Základní informace o skartaci dat.
Správné zničení dat je důležitým, ale často opomíjeným a špatně pochopeným aspektem informační bezpečnosti. Potřeba bezpečně a nevratně smazat data tak, aby k nim nemohli mít přístup jiní, může vzniknout z řady důvodů. Často se řídí legislativou, jako je ONOOÚ - obecné nařízení o ochraně osobních údajů, nebo zákony chránícími státní tajemství či zavazujícími soukromé subjekty chránit i určité kategorie informací. Může také vyplývat ze smluv a dohod upravujících podmínky spolupráce a definujících rozsah obchodního tajemství. A někdy, bez jakýchkoli závazků, chceme chránit své zájmy a soukromí a nechceme, aby o nás věděli všechno cizí osoby. Mazání dat má i svou stinnou stránku, pokud jde o skrývání a ničení digitálních důkazů o trestných činech. I to lze provést moudře a efektivně, nebo pošetile a nešikovně.
V tomto článku odkazuji na publikaci Petera Gutmanna "Secure Deletion of Data from Magnetic and Solid-State Memory", která byla prezentována na konferenci "USENIX" v červenci 1996. Je to nejcitovanější publikace v kontextu přepisování dat a základ jednoho z nejpopulárnějších algoritmů pro ničení informací. V některých kruzích se dílo Petera Gutmanna povzneslo na úroveň náboženského dogmatu a on sám je považován za nezpochybnitelnou autoritu. Nicméně tato publikace obsahuje řadu tezí a předpokladů, které vyvolávají pochybnosti o tom, zda její autor skutečně rozumí fungování pevných disků a fyzice ukládání informací. A právě na tyto pasáže se zaměříme dále.
Typy paměťových médií.
Datové nosiče můžeme klasifikovat mnoha způsoby. Zejména je můžeme rozdělit na analogové a digitální. Digitální paměťové médium je takové, které ukládá informace způsobem, kterému mohou stroje rozumět, jako posloupnost logických stavů interpretovaných jako nuly a jedničky. Jiné datové nosiče se nazývají analogové.
Avšak i v případě digitálních médií základem pro určení logických stavů je určité analogové fyzikální stavy digitalizované procesy kódování a dekódování. Samotný proces interpretace fyzikálních stavů jako specifických logických stavů se řídí přijatou konvencí.
Nejčastěji uznávaným kritériem pro klasifikaci paměťových médií jsou právě fyzikální jevy, které jsou základem jejich interpretace jako logických stavů. Pokud jde o technologii ukládání dat, rozlišujeme mezi médii:
MAGNETICKÁ:
Pevné disky (Hard Disc Drive - HDD),
diskety (Floppy Disc Drive - FDD),
magnetické pásky (Linear Tape Open - LTO),
OPTICKÁ:
Kompaktní disky (CD),
Digitální univerzální disky (DVD),
Blu-Ray (BD-R),
DVD s vysokým rozlišením (HD-DVD),
POLOVODIČOVÁ:
polovodičové disky (SSD),
paměťové klíčé USB,
paměťové karty (SD, CF, MMC, xD, SM, MSPro...),
vestavěné paměti Flash-NAND (eMMC, MCP...),
REZISTIVNÍ:
Paměť s fázovou změnou (PCRAM),
magnetorezistivní paměť (MRAM),
ReRAM,
NanoRAM,
PAPÍROVÁ:
děrné štítky,
perforované proužky.
Z hlediska ničení informací je důležité klasifikovat datové nosiče na energeticky nezávislé (schopné dlouhodobého, víceletého ukládání dat i bez připojení ke zdroji napájení) a energeticky závislé (vyžadující nepřetržité napájení pro udržení logických stavů). Mezi ty poslední patří DRAM (Dynamic Random Access Memory - dynamická paměť s náhodným přístupem) a SRAM (Static Random Access Memory statická paměť s náhodným přístupem). V případě energeticky závislích médií stačí krátce odpojit napájení, aby se data nenávratně smazala. Nosič pak ztratí svůj logický stav, a proto se jimi nebudeme dále zabývat.
Datové nosiče lze také rozdělit na přepisovatelná a jednorázově zapisovatelná (nepřepisovatelná) média. Na nepřepisovatelná nosiče lze zapsat data pouze jednou. Jejich obsah nelze následně změnit. Nejtypičtějšími příklady nepřepisovatelných médií jsou CD-ROM a DVD-ROM. U této kategorie nosičů není možné zničit obsah nahrazením jiným obsahem a pro vymazání informací je nutné médium fyzicky zničit. V případě přepisovatelných nosičů lze jejich obsah naopak měnit, ne-li vůbec, tak velmi mnohokrát, což umožňuje použít přepisování dat jako metodu ničení informací.
Normy upravující skartaci dat.
Sničení dat se řídí různými normami vyvinutými různými vládními, vojenskými a vědeckými institucemi. Tyto normy popisují různé metody skartaci dat a různými způsoby klasifikují informace, které by měly být zničeny, a často předepisují různé metody sničení dat v závislosti na obsahu média. Pokud si však uvědomíme, že interpretace dat probíhá na úrovni logických struktur souborových systémů a softwaru, snadno pochopíme, že obsah dat nemá na proces ničení žádný vliv. Z hlediska paměťového média a fyziky ukládání neexistuje žádný významný rozdíl mezi různými proudy nul a jedniček, bez ohledu na to, jak je interpretujeme na logické úrovni a jaký subjektivní význam jim přikládáme.
Normy popisující skartaci dat obsahují řadu nesrovnalostí v různých způsobech hodnocení účinnosti různých metod ničení dat. V některých případech se doporučují postupy zahrnující vícestupňové ničení dat s využitím různých metod. Tento přístup je také oblíbený v mnoha interních postupech založených na různých normách, někdy diktovaných potřebou zajistit soulad s více předpisy. Detailní čtení norem odhaluje řadu momentů, u kterých lze pochybovat o úrovni porozumění autorů norem, pokud jde o nakládání s datovými nosiči, a některá doporučení dokonce vypadají, jako by byla přepsána přímo z předpisů upravujících skartaci papírových dokumentů, ale taková analýza doporučení obsažených v níže uvedených normách přesahuje rámec tohoto článku.
Níže naleznete seznam nejoblíbenějších a nejpoužívanějších standardů popisujících skartaci dat:
1. AFSSI-5020 (Air Force System Security Instruction 5020),
2. CSEC ITSG-06 (Communication Security Establishment Canada, Information Technology Security Guide - 06),
3. HMG-IS5 (Her/His Majesty Government Infosec Standard 5),
4. IEEE 2883-2022 (Institute of Electrical and Electronics Engineers, Standard for Sanitizing Storage),
5. NAVSO P-5239-26 (Navy Staff Office Publication 5239-26, Information Systems Security Program Guidelines),
6. NISPOM DoD 5220.22-M (National Industrial Security Program Operating Manual, Department of Defence 5220.22-M),
7. NIST SP 800-88 (National Institute of Standards and Technology, Guidelines for Media Sanitization),
8. NSCS-TG-025 (National Computer Security Center, Technical Guidelines 025, A Guide to Understanding Data Remanence in Automated Information Systems),
9. RCMP TSSIT OST-II (Royal Canadian Mounted Police, Media Sanitation of the Technical Security Standards for Information Technology),
10. VSITR (Verschlusssachen IT Richtlinien),
11. ГОСТ Р50739-95 (Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические
требования).
Metody ničení dat.
Výše uvedené normy klasifikují metody ničení dat různými způsoby, ale z technického hlediska a s ohledem na náš cíl je důležité tyto metody rozdělit na účinné a neúčinné. Metodu ničení dat můžeme považovat za účinnou, pokud po jejím použití není možná obnova dat, a to jak známými a dostupnými metodami obnovy dat, tak i metodami, které by mohly být potenciálně vyvinuty v budoucnu. Zbývající metody, které rovněž ponechávají pouze teoretické možnosti obnovy dat, jsou neúčinné.
Přijetím této definice účinnosti metod ničení dat můžeme vyvodit dva praktické závěry pro optimalizaci postupů ničení dat. Zaprvé můžeme zavrhnout všechny neúčinné metody ničení dat jako zbytečné úsilí a náklady, protože nepřispívají k cíli. Zadruhé můžeme postup omezit na jednu vybranou účinnou metodu, protože je pro ničení dat dostatečná.
S tímto přístupem se můžeme zaměřit na identifikaci účinných metod ničení informací pro dané kategorie médií. Musíme mít na paměti, že účinnost metod ničení dat se může lišit v závislosti na technologii použité k ukládání informací. Například demagnetizace může být účinná pro magnetická média, ale nebude fungovat pro polovodičová nebo optická média.
Metody ničení dat se také dělí na hardwarové (fyzické) a softwarové (logické). Hardwarové metody zahrnují působení na nosičí takovým způsobem, že se jejich obsah stane nečitelným. Je však důležité si uvědomit, že zničení nebo poškození média není totéž co zničení informací, proto ne každé poškození disku znemožňuje obnovu dat. Naopak, společnosti specializující se na obnovu dat často obnovují informace z hardwarově poškozených nosičů, a to i záměrně s úmyslem zničit jejich obsah, a v mnoha případech, pro které nebyly vyvinuty praktické metody obnovy dat, existuje teoretický základ pro vývoj takových metod v budoucnu.
Softwarové metody jsou naopak zaměřeny na zničení samotné informace bez poškození nosičů. Na rozdíl od fyzikálních metod, umožňují selektivní zničení vybraných dat bez zničení celého obsahu média. Tyto metody se redukují na zničení dat jejich nahrazením jiným obsahem , tj. přepsáním. Pokud nedojde k přepsání dat, ale pouze k vymazání metadat popisujících tato data v logických strukturách souborového systému, je samotná informace obnovitelná.
Stále se však objevují pochybnosti o obnovitelnosti přepsaných dat. Kontroverze se nejčastěji týká požadovaného počtu průchodů přepisováním nezbytných pro správné zničení dat. Někdy se pozornost upozorňuje i na použité vzorce přepisování. Tyto pochybnosti jsou často živeny marketingovými materiály, jejichž cílem je oklamat uživatele k výběru konkrétní metody nebo nástroje pro zničení dat, obvykle cestou diskreditací alternativ.
Koncepty metod zaměřených na umožnění obnovy přepsaných dat se objevily na konci 80. a začátku 90. let. V té době byla provedena řada studií zaměřených především na obnovení předchozího stavu magnetizace magnetické vrstvy pomocí magnetické silové mikroskopie, mezi nimiž si zvláštní pozornost zaslouží práce týmu vedeného Romelem Gomezem. Méně populární byly osciloskopické studie signálu zachyceného z bloku magnetických hlavic. Článek Petera Gutmanna je jakýmsi shrnutím práce provedené na konci 80. a v první polovině 90. let a navrhuje řešení, které by rozptýlilo pochybnosti o účinnosti přepisování dat.
Mezi fyzikální metody ničení dat patří:
mechanické (od zatloukání a vystružování až po drcení média speciálními drtiči),
tepelné (od vhození do ohně a pražení v peci až po tavení v metalurgických pecích),
chemické (působení různých chemikálií na médium),
demagnetizace (interakce média s magnetickým polem),
indukční (použití různých typů záření, např. UV, ionizujícího, mikrovlnného),
pyrotechnické (použití pyrotechnických a výbušnin).
Programové metody jsou:
vhazování souborů do koše systému (přesun do speciálního adresáře, zjevně neúčinná metoda),
mazání na úrovni metadat souborového systému (možnost obnovy dat závisí na mnoha faktorech, např. typu média a fungování funkce TRIM),
formátování oddílů (účinnost závisí na metodě formátování i na typu média, firmwarových řešeních, podpoře TRIM atd.),
přepisování (jednorázové nebo víceprůchodové s použitím různých typů přepisovacích vzorů - o tom je tento článek),
Secure Erase (procedura čištění médií implementovaná na úrovni firmwaru),
Block Erase (fyzická procedura mazání bloků implementovaná ve firmwaru polovodičových médií).
V následujícím textu se zaměříme na účinnost přepisování dat jako metody ničení informací uložených na pevných discích, protože tato problematika tvoří podstatnou součást úvah obsažených v článku Petera Gutmanna. V tomto článku odkážu na vybrané pasáže, které naznačují, že autorovo chápání určitých otázek je nedostatečné a vede k chybným závěrům. Upozorním také na některé velmi napjaté teze použité k odůvodnění nutnosti vícenásobného přepisování dat k zajištění účinnosti metody.
O čem psal Peter Gutmann...
Bit v magnetickém záznamu.
"... when a one is written to disk the media records a one, and when a zero is written the media records a zero. However the actual effect is closer to obtaining a 0.95 when a zero is overwritten with a one, and a 1.05 when a one is overwritten with a one."
"... když se na disk zapíše jednička, médium zaznamená jedničku a když se zapíše nula, médium zaznamená nulu. Skutečný efekt se však blíží dosažení hodnoty 0,95, když se nula přepíše jedničkou, a hodnoty 1,05, když se jednička přepíše jedničkou."
Abychom tento předpoklad vyřešili, musíme vědět, co fyzicky představuje bit v magnetickém záznamu. Jaký fyzikální stav představuje logickou nulu a jaký stav jedničku. Abychom tomu porozuměli, podívejme se nejprve na to, jak se magnetická média čtou.
Data z magnetických médií jsou čtena hlavami vznášejícími se nad zmagnetizovaným povrchem (v případě pevných disků) nebo pohybujícími se po něm (v případě magnetických pásek, disket a některých modelů nejstarších, historických pevných disků z počátků tohoto typu konstrukce). Zmagnetizovaný povrch pohybující se pod hlavou indukuje elektrický tvar vlny. Pulzy v tomto tvaru vlny jsou indukovány nestacionárním magnetickým polem. A právě tyto impulsy jsou interpretovány jako logické jednotky. Naproti tomu logická nula je absence takového impulsu.
Co je tedy oblast s stacionárním a nestacionárním magnetickým polem? V jakémkoli tělese vykazujícím magnetické vlastnosti můžeme rozlišit oblasti homogenní magnetizace – magnetické domény. Tyto domény jsou od sebe odděleny doménovými stěnami – oblastmi, kde je polarizační vektor magnetizace obrácený. A právě tyto stěny jsou oblastmi nestacionární magnetizace, které indukují pulzy označující logické jednotky, zatímco samotné domény jsou oblastmi stacionární magnetizace.
Magnetický záznam zahrnuje udělení specifického, požadovaného řádu povrchové magnetizace médiu. V tomto procesu mohou domény obracet svou polaritu, ale také měnit svou velikost. Doménové stěny se mohou posouvat, mizet nebo se mohou tvořit nové doménové stěny, což vede k oddělení nových domén. Abychom mohli hovořit o přepsání logické jedničky jinou, musela by být doménová stěna po remagnetizaci povrchu přesně na stejném místě jako jiná doménová stěna byla v předchozí magnetizaci. Proto v praxi není možné jednoznačně říci, že logická jednička byla přepsána jedničkou nebo nulou.
Předchozí polarizace magnetizace může ovlivnit tvar a šířku doménových stěn a tím i tvar pulzů jimi indukovaných. Tuto problematiku podrobně popisuje Serhij Koženevskyj (Сергій Коженевський) ve své knize „Перезапись информации“. Pokud bychom však chtěli tímto způsobem obnovit přepsaná data, neměla by nás zajímat předchozí polarita doménové magnetizace, ale předchozí uspořádání doménových stěn. Výsledky popsaných osciloskopických studií nenaznačují, že by bylo možné s dostatečnou přesností určit uspořádání doménových stěn ve stavu před přepsáním.
Kromě toho nesmíme zapomínat na další faktory ovlivňující výšku amplitud pulzů. Ta do značné míry závisí na vzdálenosti mezi doménovými stěnami. Čím blíže jsou k sobě, tím nižší budou amplitudy pulzů jimi indukované. Odchylky závisí také na lokálních vlastnostech magnetického povrchu a stavu krystalové struktury. Stav magnetizace povrchu a parametry čteného signálu jsou také ovlivněny vnějšími magnetickými poli a kolísáním teploty a napájecího napětí pevného disku.
V případě kolmého magnetického záznamu je velmi důležitým zdrojem elektromagnetického šumu měkká podkladová vrstva (SUL - Soft Underlayer), která slouží k uzavření siločar indukovaných záznamovou hlavou. V době psaní Gutmannova článku používaly pevné disky pouze paralelní záznam, ale dnes všechny pevné disky používají kolmý záznam. Filtrování vlivů výše uvedených faktorů na tvar vlny signálu za účelem izolace rušení způsobeného pouze předchozím stavem magnetizace je o to obtížnější, že některé z těchto faktorů závisí na vnějších podmínkách, které nelze věrně reprodukovat.
Kódování dat v pevných discích.
Výše uvedené, ale i následující citace z článku Petera Gutmanna, naznačují, že on nerozumí procesu kódování dat na pevných discích. Ve skutečnosti z celé jeho publikace vzniká dojem, že data jsou na disku uložena v surové, nezpracované sekvenci jedniček a nul, které počítač přivádí do rozhraní disku. To je o to podivnější, že zároveň on sám zmiňuje různé metody kódování dat a dokonce se snaží k nim přizpůsobit vzory přepisování svého algoritmu.
Ve skutečnosti na disku uložená jsou kódovaná data, která se vůbec nepodobají vstupnímu datovému proudu. Protože data jsou v každé fázi zpracování a ukládání náchylná k chybám a zkreslení, běžně se používají různá ochranná opatření ve formě kontrolních součtů a kódů opravy chyb (ECC - Error Correcton Code). Data uložená na disku jsou také chráněna vhodnými korekčními kódy. Podrobnosti se v průběhu času vyvíjely a liší se také u jednotlivých výrobců disků, ale pro naše účely stačí vědět, že takové kódy existují a že se při zápisu vypočítávají a připojují ke každému sektoru disku, aby se chránil jeho obsah.
Data uložená na disku jsou také randomizována. Účelem randomizace je rozdělit dlouhé sekvence opakujících se symbolů. Dlouhé sekvence stejných symbolů nebo opakované sekvence symbolů mohou přispívat k nepříznivým vlnovým jevům v kanálu zápisu a čtení, jako jsou stojaté vlny, odrazy vln nebo parazitní harmonické. Mohou také způsobovat interferenci mezi symboly (ISI - Inter Symbol Interference) - posuny mezi jednotlivými symboly v datovém proudu. A protože stopy jsou uložené na povrchu plotny sousedí s jinými stopami, dochází mezi nimi k indukční interferenci nazývané interfrakce mezi stopami (ITI - Inter Track Interference). Randomizace pomáhá snížit dopad tyto interference.
Nejdůležitější fází kódování dat je z našeho pohledu příprava dat k zápisu na plotnu. První metodou kódování informací používanou v pevných discích byla FM (frekvenční modulace). Ta zahrnovala zápis impulsů hodinového signálu a vkládání datových bitů mezi ně. Pokud byl bit "1", byl mezi hodinové impulsy vložen další impuls, pokud to byla logická "0" - ne.
Jednalo se o neefektivní metodu, při které byl bit '0' kódován jednou delší magnetickou doménou a '1' dvěma kratšími. Postupem času byl učiněn pokus o jeho optimalizaci zavedením metody MFM (modifikované frekvenční modulace), ve které byla hustota úložiště zlepšena snížením počtu impulzů hodinové složky. Skutečnou revoluci však přineslo kódování RLL (Run Lenght Limited), které umožnilo úplnou eliminaci hodinové složky a zvýšilo hustotu balení dat na několik bitů na magnetickou doménu.
Kódování RLL je samosynchronizující kódování. Spočívá v umístění určitého počtu nul mezi jednotlivé impulzy, který dekodérový čip vypočítává na základě vzdálenosti mezi impulzy. To znamená, že jedna doména může kódovat několik bitů, přičemž počet nul mezi jedničkami závisí na délce domény. Minimální a maximální počet nul, které se mohou mezi jedničkami vyskytnout, je určen s ohledem na faktory ovlivňující frekvenci signálu (dosažitelné velikosti stabilních magnetických domén, rychlost otáčení desek atd.), citlivost čtecích hlav a schopnost dekodérového čipu zpracovávat signál a korekci chyb pomocí kódů ECC tak, aby se minimalizoval výskyt chyb při čtení nebo nesynchronizace signálu.
Zároveň, protože magnetická doména se musí vyskytovat mezi dvěma doménovými stěnami, nemohou se v kódování RLL vyskytovat dvě logické jednotky po sobě – musí být vždy odděleny alespoň jednou nulou. Protože skutečná data tuto podmínku zřídka splňují, musí být přepočítána pomocí vhodných polí. Pokus o obnovu doslovných jednotlivých bitů je proto nemožný a pokusy o obnovu dalších malých částí dat jsou brzděny nutností správně adresovat a dekódovat tyto fragmenty.
Více se o kódování dat dozvíte z knihy vývojáře kódu RLL Corneliuse (Keese) Antoina Schouhammera Imminka „Codes for Mass Data Storage Systems“ a také od Baneho Vasiće a Erozana M. Kurtase „Coding and signal processing for magnetic recording systems“. Pokud se chcete dozvědět více o procesu kódování dat, mohla by vás zajímat také práce Charlese Sobeyho o obnově dat nezávislé na disku. Proces studia magnetických ploten a dekódování dat nezávisle na disku je také popsán v knize Isaaca D. Mayergoyze a Chuna Tseho „Spin-stand Microscopy of Hard Disk Data".
Minimální adresovací jednotka.
"...when data is written to the medium, the write head sets the polarity of most, but not all, of the magnetic domains. This is partially due to the inability of the writing device to write in exactly the same location each time, and partially due to the variations in media sensitivity and field strength over time and among devices."
" ...když jsou data zapisována na médium, zapisovací hlava nastaví polaritu většiny, ale ne všech, magnetických domén. To je částečně způsobeno neschopností zapisovacího zařízení zapisovat pokaždé na přesně stejné místo a částečně kvůli změnám citlivosti média a síly pole v čase a mezi zařízeními."
Na základě toho, co již víme o kódování dat, můžeme usoudit, že hlavy během provozu nezapisují jednotlivé magnetické domény jednotlivě. To by nebylo v souladu s kódovacím systémem RLL, ve kterém je počet logických nul mezi jednotkami určen vzdáleností mezi po sobě jdoucími doménovými stěnami (délkou domény), takže při zápisu jiných dat se délky domén musí měnit.
Kromě toho, není technicky možné adresovat jednotlivé magnetické domény. Část povrchu plotny je věnována informacím nezbytným k zajištění správného provozu disku. Tato kategorie zahrnuje mimo jiné servosektory, které umožňují správnou identifikaci stopy a řízení trajektorie hlavy nad jejím středem, a také záhlaví sektorů, které umožňují jejich správnou adresaci.
A právě sektory (dříve čítající 512 B, v moderní variantě „Advanced Format“ – 4 kB uživatelských dat) jsou minimální adresní jednotkou. Pro představu se můžete podívat na standardy ATA a SCSI, které byly vyvinuty v polovině 80. let a od té doby jsou primárními dokumenty popisujícími fungování pevných disků a zajišťujícími jejich kompatibilitu. Ačkoli se tyto standardy v průběhu desetiletí vyvíjely, nikdy neposkytovaly jiné adresní jednotky než sektory.
A takto disky fungují. I když chcete změnit jediný bit sektoru, vyžaduje to odpovídající kódování celého sektoru a vytvoření odpovídajícího tvaru vlny elektromagnetického signálu, který je poté uložen na příslušném fyzickém místě. Pokud si to chcete prohlédnout v praxi, vytvořte malý textový soubor. Vyhledejte ho a v hexadecimálním editoru zkontrolujte, jak jeho obsah vypadá. Nuly na konci souboru můžete změnit na jiný obsah, abyste zjistili, zda se zachová i při úpravě souboru. Poté tento soubor upravte v poznámkovém bloku a v hexadecimálním editoru zkontrolujte obsah sektoru. Uvidíte, že zbytek starého obsahu sektoru nad rámec velikosti souboru bude nahrazen nulami. Proto jsou tvrzení o zápisu, čtení, obnově nebo adresování jednotlivých bitů vůbec nesmyslná.
Sledování stopy
"Deviations in the position of the drive head from the original track may leave significant portions of the previous data along the track edge relatively untouched."
"Odchylky v poloze hlavy disku od původní stopy mohou ponechat významné části předchozích dat podél okraje stopy relativně nedotčené. "
Toto tvrzení dávalo smysl v době, kdy pevné disky stále používaly krokové motory k polohování bloku magnetické hlavy. Krokový motor, jak název napovídá, se vždy otáčí o přednastavený krok nebo jeho násobek. Není možné jej nastavit do mezipoloh. A tato vlastnost krokových motorů vedla k riziku zápisu stopy s pevným posunem od předchozí pozice, například kvůli nemožnosti kompenzovat rozdíly v teplotní roztažnosti jednotlivých součástí disku. Z tohoto důvodu se doporučovalo nechat disk běžet alespoň půl hodiny před provedením nízkoúrovňového formátování, aby se zajistilo rovnoměrné zahřátí všech součástí.
Proces nahrazování krokových motorů lineárními (VCM - Voice Coil Motors) začal kolem poloviny 80. let a v době, kdy Peter Gutmann publikoval svůj článek, byl u konce. Kalok, poslední společnost vyrábějící pevné disky s krokovými motory, zkrachovala v roce 1994. Dva roky jsou dostatečnou dobou na to, aby publikace alespoň uznala přítomnost na trhu pevných disků s plynule nastavitelnými bloky magnetických hlav s VCM, nebo alespoň objasnila, že výše uvedené tvrzení se vztahuje na pohony s krokovými motory.
Lineární (VCM) motory jsou konstruovány z cívky umístěné mezi dvěma permanentními magnety. Střídavé elektrické pole indukované proudem protékajícím cívkou umístěnou v stacionárním magnetickém poli indukuje pohyb této cívky vzhledem k magnetům. Polohovací zařízení se obvykle otáčejí kolem osy a pohybují hlavami po povrchu ploten v oblouku, ale v minulosti se používala i řešení založená na vratném pohybu cívky. Toto řešení však bylo složitější a zabíralo více místa uvnitř pouzdra, a z těchto důvodů bylo rychle opuštěno.
Nahrazení krokových motorů lineárními si vynutilo změny v subsystému polohování hlav a sledování stopy. Plynulé polohování hlavy otevírá možnosti pro přesné sledování hlavy nad středem stopy, ale také vyžaduje zpětnou vazbu pro řízení její polohy nad plotenkou. K tomuto účelu slouží servo sektory rozmístěné ve stejných intervalech na povrchu ploten. Počet servosektorů se u jednotlivých modelů pevných disků liší. V mnoha případech si to můžete ověřit ve Victorii. Pokud program v pasu pevného disku zobrazuje parametr „Wedges“, jedná se o počet servosektorů.
Servosektory obsahují řadu informací pro identifikaci čísla čtené stopy, řízení rychlosti plotny, správnou synchronizaci signálu a udržování trajektorie hlavy nad středem stopy. Vzhledem k účelu tohoto článku se zaměříme na to poslední. Každý servosektor obsahuje pole servo-burstů, která generují signál chyby polohování (PES - Positioning Error Signal). Tento signál umožňuje určit, kterým směrem a o kolik se hlava odchyluje od středu stopy. Na základě signálu chyby polohování signálový procesor může vydat řídicí jednotce motoru příkaz k úpravě polohy hlavy.
Protože u pevných disků typicky počet servosektorů přesahuje 100 na stopu, v praxi není možné stabilně udržovat pohyb hlavy podél okraje stopy. Pokud dojde k odchylce hlavy od středu stopy, polohovací mechanismus se bude snažit co nejrychleji korigovat svou polohu. I když kompenzace narazí na určité potíže, je mnohem pravděpodobnější, že hlava bude kmitat poblíž středu stopy, než že bude letět podél jednoho z jejích okrajů.
Samozřejmě je možné vytvořit záznam s odsazením od středu stopy tak, že následný záznam ponechá nedotčené malé části předchozí magnetizace, ale s rostoucí hustotou záznamu je taková situace stále méně pravděpodobná. Je také extrémně nepravděpodobné, že takové odchylky povedou k ponechání nedotčených „významných částí předchozích dat“. Pokud k tomu dojde, budou se jednat nanejvýš o malé fragmenty, které je obtížné adresovat a dekódovat, a také určit, kdy byly tyto záznamy vytvořeny. Na základě informací uvedených dříve v tomto článku již víme, že abychom mohli prakticky dekódovat data získaná z okraje stopy, potřebovali bychom k dispozici alespoň celý jeden koherentní sektor.
V dnešních pevných discích s ultravysokou hustotou, riziko, že podél okraje stopy zůstanou fragmenty starých dat, je zanedbatelné. Navíc by takový signál byl silně rušen vlivem magnetizace na sousední stopy. V případě pevných disků používajících šindelový (dlaždicový) magnetický záznam (SMR - Shingled Magnetic Recording) je toto riziko zcela eliminováno částečným přepsáním předchozích stop při zápisu následujících stop. Kromě toho se používají mnohem sofistikovanější řešení pro polohování a řízení polohy hlav, jako jsou vícestupňové pozicionéry. Nicméně ani u disků z první poloviny 90. let se nikomu nepodařilo předvést praktický příklad obnovy přepsaných dat načtených z okraje stopy.
Téma servomechanismu pevných disků, vyhledávání a sledování stop a řízení otáček motoru je příliš rozsáhlé na to, abychom jej zde podrobněji rozebírali. Byla popsána v několika knihách, mezi nimiž stojí za zmínku:
"Механика и сервосистема" Serhija Koženevskeho (Сергій Коженевський),
"Hard Disk Drive Mechatronics and Control" Abdullaha al-Mamuna, Guoxiaoa Guoa a Chaoa Bia,
"Hard Disk Drive Servo Systems" Bena M. Chena, Tonga H. Leea, Kemaoa Penga a Venkatakrishnana Venkataramanana.
Remagnetizace magnetické vrstvy.
"When all the above factors are combined it turns out that each track contains an image of everything ever written to it, but that the contribution from each 'layer' gets progressively smaller the further back it was made."
"Když se všechny výše uvedené faktory spojí, ukáže se, že každá stopa obsahuje obraz všeho, co do ní kdy bylo zapsáno, ale že příspěvek každé „vrstvy“ se postupně zmenšuje, čím dále zpět byl vytvořen."
Každý pravděpodobně slyšel analogii přepisování dat s mazáním nápisů na papíře tužkou. Ano, původní záznamy na listu papíru jsou viditelné po velmi dlouhou dobu a i když jsou pečlivě vymazány, stále se můžete pokusit přečíst jejich fragmenty nebo uhodnout jednotlivé symboly. A zdá se, že i Peter Gutmann podlehl kouzlu této analogie. Ale dává to vůbec smysl ve vztahu k magnetickému záznamu?
Hlavy během záznamu nepřidávají žádné nové vrstvy, ale mění pořadí magnetizace jedné magnetické vrstvy. Remagnetizace nevnucuje nový záznam na předchozí, ale ničí ho tím, že uspořádá posloupnost doménových stěn jiným způsobem. Proto je tato akce mnohem více podobná například změně symbolů ze zápalek jejich přeskupením a analogie s pokrytím záznamů na papíře pastelkami je přinejmenším nedostatečná.
Jsou ale hlavy skutečně schopny nevratně zničit předchozí magnetický záznam? Zde je třeba věnovat pozornost vztahu mezi hodnotou pole indukovaného hlavami a koercivitou magnetické vrstvy, tj. hodnotou pole potřebného k její remagnetizaci. Koercivita kobaltových slitin typicky používaných v pevných discích je asi 0,5 T. Naproti tomu magnetické hlavy jsou schopny indukovat pole o síle více než 2 T. Magnetické vrstvy jsou navíc příliš tenké (jejich tloušťka se počítá v desítkách nm) na to, aby v nich stabilně fungovaly dvě nebo více vrstev domén s různou polaritou magnetizace. Pro srovnání, demagnetizátory (degaussery) indukující pole o síle okolo 1 T postačují ke zničení dat v procesu demagnetizace, a to i v případě, že jsou plotny stíněny kovovými pouzdry.
Stojí za to upozornit na energetický asistovaný záznam, které se na trhu právě objevují - HAMR (Heat-Assisted Magnetic Recording - tepelně asistovaný magnetický záznam) a MAMR (Microvave-Assisted Magnetic Recording - mikrovlnný magnetický záznam). Jedná se o disky vyrobené ze slitin železa a platiny jako magnetická vrstva s koercivitou přibližně 6 T. Pole indukované záznamovými hlavami je zjevně příliš slabé na to, aby magnetickou vrstvu znovu zmagnetizovalo, takže záznam musí být podpořen dalším zdrojem energie, který lokálně zahřeje povrch disků na teplotu blízkou Curieovu bodu. Curieův bod je charakteristická teplota magnetického materiálu, při které ztrácí svou magnetizaci, a proto se mnohem snadněji znovu zmagnetuje. Tato informace je důležitá pro zničení dat metodou demagnetizací, protože pevné disky s energetický asistovaným záznamem budou odolné vůči dnešním oblíbeným demagnetizátorům a je třeba vyvinout nová zařízení, která je zničí.
Příliš vzdálený most...
"The general concept behind an overwriting scheme is to flip each magnetic domain on the disk back and forth as much as possible (this is the basic idea behind degaussing) without writing the same pattern twice in a row."
" Obecným konceptem schématu přepisování je co nejvíce převrátit každou magnetickou doménu na disku tam a zpět (to je základní myšlenka demagnetizace), aniž by se stejný vzor zapsal dvakrát za sebou. "
Proč zde Peter Gutmann směšuje přepisování dat s demagnetizací? Magnetizaci magnetické látky můžeme uvažovat ve dvou aspektech. V makroměřítku budeme těleso považovat za zmagnetizované, pokud samo indukuje magnetické pole. Bude mít nenulovou magnetizaci, která je výslednou magnetizací jeho magnetických domén. V tomto smyslu magnetické desky nejsou zmagnetizované. To lze snadno ověřit pozorováním, jak desky vyjmuté z pevného disku interagují s kovy, které by měly reagovat na vnější magnetizaci.
V nanoměřítku je každé magnetické těleso nějakým způsobem zmagnetizováno. Pokud magnetizaci neuděluje vnější magnetické pole, magnetické domény vznikají spontánně a pole jimi indukovaná se vzájemně ruší. Magnetický záznam spočívá v uspořádání magnetických domén tak, aby reprezentovaly logické stavy, které chceme, a které můžeme interpretovat jako specifické informace. Fungující pevný disk má vždy uspořádanou magnetizaci, vždy obsahuje nějaké informace a i když jej na úrovni logických struktur považujeme za prázdný, v hexadecimálním editoru vždy vidíme nějaké hodnoty.
Demagnetizace zahrnuje aplikaci elektromagnetického impulsu takovým způsobem, aby se toto uspořádání narušilo, což má za následek, že domény na disku zůstávají ve stavu chaotické magnetizace. Taková magnetizace není interpretovatelná, takže z disků nelze nic číst, hlavy nemohou najít servo signál a disk je zničen. Přepisování naopak zahrnuje nahrazení stávajícího pořadí magnetizace jiným, stále logicky interpretovatelným, ale představujícím bezcennou informaci. Pro zničení dat tak není nutné měnit polaritu každé magnetické domény. Stačí, aby magnetické domény byly uspořádány jinak, než byly původně.
Demagnetizace a přepisování jsou dvě různé metody ničení dat, ve kterém je cíle dosaženo různými prostředky. V případě demagnetizace se jedná o externí zařízení, které zcela naruší pořadí magnetizace, a tím zničí disk jako zařízení. Přepisování na druhou stranu změní pouze pořadí magnetizace přepisovaných sektorů, přičemž informace v servisní oblasti, servosektory a záhlaví sektorů zůstanou nedotčené a umožní selektivní zničení dat, například smazání vybraných souborů.
Druhý příliš vzdálený most...
"To erase magnetic media, we need to overwrite it many times with alternating patterns in order to expose it to a magnetic field oscillating fast enough that it does the desired flipping of the magnetic domains in a reasonable amount of time. Unfortunately, there is a complication in that we need to saturate the disk surface to the greatest depth possible, and very high frequency signals only "scratch the surface" of the magnetic medium (...). Disk drive manufacturers, in trying to achieve ever-higher densities, use the highest possible frequencies, whereas we really require the lowest frequency a disk drive can produce. Even this is still rather high. The best we can do is to use the lowest frequency possible for overwrites, to penetrate as deeply as possible into the recording medium."
"Abychom magnetické médium vymazali, musíme ho mnohokrát přepsat střídavými vzory, abychom ho vystavili magnetickému poli kmitajícímu dostatečně rychle, aby provedlo požadované převrácení magnetických domén v rozumném čase. Bohužel je tu komplikace v tom, že musíme povrch disku nasytit do co největší hloubky a signály s velmi vysokou frekvencí pouze „škrábou povrch“ magnetického média (...). Výrobci diskových mechanik ve snaze dosáhnout stále vyšších hustot používají nejvyšší možné frekvence, zatímco my ve skutečnosti potřebujeme nejnižší frekvenci, kterou disková mechanika dokáže produkovat. I ta je stále poměrně vysoká. Nejlepší, co můžeme udělat, je použít pro přepisy co nejnižší možnou frekvenci, abychom pronikli co nejhlouběji do záznamového média."
Jak již víme, pro zničení dat v magnetickém záznamu není důležité ani tak obrácení polarity jednotlivých magnetických domén, jako spíše posunutí doménových stěn. Kromě toho frekvence magnetického pole použitého pro záznam dat závisí především na frekvenci signálu, který má být zaznamenán. Vzhledem k procesu kódování dat by získání signálu s nejvyšší možnou frekvencí (obsahujícího co nejvyšší počet logických jedniček vzhledem k nulám) vyžadovalo pochopení a zvážení všech kroků kódování.
Samotná myšlenka s největší pravděpodobností vychází z metody demagnetizace zmagnetizovaných těles v makroměřítku. Vzhledem k tomu, že je velmi obtížné ovlivnit takové těleso polem přesně odpovídajícím jeho koercivitě za účelem jeho demagnetizace a je mnohem pravděpodobnější, že dojde k obrácení polarizace magnetizace, provádí se demagnetizace pomocí vysokofrekvenčního pole s klesající intenzitou. Tímto způsobem se s každou obrácenou polaritou těleso zmagnetizuje stále méně (remanence klesá ze saturace do stavu blízkého nule).
V případě pevného disku záznamové hlavy indukují magnetické pole na povrchu plotny rotující pod nimi a doba, během které lze danou oblast remagnetizovat, závisí především na rychlosti otáčení plotny. Peter Gutmann ve svém článku na jedné straně často odkazuje na určité prvky kódování dat, ale na druhé straně se k problematice věnuje velmi povrchně a kusově, často ji natahuje pod předpokládanou tezi o nutnosti vícenásobného přepisování dat pro bezpečné zničení. V podstatě ignoruje procesy změny velikosti, slučování a dělení magnetických domén, které jsou pro kódování RLL klíčové.
Místo toho se přehnaně zaměřuje na samotný proces obrácení jejich polarity. V jeho úvahách chybí koherence, čehož jsme si již všimli a uvidíme i později. Kromě toho, jak jsem zmínil výše, magnetická vrstva je příliš tenká na to, aby se nezmagnetizovala k nasycení hned v prvním spuštění. To platí zejména pro kolmý záznam, u kterého je vektor polarizace magnetizace kolmý k povrchu desky, takže samotné domény jsou v magnetické vrstvě svisle uspořádány.
Korekční kódy ECC
“Therefore even if some data is reliably erased, it may be possible to recover it using the built-in error-correction capabilities of the drive.”
“ Proto i když jsou některá data spolehlivě smazána, je možné je obnovit pomocí vestavěných funkcí mechaniky pro korekci chyb.”
Zde je další příklad přehnaně uvolněného přístupu Petera Gutmanna k problematice kódování dat. Výše uvedená věta naznačuje možnost smazání obsahu sektoru a zároveň ponechání korekčních kódů, které jsou s ním spojeny. To není možné, protože korekční kódy se vypočítávají ve fázi kódování dat a přidávají se k sektoru před vytvořením signálového tvaru vlny, který bude indukován záznamovou hlavou a zapsán na plotnu. Přepsáním sektoru jiným obsahem přepíšeme také korekční kódy spojené s původními daty.
U starších modelů pevných disků bylo možné úmyslně generovat nesprávné kontrolní součty a ukládat sektor s korekčními kódy, které neodpovídaly uživatelským datům. Ačkoli takové sektory nelze správně číst a při pokusu o jejich čtení disk vrátí chybu UNC, korekční kódy spojené s obsahem předchozího sektoru se zničí a nahradí novými. Tato možnost je například v programu MHDD implementována příkazy „MAKEBAD“ – vytvoření „špatného“ sektoru v uvedené adrese LBA (Logical Block Addressing - adresování logických bloků) nebo „RANDOMBAD“ – vytvoření „špatných“ sektorů v náhodných umístěních.
Peter Gutmann navíc zjevně nadhodnocuje korekční schopnosti kódů ECC. Ačkoli korekční kódy umožňují lokalizaci a opravu bitových chyb, týká se to omezeného počtu chyb vyskytujících se v existujících a čitelných sektorech. Korekční kódy obvykle dokáží opravit asi 200 bitových chyb na sektor a pokud počet chyb překročí kapacitu kódu, disk vydá chybu UNC. To rozhodně nestačí k pokusu o rekonstrukci obsahu neexistujícího sektoru pouze na základě jeho korekčních kódů. Musíme si uvědomit, že bitové chyby se mohou vyskytnout i v samotném korekčním kódu.
Závěr.
"Data which is overwritten an arbitrary large number of times can still be recovered provided that the new data isn't written to the same location as the original data..."
" Data, která jsou libovolně mnohokrát přepsána, lze stále obnovit za předpokladu, že nová data nejsou zapsána na stejné místo jako původní data... "
Peter Gutmann si v této větě zjevně protiřečí. Předpokládá, že data přepsaná libovolně mnohokrát lze stále obnovit za předpokladu, že na stejné místo nejsou zapsána žádná nová data. Podstatou přepisování je však zapsat nová data namísto dat, která chceme zničit. I když nová data představují vzorec přepisování, který nelze interpretovat na logické úrovni. Protože pro disk je to stejný datový tok jako jakýkoli jiný. A bylo by velmi zvláštní, kdyby to Peter Gutmann nechápal. Na druhou stranu tato věta přímo podkopává pointu víceprůchodového přepisování a potvrzuje, že první průchod přepisování data zničí.
PRML – Částečná odpověď – Maximální pravděpodobnost
"The article states that «The encoding of hard disks is provided using PRML and EPRML», but at the time the Usenix article was written MFM and RLL was the standard hard drive encoding technique... "
"Článek uvádí, že «Kódování pevných disků je zajištěno pomocí PRML a EPRML », ale v době psaní článku Usenix byly standardní technikou kódování pevných disků MFM a RLL..."
V doslovu se Peter Gutmann odvolává na článek Craiga Wrighta, Davea Kleimana a Ramajada Srinivasana Shyaama Sundhara: „Overwriting Hard Drive Data: The Great Wiping Controversy“ z roku 2008. Autoři této publikace prakticky ověřili předpoklady prezentované Peterem Gutmannem a prokázali nemožnost obnovení přepsaných dat mikromagnetickou analýzou povrchu plotny za účelem hledání stop předchozí magnetizace. Ačkoli autoři této publikace k problematice kódování dat přistupovali poměrně volně, zde se zabýváme především Gutmannovým algoritmem a článkem, který jej popisuje.
Peter Gutmann poukazuje na to, že výzkum Craiga Wrighta, Davea Kleimana a Ramajada Srinivasana Shyaama Sundhara je nedostatečný a neměl by zpochybňovat jeho zjištění, protože disky, které zkoumali, používaly PRML, zatímco v době, kdy psal svůj článek, byly standardními metodami kódování dat MFM a RLL. Toto je nepodložené obvinění, protože PRML není technikou kódování dat a nenahrazuje ani MFM, ani RLL, ale používá se při detekci a dekódování signálu a nahrazuje starší metodu detekce špiček (peak detection), která detekuje pulzní špičky. Tato metoda se používá od začátku 90. let, a proto by neměla být Peteru Gutmannovi v roce 1996 neznámá. Metoda kódování MFM však byla z pevných disků nahrazena metodou RLL již v polovině 80. let a v polovině 90. let se používala pouze u disket.
V prvních desetiletích pevných disků byla hustota záznamu nízká, domény byly poměrně velké, takže doménové stěny se nacházely v relativně velkých vzdálenostech. Pak poskytly jasné impulsy s vysokou amplitudou a snadno detekovatelnými vrcholy v signálu čteném hlavami. Rostoucí hustota záznamu vedla ke zhoršení poměru signálu k šumu, zatímco zavedení kódování RLL eliminovalo hodinovou složku, což zvyšovalo riziko desynchronizace signálu a výpočtu nesprávného počtu nul mezi po sobě jdoucími jedničkami dekodérovým obvodem. Metoda detekce špiček se pak ukázala jako nedostatečná a byla nahrazena metodou PRML.
PRML (Partial Response – Maximum Likelihood – Částečná odpověď – Maximální pravděpodobnost) je metoda, která umožňuje určit maximální pravděpodobnost průběhu čteného signálu s částečnou odezvou. Tato metoda se nezaměřuje na zachycení po sobě jdoucích špiček impulsů, ale analyzuje celý průběh signálu a snaží se určit nejpravděpodobnější rozložení impulsů. PRML, na rozdíl od detekce špiček, nepoužívá referenční prahové hodnoty, ale analyzuje tvar a výšku amplitud všech impulsů a na tomto základě určuje, které z nich pocházejí ze zaznamenaného signálu a které z šumu pozadí. Využívá se znalost metody kódování dat během záznamu, která umožňuje odmítnout varianty průběhů signálu, které jsou s ním nekompatibilní, např. ty, které obsahují menší nebo větší počet nul mezi dvěma jedničkami, než je povoleno pro danou verzi kódu RLL.
Zpochybňování výsledků Craiga Wrighta, Davea Kleimana a Ramajada Srinivasana Shyaama Sundhara Peterem Gutmannem na tomto základě pouze dokazuje, že i po roce 2008 se rozcházel s řešeními v oblasti kódování dat a zpracování signálu v pevných discích. Tvrdit, že PRML nahrazuje kódování RLL, je stejně tak chybné, jako říkat, že SMR nahrazuje kolmý záznam. Po zveřejnění článku Craiga Wrighta, Davea Kleimana a Ramajada Srinivasana Shyaama Sundhara v podstatě zmizel zájem o výzkum obnovy přepsaných dat pomocí magnetické silové mikroskopie. Podobně v případě osciloskopických studií tvaru vlny signálu zachyceného přímo z hlavic práce Serhija Koženevského (Сергій Коженевський) neposkytla dostatečný důvod k tomu, aby dávala rozumnou naději na možnost jejich využití při praktické obnově přepsaných dat.
Reálná rizika přepisování dat.
To však neznamená, že přepisování dat je bez rizik a hrozeb. Chyby uživatele, nekontrolované přerušení procesu, selhání zařízení a softwaru nebo úmyslné akce zaměřené na zabránění efektivnímu zničení dat jsou vždy možné. Existují také rizika spojená s možností náhodného nebo úmyslného nalezení dat skrytých mimo adresování LBA.
Data lze nalézt v oblastech skrytých mimo adresování LBA pomocí funkcí HPA (Host Protected Area) nebo DCO (Device Configurration Overlay). V případě disků s šindelovým záznamem (SMR) mohou zastaralá data nekontrolovaně přežívat mimo adresování LBA a jejich umístění a spolehlivé přepisování vyžaduje analýzu a pochopení subsystému překladu adresování LBA do fyzického adresování. V každém disku jsou také sektory, kterým nebyla přiřazena adresa LBA. Jedná se například o rezervní sektory nebo fyzické sektory na konci disku, kterých je více než potřeba k dosažení jeho nominální kapacity. Takové sektory lze použít k úmyslnému skrytí dat, ale jak jejich skrytí, tak následné čtení vyžaduje odpovídající znalost firmwaru disku a schopnost pracovat s fyzickým adresováním.
Vícenásobné přepisování však nechrání před žádným z výše uvedených rizik. Zlepšení zabezpečení procesu přepisování dat by se mělo zaměřit především na analýzu subsystému překladu logických adres (LBA) na fyzické adresy s cílem přepsat data ve fyzickém adresování. Pokud nám tedy nejde o selektivní mazání vybraných souborů, ale chceme zničit celý obsah disku, je lepší zvolit proceduru Secure Erase, která pracuje blíže k hardwaru než programy pracující v adresování LBA. Data jsou nenávratně zničena již při prvním přepisování. Každý další je jen zbytečným nákladem a ztrátou času, a to je pravděpodobně dostatečný důvod k tomu, abychom Gutmannův algoritmus konečně hodili do koše.
Literatura:
1] Gutmann, P.: Secure Deletion of Data from Magnetic and Solid-State Memory. Proceedings of the Sixth USENIX Security Symposium, San Jose, CA, July 22-25, (1996),
2] Коженевський, С. Р.: Взгляд на жёсткий диск "изнутри". Магнитные головки, ООО "ЕПОС", Київ (2009).
3] Gomez, R., Adly, A., Mayergoyz, I., Burke, E.: Magnetic Force Scanning Tunnelling Microscope Imaging of Overwritten Data, IEEE Transactions on Magnetics 28(5), (1992),
4] Gomez, R., Burke, E., Adly, A., Mayergoyz, I., Gorczyca, J.: Microscopic Investigations of Overwritten Data, Journal of Applied Physics 73(10), 6001 (1993),
5] Bertram, H. N.: Theory of Magnetic Recording, Cambridge University Press, London (1994),
6] Bertram, H. N., Fiedler, L. D.: Amplitude and bit shift spectra comparision in thin metalic media, IEEE Transactions on Magnetics 19(5) (1983),
7] Коженевський, С. Р.: Взгляд на жёсткий диск "изнутри". Перезапись информации, ООО "ЕПОС", Київ (2006),
8] Khizroev, S., Litvinov, D.: Perpendicular magnetic recording, Kluiwer Academic Publishers, Dordrecht (2004),
9] Schouhamer Immink, K. A.: Codes for Mass Data Storage Systems, Shannon Foundation Publishers, Eindhoven (2004),
10] Vasić, B., Kurtas, E. M.: Coding and signal processing for magnetic recording systems, CRC Press LLC, Boca Raton (2005),
11] Wu, Z.: Coding and Iterative Detection for Magnetic Recording Channels, Springer Science + Business Media LLC, New York (2000),
12] Sobey, Ch. H.: Drive-Independent Data Recovery: The Current State-of-the-Art, IEEE Transactions on Magnetics 42(2), (2006),
13] Mayergoyz, I. D., Tse, C.: Spin-stand Microscopy of Hard Disk Data, Elsevier Science Ltd., Amsterdam (2007),
14] Amer, A., Holliday, J., Long, D. D. E., Miller E. L., Paris, J-F., Schwartz, T. S. J.: Data Management and Layout for Shingled Magnetic Recording, IEEE Transactions on Magnetics, 47(10), (2011),
15] Miura, K., Yamamoto, E., Aoi, H., Muraoka, H.: Skew angle effect in shingled writting magnetic recording, Physics Procedia 16, (2011),
16] Коженевський, С. Р.: Взгляд на жёсткий диск "изнутри". Механика и сервосистема, ООО "ЕПОС", Київ (2007).
17] Mamun, al, A., Guo, G. X., Bi, Ch.: Hard Disk Drive Mechatronics and Control, CRC Press, Boca Raton, (2006),
18] Chen, B. M., Lee, T. H., Peng, K., Venkataramanan, V.: Hard Disk Drive Servo Systems, Springer-Verlag, London, (2006),
19] Du, C., Pang, C. K., Multi-Stage Actuation Systems and Control, CRC Press, Boca Raton, (2019),
20] Plumer, M. L., Ek van, J., Weller, D.: The physics of ultra-high-density magnetic recording, Springer-Verlag, Berlin (2001),
21] Ababei, R.-V., Ellis, M. O. A., Evans, R. F. L., Chantrell, R. W.: Anomalous damping dependence of the switching time in Fe/FePt bilayer recording media, Physical Review B99 024427 (2019),
22] Riggle, C. M., McCarthy, S. G.: Design of Error Correction Systems for Disk Drives, IEEE Transactions on Magnetics 34(4), (1998),
23] Wright, C., Kleiman, D., Shyaam Sundhar, R. S.: Overwriting Hard Drive Data: The Great Wiping Controversy. R. Sekar and A.K. Pujari (Eds.): ICISS 2008, LNCS 5352, Springer-Verlag Berlin, Heidelberg (2008),
24] Sugawara, T., Yamagishi, M., Mutoh, H., Shimoda, K., Mizoshita, Y.: Viterbi detector including PRML and EPRML, IEEE Transactions on Magnetics 29(6), (1993),
25] Gupta, M. R., Hoeschele, M. D., Rogers, M. K: Hidden Disk Areas: HPA and DCO. International Journal of Digital Evidence 5(1), (2006).