igényel —, de értékes eszköznél a visszanyert érték ezt ellensúlyozhatja. Ez lehetőség, nem garancia: mindig előzetes értékfelmérés dönti el. Értéktelen vagy kiszerelt, önálló SSD-nél viszont gyakran a vágásos megsemmisítés az arányosabb megoldás.

Mi a védhető SSD adattörlési gyakorlat?

Az érett szervezeti gyakorlat SSD-nél nem módszert választ előre, hanem feltételeket ellenőriz: működik-e a meghajtó, igazolható-e a titkosítás, dokumentálható-e a folyamat. Ahol a három feltétel teljesül, a kriptográfiai törlés gyors, a rejtett területekre is kiterjedő és az eszköz értékét megőrző lezárást ad. Ahol nem, ott a tanúsított fizikai megsemmisítés zárja le bizonyíthatóan a kockázatot. Mindkét út végén ugyanannak kell állnia: hiteles tanúsítványnak.

Ha szervezete előtt SSD-selejtezés áll, érdemes előzetes értékfelméréssel kezdeni: ez mutatja meg eszközlistára szabottan, hogy hol elég a tanúsított kriptográfiai törlés, és hol indokolt a fizikai megsemmisítés. Egyedi ajánlatkérés alapján a Data Destroy szakértői a legoptimálisabb — és bizonyíthatóan lezárt — megoldásra tesznek javaslatot.

Gyakori kérdések

Elég a formázás vagy a gyári visszaállítás egy SSD-nél?

Nem. A flash tároló vezérlője az adatokat rejtett és tartalék cellákba is szétteríti, ezért a formázás és a gyári visszaállítás nem ad bizonyítható, teljes adattörlést — a meghajtó csak üresnek látszik.

Mit jelent a kriptográfiai törlés SSD-nél?

A titkosítva tároló meghajtón nem az adatot írják felül, hanem a titkosító kulcsot semmisítik meg eszközszintű paranccsal, amitől a teljes tárolt tartalom — a rejtett cellákban is — visszafejthetetlenné válik.

Minden SSD alkalmas kriptográfiai törlésre?

Nem. Feltétele, hogy a meghajtó igazolhatóan, a teljes élettartama alatt titkosítva tárolt, a kulcs-megsemmisítés gyártói parancson át, naplózva történjen, és a folyamatról tanúsított riport készüljön. Ez eszközfüggő, ezért előzetes felmérést igényel.

Mi történik, ha az SSD sérült, vagy a titkosítás nem igazolható?

Ilyenkor a kriptográfiai törlés alapfeltétele hiányzik, ezért a tanúsított fizikai megsemmisítés a védhető út: dokumentált eszközazonosítással végzett, kontrollált vágásos eljárás, ellenőrzött végállapottal és hiteles tanúsítvánnyal.

Drágább a kriptográfiai törlés, mint a fizikai megsemmisítés?

Nem általánosítható. A tanúsított törlés közvetlen díja jellemzően magasabb, cserébe az eszköz újrahasznosítható marad, és megőrizheti az értékét; értéktelen, önálló SSD-nél a vágásos megsemmisítés lehet az arányosabb. A döntést az adat érzékenysége, az eszköz állapota és a bizonyíthatóság vezérli, nem önmagában az ár.