Het algoritme van Gutmann in de prullenbak gooien

Het algoritme van Gutmann in de prullenbak gooien



Basisinformatie over gegevensvernietiging



Correcte verwijdering van gegevens is een belangrijk, maar vaak verwaarloosd en slecht begrepen aspect van informatiebeveiliging. De noodzaak om gegevens veilig en onomkeerbaar te verwijderen op een manier dat ze niet door anderen kunnen worden opgehaald, kan om een ​​aantal redenen ontstaan. Het wordt vaak beheerst door wetgeving, zoals AVG - Algemene Verordening Gegevensbescherming, of wetten die staatsgeheimen beschermen of particuliere entiteiten verplichten om bepaalde categorieën informatie te beschermen. Het kan ook voortvloeien uit contracten en overeenkomsten die de voorwaarden van samenwerking regelen en de reikwijdte van bedrijfsgeheimen definiëren. En soms willen we, zonder enige verplichting, onze belangen en privacy beschermen en willen we niet dat buitenstaanders alles over ons weten. Het verwijderen van gegevens heeft ook een duistere kant in termen van het verbergen en vernietigen van digitaal bewijs van misdaden. Ook dit kan verstandig en effectief of dwaas en onhandig worden gedaan.
In dit artikel verwijs ik naar Peter Gutmanns publicatie "Secure Deletion of Data from Magnetic and Solid-State Memory", gepresenteerd op de "USENIX"-conferentie in juli 1996. Het is de meest geciteerde publicatie in de context van gegevens overschreven en de basis van een van de meest populaire algoritmes voor het vernietigen van informatie. In sommige kringen is Peter Gutmanns werk uitgegroeid tot het niveau van religieus dogma en wordt hij gezien als een onbetwistbare autoriteit. Niettemin bevat deze publicatie een aantal stellingen en aannames die twijfels oproepen of de auteur de werking van harde schijven en de fysica van informatieopslag werkelijk begrijpt. En het is op deze passages dat we ons verder zullen richten.



Soorten opslagmedia



We kunnen gegevensdragers op veel manieren classificeren. We kunnen ze met name verdelen in analoog en digitaal. Een digitaal opslagmedium is een medium dat informatie opslaat op een manier die machines kunnen begrijpen, als een reeks logische toestanden die worden geïnterpreteerd als nullen en enen. Andere gegevensdragers worden analoge gegevensdragers genoemd. Echter, zelfs in het geval van digitale media is de basis voor het bepalen van logische toestanden bepaalde analoge fysieke toestanden die zijn gedigitaliseerd door coderings- en decoderingsprocessen. Het proces van het interpreteren van de fysieke toestanden als specifieke logische toestanden volgt een geaccepteerde conventie.
Het meest algemeen geaccepteerde criterium voor het classificeren van opslagmedia is precies de fysieke verschijnselen die ten grondslag liggen aan hun interpretatie als logische toestanden. Op het gebied van gegevensopslagtechnologie kunnen we onderscheid maken tussen media:

MAGNETISCH:
harde schijven (HDD),
disketten (FDD),
magneetbanden (Linear Tape Open - LTO),

OPTISCH:
compact disks (CD),
Digital Versality Disks (DVD),
Blu-Ray (BD-R),
High Definition DVD (HD-DVD),

HALFGELEIDERS:
solid state drives (SSD),
pendrives,
geheugenkaarten (SD, CF, MMC, xD, SM, MSPro...),
ingebedde Flash-NAND-geheugens (eMMC, MCP...),

RESISTIEF:
Phase Change Random Access Memory (PCRAM),
Magnetoresistief Random Access Memory (MRAM),
ReRAM,
NanoRAM,

PAPIER:
ponskaarten,
geperforeerde stroken.

Vanuit het oogpunt van informatievernietiging is het belangrijk om gegevensdragers te classificeren in niet-vluchtig (energieonafhankelijk, geschikt voor langdurige, meerjarige gegevensopslag, zelfs zonder verbinding met een stroombron) en vluchtig (vereist continue stroomtoevoer om logische toestanden te behouden). Tot de laatste behoren DRAM's (Dynamic Random Access Memory) en SRAM's (Static Random Access Memory). Bij vluchtige media is het voldoende om de stroomtoevoer kortstondig te verbreken om de gegevens onomkeerbaar te wissen. Ze verliezen dan hun logische toestand, daarom zullen we ze niet verder bespreken.
Gegevensdragers kunnen ook worden onderverdeeld in herschrijfbare en eenmalig beschrijfbare media (niet-herschrijfbaar). Eenmalig beschrijfbare media kunnen slechts één keer worden beschreven. Hun inhoud kan daarna niet worden gewijzigd. De meest typische voorbeelden van niet-herschrijfbare media zijn CD-ROM's en DVD-ROM's. Bij deze categorie media is het niet mogelijk om de inhoud te vernietigen door deze te vervangen door andere inhoud, en is het noodzakelijk om het medium fysiek te vernietigen om de informatie te verwijderen. In het geval van herschrijfbare media kan hun inhoud daarentegen worden gewijzigd, zo niet helemaal, dan wel een heel groot aantal keren, wat het mogelijk maakt om gegevens overschrijven te gebruiken als een methode om informatie te vernietigen.



Normen voor het vernietigen van gegevens



Gegevensvernietiging wordt beheerst door verschillende standaarden die zijn ontwikkeld door verschillende overheids-, militaire en wetenschappelijke instellingen. Deze standaarden beschrijven verschillende methoden en classificeren op verschillende manieren de informatie die vernietigd moet worden, vaak met verschillende methoden voor gegevensvernietiging, afhankelijk van de inhoud van de media. Als we ons echter realiseren dat de interpretatie van gegevens plaatsvindt op het niveau van de logische structuren van bestandssystemen en software, kunnen we gemakkelijk begrijpen dat de inhoud van de gegevens geen invloed heeft op het vernietigingsproces . Vanuit het oogpunt van het opslagmedium en de fysica van opslag is er geen significant verschil tussen de verschillende stromen nullen en enen, ongeacht hoe we ze op logisch niveau interpreteren en welke subjectieve betekenis we eraan toekennen.
Standaarden die gegevensvernietiging beschrijven, bevatten een aantal discrepanties op verschillende manieren die de effectiviteit van verschillende methoden voor gegevensvernietiging beoordelen. In sommige gevallen worden procedures aanbevolen die meerdere fasen van gegevensvernietiging met verschillende methoden omvatten. Deze aanpak is ook populair in veel interne procedures op basis van verschillende standaarden, soms gedicteerd door de noodzaak om naleving van meerdere voorschriften te garanderen. Bij een gedetailleerde lezing van de normen komen we een aantal momenten tegen waarop twijfels kunnen ontstaan ​​over het begrip van de opstellers van de normen met betrekking tot de werking van gegevensdragers. Sommige aanbevelingen lijken zelfs rechtstreeks te zijn overgenomen uit de regelgeving inzake de vernietiging van papieren documenten. Een dergelijke analyse van de aanbevelingen in de onderstaande normen valt echter buiten het bestek van dit artikel.

Hieronder vindt u een lijst met de populairste en meest gebruikte standaarden die gegevensvernietiging beschrijven :

1. AFSSI-5020 (Air Force System Security Instruction 5020),
2. CSEC ITSG-06 (Communication Security Establishment Canada, Information Technology Security Guide - 06),
3. HMG-IS5 (Her/His Majesty Government Infosec Standard 5),
4. IEEE 2883-2022 (Institute of Electrical and Electronics Engineers, Standard for Sanitizing Storage),
5. NAVSO P-5239-26 (Navy Staff Office Publication 5239-26, Information Systems Security Program Guidelines),
6. NISPOM DoD 5220.22-M (National Industrial Security Program Operating Manual, Department of Defence 5220.22-M),
7. NIST SP 800-88 (National Institute of Standards and Technology, Guidelines for Media Sanitization),
8. NSCS-TG-025 (National Computer Security Center, Technical Guidelines 025, A Guide to Understanding Data Remanence in Automated Information Systems),
9. RCMP TSSIT OST-II (Royal Canadian Mounted Police, Media Sanitation of the Technical Security Standards for Information Technology),
10. VSITR (Verschlusssachen IT Richtlinien),
11. ГОСТ Р50739-95 (Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования),



Methoden voor gegevensvernietiging



De bovengenoemde normen classificeren methoden voor gegevensvernietiging op verschillende manieren, maar vanuit een technisch oogpunt en met het oog op ons doel is het belangrijk om deze methoden te verdelen in effectieve en ineffectieve methoden. We kunnen een methode voor gegevensvernietiging als effectief beschouwen als gegevensherstel na gebruik onmogelijk is, met behulp van zowel bekende als beschikbare methoden voor gegevensherstel en methoden die in de toekomst mogelijk kunnen worden ontwikkeld. De overige methoden, die ook alleen theoretische mogelijkheden voor gegevensherstel overlaten, zijn ineffectieve methoden.
Door deze definitie van de effectiviteit van methoden voor gegevensvernietiging aan te nemen, kunnen we twee praktische conclusies trekken om procedures voor gegevensvernietiging te optimaliseren. Ten eerste kunnen we alle ineffectieve methoden voor gegevensvernietiging als onnodige inspanning en kosten afdoen, omdat ze niet bijdragen aan het doel. Ten tweede kunnen we de procedure beperken tot één geselecteerde effectieve methode, omdat deze voldoende is voor gegevensvernietiging.
Met deze aanpak kunnen we ons richten op het identificeren van effectieve methoden voor informatievernietiging voor bepaalde categorieën media. We moeten in gedachten houden dat de effectiviteit van methoden voor gegevensvernietiging kan variëren, afhankelijk van de technologie die wordt gebruikt om de informatie op te slaan. Bijvoorbeeld, demagnetiseren kan effectief zijn voor magnetische media, maar zal niet werken voor halfgeleider- of optische media.
Methoden voor gegevensvernietiging worden ook onderverdeeld in hardware (fysieke) en software (logische) methoden. Hardware-gebaseerde methoden omvatten het handelen op media op een manier die de inhoud ervan onleesbaar maakt. Het is echter belangrijk om op te merken dat het vernietigen of beschadigen van media niet hetzelfde is als het vernietigen van informatie, daarom maakt niet elke schijfbeschadiging gegevensherstel onmogelijk. Integendeel, bedrijven die gespecialiseerd zijn in gegevensherstel, herstellen vaak informatie van hardware-beschadigde media, ook opzettelijk met de bedoeling om de inhoud ervan te vernietigen, en in veel gevallen waarvoor geen praktische methoden voor gegevensherstel zijn ontwikkeld, is er een theoretische basis voor het ontwikkelen van dergelijke methoden in de toekomst.
Software-gebaseerde methoden zijn daarentegen gericht opde informatie zelf vernietigen zonder de media te beschadigen. In tegenstelling tot fysieke methoden, maken ze selectieve vernietiging van geselecteerde gegevens mogelijk zonder de volledige inhoud van het medium te vernietigen. Deze methoden komen neer op de vernietiging van gegevens door deze te vervangen door andere inhoud , d.w.z. overschrijven. Als er geen sprake is van overschrijven van gegevens, maar alleen van het verwijderen van metagegevens die deze gegevens beschrijven in de logische structuren van het bestandssysteem, is de informatie zelf herstelbaar.
Er worden echter nog steeds twijfels geuit over de herstelbaarheid van overschreven gegevens. De controverse heeft meestal betrekking op het vereiste aantal overschrijfpassen dat nodig is voor een correcte gegevensvernietiging. Soms wordt ook de aandacht gevestigd op de gebruikte overschrijfpatronen. Deze twijfels worden vaak aangewakkerd door marketingmaterialen die zijn ontworpen om gebruikers te misleiden om een ​​bepaalde gegevensvernietigingsmethode of -tool te kiezen, meestal door alternatieven in diskrediet te brengen.
Concepten voor methoden die gericht zijn op het mogelijk maken van het herstel van overschreven gegevens ontstonden eind jaren 80 en begin jaren 90. In die tijd werden een aantal studies ondernomen die vooral gericht waren op het herstellen van de vorige magnetisatiestatus van de magnetische laag met behulp van magnetische krachtmicroscopie, waaronder het werk van het team onder leiding van Romel Gomez speciale aandacht verdient. Minder populair waren oscilloscopische studies van het signaal dat werd opgevangen door het magnetische kopblok. Het artikel van Peter Gutmann is een soort samenvatting van het werk dat eind jaren '80 en de eerste helft van de jaren '90 werd uitgevoerd en stelt een oplossing voor om twijfels over de effectiviteit van het overschrijven van gegevens weg te nemen.

Fysieke methoden voor gegevensvernietiging omvatten:
mechanisch (van hameren en ruimen tot het versnipperen van de media met speciale versnipperaars),
thermisch (van het gooien in een vuur en roosteren in een oven tot het smelten in metallurgische ovens),
chemisch (inwerken op de media met verschillende chemicaliën),
demagnetisatie (interactie van het medium met een magnetisch veld),
inductief (gebruik verschillende soorten straling, bijvoorbeeld UV, ioniserend, microgolf),
pyrotechniek (gebruik pyrotechnische en explosieve materialen).

Programmamethoden zijn:
bestanden naar de prullenbak van het systeem gooien (verplaatsen naar een speciale directory, een duidelijk ineffectieve methode),
verwijderen op het niveau van de metagegevens van het bestandssysteem (de mogelijkheid van gegevensherstel hangt af van veel factoren, bijvoorbeeld het type media en de werking van de TRIM-functie),
partitieformattering (effectiviteit hangt af van de formatteringsmethode en het type media, firmwareoplossingen, TRIM-ondersteuning, enz.),
overschrijven (enkele of meervoudige doorgang met behulp van verschillende typen overschrijfpatronen - daar gaat dit artikel over),
Secure Erase (mediareinigingsprocedure geïmplementeerd op firmwareniveau),
Block Erase (een fysieke blokwissingsprocedure geïmplementeerd in de firmware van halfgeleidermedia).

In het vervolg zullen we ons richten op de effectiviteit van gegevens overschrijven als een methode om informatie die op harde schijven is opgeslagen te vernietigen, omdat dit probleem een ​​essentieel onderdeel vormt van de overwegingen in het artikel van Peter Gutmann. Ik zal verwijzen naar geselecteerde passages in dit artikel die aangeven dat het begrip van de auteur van bepaalde problemen ontoereikend is en leidt tot onjuiste conclusies. Ik zal ook de aandacht vestigen op enkele zeer uitgerekte stellingen die worden gebruikt om de noodzaak van meervoudig gegevens overschrijven te rechtvaardigen om de effectiviteit van de methode te waarborgen.



Wat Peter Gutmann schreef over...



Bit in magnetische opname



"... when a one is written to disk the media records a one, and when a zero is written the media records a zero. However the actual effect is closer to obtaining a 0.95 when a zero is overwritten with a one, and a 1.05 when a one is overwritten with a one."

"... wanneer een één naar schijf wordt geschreven, registreert het medium een ​​één, en wanneer een nul wordt geschreven, registreert het medium een ​​nul. Het werkelijke effect ligt echter dichter bij het verkrijgen van een 0,95 wanneer een nul wordt overschreven met een één, en een 1,05 wanneer een één wordt overschreven met een één."

Om deze aanname aan te pakken, moeten we weten wat fysiek een bit in magnetische opname vormt. Welke fysieke toestand een logische nul vertegenwoordigt en welke toestand een één vertegenwoordigt. Om dit te begrijpen, laten we eerst kijken hoe magnetische media worden gelezen.
Gegevens van magnetische media worden gelezen door koppen die boven een gemagnetiseerd oppervlak zweven (in het geval van harde schijven) of op bewegen (in het geval van magneetbanden, disketten en sommige modellen van de oudste, vintage harde schijven uit de begindagen van dit type constructie). Het gemagnetiseerde oppervlak dat onder de kop beweegt, induceert een elektrische golfvorm. Pulsen in deze golfvorm worden geïnduceerd door een variabel magnetisch veld. En het zijn deze impulsen die worden geïnterpreteerd als logische één. Daarentegen is een logische nul de afwezigheid van zo'n impuls.
Dus wat is een gebied met een constant en variabel magnetisch veld? In elk lichaam dat magnetische eigenschappen vertoont, kunnen we gebieden met homogene magnetisatie onderscheiden - magnetische domeinen. Deze domeinen worden van elkaar gescheiden door domeinwanden - gebieden waar de polarisatievector van magnetisatie is omgekeerd. En het zijn deze wanden die gebieden met variabele magnetisatie zijn die pulsen induceren die logische pulsen aanduiden, terwijl de domeinen zelf gebieden met constante magnetisatie zijn.
Magnetische opname houdt in dat het medium een ​​specifieke, gewenste oppervlakte magnetisatie volgorde krijgt. In dit proces kunnen domeinen hun polariteit omkeren, maar ook hun grootte veranderen. Domeinwanden kunnen verschuiven, verdwijnen of er kunnen nieuwe domeinwanden worden gevormd, wat resulteert in de scheiding van nieuwe domeinen. Om te kunnen spreken van een logische één die wordt overschreven door een andere één, nadat het oppervlak opnieuw is gemagnetiseerd, moet de domeinwand zou precies op dezelfde plaats moeten zijn als een andere domeinwand in de vorige magnetisatie. Daarom is het in de praktijk niet mogelijk om ondubbelzinnig te stellen dat een logische één is overschreven met een één of een nul.
De vorige polarisatie van de magnetisatie kan de vorm en breedte van de domeinwanden beïnvloeden en dus de vorm van de pulsen die erdoor worden geïnduceerd. Dit probleem wordt gedetailleerd beschreven door Serhiy Kozenevskyi (Сергій Коженевський) in zijn boek "Перезапись Информации". Als we echter overschreven gegevens op deze manier willen herstellen, is het niet de vorige polariteit van de domeinmagnetisatie die ons zou moeten interesseren, maar de vorige rangschikking van de domeinwanden. De resultaten van de beschreven oscilloscoopstudies geven niet aan dat het mogelijk zou zijn om met voldoende nauwkeurigheid de rangschikking van domeinwanden in de toestand vóór het overschrijven te bepalen.
Bovendien mogen we andere factoren die de hoogte van de pulsamplitudes beïnvloeden niet vergeten. Het hangt grotendeels af van de afstand tussen de domeinwanden. Hoe dichter ze bij elkaar liggen, hoe lager de signaalamplitudes die door hen worden geïnduceerd, zullen zijn. De afwijkingen zijn ook afhankelijk van de lokale eigenschappen van het magnetische oppervlak en de toestand van de kristalstructuur. De magnetisatietoestand van het oppervlak en de parameters van het te lezen signaal worden ook beïnvloed door externe magnetische velden en schommelingen in de temperatuur en voedingsspanning van de harde schijf.
In het geval van loodrechte magnetische opname is een zeer belangrijke bron van elektromagnetische ruis de zachte onderlaag (SUL - Soft Underlayer) die wordt gebruikt om de door de opnamekop geïnduceerde veldlijnen in te sluiten. Ten tijde van het schrijven van het artikel van Gutmann gebruikten harde schijven alleen parallelle opname, maar tegenwoordig gebruiken alle harde schijven loodrechte opname. Het filteren van de effecten van de hierboven genoemde factoren op de signaalgolfvorm om interferentie te isoleren die uitsluitend wordt veroorzaakt door de eerdere magnetisatiestatus, is des te moeilijker omdat sommige van deze factoren afhankelijk zijn van externe omstandigheden die niet getrouw kunnen worden gereproduceerd.



Gegevenscodering op harde schijven



Het bovenstaande, maar ook de daaropvolgende citaten uit het artikel van Peter Gutmann, geven aan dat hij het gegevenscoderingsproces op harde schijven mogelijk niet begrijpt. In feite krijg je uit zijn hele publicatie de indruk dat gegevens op de schijf worden opgeslagen in een ruwe, onverwerkte reeks van enen en nullen die door de computer aan de schijfinterface worden doorgegeven. Dit is des te vreemder omdat hij zelf tegelijkertijd verschillende methoden voor het coderen van gegevens noemt en zelfs probeert de overschrijfpatronen van zijn algoritme hierop af te stemmen.
In werkelijkheid zijn de gegevens die op de schijf zijn opgeslagen gecodeerde gegevens die helemaal niet lijken op de invoergegevensstroom. Omdat gegevens in elke fase van verwerking en opslag vatbaar zijn voor fouten en verkeerde voorstellingen, worden er vaak verschillende beveiligingen in de vorm van controlesommen en foutcorrectiecodes (ECC - Error Correction Code) gebruikt. Gegevens die op de schijf zijn opgeslagen, worden ook beschermd door geschikte correctiecodes. De details zijn in de loop van de tijd geëvolueerd en variëren ook tussen de schijven van fabrikanten, maar voor onze doeleinden is het voldoende om te weten dat dergelijke codes bestaan ​​en dat ze worden berekend en toegevoegd aan elke sector van de schijf wanneer deze wordt geschreven om de inhoud te beschermen.
Gegevens die op schijf zijn opgeslagen, worden ook gerandomiseerd. Het doel van randomisatie is om lange reeksen van repetitieve symbolen op te breken. Lange reeksen van dezelfde symbolen of herhaalde reeksen symbolen kunnen bijdragen aan ongunstige golfverschijnselen in het schrijf- en leeskanaal, zoals staande golven, golfreflecties of parasitaire harmonischen. Ze kunnen ook intersymboolinterferentie (ISI - Inter Symbol Interference) veroorzaken - verschuivingen tussen afzonderlijke symbolen in de gegevensstroom. En omdat de sporen die op het oppervlak van de schijf zijn opgeslagen, naast andere sporen liggen, is er inductieve interferentie tussen hen, inter spooren interferentie (ITI - Inter Track Interference) genoemd. Randomisatie helpt de impact van deze interferentie te verminderen.
De belangrijkste fase van gegevenscodering, vanuit ons oogpunt, is het voorbereiden van de gegevens die naar de schijf moeten worden geschreven. De eerste methode voor het coderen van informatie die in harde schijven werd gebruikt, was FM (Frequency Modulation). Dit omvatte het schrijven van pulsen van een kloksignaal en het invoegen van databits ertussen. Als de bit een "1" was, werd er een extra puls tussen de klokpulsen ingevoegd, als het een logische "0" was - niet.
Dit was een inefficiënte methode waarbij de '0' bit gecodeerd werd met één langer magnetisch domein en de '1' met twee kortere. Na verloop van tijd werd een poging gedaan om het te optimaliseren met de introductie van de MFM (Modified Frequency Modulation) methode, waarbij de opslagdichtheid werd verbeterd door het aantal klokcomponentpulsen te verminderen. De echte revolutie kwam echter met RLL (Run Lenght Limited) codering, die de volledige eliminatie van de klokcomponent mogelijk maakte en de datapackingdichtheid verhoogde tot meerdere bits per magnetisch domein.
RLL-codering is een zelfklokkende codering. Het bestaat uit het plaatsen van een bepaald aantal nullen tussen elke puls, berekend door de decoderchip op basis van de afstand tussen de pulsen. Dit betekent dat één domein meerdere bits kan coderen, waarbij het aantal nullen tussen de enen afhankelijk is van de lengte van het domein. Het minimale en maximale aantal nullen dat tussen enen kan voorkomen, wordt bepaald door rekening te houden met factoren die de frequentie van het signaal beïnvloeden (haalbare groottes van stabiele magnetische domeinen, schijfsnelheid, enz.), de gevoeligheid van de leeskoppen en het vermogen van de decoderchip om het signaal en foutcorrectie door ECC-codes te verwerken om het optreden van leesfouten of desynchronisatie van het signaal te minimaliseren.
Tegelijkertijd, aangezien een magnetisch domein moet voorkomen tussen twee domeinwanden, kunnen er geen twee logische éénen achtereenvolgens voorkomen in RLL-codering - ze moeten altijd gescheiden zijn door ten minste één nul. Omdat de werkelijke gegevens zelden aan deze voorwaarde voldoen, moeten ze opnieuw worden berekend met behulp van geschikte arrays. Daarom is het onmogelijk om te proberen letterlijke enkele bits te herstellen, en pogingen om andere kleine delen van gegevens te herstellen worden belemmerd door de noodzaak om deze fragmenten op de juiste manier te adresseren en te decoderen.
U kunt meer leren over gegevenscodering in het boek van RLL-codeontwikkelaar Cornelius (Kees) Antoin Schouhammer Immink "Codes for Mass Data Storage Systems", evenals Bane Vasić en Erozan M. Kurtas "Coding and signal processing for magnetic recording systems". Als u meer wilt weten over het gegevenscoderingsproces, bent u wellicht ook geïnteresseerd in het werk van Charles Sobey over schijfonafhankelijke gegevensherstel. Het proces van het bestuderen van magnetische platen en het decoderen van gegevens onafhankelijk van de schijf wordt ook beschreven in het boek "Spin-stand Microscopy of Hard Disk Data" van Isaac D. Mayergoyz en Chun Tse.



Minimale adresseringseenheid



"...when data is written to the medium, the write head sets the polarity of most, but not all, of the magnetic domains. This is partially due to the inability of the writing device to write in exactly the same location each time, and partially due to the variations in media sensitivity and field strength over time and among devices."

" ...wanneer gegevens naar het medium worden geschreven, stelt de schrijfkop de polariteit van de meeste, maar niet alle, magnetische domeinen in. Dit komt deels doordat het schrijfapparaat niet elke keer op exact dezelfde locatie kan schrijven, en deels doordat de mediagevoeligheid en veldsterkte in de loop van de tijd en tussen apparaten variëren."

Op basis van wat we al weten over gegevenscodering, kunnen we concluderen dat koppen individuele magnetische domeinen niet individueel schrijven tijdens de werking. Dit zou niet consistent zijn met het RLL-coderingssysteem, waarin het aantal logische nullen tussen de enen wordt bepaald door de afstand tussen opeenvolgende domeinwanden (de domeinlengte), dus bij het schrijven van andere gegevens moeten de domeinlengtes veranderen.
Bovendien is het technisch niet mogelijk om individuele magnetische domeinen aan te spreken. Een deel van het oppervlak van de schijf is bestemd voor de informatie die nodig is om de juiste werking van de schijf te garanderen. Deze categorie omvat onder andere de servosectoren die correcte spooridentificatie en controle van de baan van de kop over het midden mogelijk maken, evenals de sectorheaders die het mogelijk maken dat ze correct worden geadresseerd.
En het zijn de sectoren (vroeger nummer 512 B, in de moderne "Advanced Format"-variant - 4 kB aan gebruikersgegevens) die de minimale adresseringseenheid vormen. Om hier een idee van te krijgen, kunt u kijken naar de ATA- en SCSI- normen, die halverwege de jaren 80 zijn ontwikkeld en sindsdien de primaire documenten zijn die de werking van harde schijven beschrijven en hun compatibiliteit garanderen. Hoewel deze normen in de loop der decennia zijn geëvolueerd, hebben ze nooit voorzien in andere adresseringseenheden dan sectoren.
En zo werken schijven. Zelfs als u een enkele bit van een sector wilt wijzigen, vereist dit de juiste codering van de hele sector en de vorming van de overeenkomstige elektromagnetische signaalgolfvorm, die vervolgens op de juiste fysieke locatie wordt opgeslagen. Als u dit in de praktijk wilt zien, maak dan een klein tekstbestand. Zoek het op en controleer in de hex-editor hoe de inhoud eruitziet. U kunt de nullen aan het einde van het bestand veranderen in andere inhoud om te zien of deze behouden blijft wanneer u het bestand bewerkt. Bewerk dit bestand vervolgens in Kladblok en controleer de inhoud van de sector in de hex-editor. U zult zien dat de rest van de oude sectorinhoud buiten de bestandsgrootte wordt vervangen door nullen. Daarom zijn beweringen over het schrijven, lezen, herstellen of adresseren van afzonderlijke bits onzin.



Het spoor volgen



"Deviations in the position of the drive head from the original track may leave significant portions of the previous data along the track edge relatively untouched."

"Afwijkingen in de positie van de aandrijfkop ten opzichte van het oorspronkelijke spoor kunnen aanzienlijke delen van de vorige gegevens langs de spoorrand relatief onaangetast laten."

Deze uitspraak was logisch in een tijd waarin harde schijven nog steeds stappenmotoren gebruikten om het magnetische kopblok te positioneren. Een stappenmotor, zoals de naam al doet vermoeden, roteert altijd met een vooraf ingestelde stap of een veelvoud daarvan. Het is niet mogelijk om deze in te stellen op tussenliggende posities. En deze eigenschap van stappenmotoren resulteerde in het risico om een ​​spoor te schrijven met een vaste offset ten opzichte van de vorige positie, bijvoorbeeld vanwege het onvermogen om verschillen in temperatuuruitbreiding van afzonderlijke schijfcomponenten te compenseren. Om deze reden werd aanbevolen om de schijf werken minstens een half uur te laten draaien voordat er low-level formattering werd uitgevoerd om ervoor te zorgen dat alle componenten gelijkmatig opwarmen.
Het proces van het vervangen van stappenmotoren door lineaire (Voice Coil Motors - VCM) motoren begon rond het midden van de jaren 80 en tegen de tijd dat Peter Gutmann zijn artikel publiceerde, was het ten einde. Kalok, het laatste bedrijf dat harde schijven met stappenmotoren produceerde, ging in 1994 failliet. Twee jaar is genoeg tijd voor de publicatie om op zijn minst de aanwezigheid van schijven op de markt te erkennen met traploos instelbare magnetische kopblokken met VCM's of om op zijn minst duidelijk te maken dat de hierboven geciteerde verklaring betrekking heeft op schijven met stappenmotoren.
Lineaire (VCM) motoren zijn opgebouwd uit een spoel die tussen twee permanente magneten is geplaatst. Een variabel elektrisch veld dat wordt geïnduceerd door stroom die door een spoel stroomt die in een vast magnetisch veld is geplaatst, induceert beweging van deze spoel ten opzichte van de magneten. Normaal gesproken roteren positioneerders rond een as en bewegen de koppen in een boog over het oppervlak van de platen, maar oplossingen gebaseerd op heen en weer gaande beweging van de spoel zijn in het verleden ook gebruikt. Deze oplossing was echter ingewikkelder en nam meer ruimte in beslag in de behuizing, en werd om deze redenen snel verlaten.
Het vervangen van stappenmotoren door lineaire motoren heeft veranderingen in het koppositionerings- en spoorvolgensubsysteem afgedwongen. Traploze positionering van de kop opent mogelijkheden voor nauwkeurige kop volgen over het midden van de spoor, maar vereist ook feedback om de positie over de plaat te regelen. Servosectorenop gelijke afstanden op de platteroppervlakken dienen dit doel. Het aantal servosectoren varieert tussen aandrijfmodellen. In veel gevallen kunt u dit controleren in Victoria. Als het programma de parameter "Wedges" in het schijve-paspoort weergeeft, is dit het aantal servosectoren.
De servosectoren bevatten een reeks informatie om het nummer van het te lezen spoor te identificeren, de snelheid van de platters te regelen, het signaal correct te synchroniseren en de kopbaan over het midden van het spoor te behouden. Gezien het doel van dit artikel zullen we ons op het laatste richten. Elke servosector bevat servo-burstvelden die een positioneringsfoutsignaal genereren (PES - Positioning Error Signal, СОП - Сигнал Ошибки Позиционирования). Dit signaal maakt het mogelijk om te bepalen in welke richting en hoeveel de kop afwijkt van het midden van het spoor.
Op basis van het positioneringsfoutsignaal kan de signaalprocessor een opdracht aan de motorcontroller geven om de positie van de kop aan te passen. Omdat het aantal servosectoren in harde schijven doorgaans meer dan 100 per spoor bedraagt, is het in de praktijk niet mogelijk om de kopvlucht langs de rand van het spoor stabiel te handhaven. Als de kop afwijkt van het midden van het spoor, zal het positioneringsmechanisme proberen om de positie zo snel mogelijk te corrigeren. Zelfs als compensatie op wat problemen stuit, is het veel waarschijnlijker dat de kop in de buurt van het midden van het spoor zal oscilleren dan dat hij langs een van de randen zal vliegen.
Natuurlijk is het mogelijk om een ​​record te maken met een offset vanaf het midden van het spoor, zodat een volgend record kleine delen van de vorige magnetisatie intact laat, maar naarmate de opnamedichtheid toeneemt, wordt een dergelijke situatie steeds minder onwaarschijnlijk. Het is ook uiterst onwaarschijnlijk dat dergelijke afwijkingen ertoe zullen leiden dat "significante delen van vorige gegevens" intact blijven. Als dat wel het geval is, zullen het hooguit kleine fragmenten zijn die moeilijk te adresseren en te decoderen zijn, en ook moeilijk te bepalen zijn wanneer deze records zijn gemaakt. Op basis van de eerder in dit artikel aangegeven informatie weten we al dat we, om gegevens die van de rand van het spoor zijn hersteld, praktisch te kunnen decoderen, ten minste een hele coherente sector tot onze beschikking moeten hebben.
In de huidige ultrahogedichtheidsharde schijven, is het risico dat fragmenten van oude gegevens langs de rand van een spoor achterblijven verwaarloosbaar. Bovendien zou een dergelijk signaal sterk worden verstoord door de invloed van magnetisatie op aangrenzende sporen. In het geval van aandrijvingen die gebruikmaken van SMR (Shingled Magnetic Recording), wordt dit risico volledig geëlimineerd door het gedeeltelijk overschrijven van eerdere sporen wanneer volgende sporen worden geschreven. Bovendien worden veel geavanceerdere positionerings- en koppositiecontroleoplossingen gebruikt, zoals multi-stage positioners. Niettemin is het zelfs met schijven uit de eerste helft van de jaren '90 nog niemand gelukt om een ​​praktisch voorbeeld te demonstreren van het herstellen van overschreven gegevens die van de rand van een spoor zijn gelezen.
Het onderwerp van servomechanica van harde schijven, spoorzoeken en -volgen en motortoerentalregeling is te uitgebreid om hier in meer detail te worden besproken. Het is in verschillende boeken behandeld, waaronder het vermelden waard:

"Механика и сервосистема" door Sergiy Kozenevskyi (Сергій Коженевський),
"Hard Disk Drive Mechatronics and Control" door Abdullah al-Mamun, Guoxiao Guo enChao Bi,
"Hard Disk Drive Servo Systems" door Ben M. Chen, Tong H. Lee, Kemao Peng en Venkatakrishnan Venkataramanan.



Remagnetisatie van magnetische lagen



"When all the above factors are combined it turns out that each track contains an image of everything ever written to it, but that the contribution from each 'layer' gets progressively smaller the further back it was made."

"Wanneer alle bovenstaande factoren worden gecombineerd, blijkt dat elk spoor een afbeelding bevat van alles wat er ooit op is geschreven, maar dat de bijdrage van elke 'laag' steeds kleiner wordt naarmate het verder terug is gemaakt."

Iedereen heeft waarschijnlijk de analogie gehoord van het overschrijven van gegevens met het wissen van inscripties op papier met een potlood. Ja, de originele vermeldingen op een stuk papier zijn heel lang zichtbaar en zelfs als ze zorgvuldig worden gewist, kun je nog steeds proberen hun fragmenten te lezen of individuele symbolen te raden. En het lijkt erop dat Peter Gutmann ook bezweek voor de magie van deze analogie. Maar is het überhaupt zinvol in relatie tot magnetische opname?
De koppen voegen geen nieuwe lagen toe tijdens de opname, maar ze veranderen de volgorde van magnetisatie van één magnetische laag. Remagnetisatie legt geen nieuwe opname op aan de vorige, maar vernietigt deze door de volgorde van domeinwanden op een andere manier te rangschikken. Daarom lijkt deze actie veel meer op bijvoorbeeld het veranderen van symbolen die zijn gemaakt van lucifers door ze opnieuw te rangschikken, en de analogie met het bedekken van de vermeldingen op papier met kleurpotloden is op zijn minst ontoereikend.
Maar zijn de koppen daadwerkelijk in staat om de vorige magnetische opname onomkeerbaar te vernietigen? Hier moeten we letten op de relatie tussen de waarde van het veld dat door de koppen wordt geïnduceerd en de coërciviteit van de magnetische laag, d.w.z. de waarde van het veld dat nodig is om deze opnieuw te magnetiseren. De coërciviteit van de kobaltlegeringen die doorgaans worden gebruikt in harde schijven, is ongeveer 0,5 T. Daarentegen zijn magnetische koppen in staat om velden van meer dan 2 T te induceren. Bovendien zijn de magnetische lagen te dun (hun dikte wordt geteld in tientallen nm) voor twee of meer lagen van domeinen met verschillende magnetisatiepolariteiten om stabiel binnenin te functioneren. Ter vergelijking: demagnetiseerders (degaussers) die velden van ongeveer 1 T induceren, zijn voldoende om gegevens te vernietigen in het demagnetisatieproces, zelfs als de platters worden afgeschermd door metalen omhulselelementen.
Het is de moeite waard om van deze gelegenheid gebruik te maken om de aandacht te vestigen op de energie-ondersteunde opnameschijven die net op de markt verschijnen - HAMR (Heat-Assisted Magnetic Recording) en MAMR (Microvave-Assisted Magnetic Recording). Dit zijn schijven die ijzer-platina-legeringen gebruiken met een coërciviteit van ongeveer 6 T de magnetische laag. Het veld dat door de opnamekoppen wordt geïnduceerd, is duidelijk te zwak om de magnetische laag opnieuw te magnetiseren, dus moet de opname worden ondersteund door een extra energiebron om het oppervlak van de schijven lokaal te verwarmen tot een temperatuur die dicht bij het Curiepunt ligt. Het Curiepunt is de karakteristieke temperatuur van een magnetisch materiaal waarbij het zijn magnetisatie verliest en daarom veel gemakkelijker opnieuw te magnetiseren is. Deze informatie is belangrijk voor de vernietiging van gegevens door demagnetisatie, omdat energie-ondersteunde opnameschijven bestand zullen zijn tegen de populaire demagnetiseerders van vandaag en er nieuwe apparaten moeten worden ontwikkeld om ze te vernietigen.



Een brug te ver...



"The general concept behind an overwriting scheme is to flip each magnetic domain on the disk back and forth as much as possible (this is the basic idea behind degaussing) without writing the same pattern twice in a row."

"Het algemene concept achter een overschrijfschema is om elk magnetisch domein op de schijf zoveel mogelijk heen en weer te draaien (dit is het basisidee achter demagnetiseren) zonder hetzelfde patroon twee keer achter elkaar te schrijven."

Waarom mengt Peter Gutmann hier gegevens overschrijven met demagnetiseren? We kunnen de magnetisatie van een magnetische substantie op twee manieren beschouwen. Op macroschaal beschouwen we een lichaam als gemagnetiseerd als het zelf een magnetisch veld induceert. Het zal een magnetisatie hebben die niet nul is, wat de resulterende magnetisatie is van zijn magnetische domeinen. In die zin zijn magnetische platen niet gemagnetiseerd. Dit kan eenvoudig worden geverifieerd door te observeren hoe platters die van een harde schijf worden verwijderd, interacteren met metalen die zouden moeten reageren op externe magnetisatie.
Op nanoschaal is elk magnetisch lichaam op de een of andere manier gemagnetiseerd. Als de magnetisatie niet wordt verleend door een extern magnetisch veld, ontstaan ​​er spontaan magnetische domeinen en heffen de door hen geïnduceerde velden elkaar op. Magnetische opname bestaat uit het zodanig ordenen van de magnetische domeinen dat ze de logische toestanden vertegenwoordigen die we willen, die we kunnen interpreteren als specifieke informatie. Een functionerende harde schijf heeft altijd een geordende magnetisatie, bevat altijd wat informatie en zelfs als we deze als leeg beschouwen op het niveau van logische structuren, kunnen we altijd wat waarden zien in de hex-editor.
Demagnetiseren houdt in dat een elektromagnetische puls wordt toegepast op een manier die deze ordening vernietigt, met als gevolg dat de domeinen op de plaat in een toestand van chaotische magnetisatie blijven. Dergelijke magnetisatie is niet interpreteerbaar, dus er kan niets van de platen worden gelezen, de koppen kunnen het servosignaal niet vinden en de schijf wordt vernietigd.
Overschrijven daarentegen houdt in dat de bestaande magnetisatievolgorde wordt vervangen door een andere, nog steeds logisch interpreteerbare, maar waardeloze informatie vertegenwoordigt. Waarbij het niet nodig is om de polariteit van elk magnetisch domein te veranderen voor gegevensvernietiging. Het is voldoende dat de magnetische domeinen op een andere manier worden uitgelijnd dan ze oorspronkelijk waren.
Demagnetiseren en overschrijven zijn twee verschillende methoden om gegevens te vernietigen, waarbij het doel op verschillende manieren wordt bereikt. In het geval van demagnetiseren is het een extern apparaat dat de ordening van de magnetisatie volledig vernietigt, waardoor de schijf als apparaat wordt vernietigd. Overschrijven verandert daarentegen alleen de magnetisatievolgorde van de te overschrijven sectoren, waarbij de service area-informatie, servosectoren en sectorheaders intact blijven en selectieve gegevensvernietiging mogelijk is, zoals het wissen van geselecteerde bestanden.



Nog een brug te ver...



"To erase magnetic media, we need to overwrite it many times with alternating patterns in order to expose it to a magnetic field oscillating fast enough that it does the desired flipping of the magnetic domains in a reasonable amount of time. Unfortunately, there is a complication in that we need to saturate the disk surface to the greatest depth possible, and very high frequency signals only "scratch the surface" of the magnetic medium (...). Disk drive manufacturers, in trying to achieve ever-higher densities, use the highest possible frequencies, whereas we really require the lowest frequency a disk drive can produce. Even this is still rather high. The best we can do is to use the lowest frequency possible for overwrites, to penetrate as deeply as possible into the recording medium."

"Om magnetische media te wissen, moeten we ze meerdere keren overschrijven met afwisselende patronen om ze bloot te stellen aan een magnetisch veld dat snel genoeg oscilleert om de gewenste omkering van de magnetische domeinen in een redelijke hoeveelheid tijd uit te voeren. Helaas is er een complicatie, omdat we het schijfoppervlak zo diep mogelijk moeten verzadigen, en zeer hoge frequentiesignalen "krasjes" alleen maar over het oppervlak van het magnetische medium (...). Fabrikanten van schijfstations gebruiken, in hun poging om steeds hogere dichtheden te bereiken, de hoogst mogelijke frequenties, terwijl we eigenlijk de laagste frequentie nodig hebben die een schijfstation kan produceren. Zelfs dit is nog steeds vrij hoog. Het beste wat we kunnen doen, is de laagst mogelijke frequentie gebruiken voor overschrijvingen, om zo diep mogelijk in het opnamemedium door te dringen."

Zoals we al weten, is het niet zozeer de omkering van de polariteit van de afzonderlijke magnetische domeinen als wel de verplaatsing van de domeinwanden die belangrijk is voor de vernietiging van gegevens bij magnetische opname. Bovendien hangt de frequentie van het magnetische veld dat wordt gebruikt voor gegevensopname voornamelijk af van de frequentie van het op te nemen signaal. Gegeven het datacoderingsproces, zou het verkrijgen van een signaal met de hoogst mogelijke frequentie (met het hoogst mogelijke aantal logische enen in verhouding tot nullen) een begrip en overweging van alle coderingsstappen vereisen.
Het idee zelf komt hoogstwaarschijnlijk voort uit de methode van het ontmagnetiseren van gemagnetiseerde lichamen op macroschaal. Omdat het erg moeilijk is om zo'n lichaam te beïnvloeden met een veld dat precies overeenkomt met zijn coërciviteit om het te ontmagnetiseren, en het veel waarschijnlijker is om de polarisatie van de magnetisatie om te keren, wordt ontmagnetisatie uitgevoerd met behulp van een hoogfrequent veld met afnemende intensiteit. Op deze manier wordt het lichaam bij elke polariteitsomkering steeds minder gemagnetiseerd (remanentie daalt van verzadiging naar een toestand dicht bij nul). In het geval van een harde schijf induceren de opnamekoppen een magnetisch veld op het oppervlak van de plaat die eronder draait, en de tijd gedurende welke een bepaald gebied opnieuw kan worden gemagnetiseerd, hangt voornamelijk af van de rotatiesnelheid van de plaat.
In zijn artikel verwijst Peter Gutmann enerzijds vaak naar bepaalde elementen van gegevenscodering, maar anderzijds behandelt hij het probleem heel oppervlakkig en fragmentarisch, waarbij hij het vaak uitrekt onder de veronderstelde these van de noodzaak van meerdere gegevens-overschrijvingen voor veilige vernietiging. Het negeert in feite de processen van het wijzigen van de grootte, het samenvoegen en splitsen van magnetische domeinen, die cruciaal zijn voor RLLcodering. In plaats daarvan richt hij zich te veel op het proces van het omkeren van hun polariteit. Er is een gebrek aan samenhang in zijn overwegingen, wat we al hebben opgemerkt en later nog zullen zien. Bovendien is, zoals ik hierboven al zei, de magnetische laag te dun om niet in de allereerste run tot verzadiging te worden gemagnetiseerd. Dit geldt met name voor loodrechte opname, waarbij de magnetisatiepolarisatievector loodrecht op het oppervlak van de plaat staat, zodat de domeinen zelf verticaal in de magnetische laag zijn uitgelijnd.



ECC-correctiecodes



Therefore even if some data is reliably erased, it may be possible to recover it using the built-in error-correction capabilities of the drive.

Daarom is het mogelijk om, zelfs als sommige gegevens betrouwbaar worden gewist, deze te herstellen met behulp van de ingebouwde foutcorrectiemogelijkheden van de schijf.

Hier is nog een voorbeeld van Peter Gutmanns buitensporig relaxte benadering van het probleem van gegevenscodering. De bovenstaande zin suggereert de mogelijkheid om de inhoud van een sector te verwijderen terwijl de bijbehorende correctiecodes behouden blijven. Dit is niet mogelijk omdat de correctiecodes worden berekend in de fase van gegevenscodering en aan de sector worden toegevoegd voordat de signaalgolfvorm wordt gevormd, die door de opnamekop wordt geïnduceerd en naar de schijf wordt geschreven. Door een sector te overschrijven met andere inhoud, overschrijven we ook de correctiecodes die aan de oorspronkelijke gegevens zijn gekoppeld.
In oudere schijfmodellen was het mogelijk om opzettelijk onjuiste controlesommen te genereren en een sector op te slaan met correctiecodes die niet overeenkwamen met de gegevens van de gebruiker. Hoewel dergelijke sectoren niet correct kunnen worden gelezen en de schijf bij het proberen ze te lezen een UNC- fout retourneert, worden de correctiecodes die aan de vorige sectorinhoud zijn gekoppeld, vernietigd en vervangen door nieuwe. Deze mogelijkheid wordt bijvoorbeeld geïmplementeerd in het MHDD -programma door de opdrachten "MAKEBAD" - het maken van een "slechte" sector in het aangegeven LBA-adres (Logical Block Addressing) of "RANDOMBAD" - het maken van "slechte" sectoren op willekeurige locaties.
Bovendien overschat Peter Gutmann duidelijk de correctiemogelijkheden van ECC-codes. Hoewel correctiecodes de locatie en correctie van bitfouten toestaan, geldt dit voor een beperkt aantal fouten die voorkomen in bestaande en leesbare sectoren. Normaal gesproken kunnen correctiecodes ongeveer 200 bitfouten per sector corrigeren, en als het aantal fouten de capaciteit van de code overschrijdt, geeft de schijf een UNC-fout. Dit is absoluut niet voldoende om te proberen de inhoud van een niet-bestaande sector uitsluitend te reconstrueren op basis van de correctiecodes. We moeten onthouden dat bitfouten ook kunnen voorkomen in de correctiecode zelf.



Conclusie



"Data which is overwritten an arbitrary large number of times can still be recovered provided that the new data isn't written to the same location as the original data..."

"Gegevens die een willekeurig groot aantal keren worden overschreven, kunnen nog steeds worden hersteld, mits de nieuwe gegevens niet naar dezelfde locatie worden geschreven als de oorspronkelijke gegevens..."

Peter Gutmann spreekt zichzelf duidelijk tegen in deze zin. Hij gaat ervan uit dat gegevens die een willekeurig aantal keren worden overschreven, nog steeds kunnen worden hersteld, mits er geen nieuwe gegevens naar dezelfde locatie worden geschreven. Maar de essentie van overschrijven is om nieuwe gegevens te schrijven in plaats van de gegevens die we willen vernietigen. Zelfs als de nieuwe gegevens een overschrijfpatroon zijn dat niet op logisch niveau kan worden geïnterpreteerd.
Omdat het voor de schijf dezelfde gegevensstroom is als elke andere. En het zou heel vreemd zijn als Peter Gutmann dit niet zou begrijpen. Aan de andere kant ondermijnt deze zin direct het punt van multi-pass overschrijven en bevestigt dat de eerste pass van overschrijven de gegevens vernietigt.



PRML – Gedeeltelijke respons – Maximale waarschijnlijkheid



"The article states that «The encoding of hard disks is provided using PRML and EPRML», but at the time the Usenix article was written MFM and RLL was the standard hard drive encoding technique... "

" Het artikel stelt dat «De codering van harde schijven wordt geleverd met behulp van PRML en EPRML», maar ten tijde van het schrijven van het Usenix-artikel waren MFM en RLL de standaard coderingstechnieken voor harde schijven... "

In de epiloog verwijst Peter Gutmann naar het artikel van Craig Wright, Dave Kleiman en Ramajad Srinivasan Shyaam Sundhar "Overwriting Hard Drive Data: The Great Wiping Controversy" uit 2008. De auteurs van deze publicatie hebben de aannames van Peter Gutmann praktisch geverifieerd en de onmogelijkheid aangetoond om overschreven gegevens te herstellen door micromagnetische analyse van het oppervlak van de plaat om te zoeken naar sporen van eerdere magnetisatie. Hoewel de auteurs van deze publicatie het probleem van gegevenscodering nogal losjes benaderden, zijn we hier vooral geïnteresseerd in het Gutmann-algoritme en het artikel dat het beschrijft.
Peter Gutmann wijst erop dat het onderzoek van Craig Wright, Dave Kleiman en Ramajad Srinivasan Shyaam Sundhar ontoereikend is en zijn bevindingen niet in twijfel mag trekken, omdat de schijven die zij onderzochten PRML gebruikten, terwijl op het moment dat hij zijn artikel schreef de standaardmethoden voor gegevenscodering MFM en RLL waren. Dit is een ongefundeerde beschuldiging, omdat PRML geen gegevenscoderingstechniek is en MFM of RLL niet vervangt, maar wordt gebruikt bij signaaldetectie en -decodering, ter vervanging van de oudere piekdetectiemethode voor het detecteren van pulspieken.
Deze methode wordt al sinds het begin van de jaren negentig gebruikt en zou daarom in 1996 niet onbekend moeten zijn geweest voor Peter Gutmann. De MFM-coderingsmethode werd echter al halverwege de jaren tachtig van de vorige eeuw vervangen door RLL op harde schijven en halverwege de jaren negentig werd deze alleen nog gebruikt op disketten. In de eerste decennia van harde schijven was de opnamedichtheid laag, de domeinen waren vrij groot, dus de domeinwanden bevonden zich op relatief grote afstanden. Vervolgens gaven ze duidelijke pulsen met hoge amplitudes en gemakkelijk te detecteren pieken in het signaal dat door de koppen werd gelezen. De toenemende opnamedichtheid resulteerde in een verslechtering van de signaal-ruisverhouding, terwijl de introductie van RLL-codering elimineerde het klokcomponent, wat het risico op signaaldesynchronisatie en het decodercircuit dat het verkeerde aantal nullen tussen opeenvolgende enen berekende, verhoogde. Toen bleek de piekdetectiemethode onvoldoende te zijn en werd vervangen door de PRML- methode.
PRML (Partial Response – Maximum Likelihood) is een methode waarmee de maximale waarschijnlijkheid van het verloop van het gelezen signaal met een gedeeltelijke respons kan worden bepaald. Deze methode richt zich niet op het vastleggen van daaropvolgende pulspieken, maar analyseert de volledige signaalgolfvorm en probeert de meest waarschijnlijke pulsverdeling te bepalen. PRML gebruikt, in tegenstelling tot piekdetectie, geen referentiedrempelwaarden, maar analyseert de vorm en hoogte van de amplitudes van alle pulsen en bepaalt op basis hiervan welke daarvan afkomstig zijn van het opgenomen signaal en welke van achtergrondruis. De kennis van de gegevenscoderingsmethode tijdens de opname wordt gebruikt, wat de afwijzing van varianten van de signaalgolfvorm mogelijk maakt die er niet mee compatibel zijn, bijvoorbeeld die met een kleiner of groter aantal nullen tussen twee enen dan toegestaan ​​voor een bepaalde versie van de RLL-code.
Peter Gutmanns bevraging van de resultaten van Craig Wright, Dave Kleiman en Ramajad Srinivasan Shyaam Sundhar op deze basis bewijst alleen maar dat hij zelfs na 2008 nog steeds in conflict was met oplossingen op het gebied van datacodering en signaalverwerking op harde schijven. De suggestie dat PRML de RLL-codering vervangt, is net zo'n vergissing als de bewering dat SMR de loodrechte opname verving.
Na de publicatie van het artikel van Craig Wright, Dave Kleiman en Ramajad Srinivasan Shyaam Sundhar verdween de interesse in onderzoek naar het herstellen van overschreven gegevens met behulp van magnetische krachtmicroscopie in feite. Op dezelfde manier leverde het werk van Serhiy Kozenevskyi (Сергій Коженевський) in het geval van oscilloscopische studies van de signaalgolfvorm die rechtstreeks van de koppen werd vastgelegd, niet voldoende gronden op om redelijke hoop te bieden op de mogelijkheid om ze te gebruiken bij het praktische herstel van overschreven gegevens.



Echte risico's van het overschrijven van gegevens



Dit betekent echter niet dat het overschrijven van gegevens vrij is van risico's en bedreigingen. Gebruikersfouten, ongecontroleerde onderbrekingen in het proces, apparaat- en softwarestoringen of opzettelijke acties die gericht zijn op het voorkomen van effectieve gegevensvernietiging zijn altijd mogelijk. Er zijn ook risico's verbonden aan de mogelijkheid dat gegevens per ongeluk of opzettelijk verborgen worden gevonden buiten de LBA-adressering.
Gegevens kunnen worden gevonden in gebieden die verborgen zijn buiten de LBA-adressering met behulp van de HPA- (Host Protected Area) of DCO- (Device Configuration Overlay) functies. In het geval van SMR-schijven kunnen verouderde gegevens op een ongecontroleerde manier buiten de LBA-adressering overleven en hun locatie en betrouwbaar overschrijven vereisen analyse en begrip van het LBA naar fysieke adressering vertaalsubsysteem. Er zijn ook sectoren op elke schijf die geen LBA-adres hebben gekregen. Dit zijn bijvoorbeeld reservesectoren of fysieke sectoren aan het einde van de schijf, die meer zijn dan nodig om de nominale capaciteit te bereiken. Dergelijke sectoren kunnen worden gebruikt om opzettelijk gegevens te verbergen, maar zowel het verbergen ervan als het daaropvolgende lezen vereisen de juiste kennis van de schijffirmware en het vermogen om met fysieke adressering te werken.
Meervoudige overschrijvingen bieden echter geen bescherming tegen een van de bovenstaande risico's. Het verbeteren van de beveiliging van het gegevensoverschrijfproces moet zich primair richten op het analyseren van het subsysteem van het vertalen van logische adressen (LBA) naar fysieke adressen en het streven naar het overschrijven van gegevens in fysieke adressering. Als we daarom niet geven om het selectief wissen van geselecteerde bestanden, maar de volledige inhoud van de schijf willen vernietigen, is het beter om de Secure Erase -procedure te kiezen, die dichter bij de hardware werkt dan programma's die werken in LBA-adressering. Gegevens worden onherstelbaar vernietigd in de eerste overschrijfpass. Elke volgende pass is gewoon een onnodige uitgave en een verspilling van tijd, en dit is waarschijnlijk een voldoende reden om het Gutmann-algoritme eindelijk in de prullenbak te gooien.



Literatuur:



1] Gutmann, P.: Secure Deletion of Data from Magnetic and Solid-State Memory. Proceedings of the Sixth USENIX Security Symposium, San Jose, CA, July 22-25, (1996),
2] Коженевський, С. Р.: Взгляд на жёсткий диск "изнутри". Магнитные головки, ООО "ЕПОС", Київ (2009).
3] Gomez, R., Adly, A., Mayergoyz, I., Burke, E.: Magnetic Force Scanning Tunnelling Microscope Imaging of Overwritten Data, IEEE Transactions on Magnetics 28(5), (1992),
4] Gomez, R., Burke, E., Adly, A., Mayergoyz, I., Gorczyca, J.: Microscopic Investigations of Overwritten Data, Journal of Applied Physics 73(10), 6001 (1993),
5] Bertram, H. N.: Theory of Magnetic Recording, Cambridge University Press, London (1994),
6] Bertram, H. N., Fiedler, L. D.: Amplitude and bit shift spectra comparision in thin metalic media, IEEE Transactions on Magnetics 19(5) (1983),
7] Коженевський, С. Р.: Взгляд на жёсткий диск "изнутри". Перезапись информации, ООО "ЕПОС", Київ (2006),
8] Khizroev, S., Litvinov, D.: Perpendicular magnetic recording, Kluiwer Academic Publishers, Dordrecht (2004),
9] Schouhamer Immink, K. A.: Codes for Mass Data Storage Systems, Shannon Foundation Publishers, Eindhoven (2004),
10] Vasić, B., Kurtas, E. M.: Coding and signal processing for magnetic recording systems, CRC Press LLC, Boca Raton (2005),
11] Wu, Z.: Coding and Iterative Detection for Magnetic Recording Channels, Springer Science + Business Media LLC, New York (2000),
12] Sobey, Ch. H.: Drive-Independent Data Recovery: The Current State-of-the-Art, IEEE Transactions on Magnetics 42(2), (2006),
13] Mayergoyz, I. D., Tse, C.: Spin-stand Microscopy of Hard Disk Data, Elsevier Science Ltd., Amsterdam (2007),
14] Amer, A., Holliday, J., Long, D. D. E., Miller E. L., Paris, J-F., Schwartz, T. S. J.: Data Management and Layout for Shingled Magnetic Recording, IEEE Transactions on Magnetics, 47(10), (2011),
15] Miura, K., Yamamoto, E., Aoi, H., Muraoka, H.: Skew angle effect in shingled writting magnetic recording, Physics Procedia 16, (2011),
16] Коженевський, С. Р.: Взгляд на жёсткий диск "изнутри". Механика и сервосистема, ООО "ЕПОС", Київ (2007).
17] Mamun, al, A., Guo, G. X., Bi, Ch.: Hard Disk Drive Mechatronics and Control, CRC Press, Boca Raton, (2006),
18] Chen, B. M., Lee, T. H., Peng, K., Venkataramanan, V.: Hard Disk Drive Servo Systems, Springer-Verlag, London, (2006),
19] Du, C., Pang, C. K., Multi-Stage Actuation Systems and Control, CRC Press, Boca Raton, (2019),
20] Plumer, M. L., Ek van, J., Weller, D.: The physics of ultra-high-density magnetic recording, Springer-Verlag, Berlin (2001),
21] Ababei, R.-V., Ellis, M. O. A., Evans, R. F. L., Chantrell, R. W.: Anomalous damping dependence of the switching time in Fe/FePt bilayer recording media, Physical Review B99 024427 (2019),
22] Riggle, C. M., McCarthy, S. G.: Design of Error Correction Systems for Disk Drives, IEEE Transactions on Magnetics 34(4), (1998),
23] Wright, C., Kleiman, D., Shyaam Sundhar, R. S.: Overwriting Hard Drive Data: The Great Wiping Controversy. R. Sekar and A.K. Pujari (Eds.): ICISS 2008, LNCS 5352, Springer-Verlag Berlin, Heidelberg (2008), 24] Sugawara, T., Yamagishi, M., Mutoh, H., Shimoda, K., Mizoshita, Y.: Viterbi detector including PRML and EPRML, IEEE Transactions on Magnetics 29(6), (1993),
25] Gupta, M. R., Hoeschele, M. D., Rogers, M. K: Hidden Disk Areas: HPA and DCO. International Journal of Digital Evidence 5(1), (2006).