Выкідваем альгарытм Ґутманна ў сьметніцу

Выкідваем альгарытм Ґутманна ў сьметніцу.



Асноўная інфармацыя аб зьнішчэнні дадзеных.



Правільнае выдаленьня дадзеных ёсьць важным, але часта забытым і дренна зразумелым аспектам інфармацыйнай бяспекі. Патрэба бяспечнага ды незваротнага выдаленьня дадзеных такім чынам, каб іх была немагчыма аднаўліць, можа ўзнікнуць па шэрагу прычын. Гэта часта рэгулюецца дзяржаўным або міжнародным заканадаўствам. Абавязак зьнішчыць дадзеныя можа таксама вынікаць з кантрактаў ды пагадненьняў, якія регулююць умовы супрацоўныцтва. Часам і без якіх-небудзь забавязаньняў мы хочам абараніць свае інтарэсы ды канфідэнцыяльнасьць і не жадаем, каб іншыя людзі ведалі пра нас ўсё. Выдаленьне дадзеных мае й цёмны бок. Гэта ўтойваньня ды зьнішчэньня лічбавых доказаў злочынстваў. З тэхнічнага пункту гледжаньня гэта така сама ж абарона інфармацыі, як і ўсё іншые. Гэта таксама можна зрабіць мудра ды дзейсна або няўмела.
Ў гэтым артыкуле я маю на ўвазе публікацыю Пітэра Ґутманна (Peter Gutmann) "Secure Deletion of Data from Magnetic and Solid-State Memory", прадстаўленую на канфэрэнцыі "USENIX" ў ліпені 1996 гада. Гэта набольш часта цытуемая публікацыя ў кантэксьце перазапісу дадзеных ды аснова аднаго з найбольш папулярных альгарытмаў перазапісу інфармацыі. Ў некаторых колах творчасьць Ґутманна паднялася да ўзроўня рэлігійнай догмы, а ён сам разглядаецца як бясспрэчны аўтарытэт. Тем ня менш, гэтая публікацыя зьмяшчае шэраг тэзісаў ды здагадак, якія выклікаюць сумневы ў тым, ці сапраўды яе аўтар разумее работу цьвёрдых дыскаў ды фізыку захаваньня інфармацыі. Й менавіта на гэтых урыўках мы спынімся далей.



Віды носьбітаў інфармацыі



Носьбіты інфармацыі можам класыфікаваць рознымі спосабамі. Перш за ўсё іх можна падзяліць на аналягавыя ды лічбавыя. Лічбавы носьбіт, гэта той, які можа зразумець кампутар. Ён захоўвае інфармацыю як паслядоўнасьць лягічных станаў, якія інтэрпрэтуюцца як нулі ды адзінкі. Іншыя носьбіты называюцца аналягавымі. Аднак нават у выпадку лічбавых носьбітаў, асновай для вызначэньня лягічных станаў ёсьць пэўныя фізычныя аналягавыя станы, алічбаваныя ў працэсах кадаваньня ды дэкадаваньня.
Найбольш папулярная класыфікацыя носьбітаў інфармацыі заснавана на крытэрыі фізычных зьяў, якія ляжаць у васнаве іх інтэрпрэтацыі як лічбавых станаў. Па тэхналёгіі захоўваньня дадзеных, можам адрозніваць носьбіты:

МАГНЭСАВЫЯ:
Цьвёрдыя (жорсткія) дыскі (HDD),
Дыскеты (FDD),
Магнэсавыя стужкі (LTO),

АПТЫЧНЫЯ:
Кампакт-дыскі (CD),
Дыскі ДВД (DVD),
Дыскі Blu-Ray (BD-R),
DVD высокай выразнасьці (HD-DVD),

ПАЎПРАВАДНІКАВЫЯ:
Цьвёрдацельныя назапашвальнікі (SSD),
Флешкі,
Карты памяці (SD, CF, MMC, xD, SM, MSPro...),
Ўбудаваная памяць Flash-NAND (eMMC, MCP...),

РЭЗЫСТЫЎНЫЯ:
Зьменнафазавыя (PCRAM),
Магнэсарэзыстыўныя (MRAM),
Электрахэмічныя (ReRAM),
Памяць NanoRAM,

ПАПЯРОВЫЯ:
пэрфакарты.
пэрфастужкі.

З пункту гледжаньня зьнішчэньня інфармацыі важна класыфікаваць носьбіты дадзеных на энэрганезалежныя (здольныя доўгатэрмінова, шматгадова захоўваць інфармацыю без увамкненьня да крыніцы сілкаваньня) ды энэргазалежныя (патребуюць бесперапыннага сілкаваньня для падтрыманьня лягічных станаў). Да апошніх адносяцца памяці DRAM (анг. Dynamic Random Access Memory - дынамічная памяць з адвольным доступам) ды SRAM (анг. Static Random Access Memory - статычная памяць з адвольным доступам). У выпадку энэргазалежных носьбітаў, каб незваротна выдаліць дадзеныя, дастаткова ненадоўга вымкнуць сілкаваньне. Затым яны праз няколкі мілісэкунды губляюць свае лягічныя станы, таму мы ня будзем іх абмяркоўваць далей.
Носьбіты дадзеных таксама можна падзяліць на перазапісвальныя ды няперазапісвальныя (аднаразовыя). Носьбіт няперазапісвальны можа быць запісаны толькі адзын раз. Ягона зьмесьціва ня можа быць зьмянена пасля запісу. Найбольш тыповыя прыклады няперазапісвальных носьбітаў - CD-ROM ды DVD-ROM. У гэтай катэгорыі носьбітаў немагчыма зьнішчыць дадзеныя шляхам іх замены іншым зьмесьцівам і каб выдаліць інфармацыю, неабходна зьнішчыць носьбіт. З іншага боку, ў выпадку перазапісвальных носьбітаў, іх зьмесьціва можа быць зьмянена калі ня хоць яку, то вельмі вялікую колькасьць разоў, што дазваляе выкарыстоўваць перазапіс дадзеных, як мэтад зьнішчэньня інфармацыі.



Стандарты, якія рэгулююць зьнішчэньне дадзеных



Зьнішчэньне дадзеных рэгулюецца рознымі стандартамі, распрацаванымі рознымі ўрядавымі, ваеннымі ды навуковымі ўстановамі. Гэтыя стандарты апісваюць розныя мэтады й па-рознаму класыфікуюць інфармацыю, якая павінна быць зьнішчана, часта прадпісваючы розныя мэтады зьнішчэньня дадзеных у залежнасьці ад зьместу носьбіта. Аднак, калі мы разумеем, што інтэрпрэтацыя дадзеных адбываецца на ўзроўні лягічных структур файлавых сыстэм ды праґрамавага забеспячэньня, мы можам лёгка зразумець, што зьмест дадзеных ня ўплывае на працэс іх зьнішчэньня. З гледзішча носьбіта інфармацыі ды фізыкі яе захаваньня, няма істотнай розніцы паміж рознымі патокамі нулёў ды адзінак, незалежна ад таго, як мы іх інтэрпрэтуем на лягічным узроўні ды які суб'ектыўны сэнс ім надаем.
Стандарты, якія апісваюць зьнішчэньне дадзеных, утрымліваюць шэраг разыходжаньняў у розных аспектах ацэнкі эфэктыўнасьці розных мэтадаў зьнішченьня інфармацыі. Некаторыя зь іх атоеснуюць дадзеныя ды іх носьбіты, не адрозняючы гэтыя паняцьці. Гэтыя стандарты заўседы патрабуюць зьнішчэньня носьбыта. У некаторых выпадках рэкамэндуюцца працэдуры, якія прадугледжаюць шматэтапнае зьнішчэньне дадзеных рознымі мэтадамі. Гэты падыход таксама папулярны ў многіх унутраных працэдурах, заснаваных на розных стандартах, часам прадыктаваных неабходнасьцю забеспячэньня адпаведнасьці шматлікім правілам.
Пры деталёвым прачытаньні стандартаў можна выявіць шэраг момантаў, у якіх можна сумнявацца ў ступені разуменьня аўтарамі гэтых стандартаў правіл работы носьбітаў дадзеных ды фізыкі захаваньня інфармацыі, а некаторыя рэкамэндацыі нават выглядаюць як перапісаныя з нарматыўных актаў, якыя рэгулююць зьнішчэньне папяровых дакумэнтаў. Але такі аналіз рэкамэндацыі, якія зьмяшчаюцца ў прыведзеных ніжэй стандартах, выходзіць за рамкі гэтага артыкулу.
Вось і спіс найбольш папулярных ды шырока выкарыстоўваных стандартаў, якія апісваюць зьнішчэньня дадзеных:

1. AFSSI-5020 (Air Force System Security Instruction 5020),
2. CSEC ITSG-06 (Communication Security Establishment Canada, Information Technology Security Guide - 06),
3. HMG-IS5 (Her/His Majesty Government Infosec Standard 5),
4. IEEE 2883-2022 (Institute of Electrical and Electronics Engineers, Standard for Sanitizing Storage),
5. NAVSO P-5239-26 (Navy Staff Office Publication 5239-26, Information Systems Security Program Guidelines),
6. NISPOM DoD 5220.22-M (National Industrial Security Program Operating Manual, Department of Defence 5220.22-M),
7. NIST SP 800-88 (National Institute of Standards and Technology, Guidelines for Media Sanitization),
8. NSCS-TG-025 (National Computer Security Center, Technical Guidelines 025, A Guide to Understanding Data Remanence in Automated Information Systems),
9. RCMP TSSIT OST-II (Royal Canadian Mounted Police, Media Sanitation of the Technical Security Standards for Information Technology),
10. VSITR (Verschlusssachen IT Richtlinien),
11. ГОСТ Р50739-95 (Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования),



Мэтады зьнішченьня дадзеных



Вышэйзгаданыя стандарты класыфікуюць мэтады зьнішчэньня інфармацыі па-рознаму, але з тэхнічнага пункту гледжаньня ды зь гледзішча мэты зьнішченьня дадзеных, важна падзеліць гэтыя мэтады на эфэктыўныя ды няэфэктыўныя. Мэтод зьнішчэньня дадзеных можам лічыць эфэктыўным, калі пасля яго выкарыстаньня аднаўленьне інфармацыі немагчыма выкарыстоўваючы як мэтады аднаўленьня дадзеных вядомыя й даступныя, а таксама мэтады, якія патэнцыйна магуць быць распрацаваны ў будучыні. Астатнія мэтады, нават калі даюць толькі тэорэтычныя магчымасьці аднаўленьня дадзеных- няэфэктыўныя.
Прымаючы такое вызначэньне эфэктыўнасьці мэтадаў зьнішчэньня дадзеных, мы можам зрабіць дзве практычныя высновы для аптымізацыі працэдур зьнішчэньня інфармацыі. Па-першае - мы можам адкінуць усе няэфэктыўныя мэтады зьнішчэньня дадзеных, як непатрэбныя намаганьня ды выдаткі, таму, што яны ня спіраюць дасягненьню мэты. Па-другое, мы можам абмежаваць працэдуру адным выбраным эфэктыўным мэтадам, таму, што гэтага дастаткова для зьнішченьня інфармацыі.
Пры такім падыходзе мы можам сканцэнтравацца на выяўленьні дзейсных мэтодаў зьнішченьня дадзеных для пэўных катэгорій носьбітаў. Мы павінні мець на ўвазе, што эфэктыўнасьць мэтадаў выдаленьня дадзеных можа адрознівацца ў залежнасьці ад тэхналёгіі, якая выкарыстоўваецца для захоўваньня інфармацыі. Напрыклад размагнэсаваньне можа дзейсна сьцерці дазденыя на магнэсавых носьбітах, але ня будзе працаваць на паўправадніковых або аптычных.
Мэтады зьнішчэньня інфармацыі таксама падзяляюцца на апаратныя (фізычныя) ды праґрамавыя (лягічныя). Апаратныя мэтады прадугледжаюць дзеяньне на носьбіт такім чыном, каб зрабіць яго зьмесьціва нечытальным. Аднак важна адзначыць, што зьнішчэньне або пашкоджаньне носьбіта ня тое ж самое, што зьнішчэньне інфармацыі, таму ня кожнае пашкоджаньне дыску робіць аднаўленьне дадзеных немагчымым. Наадварот, кампаніі, якія спецыялізуюцца ў аднаўленьні дадзеных часта аднаўляюць інфармацыю з апаратна пашкоджаных носьбітаў, таксама наўмысна, з намерам выдаліць іх зьмест. І ў шматлікіх выпадках, для якіх практычныя мэтады аднаўленьня дадзеных яшчэ не распрацаваны, існуе тэорэтычная аснова для распрацоўкі такіх мэтадаў у будучыні.
Праґрамавыя мэтады з другога боку, накіраваны на зьнішчэньне самой інфармацыі без пашкоджаньня носьбіта. Ў адрозненьне ад фізычных спосабаў, яны дазваляюць выбарачна выдаляць выбраныя дадзеныя без патрэбы разбураньня ўсяго зьмесьціва носьбіта. Гэтыя мэтады зводзяцца да зьнішчэньня інфармацыі шляхам замены яе іншымі дадзенымі, гэта значыць, перазапісу. Калі не праводзім перазапісу дадзеных, а толькі выдаляем або зьмяняем мэтададзеныя, якія апысваюць гэтыя дадзеныя ў лягічных структурах файлавай сыстэмы, саму інфарамацыю можна аднавіць.
Тым ня менш наконт магчымасьці аднаўленьня перазапісаных дадзеных узнікаюць сумневы. Часцей за ўсё спрэчка тычыцца колькасьці перазапісаў патрэбных для дзейснага выдаленьня інфармацыі. Часам таксама зьвяртаюць увагу на выкарыстоўваньня розных шаблёнаў перазапісу. Гэтыя сумневы часта падпітваюць маркэтынгавыя матэрыялы прызначаныя падманам прымусіць карыстальнікаў выбраць пэўны мэтад або інструмэнт зьнішчэньня дадзеных, шляхам часта неапраўданай дыскрэдытацыі альтэрнатыў.
Канцэпцыі мэтадаў накіраваных на аднаўленьня перазапісаных дадзеных зьявіліся ў канцы 1980-х - пачатку 1990-х гадаў. У той час была праведзена шэраг даследаваньняў накіраваных галоўным чынам на аднаўленьня папярэдняга стану намагнэсаваньня магнэсавага слая з дапамогай магнэсава-сілавой мікраскапіі (анг. MFM - Magnetic Force Microscopy), сярод якіх асаблівай увагі заслугоўвае праца групы пад кіраўніцтвам Ромеля Ґомеза (Romel Gomez).
Менш папулярнымі былі асцыляскапічныя даследаваньні сыгналу, які чытаецца беспасярэдна з блёку магнэсавых галоўвак. Артыкул Ґутманна ёсьць своеасаблівым падвядзеньнем вынікаў працы праведзенай у канцы 1980-х ды першай палове 1990-х гадоў і прапануе разьвязаньне, каб разьвеяць сумневы ў дзейснасьці перазапісу дадзеных.

Да фізычных спасобаў зьнішчэньня дадзеных адносяцца:
- мэханічныя (ад забіваньня малаткам і рассверліваньня да драбненьня носьбітаў адмысловымі здрабнялкамі),
- тэрмічныя (ад кіданьня ў вогнішча й абпалу ў печы да расплаўленьня ў мэталюргічных печах),
- хэмічныя (дзеяньне на носбьіты рознымі хэмічнымі рэчывамі),
- размагнэсваньне (дзеяньне сільным магнэсавым полем),
- індуктыўныя (выкарыстоўваюць розныя віды выпраменьваньняў, напрыклад УФ, іёнізуючае, мікрахвалёвае),
- піратэхнічныя (выкарыстоўваюць піратэхнічныя ды выбуховыя матэрыялы).

Праґрамавыя мэтады гэта:
- выкідваньне файлаў у сыстэмну сьметніцу (перамяшчэньне ў адмысловы каталёг - мэтад відавочна нядзейсны),
- выдаленьне на ўзроўні мэтададзеных файлавай сыстэмы (магчымасьць аднаўленьня дадзеных залежыць ад шматлікіх чыньнікаў, напрыклад тыпу носьбіта й працы функцыі TRIM),
- фарматаваньне разьдзелу (эфэктыўнасьць залежыць ад спосабу фарматаваньня, а таксама ад тыпу носьбіта, падтрымкі TRIM і г. д.),
- перазапіс (аднакратны або шматпраходны з выкарыстаньнем розных тыпаў шаблёнаў - пра гэта гэткі артыкул),
- Secure Erase (працэдура ачысткі носьбітаў рэалізована на ўзроўні прашыўкі),
- Block Erase (працэдура сьціраньня фізычных блёкаў рэалізавана на ўзроўні прашыўкі ў паўправадніковых назапашвалніках).

У далейшым мы займёмся эфэктыўнасьцей перазапісу дадзеных як мэтаду зьнішчэньня інфармацыі на цьвёрдых дысках, таму, што гэтае пытаньне складае важную частку меркаваньняў, якія зьмяшчаюцца ў артыкуле Ґутманна. Я буду пасылацца на асобныя ўрыўкі гэтага артыкулу, якія паказваюць, што разуменьне праз аўтара пэўных пытанняў неадэкватнае ды вядзе да памылковых высноў. Я таксама зьвярну ўвагу на некаторыя надуманы тэзісы, якія выкарыстоўваюцца для апраўдання патрэбы шматразовага перазапісу дадзеных для забеспячэньня дзейснасьці мэтаду.



Што Пітер Ґутманн напісаў пра...



Біт у магнэсавым запісе



"... when a one is written to disk the media records a one, and when a zero is written the media records a zero. However the actual effect is closer to obtaining a 0.95 when a zero is overwritten with a one, and a 1.05 when a one is overwritten with a one."

"...калі адзінка запісваецца на дыск, носьбіт запісвае адзінку, а калі запісваецца нуль, носьбіт запісвае нуль. Аднак фактычны эфэкт бліжэй да атрыманьня 0,95, калі нуль перазапісваецца адзінкай, а 1,05, калі адзінка перазапісваецца адзінкай"

Каб аценіць гэтае меркаваньня, трэба ведаць, што такое фізычна біт у магнэсавым запісе. Які фізычны стан уяўляе сабой лягічны нуль, а які - адзінку. Каб гэта зразумець, спачатку паглядзім, як чытаюцца магнэсавыя носьбіты.
Дадзеныя з магнэсавых носьбітаў счытваюцца галоўкамі, якія лётаюць над намагнэсаванай паверхняй (у выпадку цьвёрдых дыскаў) або рухаюцца ўздоўж яе (ў выпадку магнэсавых стужак, дыскет і некаторых мадэляў самых старадаўніх цьвёрдых дыскаў з раньняга перыяду гэтага віду носьбітаў). Намагнэсаваная паверхня, якая рухаецца пад галоўкай, выклікае хвалю электрычнага сыгналу. Імпульсы ў форме гэтага сыгналу выклікае пераменнае магнэсавае поле. І менавіта гэтыя імпульсы трактуюцца як лягічныя адзінкі. Наадварот - лягічны нуль, гэта адсутнасьць такога імпульсу.
Такім чынам, што такое вобласьць з пастаянным ды зьменным магнэсавым полем? Ў адвольным целе, якое праяўляе магнэсавыя ўласьцівасьці можна вылучыць вобласьці аднастайнай намагнэсаванасьці - магнэсавыя дамэны. Гэтыя дамэны аддзеленыя адзін ад аднаго дамэннымі сьценкамі - вобласьцямі, дзе вэктар палярызацыі намагнэсаваньня зьмяняецца. І менавіта гэтыя сьценкі - вобласьці пераменнага намагнэсаваньня, якія індукуюць імпульсы, што абазначаюць лягічгыя адзінкі. Ў той час самі дамэны, гэта вобласьці пастаяннага намагнэсаваньня.
Магнэсавы запіс прадугледжае наданьне носьбіту пэўнага патрэбнага парадку намагнэсаваньня паверхні. Ў гэтым працэсе дамэны могуць зьмяняць сваю палярнасьць, але таксама й зьмяняць свой памер. Дамэнныя сьценкі могуць зрушвацца, зьнікаць або могуць утварацца новыя, што прыводзіць да падзелу дамэнаў. Для таго, каб казаць пра тое, што лягічная адзінка перазапісваецца іншай, пасьла перамагнэсаваньня паверхні, дамэнная сьценка павінна быць дакладна ў тым жа месцы, што й у папярэдняга намагнэсаваньня. Таму на практыцы нельга адназначна сьцьвярджаць, што лягічная адзінка была перазапісана адзінкай або нулём.
Папярэдняя палярызацыя намагнэсаваньня можа паўплываць на форму ды шырыну дамэнных сьценак і, такім чынам, на форму індукаваных імі імпульсаў, што была заўважана яшчэ ў пачатку 1980-х гадоў. Гэтую праблему падрабязна разгледзеў ды апісаў Сяргей Кажэнеўскі (Сергій Коженевський) з Цэнтру Аднаўленьня Дадзеных "ЭПОС" у кнізе "Перезапись информации". Аднак калі мы хочам аднавіць перазапісаныя дадзеныя такім чынам, нас павінна цікавіць не папярэдняя палярнасьць намагнэсаваньня дамэну, але папярэдняе разьмяшчэньне дамэнных сьценак. Вынікі апісаных дасьледаваньняў з дапамогай асцылёграфу не паказваюць, што было б магчыма з дастатковай дакладнасьцю вызначыць папярэднае разьмяшчэньне дамэнных сьценак пасьля перазапісу.
Акрама таго, нельга забываць і пра іншыя чыньнікі, якія ўплываюць на вышыню, шырыню ды форму амплітуд пульсаў. Гэта шмат у чым залежыць ад адлегласьці паміж суседнімі дамэннымі сьценкамі. Чым бліжэй яны адна да аднай, тым ніжэй будуць амплітуды выкліканых імі пульсаў. Сваё значэньня маюць таксама лякальныя ўласьцівасьці магнэсавай паверхні ды стан крышталічнай структуры. На стан намагнэсаваньня паверхні ды параметры сыгналу ўплываюць і вонкавыя магнэсавыя палі ды ваганьні тэмпэратуры і напружаньня сілкаваньня цьвёрдага дыску.
Ў выпадку прастастаўнага запісу вельмі важнай крыніцай электрамагнэсвага шуму ёсьць мяккі падслой (анг. SUL Soft UnderLayer), які выкарыстоўваецца для закрыцьця ліній магнэсавага поля індукаванага запісваючай галоўкай. У той час, калі быў напісаны артыкул Ґутманна, цьвёрдыя дыскі выкарыстоўвалі толькі роўналежны запіс, але цяпер усе цьвёрдыя дыскі выкарыстоўваюць прастастаўны запіс. Дэталі фізыкі прастастаўнага запісу апісана ў кнізе "Perpendicular magnetic recording". Адфільтраваньня ўплыву вышейзгаданых чыньнікаў на форму хвалі сыгналу, каб ізаляваць шум, які ўзнікае вылучна ў выніку папярэдняга стану намагнэсаваньня гэта вельмі складанае заданьне, паколькі некаторыя з гэтых фактараў залежаць ад вонкавых умоў, якія немагчыма дакладна адтварыць. Яшчэ складанай знайсьці дастаткова дакладнае папярэднае разьмяшчэньне дамэнных сьценак.



Кадзіроўка дадзеных на цьвёрдых дысках



Прыведзены вышэй, а таксама наступныя цытаты з артыкулу Ґутманна паказваюць, што ён можа не разумець працэсу кадаваньня дадзеных на цьвёрдых дысках. Фактычна, з усёй яго публыкацыі складваецца ўражаньне, што дадзеныя захоўваюцца на дыску ў неапрацаванай паслядоўнасьці адзінак ды нулёў, якія кампутар падае на інтэрфэйс дыску. Гэта тым больш дзіўна, што пры гэтым ён сам шмат разоў згадвае розныя мэтады кадаваньня дадзеных ды нават прабуе супаставіць зь імі шаблёны перазапісу свайго альгарытму.
Ў рэчвіснасьці дадзеныя, якія захоўваюцца на дыску, гэта закадаваныя дадзеныя, якія зусім непадобныя на ўваходны паток нулёў ды адзінак. Паколькі дадзеныя схільныя да памылак ды скажэньняў на кожным этапе апрацоўкі ды захоўваньня, звычайна выкарыстоўвуюцца розныя меры абароны ў выглядзе кантрольных сум ды кодаў выпраўленьня памылак (анг. ECC - Error Correction Code). Дадзеныя, якія захоўваюцца на дыску, таксама абаронены адпаведнімі кодамі карэкцыі. Падрабязнасьці зьмяняюцца зь цягам часу ды таксама адрозніваюцца ў залежнасьці ад вытворцаў назапашвальнікаў, але для нашых мэтаў дастаткова ведаць, што такія коды існуюць і што яны вылічваюцца ды дадаюцца да кожнага сэктара дыску пры яго запісе для абароны яго зьмесьціва.
Дадзеныя, якія захоўваюцца на дыску таксама рандомізаваныя. Мэта рандомізацыі - разьбіць долгія паслядоўнасьці паўтаральных сымбаляў. Доўгія паслядоўнасьці адных і тых жа сымбаляў або паўтарачыхся паслядоўнасьці сымбаляў могуць спрыяць узнікненьню неспрыяльных хвалёвых зьяў у каналах запісу ды чытаньня, такіх, як стаячыя хвалі, адлюстраваньня хвалі або паразытныя гармонікі. Яны таксама могуць выклікаць міжсымбальную інтэрфэрэнцыю (анг. ISI - Inter Symbol Interference) - зрухі паміж асобнымі сымбалямі ў патоку дадзеных. А паколькі дарожкі, якія захоўваюцца на паверхні кружэлкі, знаходзяцца побач зь іншымі дарожкамі, паміж імі ўзнікаюць індуктіўныя ўплывы, якія называюцца міждарожкавымі інтэрфэрэнцыямі (анг. ITI - Inter Track Interference). Рандомізацыя дапамагае паменшыць уплыў гэтага ўмяшаньня.
Найбольш важным этапам кадаваньня дадзеных, з пункту гледжаньня бяспекі зьнішчэньня дадзеных, ёсьць падрыхтоўка дадзеных да запісу на кружэлку. Першым мэтадам кадаваньня інфармацыі, які выкарыстоўваўся ў цьвёрдых дысках быў FM (анг. Frequency Modulation - частотная мадуляцыя). Гэты мэтад прэдугледжаў запіс імпульсаў тактавага сыгналу ды ўстаўку паміж імі бітаў дадзеных. Калі гэта была лягічная адзінка, паміж тактавымі імпулсамі быў устаўлены дадатковы імпульс, а калі гэта быў лягічны нуль - не.
Гэта быў няэфэктыўны мэтад, у якім біт "0" быў закадаваны адным больш доўгім магнэсавым дамэнам, а "1" - двума карацейшымі. З часам была зроблена спроба аптымізаваць працэс кадаваньня з увядзеньнем мэтаду MFM (анг. Mofified Frequency Modulation мадыфікаваная частотная мадуляцыя), ў якім шчыльнасьць запісу была палепшана за рахунак памяншэньня колькасьці тактавых імпульсаў. Аднак сапраўдная рэволюцыя адбылася з вынаходжэньнем кадаваньня RLL (анг. Run Lenght Limited абмежаваная доўжыня серыі), якое дазволіла цалкам ліквідаваць тактавы складнік сыгналу ды павялічыла шчыльнасьць упакоўкі дадзеных да некалькіх лягічных бітаў на адзін магнэсавы дамэн.
Кадаваньне RLL, гэта кадаваньне з самасынхранізацыяй. Яно палягае ў разьмяшчэньні пэўнай колькасьці нулёў паміж кожнымі двума імпульсамі. Гэта колькасьць разлічваецца праз дэкодэр на аснове адлегласьці паміж гэтымі імпульсамі. Гэта азначае, што адзін дамэн можа кадзіраваць некалькі бітаў, а колькасьць нулёў паміж адзінкамі залежыць ад даўжыні дамэна. Мінімальная ды максымальная колькасьць нулёў, якія можна разьмясьціць паміж адзінкамі вызначаецца з улікам чыньнікаў, якія ўплываюць на частоту сыгналу (магчымыя памеры стабільных магнэсавых дамэнаў, хуткасьць кручэньня кружэлак і г. д.), адчувальнасьці счытывалных галовак ды здольнасьці мікрасхемы дэкодэра для апрацоўкі сыгналу й выпраўленьня памылак з дапамогай кодаў карэкцыі ECC, каб зьвесьці да мінімуму рызык узнікненьня памылак чытаньня або дэсынхранізацыі сыгналу.
Ў той жа час паколькі паміж кожнымі двума дамэннымі сьценкамі заўсёды знаходзіцца магнэсавы дамэн, у кадаваньні RLL ня можа быць двух паслядоўных адзінак. Яны заўсёды павінны быць разьдзеляныя як мінімум адным нулём. Паколькі фактычныя дадзеныя рэдка адпавядаюць гэтай умове, іх патрэбна пералічыць за дапамогай адпаведных табліц. Такім чынам, аднавіць літэральна асобныя біты немагчыма, а спробы аднавіць іншыя невялікія порцыі дадзеных, меншыя за сэктар, ускладняюцца мусам належнага адрасаваньня ды дэкадаваньня гэтых фрагмэнтаў.
Тэма кадаваньня дадзеных на цьвёрдых дысках вельмі шырокая. Больш падрабязна гэтае пытаньне апісано ў кнігах: "Codes for Mass Data Storage Systems ды "Coding and signal processing for magnetic recording systems". Таксама вельмі цікавыя даследаваньня Чарльза Собія (Charles Sobey) аб аднаўленьні дадзеных нязалежна ад дыску ды кніга "Spin-stand Microscopy of Hard Disk Data".



Мінімальная адзінка адрасаваньня



"...when data is written to the medium, the write head sets the polarity of most, but not all, of the magnetic domains. This is partially due to the inability of the writing device to write in exactly the same location each time, and partially due to the variations in media sensitivity and field strength over time and among devices."

"...калі дадзеныя запісваюцца на носьбіт, галоўка пісаць ўсталёўвае палярнасць большасьці, але не ўсіх магнэсавых дамэнаў. Часткова гэта зьвязана зь няздольнасьцю пішучага прыбору кожны раз запісваць у вадно й тое ж месца, і часткова з-за варыяцый у вадчувальнасьці носьбіта і напружанасьці поля зь цягям часу ды паміж прыладамі."

Зыходзячы з таго, што мы ўжо ведаем пра кадаваньне дадзеных, мы можам зрабіць выснову, што галоўкі падчас працы не запісваюць асобныя магнэсавыя дамэны паасобку. Гэта не адпавядала б сыстэме кадаваньня RLL, у якой колькасьць лягічных нулёў паміж адзінкамі вызначаецца адлегласьцю паміж пасьлядоўнымі дамэннымі сьценкамі, таму пры запісе іншых дадзеных даўжыня дамэнаў павінна зьмяняцца.
Акрама таго, тэхнічна немашчыма адрасаваць асобныя магнэсавыя дамэны. Частка паверхні кружэлкі адведзена на інфармацыю патрэбну для забеспячэньня карэктнай работы дыску. Ў гэтую катэгорыю ўваходзяць, сярод іншага, сэрвасэктары, якія дазваляюць правільна ідэнтыфікаваць дарожку ды кантраляваць траекторыю галоўкі над яе цэнтрам, а таксама загалоўкі сэктараў, якія дазваляюць іх адпаведна адрасаваць.
І менавіта сэктары (раней налічвалі 512 Байт, у сучасным варыяньце Advanced Format - 4 кБайт дадзеных карыстальніка) - мінімальная адзінка адрасаваньня. Каб атрымаць уяўленьне аб гэтым, дастаткова паглядзець на стандарты ATA ды SCSI, якія былі распрацаваньні ў сярэдзіне 1980-х гадоў і з тых часоў гэта асноўныя дакумэнты, якія апісваюць работу цьвёрдых дыскаў ды забяспечваюць іх сумяшчальнасьць. Нягледзячы на тое, што гэтыя стандарты разьвіваліся на працягу дзесяцігодзьдзяў, яны ніколі не прадугледжалі адрасаваньне іншых адзінак, акрама сэктараў.
І вось, як работаюць дыскі. Нават, калі мы жадаем зьмяніць адзін біт сэктара, гэта патрабуе адпаведнага закадаваньня ўсяго сэктара, ды фармаваньня адпаведнай хвалі электрамагнэсавага сыгналу, які затым запісваецца ў адпаведным фізычным месці на паверхні кружэлкі. Калі мы хочам пераканацца ў гэтым на практыцы, дастаткова стварыць невялікі тэкстовы файл. Знайдзі яго ды праверы, як яго зьмесьціва выглядае ў шаснаццатковым рэдактары. Пры гэтым можна зьмяніць нулі ў канцы сэктара на іншае лікі, каб праверыць, ці захоўваюцца пры рэдагаваньні файлу. Затым адрэдагуем гэты файл у нататніку ды зноў праверым яго зьмесьціва ў гэкс-рэдактары. Калі гэта зрабім, убачым, што астатняе зьмесьціва сэктара за апошнім байтам файла, будзе заменена нулямі. Такім чынам, сьцьверджэньні аб запісе, чытаньні, аднаўленьні або ўвогуле адрасаваньні асобных бітаў - глупства.



Адсочваньне дарожкі



"Deviations in the position of the drive head from the original track may leave significant portions of the previous data along the track edge relatively untouched."

"Адхіленьні ў становішчы галоўкі дыску ад арыгінальнай дарожкі могуць аставіць значныя часткі папярэдніх дадзеных уздоўж краю дарожкі адносна некранутымі."

Гэта заява мела сэнс у той час, калі цьвёрдыя дыскі ўсё яшче выкарыстоўвалі крокавыя рухавікі для перамяшчэньня блёку магнэсавых галовак. Крокавы рухавік, як вынікае зь яго назвы, заўсёды круціцца на зададзены крок або яго кратнасьць. Немагчыма ўсталяваць яго на памежныя пазыцыі. І гэтая характарыстыка крокавых рухавікаў прывяла да рызыкі запісу дарожкі зь фіксаваным зрушэньнем ад папярэдняй пазыцыі, напрыклад з-за немагчымасьці кампэнсаваць розніцу ў тэмпэратурным пашырэньні асобных кампанэнтаў дыску. Менавіта па гэтай прычыне перад нізкаўзроўневым фарматаваньнем была рэкамэндавана запусьціць назапашвальнік на мінімум паўгадзіны, каб усе кампанэнты нагрэліся раўнамерна. Працэс замены крокавых рухавікоў на лінейныя (анг. VCM - Voice Coil Motor) пачаўся ў сярэдзіне 1980-х гадоў ды скончыўся да таго часу, як Ґутманн апублікаваў свой артыкул. Kalok - апошняя кампанія, якая вырабляла цьвёрдыя дыскі з крокавымі рухавікамі, збанкрутавала ў 1994 годзе. Двух гадоў павінна быць дастаткова, каб па меншай меры прызнаць прысутнасьць на рынку дыскаў зь бесступенькавай рэгуляціяй палажэньня блёку магнэсавых галовак або хаця б ясна сказаць, што цытаванае вышэй сьцьвярджэньне адносіцца толькі да прыладаў з крокавымі рухавікамі.
Лінейныя рухавікі пабудаваны з шпулькі разьмешчанай паміж двума магнэсамі. Зьменнае электрычнае поле, выкліканае токам, які праходзіць праз шпульку зьмешчаную ў сталым магнэсавым полі, індукуе рух гэтай шпулькі адносна магнэсаў. Як правіла, пазыцыянэры круцяцца ваколь восі ды перамяшчаюць галоўкі над паверхнямі кружэлак па дузе, але разьвязаньне заснаванае на зваротна-паступальным руху шпулькі таксама выкарыстоўвалася ў мінулым. Аднак гэта разьвязаньне было больш складаным ды займала больш месца ўнутрі корпусу і па гэтых прычынах вырабнікі ад яго хутка адмовіліся.
Замена крокавых рухавікоў на лінейныя выклікала зьмены ў падсыстэме пазыцыянаваньня блёку магнэсавых галовак ды сачэньня за дарожкай. Плаўнае перамяшчэньне блёку магнэсавых галовак адкрывае магчымасьці для павялічаньня шчыльнасьці запісу ды дакладнага адсочваньня траектарыі палёту галоўкі над цэнтрам дарожкі, але таксама патрэбуе зваротнай сувязі для кантролю яе палажэньня над кружэлкай. Для гэтай мэты служаць сэрвасэктары разьмешчаныя на ўсех дарожках праз роўныя прамежкі. Колькасьць сэрвасэктараў адрозніваецца ў залежнасьці ад мадэлі дыску. Ў многіх выпадках гэта можна праверіць у праґраме "Вікторыя". Калі праґрама ў пашпарце дыску дае парамэтр "Wedges" ("Кліны"), то гэта колькасьць сэрвасэктараў.
Сэктары сэрва ўтрымліваюць шэраг інфармацыі для ідэнтыфікацыі нумара дарожкі, якая счытываецца, кантролю хуткасьці кручэньня кружэлак, правільнай сынхранізацыі сыгналу ды падртыманьня траекторыі палёту галоўкі над цэнтпам дарожкі. Ўлічваючы мэту гэтага артыкулу, мы спінімся на апошнім. Кожны сэрвасэктар зьмяшчае ў собі палі сэрвамаркэраў, якія генэруюць сыгнал памылкі пазыцыянаваньня (анг. PES - Positioning Error Signal). Гэты сыгнал дазваляе вызначыць, у які бок ды наколькі галоўка адхіляецца ад цэнтру дарожкі. На аснове сыгналу памылкі пазыцыянаваньня сыгнальны працэсар можа выдаць кантролеру рухавіка каманду, каб адрэгуляваць палажэньне галоўкі.
Паколькі звычайна ў цьвёрдых дысках колькасьць сэрвасэктараў перавышае 100 на дарожку, на практыцы немагчыма стабільна падтрымліваць палёт галоўкі ўздоўж краю дарожкі. Калі адбываецца адхіленьне галоўкі ад цэнтру дарожкі, мэханізм пазыцыянаваньня будзе імкнуцца як мага хутчэй выправіць яе палажэньня. Нават калі кампэнсацыя сутыкнецца зь некаторымі цяжкасьцямі, значна больш імаверна, што галоўка будзе вагацца паблізу цэнтру дарожкі, чым тое, што яна будзе ляцець па адным зь яе краёў. Вядома, можа адбыцца запіс з зрушэньнем ад цэнтру дарожкі такім чынам, што новы запіс аставі некранутымі невялікія часткі папаяредняга намагнэсаваньня, але па мері павялічэньня шчыльнасьці запісу такая сытуацыя становіцца ўсё менш імавернай. Таксама вельмі мала праўдападобна, што такія адхіленьні правядуць да таго, што "значныя часткі папярэдніх дадзеных" застануцца некранутымі. Калі нават так станецца, гэта будуць максымум невялікія фрагмэнты, якія цяжка адрасаваць ды дэкадаваць, а таксама вызначыць, калі гэтыя запісы былі створаньні. Ґрунтуючыся на інфармацыі прывядзенай раней у гэтым артыкуле, мы ўжо ведаем, што для таго, каб мець магчымасьць практычна дэкадаваць дадзеныя аднаўленыя з краю дарожкі, нам спатрэбіцца мець у сваім распаряджэньні як мінімум цэлы кагерэнтны сэктар.
У сучасных цьвёрдых дысках звышвысокай шчыльнасьці запісу, рызыка таго, што фрагмэнты старых дадзеных застануцца ўздоўж краю дарожкі занядбавальна. Акрама таго, такі сыгнал будзе вельмі моцна парушаны ўплывам намагнэсаваньня на суседніх дарожках. У выпадку дыскаў, якія выкарыстоўваюць дахоўкавы (чарапіцавы) магнэсавы запіс (анг. SMR - Shingled Magnetic Recording), гэты рызыка цалкам вылучаны дзякуючы частковаму перазапісу папярэдніх дарожак пры запісі наступных. Акрама таго выкарыстоўваюцца значна больш дакладныя разьвязвньня для пазыцыянаваньня галовак, такія, як шматступенныя пазыцыянэры. Тым ня менш нават з дыскамі 1980-х ды першай паловы 1990-х гадоў нікому не ўдалось прадэманстраваць практычны прыклад аднаўленьня дадзеных прачытаных з краю дарожкі.
Тэмы сэрвамэханікі цьвёрдых дыскаў, пошуку і адсочываньня дарожак ды кіруваньна хуткасьцю рухавіка занадта шырокія, каб больш падрабязна абмяркоўваць іх у гэтым артыкуле. Яны былі асветлены ў некалькіх кнігах, сярод якіх варта адзначыць:
"Взгляд на жёсткий диск "изнутри". Механика и сервосистема",
"Hard Disk Drive Mechatronics and Control",
"Hard Disk Drive Servo Systems",
"Multi-Stage Actuation Systems and Control" ды цытаваную там літаратуру.



Перамагнэсаваньне магнэсавага слая



"When all the above factors are combined it turns out that each track contains an image of everything ever written to it, but that the contribution from each 'layer' gets progressively smaller the further back it was made."

"Калі ўсе вышейпералічаныя чыньнікі аб'яднаць, то атрымліваецца, што кожная дарожка утрымлівае выяву ўсяго, што на ей калі-небудзь было напісана, але ўнёсак кожнага "слая" становіцца ўсё меншым, чым далей ён быў зроблены."

Кожны напэўна сустрэўся з аналёгію перазапісу дадзеных да заціраньня алоўкам надпісаў на паперы. Так, арыгінальныя запісы на аркушы паперы відаць вельмі доўга ды нават калі іх акуратна зацерці, можна паспрабаваць прачытаць іх фрагмэнты або адгадаць асобныя сымбалі. І здаецца, што Пітэр Ґутманн таксама паддаўся магіі гэтай аналёгіі. Але ці мае яна навогул сэнс у сувязі з магнэсавым запісам?
Магнэсавыя галоўкі не дадаюць ніякіх новых слаёў падчас запісу, але яны зьмяняюць парадак намагнэсаваньня аднаго магнэсавага слая. Паўторнае намагнэсаваньне не навязае новы запіс паверху папярэдняга, але зьнішчае яго шляхам разьмяшчэньня паслядоўнасьці дамэнных сьценак іншым спосабам. Такім чынам, гэтае дзеяньне значна больш падобнае, напрыклад, да зьмены сымбаляў, зробленых з запалак, шляхам іх перастаноўкі, а аналёгія з пакрываньнем запісаў на паперы алоўкамі, як мінімум неадэкватная.
Але ці здольныя галоўкі незваротна зьнішчыць папярэдні магнэсавы запіс? Тут трэба зьвярнуць ўвагу на стаўленьне значэньня індукаванага галоўкамі поля да каэрцытыўнасьці магнэсавага слая, г. зн. значэньня поля неабходнага для размагнэсаваньна гэтага слая. Каэрцытыўнасьць кобальтавых сплаваў, якія звычайна выкарыстоўваюцца ў цьвёрдых дысках складае каля 0,5-0,6 Тл. Наадварот, магнэсавыя гадоўкі здольныя ствараць палі больш 2 Тл. Акрама таго, магнэсавыя слаі занадта тонкія (іх таўшчыня вылічаецца ў дзесятках нм), каб маглі стабільна функціянаваць два, ці больш слаёў дамэнаў з рознай палярнасьцю намагнэсаваньня. Для параўнаньня размагнэсвальнікі, якія ствараюць палі каля 1 Тл., дастатковыя для зьнішчэньня дадзеных у працэсе размагнэсаваньня, нават, калі кружэлкі экранаваны мэталёвымі элемэнтамі корпусу.
Варта тут зьвярнуць увагу на дыскі з энэргапрысутным запісам, якія толькі што зьяўляюцца на рынку - HAMR (Heat Assisted Magnetic Recording - цеплапрысутны магнэсавы запіс) ды MAMR (Microvave Assisted Magnetic Recording - мікрахвалёвапрысутны магнэсавы запіс). Гэта дыскі з кружэлкамі пакрытымі магнэсавымі слаямі зробленымі з жалезаплацінавых сплаваў, якіх каэрцітівнасьць блізка 6 Тл. Поле, выкліканае галоўкамі пісаць, відавочна занадта слабое, каб перамагнэсаваць магнэсавы слой у гэтых дысках. Таму запіс павінен падтрымлівацца дадатковай крыніцай энэргіі, каб дакладна награваць паверхню кружэлкі да тэмпэратуры блізкай пункту Кюры. Пункт Кюры - гэта характэрная тэмпэратура магнэсавага матэрыялу, пры якой ён губляе сваё намагнэсаваньня ды, такім чынам, яго шмат лягчэй перамагнэсаваць. Гэтая інфармацыя важная для зьнішчэньня дадзеных шляхам размагнэсаваньня, паколькі дыскі з запісам энэргапрысутным будуць устойлівыя да дзеяньня папулярных сучасных размагнэсвалнікаў, дык для іх зьнішчэньня неабходна распрацаваць новыя прылады.



Мост занадта далёкі...



"The general concept behind an overwriting scheme is to flip each magnetic domain on the disk back and forth as much as possible (this is the basic idea behind degaussing) without writing the same pattern twice in a row."

"Агульная канцэпцыя схемы перазапісу палягае ў тым, каб перавярнуць кожны магнэсавы дамэн на дыску наперад і назад наколькы гэта магчыма (гэта асноўная ідэя размагнэсаваньня), не запісваючы адзін і той жа шаблён двойчы запар."

Навошта Ґутманн блытае перазапіс дадзеных з размагнэсаваньнем? Мы можам разглядаць намагнэсаваньня ў двух аспэктах. У макрамасштабе мы будзем лічыць цела намагнэсаваным, калі яно само індукуе магнэсавае поле. Яно будзе мець ненулявае намагнэсаваньне, якое ёсьць выніковым намагнэсаваньнем яго магнэсавых дамэнаў. У гэтым сэнсе магнэсавыя кружэлкі ненамагнэсаваныя. Гэта можна лёгка праверыць, назіраючы, як кружэлкі зьнятыя зь цьвёрдага дыску ўзаемадзейнічаюць з мэталямі, якія павінны рэагаваць на вонкавае намагнэсаваньне.
Ў нанамасштабе кожнае магнэсавае цела пэўным чынам намагнэсаванае. Калі намагнэсаваньне не ствараецца вонкавым магнэсавым полям, магнэсавыя дамены ўзнікаюць спантанна ды індукаваныя імі палі кампэнсуюцца. Магнэсавы запіс палягае ў разьмяшчэньні магнэсавых даменаў такім чынам, каб яны прадстаўлялі патрэбныя нам лягічныя станы, якія мы можам інтэрпрэтаваць як пэўную інфарнацыю. Працуючы цьвёрды дыск заўсёды мае ўпарадкаванае намагнэсаваньне, заўсёды зьмяшчае некаторую інфармацыю й, нават, калі мы лічым яго пустым на ўзроўні лягічных структур, мы заўсёды можам убачыць нейкія значэньні ў шаснаццатковым рэдактары.
Размагнэсаваньне прадугледжвае прымяненьне электрамагнэсавага імпулсыу такім чынам, каб разбурыць гэты парадак, у выніку чаго дамэны на кружэлках застаюцца ў стане хаотычнага намагнэсаваньня. Такое намагнэсаваньне не паддаецца інтэрпрэтацыі, таму з кружэлак нічога ня можна прачытаць, галоўкі ня могуць знайсьці сыгнал сэрво ды дыск зьяўляецца нефункцыянальным.
Перазапыс, зь іншага боку, прадугледжвае замену існуючага парадку намагнэсаваньня на іншы, які ўсё яшчэ паддаецца лягічнай інтэрпрэтацыі, але прадстаўляе бескарысную інфармацыю. Пры гэтым немусова мяняць палярнасьць кожнага магнэсавага дамэну для дзейснага зьнішчэньня дадзеных. Для гэтага дастаткова, каб магнэсавыя дамэны былі разьмяшчэны іншым спосабам, чым першапачаткова.
Размагнэсаваньне ды перазапіс, гэта два розныя мэтады зьнішчэньня інфармацыі, у якіх мэта дасягаецца рознымі сродкамі. Ў выпадку размагнэсаваньня гэта вонковая прылада, якая цалкам разбурае парадак намагнэсаваньня, такім чынам разбураючы й сам дыск як прыладу. Зь іншага боку, перазапіс толькі зьмяняе парадак намагнэсаваньня сэктараў, якія патрэбна перазапісаць, пры гэтым дадзеныя неабходныя для правільнай працы дыску, як сэрвасэктары, загалоўкі сэктараў ды інфармацыя зоны абслугоўваньня астаюцца некранутымі. Перазапіс таксама дазваляе на выбарачнае зьнішчэньне дадзеных, напрыклад асобных файлаў, без патрэбы зьнішчэньня ўсяго зьмесьціва дыску.



Яшчэ адзін мост...



"To erase magnetic media, we need to overwrite it many times with alternating patterns in order to expose it to a magnetic field oscillating fast enough that it does the desired flipping of the magnetic domains in a reasonable amount of time. Unfortunately, there is a complication in that we need to saturate the disk surface to the greatest depth possible, and very high frequency signals only "scratch the surface" of the magnetic medium (...). Disk drive manufacturers, in trying to achieve ever-higher densities, use the highest possible frequencies, whereas we really require the lowest frequency a disk drive can produce. Even this is still rather high. The best we can do is to use the lowest frequency possible for overwrites, to penetrate as deeply as possible into the recording medium."

"Каб сьцерці магнэсавы носьбіт, нам трэба шмат разоў перазапісаць яго з чаргаваньнем узораў, каб падвергнуць яго ўздзеяньню магнэсавага поля, якое вагаецца дастаткова хутка, каб зрабіць жаданае перагортваньне магнэсавых дамэнаў за разумны прамежак часу. На жаль, ёсьць складанасьць у тым, што нам трэба насыціць паверхню дыску да максымальна магчымай глыбіні, а вельмі высокачашчынныя сыгналы толькі "драпаюць паверхню" магнэсавага асяродзьдзя (...). Вытворцы дыскаў, спрабаючы дасягнуць усё большай шчыльнасьці, выкарыстоўваюць як мага больш высокія частоты, ў той час, як нам патрэбна самая нізкая частата, якую можа стварыць дыск. Нават гэта ўсё роўна даволі высока. Лепшае, што мы можам зрабіць, гэта выкарыстоўваць самую нізкую частату для перазапісу, каб пранікнуць як мага глыбей у васяродзьдзе носьбіта."

Як ужо было паказана вышэй, для зьнішчэньня дадзеных у магнэсавым запісе важна ня столькі зьмяненьне палярнасьці асобных магнэсавых дамэнаў, колькі зрушэньне сьценак дамэнаў. Акрама таго частата магнэсавага поля, якое выкарыстоўваецца для запісу дадзеных, залежыць у першую чаргу ад частаты запісваемага сыгналу. Ўлічваючы працэс кадаваньня дадзеных, атрыманьне сыгналу з максымальнай магчымай частатой (які зьмяшчае максымальна магчымую колькасьць лягічных адзінак у вадносінах да нулёў) запатрабуе разуменьня ды ўліку ўсіх этапаў кадаваньня.
Сама ідэя, хутчэй за ўсё, паходзіць ад мэтаду размагнэсаваньня цел у макрамасштабе. Паколькі на такое цела вельмі цяжка ўздзейнічаць полем дакладна адпаведнім яго каэрцытыўнасьці, каб яго размагнэсаваць, а зьмяніць яго палярнасьць выкарыстоўваючы больш сільнае поле значна лягчэй, размагнэсаваньне выконваецца з дапамогай высокачастатнага поля з памяншэньнем яго напружанасьці. Такім чынам, з кожным перамагнэсаваньнем цела, яно стае ўсё менш намагнэсаваным - астаткавае (рэшткавае) намагнэсаваньне падае ад насычэньня да стану блізкага да нуля.
Ў выпадку цьвёрдага дыску запісвальныя галоўкі ствараюць магнэсавае поле на паверхні, якая круціцца пад імі, дык час, на працягу якога дадзеная вобласьць можа быць намагнэсаваная, галоўным чынам залежыць ад хуткасьці кручэньня кружэлкі, а не ад частаты поля. Акрама таго магнэсавы слой занадта тонкій, каб не намагнэсаваўся пад уздзеяньнем поля індукаванага галоўкай да насычэньня ўжо ў першым падыходзе. Асабліва гэта актуальна для простастаўнага запісу, ў якому вэктар палярызацыі намагнэсаваньня прастастаўны паверхні кружэлкы, дык самі дамэны разьмешчаны вэртыкална ў магнэсавым слаю.
У сваім артыкуле Пітэр Ґутманн з аднаго боку шмат разоў спасылаецца на пэўныя элемэнты кадаваньня дадзеных, але, з іншага боку, ён разглядае гэта пытаньне вельмі адвольна ды паверхоўна, часта падводзячы сваі меркаваньня пад тэзіс аб патрэбе шматразовага перазапісу для беспячнага зьнішчэньня дадзеных. Ён таксама ў значнай ступені ігнаруе працэсы зьмены памераў, аб'яднаньня ды падзелу магнэсавых дамэнаў, якія маюць вырашальнае значэньня для кадаваньня RLL. У той жа час Ґутманн занадта засяроджваецца на працэсе зьмены палярызацыі намагнэсаваньня дамэнаў, з-за чаго яго меркакньня зьяўляюцца супарэчлівымі.



Коды выпраўленьня памылак ECC



Therefore even if some data is reliably erased, it may be possible to recover it using the built-in error-correction capabilities of the drive.

"Такім чынам нават, калі некаторыя дадзеныя надзейна сьцёртыя, можна аднавіць іх выкарыстоўваючы ўбудаваныя магчымасьці выпраўленьня памылак дыску."

Вось яшчэ адзін прыклад занадта расслабленага падыходу Ґутманна да пытаньня кадаваньня дадзеных. Вышэйпрыведзены сказ прадугледжвае магчымасьць выдаленьня зьмесьціва сэктара астаўляючы зьвязаныя зь ім коды выпраўленьня памылак. Гэта немагчыма, дык гэтыя коды вылічваюцца на этапе кадаваньня дадзеных ды дадаюцца ў сэктар яшчэ да таго, як сфармуецца хваля сыгналу, які будзе індукаваны галоўкай ды запісаны на паверхні кружэлкі. Перазапісваючы сэктар іншым зьмесьцівам, мы таксама перазапісваем коды выпраўленьня памылак зьвязаныя з зыходнымі дадзенымі.
Ў старых мадэлях дыскаў можна было наўмысна стварыць ды запісаць сэктары з неправільнымі кодамі выпраўленьня памылак, якія не адпавядаюць дадзеным карыстальніка. Нягледзячы на тое, што такія сэктары ня могуць быць правільна прачытаны ды пры спробе прачытаць іх дыск зьвяртае памылку UNC, коды выпраўленьня памылак зьвязаныя з папярэдным зьместам сэктара зьнішчуюцца ды замяняюцца новымі. Такая магчымасьць рэалізаваная, напрыклад, у праґраме MHDD камандамі "MAKEBAD" - стварэньне "кепскага" сэктара ў паказаным адрасе LBA (анг. Logical Block Addressing - адрасацыя ў лягічных блёках) або "RANDOMBAD" - ствареньне "кепскіх" сэктараў у выпадковых месцах.
Больш за тое - Ґутманн відавочна пераацэньвае карэкцыйныя магчымасьці кодаў ЕСС. Хаця гэтыя коды дазваляюць выяўляць ды выпраўляць бітавыя памылкі, але гэта адносіцца да абмежаванай колькасьці памылак, якія ўзнікаюць у існуючых і даступных сэктарах. Як правіла, гэтыя коды могуць выпраўляць каля 200 бітавых памылак на сэктар. І калі колькасьць памылак перавышае магчымасьці коду, дыск выдае памылку "UNC". Гэтага, безумоўна, недастаткова, каб спрабоваць аднавіць зьмесьціва неіснуючага сэктара толькі на аснове яго коду выпраўленьня памылак. Трэба таксама памятаць, што бітовыя памылкі могуць узнікаць і ў самім кодзе выпраўленьня памылак.



Выснова



"Data which is overwritten an arbitrary large number of times can still be recovered provided that the new data isn't written to the same location as the original data..."

"Дадзеныя, якія перазапісваюцца адвольна вялікую колькасьць разоў, ўсё яшчэ могуць быць адноўлены пры ўмове, што новыя дадзеныя не будуць запісані ў тое жа месца, што й зыходныя дадзеныя..."

Пітэр Ґутманн ў гэтым сказе выдавочна супарэчыць сам сабе. Мяркуе, што дадзеныя перазапісаныя адвольную колькасьць разоў, усё яшчэ магчыма аднавіць, пры ўмове, што новыя дадзеныя не будуць запісані ў тое жа месца. Але існасьць перазапісу палягае ў запісе новых дадзеных у месца тых, якія мы хочам зьнішчыць. Нават калі новыя дадзеныя гэта шаблён перазапісу, які немагчыма лягічна інтэрпрэтаваць. Таму, што для дыску гэта такі сам паток дадзеных, як і адвольны іншы. Й было б вельмі дзіўна, калі б Ґутманн гэтага не разумеў. З іншага боку гэты сказ падрывае сэнс шматразовага перазапісу ды пацьвярджае, што самы першы праход перазапісу дзейсна зьнішчае дадзеныя.



PRML – частковы адказ - максымальная імавернасьць



"The article states that «The encoding of hard disks is provided using PRML and EPRML», but at the time the Usenix article was written MFM and RLL was the standard hard drive encoding technique... "

"У вартыкуле сьцьвярджаецца, што «Кадзіраваньне ў цьвёрдых дысках забяспечваецца з дапамогай PRML ды EPRML» але ў той час, калі быў напісаны артыкул Usenix, стандартнымі тэхнікамі кадаваньня ў цьвёрдых дысках былі MFM ды RLL..."

У эпілёгу Пітэр Ґутманн спасылаецца на артыкул "Overwriting Hard Drive Data: The Great Wiping Controversy" з 2008 году. Аўтары гэтага артыкулу практычна знепраўдзілі здагадкі Ґутманна ды прадэманстравалі немагчымасьць аднаўліць перазапісаныя дадненыя з дапамогай мікрамагнэсавага аналізу паверхні кружэлкі з мэтай пошуку сьлядоў папярэдняга намагнэсаваньня. Дарэчы, аўтары дадзенай публікацыі таксама падышлі даволі вольна да пытаньня кадаваньня дадзеных, але тут мы ў асноўным заклапочаны альгарытмам Ґутманна ды артыкулам, які яго апісвае.
Пітэр Ґутманн адзначае, што дасьледаваньні прадстаўленьні ў цытаваным артыкуле, неадэкватныя ды не павінні ставіць пад сумнеў яго высновы, таму, што дыскі, якія былі дасьледаваныя, выкарыстоўвалі PRML, а ў той час, калі ён сам пісаў сваю публікацыю, стандартнымі мэтадамі кадаваньня дадзеных былі MFM ды RLL. Гэта неабґрунтаванае абвінавачваньне, таму, што PRML не ёсьць мэтадам кадаваньня дадзеных ды не замяняе ні MFM ні RLL, але выкарыстоўваецца для выяўленьня ды дэкадаваньня сыгналу, замяняючы стары мэтад выяўленьня пікаў (анг. peak-detection) імпульсаў. Гэты мэтад выкарыстоўваўся з пачатку 1990-х гадоў і таму не павінен быў быць незнаёмым Ґутманну ў 1996 годзе. Аднак мэтад кадаваньня MFM быў заменены ў цьвёрдых дысках на RLL ужо ў сярэдзіне 1980-х, а ў сярждзіне 1990-х гадоў ён выкарыстоўваўся толькі на дыскетах.
У першае дзесяцігодзьдзі цьвёрдых дыскаў шчыльнасьць запісу была нізкай, дамэны былі даволі вялікімі, таму дамэнныя сьценкі разьмяшчалісь на адносна вялікіх адлегласьцях. Затым яны давалі выразныя імпульсы з высокай амплітудай ды лёгка выяўлянымі пікамі ў сыгнале счытываным галоўкамі. Павелічэньне шчыльнасьці запісу прывяло да пагаршэньня суаднасін сыгнал/шум. Дадаткова ўвядзеньне кадаваньня RLL ліквідавала тактовы складнік сыгналу, што павялічыла рызыка дэсынхранізацыі сыгналу ды выліченьня схемай дэкодэра няправільнай колькасьці нулёў паміх паслядоўнымі адзінкамі. Тады мэтад выяўленьня пікаў аказаўся недастатковым ды быў заменены мэтадам PRML.
PRML (анг. Partial Response - Maximum Likelihood - частковы адказ - максымальная імавернасьць), гэта мэтад, які дазваляе вызначыць максымальную верагоднасьць сыгналу счытыванага з часткавым адказам. Гэты мэтад не сканцэнтраваны на выяўленьні наступных пікаў імпульсаў, але аналізуе ўсю форму сыгналу ды імкнецца знайсьці найбольш верагоднае разьмяшчэньне імпульсаў. PRML, у адрозненьне ад выяўленьня пікаў, не выкарыстоўвае эталонныя парогавыя значэньні напругы, але аналізуе ўсю хвалю сыгналу й вышыню амплітуд усіх імпульсаў ды на гэтай аснове вызначае, якія зь іх паходзяць з запісанага сыгналу, а якія з фонавага шуму. Пры гэтым выкарыстоўваецца веданьне мэтаду кадаваньня запісваемых дадзеных, што дазваляе адразу адхіляць варыянты сыгналу нясумяшчальныя з мэтадам кадаваньня, напрыклад калі зьмяшчаюць меншую або большую колькасьць нулёў паміх двума адзінкамі, чым дазволена для дадзенай вэрсіі коду RLL.
Той факт, што Ґутманн паставіў пад сумнеў вынікі вышэйзгаданых дасьледаваньняў менавіта на гэтай падставе, сьведчыць толькі пра гэтым, што нават пасля 2008 году яму ня ставала разуменьня працэсаў апрацоўкі сыгналу ды кадаваньня дадзеных на цьвёрдых дысках. Сьцьвярджэньне, што PRML замяняе кадзіроўку RLL ёсьць такой жа памылкай, як напрыклад сказаць, што чарапіцавы запіс замяняе прастастаўны. Пасля публікацыі вынікаў гэтых дасьледаваньняў, цікавасьць да српоб аднаўленьня перазапісаных дадзеных з дапамогай магнэсава-сілавой мікраскапіі практычна зьнікла. Таксама зьнікла цікавасьць да асцыляскапічных дасьледаваньнў, калі праца Кажэнеўскага ня дала дастатковых падстаў для абґрунтаванай надзеі на магчымасьць іх выкарыстаньня ў практычным аднаўленьні перазапісаных дадзеных.



Рэальныя рызыкі перазапісу дадзеных



Аднак усё гэта не азначае, што перазапіс даденых ня ўяўляе ніякіх рызыкаў ды пагроз. Заўсёды магчымыя памылкі карыстальніка, некантраляваныя перапінкі ў працэсе, збоі прыладаў ды праґрамавага забеспячэньня або наўмысныя дзеяньні накіраваныя на прадухіленьне дзейснага зьнішчэньня дадзеных. Існуюць таксама рызыкі зьвязаныя з магчымасьцю выпадковага або наўмуснага схаваньня дадзеных па-за адрасаваньням LBA.
Дадзеныя можна разьмясьціць у вобласьцях за межамі адрасаваньня LBA з дапамогай функцый HPA (анг. Host Protected Area - вобласьць абароненая гостам) або DCO (анг. Device Configuration Overlay овэрлей канфігурацыі прылады). Ў выпадку дыскаў з дахоўкавым запісам застарэлыя дадзеныя могуць некантраляваным чынам захоўвацца па-за адрасаваньнем LBA, а іх месцазнаходжаньне залежыць ад унутранных працэсаў кіраваньня трансляцыяй адрасаваньня LBA ў фізычную адрасацыю. На кожным дыску таксама ёсьць сэктары, якім не прысвоены адрасы LBA. Гэта напрыклад рэзэрвныя сэктары або фізычныя сэктары ў канцы дыску, якіх больш, чым патрэбна для дасягненьня яго намінальнай ёмістасьці. Такія сэктары могуць быць выкарыстаны для наўмыснаўа ўтойваньня дадзеных, але як для іх утойваньня, так і для наступнага чытаньня, мусова мець адпаведныя веды прашыўкі дыску ды ўменьне працаваць з фізычнай адрасацыяй.
Аднак шматразовы перазапіс не абароняе ні ад аднаго з вышэйзгаданых рызыкаў. Павышэньне бяспекі працэсу перазапісу дадзеных павінна быць засяроджана ў першую чаргу на аналізе падсыстэмы пераўтварэньня лягічных адрасаў LBA ў фізычныя ды накіраванасьці на перазапіс дадзеных у фізычнай адрасацыі. Такім чынам, калі мы ня хочам выбарочна выдаліць толькі выбраныя асобныя файлы, але можам зьнішчыць усё зьмесьціва дыску, лепш за ўсё абраць працэдуру Secure Erase, якая працуе бліжэй да фізычнай адрасацыі, чым праґрамы, якія працуюць на ўзроўні адрасаваньня LBA. Дадзеныя беззваротна зьнішчаюцца пры першым праходзе перазапісу. Кожны наступны - гэта проста лішнія выдаткі ды марнаваньня часу. Й гэта дастатковая прычына, каб канчаткова выкінуць альгарытм Ґутманна ў сьметніцу.

Літаратура:



1] Gutmann, P.: Secure Deletion of Data from Magnetic and Solid-State Memory. Proceedings of the Sixth USENIX Security Symposium, San Jose, CA, July 22-25, (1996),
2] Коженевський, С. Р.: Взгляд на жёсткий диск "изнутри". Магнитные головки, ООО "ЕПОС", Київ (2009).
3] Gomez, R., Adly, A., Mayergoyz, I., Burke, E.: Magnetic Force Scanning Tunnelling Microscope Imaging of Overwritten Data, IEEE Transactions on Magnetics 28(5), (1992),
4] Gomez, R., Burke, E., Adly, A., Mayergoyz, I., Gorczyca, J.: Microscopic Investigations of Overwritten Data, Journal of Applied Physics 73(10), 6001 (1993),
5] Bertram, H. N.: Theory of Magnetic Recording, Cambridge University Press, London (1994),
6] Bertram, H. N., Fiedler, L. D.: Amplitude and bit shift spectra comparision in thin metalic media, IEEE Transactions on Magnetics 19(5) (1983),
7] Коженевський, С. Р.: Взгляд на жёсткий диск "изнутри". Перезапись информации, ООО "ЕПОС", Київ (2006),
8] Khizroev, S., Litvinov, D.: Perpendicular magnetic recording, Kluiwer Academic Publishers, Dordrecht (2004),
9] Schouhamer Immink, K. A.: Codes for Mass Data Storage Systems, Shannon Foundation Publishers, Eindhoven (2004),
10] Vasić, B., Kurtas, E. M.: Coding and signal processing for magnetic recording systems, CRC Press LLC, Boca Raton (2005),
11] Wu, Z.: Coding and Iterative Detection for Magnetic Recording Channels, Springer Science + Business Media LLC, New York (2000),
12] Sobey, Ch. H.: Drive-Independent Data Recovery: The Current State-of-the-Art, IEEE Transactions on Magnetics 42(2), (2006),
13] Mayergoyz, I. D., Tse, C.: Spin-stand Microscopy of Hard Disk Data, Elsevier Science Ltd., Amsterdam (2007),
14] Amer, A., Holliday, J., Long, D. D. E., Miller E. L., Paris, J-F., Schwartz, T. S. J.: Data Management and Layout for Shingled Magnetic Recording, IEEE Transactions on Magnetics, 47(10), (2011),
15] Miura, K., Yamamoto, E., Aoi, H., Muraoka, H.: Skew angle effect in shingled writting magnetic recording, Physics Procedia 16, (2011),
16] Коженевський, С. Р.: Взгляд на жёсткий диск "изнутри". Механика и сервосистема, ООО "ЕПОС", Київ (2007).
17] Mamun, al, A., Guo, G. X., Bi, Ch.: Hard Disk Drive Mechatronics and Control, CRC Press, Boca Raton, (2006),
18] Chen, B. M., Lee, T. H., Peng, K., Venkataramanan, V.: Hard Disk Drive Servo Systems, Springer-Verlag, London, (2006),
19] Du, C., Pang, C. K., Multi-Stage Actuation Systems and Control, CRC Press, Boca Raton, (2019),
20] Plumer, M. L., Ek van, J., Weller, D.: The physics of ultra-high-density magnetic recording, Springer-Verlag, Berlin (2001),
21] Ababei, R.-V., Ellis, M. O. A., Evans, R. F. L., Chantrell, R. W.: Anomalous damping dependence of the switching time in Fe/FePt bilayer recording media, Physical Review B99 024427 (2019),
22] Riggle, C. M., McCarthy, S. G.: Design of Error Correction Systems for Disk Drives, IEEE Transactions on Magnetics 34(4), (1998),
23] Wright, C., Kleiman, D., Shyaam Sundhar, R. S.: Overwriting Hard Drive Data: The Great Wiping Controversy. R. Sekar and A.K. Pujari (Eds.): ICISS 2008, LNCS 5352, Springer-Verlag Berlin, Heidelberg (2008), 24] Sugawara, T., Yamagishi, M., Mutoh, H., Shimoda, K., Mizoshita, Y.: Viterbi detector including PRML and EPRML, IEEE Transactions on Magnetics 29(6), (1993),
25] Gupta, M. R., Hoeschele, M. D., Rogers, M. K: Hidden Disk Areas: HPA and DCO. International Journal of Digital Evidence 5(1), (2006).