Saya akan berdagang di 2010 MacBook Pro dengan SSD. Namun, saya tidak dapat melakukan Secure Erase dari disk pemulihan (seperti yang biasa saya lakukan dengan hard drive mekanis sebelum menjual atau memberikan komputer) karena tombol "Opsi Keamanan" berwarna abu-abu.
Berdasarkan artikel di basis pengetahuan Apple , tombol sengaja dinonaktifkan untuk SSD karena:
Catatan: Dengan drive SSD, Secure Erase dan Erasing Free Space tidak tersedia di Disk Utility. Opsi ini tidak diperlukan untuk drive SSD karena penghapusan standar membuat sulit untuk memulihkan data dari SSD.
Ini kedengarannya bagus bagi saya, dan pandangan ini dikonfirmasi di Genius Bar dan dengan menelepon Apple.
Masalahnya adalah bahwa hampir setiap artikel yang dapat saya temukan mengenai hal ini bertentangan dengan pandangan optimis Apple tentang menghapus SSD. Karena SSD secara dinamis memetakan kembali blok pada penulisan dan karena mereka memiliki ruang kosong yang besar yang tidak dapat diakses oleh OS, tidak mungkin untuk menimpa keseluruhan drive.
Penjelasan tunggal yang dapat merekonsiliasi dua perspektif ini adalah bahwa SSD MacBook adalah "enkripsi otomatis" , yaitu mereka menghasilkan kunci acak dan menyimpannya dalam metadata disk dan mengenkripsi semua data yang disimpan ke drive dengan kunci tersebut (penjelasan tambahan di sini ). Ketika saya menggunakan tombol Disk Utility pada SSD, Mac membersihkan kunci itu, jadi meskipun data belum ditimpa, itu semua ciphertext tidak dapat diakses sekarang setelah kunci hilang, dan sama baiknya dengan zero-out.
Masalahnya adalah semua yang dapat saya temukan untuk mendukung tampilan ini adalah sebuah posting oleh anggota berpengetahuan dari Forum Dukungan Apple. Adakah yang tahu kalau ini benar? Bisakah Anda mengarahkan saya ke sesuatu yang memverifikasi bahwa SSD Apple melakukan ini?
sumber
Jawaban:
Tidak terlalu banyak sehingga tidak perlu ...
Saya beberapa tahun terlambat ke pesta, tetapi mungkin layak menunjukkan bahwa Apple (yang sekarang sepenuhnya menghapus opsi "Secure Erase" dari aplikasi Disk Utility) belum benar-benar menghapus opsi karena "tidak" diperlukan "- menurut catatan rilis keamanan El Capitan , mereka melakukannya karena mereka tidak dapat menjamin penghapusan yang aman :
Glenn Fleishman, memberikan gambaran yang baik tentang hal ini di " Cara mengganti Sampah Kosong Aman El Capitan yang hilang ." Fakta bahwa, saat ini, satu - satunya prosedur sanitasi SSD yang disetujui DoD / NSA adalah peleburan atau penghancuran drive menjadi bubuk halus agak menggemakan tantangan untuk dapat menghapus drive, pasti.
Ini adalah cukup sulit untuk memulihkan data dari SSD ...
Seperti yang dijelaskan Trane Francks, memulihkan data dari SSD secara default cukup sulit. Data tidak perlu dienkripsi, tetapi data terdistribusi di banyak lokasi untuk melakukan sesedikit mungkin penulisan ke satu lokasi (baik untuk kinerja dan untuk umur panjang drive). Jadi, begitu data dihapus, cari tempat file yang digunakan untuk tinggal adalah seperti menyusun puzzle potongan-potongan multi-juta (semua sebelum sampah mengumpulkan drive mungkin memutuskan untuk melakukan). Dimungkinkan untuk memulihkan file dari SSD , tetapi ini biasanya membutuhkan banyak usaha ekstra.
Untuk mempersulit alat pemulihan ...
Mengenkripsi SSD dengan segala jenis kunci aman yang sesuai, dan kemudian menghapus kunci itu, membuatnya hampir mustahil untuk memulihkan data apa pun . Ini dapat dilakukan, pada Mac, dengan mengaktifkan FileVault, boot ke mode pemulihan, membuka kunci dan kemudian menghapus drive dengan Disk Utility.
Jika Anda hanya ingin memastikan barang-barang terhapus dengan aman tanpa menyembunyikan data yang ada, Anda dapat mencoba menggunakan
diskutilperintah terminal - versi baris perintah dari DiskUtility, di mana opsi penghapusan aman belum dihapus:Ini harus berusaha untuk menulis dan menghapus beberapa tempfile yang akan mengisi seluruh hard drive. Dengan demikian, setiap ruang yang tersedia harus diisi dan kemudian dibersihkan.
Informasi yang baik tentang semua opsi ini dapat ditemukan di " Cara Menghapus SSD Mac dengan Aman ".
Selain itu, Anda selalu dapat mencoba menjalankan beberapa alat pemulihan data untuk melihat apakah ada data yang masih segera tersedia.
sumber
Masalah yang saya lihat dengan "hampir setiap artikel" adalah mereka berusia 3-4 tahun. Beberapa dari mereka bahkan menyebutkan mencoba degaussing drive sebagai cara membersihkan data. Itu menyiratkan kurangnya pemahaman tentang bagaimana penyimpanan Flash bekerja di tempat pertama. Serius. Degaussing?
"ATA Secure Erase" adalah sarana untuk memberi tahu drive untuk menghapus semua blok. Selain itu, hanya dengan memasang SSD dan menghapus semua file dengan TRIM yang diaktifkan akan menyebabkan semua halaman menjadi nol pada blok apa pun yang berisi data. Tentu saja, itu mengasumsikan bahwa TRIM telah diterapkan dengan benar. Biasanya, perintah TRIM erase diselesaikan oleh pengontrol SSD dalam beberapa menit.
http://en.wikipedia.org/wiki/Write_amplification
http://en.wikipedia.org/wiki/Data_remanence#Data_on_solid-state_drives
Patut dicatat bahwa bisnis memulihkan data dari SSD yang terhapus tidak dimungkinkan oleh peretas beragam kebun Anda. Teknik-teknik kertas putih umumnya menggambarkan melibatkan pembongkaran drive dan memeriksa komponen memori individu.
Dari perspektif tingkat konsumen, itu harus lebih dari cukup untuk boot ke partisi pemulihan Anda, menghapus partisi data primer, partisi ulang volume dan format. Sulit membayangkan ada orang yang membeli MacBook bekas dan mencari data. Jika Anda benar - benar ingin pergi jauh, Anda dapat mengenkripsi drive Anda dengan FileVault sebelum menghapus partisi. Pada titik itu, bahkan jika seorang calon cracker meretas drive untuk mencari data, apa pun yang mereka temukan tetap akan dienkripsi.
Saya hanya menganggap itu tidak mungkin. Jika Anda benar-benar tidak dapat mengambil risiko, maka belilah HDD pengganti dan tukar dengan SSD.
Saya juga setuju dengan njboot: Linc tahu barang-barangnya.
sumber
sudo diskutil secureErase freespace 0 "/Volumes/[Disk Name]"Jawaban yang benar tentu saja adalah bahwa alih-alih "menghapus aman untuk SSD" harus ada fitur yang disebut "ganti kunci enkripsi perangkat keras SSD".
Kemudian, begitu SSD tempat pengguna tidak menggunakan enkripsi terpisah masuk ke kondisi hanya baca, Anda dapat mengirim perintah untuk mengganti kunci.
Untuk penggunaan yang berorientasi pada kinerja, bitlocker juga akan lebih disukai jika hanya menggunakan enkripsi level perangkat keras jika ada dukungan. Tergantung pada konfigurasi (ultrabook vs desktop) mungkin ada beberapa fitur perf dan hemat daya. Misalnya. jika Anda memiliki ultrabook yang berjalan di tutup TDP seperti Surface, kemudian jalankan beberapa VM di dalamnya, mungkin ada beberapa limbah baterai dari melakukan enkripsi dua kali. Sulit untuk mengatakan apakah itu signifikan atau tidak tanpa pengukuran yang sebenarnya, tetapi saya telah mengukur pada desktop bahwa bitlocker sedikit mempengaruhi ssd perf sehingga diharapkan ada beberapa dampak.
Juga karena saya secara terpisah mengenkripsi VM, sistem sebenarnya memiliki 4 lapisan enkripsi: ssd internal, host bitlocker, vm guest bitlocker dan akhirnya enkripsi folder. VM disinkronkan ke SSD USB eksternal sehingga jika laptop atau tas Anda diambil / hilang selama perjalanan maka kemungkinan Anda minimal memilikinya sehingga Anda hanya dapat membeli SSD atau laptop lain dan melanjutkan pekerjaan seolah-olah tidak ada yang terjadi. Perubahan diunggah secara berbeda ke cadangan cloud. Alasan untuk tidak hanya menggunakan penyimpanan cloud adalah bahwa beberapa pekerjaan dapat membutuhkan banyak aset lokal yang tersedia dengan latensi rendah seperti pengembangan game misalnya atau pekerjaan studio.
sumber
man diskutilSumber:
sumber