Daten auf SSD vollständig löschen Secure Erase

[JackOh18]

Hallo,

ich wollte eine Samsung SSD, die ich per USB 3.0 Adapter-Kabel angeschlossen habe, mit Samsung Magician und der Secure Erase Funktion endgültig löschen. Die SSD wird in dem Tool angezeigt, aber die Lösch-Funktion ist nicht anklickbar. Muss die SSD per SATA Kabel angeschlossen werden, oder warum ist die Funktion nicht nutzbar?

Gruß
JackOh

 

[AdoK]

Versuch es sowohl mit dem Stromversorgungskabel vom Netzteil als auch mit dem Datenkabel vom Motherboard kommend.

 

[Holt]

Die Frage ist ob der USB-SATA Bridgechip die nötigen Security Befehle auch durchlässt. Ich würde einfach DISKPART und dessen CLEAN ALL nehmen, also eine Eingabeaufforderung öffnen, dann folgende Befehle eingeben:

• diskpart
• list disk
• select disk x (x steht für die Nummer des Laufwerks aus list disk, die richtige Platte sollte an der Kapazität zu erkennen sein, sonst andere Platten besser vorher abklemmen um Datenverlust zu vermeiden)
• detail disk (um sicher zu sehen die richtige Platte ausgewählt zu haben)
• clean all (clean löscht nur alle Partitionierungsinformationen, clean all überschreibt alles mit 00 und dauert entsprechend länger, man kann danach auch nichts mehr wiederherstellen)
• exit

 

[miac]

Verwende, wenn möglich, ein Secure Erase. Auf einen USB Datenträger sollte es aber nie ausgeführt werden.

Bedenke, nur Secure Erase ist in der Lage SSDs nach Herstellerprozeduren komplett zu löschen. Diskpart Clean All kann dagegen die Leistungsfähigkeit der SSD beeinträchtigen und löscht auch keine versteckten Bereiche.

 

[Holt]

Dafür muss aber vor dem eigentlichen Secure Erease ein Passwort gesetzt werden, wird der Vorgang abgebrochen und man kennt das vom Tool gesetzte Passwort nicht, hat man ein Problem. Außerdem frieren die BIOS meist die Sicherheits Features ein, das SE wird dann wegen Froozen nicht gehen und man muss im laufenden Betrieb die Spannungsversorgung der SSD abklemmen und nach ein paar Sekunden wieder anklemmen, was Fehlerpotential bedeutet. Außerdem überschreibt Clean All den ganzen Adressbereich einer SSD, also auch alle Partitionen und nur HPA bleiben außen vor, aber die verwendet man ja kaum mal und wenn, dann steht vielleicht ein Backup des BIOS drin, aber wohl kaum persönliche Daten. Die Frage wäre sowieso, wozu die SSD gelöscht werden soll und um welche SSD es konkret geht, denn nur bei denen mit Sandforce Controllern wird danach kurz die Schreibperformance besser, bei den anderen wird Windows beim Anlegen einer Partition deren Adressbereich beim Schnellformat trimmen und damit die volle Schreibgeschwindigkeit sicherstellen.

Ein Secure Erease bietet mehr Sicherheit, aber es ist auch umständlicher und fehleranfälliger, außerdem eben meist nicht über USB zu realisieren. Für den Heimgebraucht tut es auch DISKPART und wer so geheime Informationen speichert das dies doch nicht reicht, der sollte die SSDs nach Gebrauch dann Schreddern und nicht verkaufen.

 

[h00bi]

Diskpart Clean All kann dagegen die Leistungsfähigkeit der SSD beeinträchtigen

Wie soll ein Nullen des Flash die Performance beeinflussen?

und löscht auch keine versteckten Bereiche.

Was für versteckte Bereiche? OP?

 

[Holt]

Es beeinträchtigt die Schreibperformance schon, weil danach die ganze SSD aus der Sicht des Controller ja mit gültigen Daten beschrieben wurde, aber wie gesagt dürfte das beim trimmen welches Windows danach ausführt wenn man dann wieder eine Partition anlegt und diese formatiert, auch wieder egal sein.

Vielleicht meint miac mit versteckten Bereichen wirklich die OP, aber an deren Daten kommt man sowieso nie ran (auch nicht an die die vorher in den überschriebene LBAs standen), da sie eben keinem LBA zugeordnet sind und dann räumt der Controller diese Bereiche auch sehr zügig frei um wieder irgendwo hin schreiben zu können. Aber wer so auf Nummer sicher gehen muss, der schreddert wie gesagt gebrauchte Datenträger und verkauft sich nicht in der Bucht.

 

[JackOh18]

Verwende, wenn möglich, ein Secure Erase. Auf einen USB Datenträger sollte es aber nie ausgeführt werden.

Bedenke, nur Secure Erase ist in der Lage SSDs nach Herstellerprozeduren komplett zu löschen. Diskpart Clean All kann dagegen die Leistungsfähigkeit der SSD beeinträchtigen und löscht auch keine versteckten Bereiche.

Ich habe doch geschrieben, dass ich Secure Erase verwenden möchte. Und zwar aus den auch von dir genannten Gründen. Und warum darf man das nicht mit USB nutzen? Der USB SATA Adapter wird auch mit einem Netzteil mit Strom versorgt und wird von Win 10 korrekt erkannt.

 

[Holt]

Post#3 Satz 1. Aber erkläre mal wieso es unbedingt ein Secure Erease sein muss.

 

[JackOh18]

Post#3 Satz 1. Aber erkläre mal wieso es unbedingt ein Secure Erease sein muss.

Hmm, ich weiss nicht mehr wo genau, aber irgendwo stand, dass Secure Erase die sicherere Methode sei. Na egal, ich werde es einfach per diskpart probieren. Soooo sensible Daten hat meine SSD nun auch nicht.

 

[miac]

Ich habe doch geschrieben, dass ich Secure Erase verwenden möchte. Und zwar aus den auch von dir genannten Gründen. Und warum darf man das nicht mit USB nutzen?

Ich wollte deine Auffassung auch nur bestätigen, nicht das Du dich hier überreden läßt.

USB deshalb nicht, weil, wie Holt auch schon sagte, es ein ATA Kommando ist und vom USB Bridge Chip nicht unterstützt werden muß.

Es gibt sogar Berichte, die die SSD lahm gelegt haben.
https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase

 

[JackOh18]

Verstehe, aber ich habe es jetzt einfach mit Diskpart gemacht.

 

[Holt]

DISKPART reicht für den Hausgebrauch locker aus, wenn man wirklich CLEAN ALL und nicht nur CLEAN nimmt, CLEAN reicht wenn man die SSD danach selbst wieder verwenden, also z.B. nur Windows neu installieren möchte, aber eben nicht wenn man sie danach aus der Hand gibt, also verkauft. Da muss es dann CLEAN ALL sein und danach ist auch nichts mehr wiederherstellen, denn da alle LBAs überschrieben wurden, sind die alten Daten, sofern da noch Rest im NAND stehen, für den Controller ungültig und werden bei der nächsten Idle-GC genau wie bei einem Secure Erease gelöscht und auslesen könnte man nur allenfalls indem man gleich danach den NANDs ablötet und einzeln ausliest und selbst dann wird da nicht mehr viel zu finden sein, da der Controller ja den Platz benötigt hat um die neuen Daten (eben die Nuillen die Diskpart bei Clean All über die ganze Kapazität schreibt) auf die NANDs zu schreiben (außer er hat eine Datenkompression wie die Sandforce und Phison). Da kann also nicht mehr in den NANDs stehen als die paar GB Overprovisioning und die eben auch nur bis die Idle-GC einsetzt.

Ein wirkliches Risiko besteht nur, wenn man eine HPA (Host Protected Area) angelegt und dort sensible Daten gespeichert hat, aber wer macht das schon? Wenn ein Heimanwender auf seiner Platte eine HPA hat, dann wahrscheinlich weil die alten Gigabyte Boards sowas gemacht haben um dort ein Backup des BIOS abzulegen, was dann aber wohl nicht unter sensible Daten fallen dürfte.

 

[JackOh18]

@Holt: Vielen Dank für die ausführliche und verständliche Info. Mir hat es sehr gut geholfen.

 

[miac]

Zumal sie dir eine Ausrede liefern, nicht Secure Erase zu nutzen, nicht wahr?

 

[JackOh18]

Zumal sie dir eine Ausrede liefern, nicht Secure Erase zu nutzen, nicht wahr?

Hey, deine Info war ja auch gut, aber leider für mich auf die Schnelle nicht umsetzbar. Ich hatte keine Zeit und Lust, den Rechner wieder aufzuschrauben und die SSD einzubauen, damit die Secure Erase Funktion möglich ist.

Mach es nicht dramatisch. Manch anderer wird deiner Empfehlung bestimmt folgen.

 

[miac]

Du solltest es trotzdem im Hinterkopf behalten. Bei dir war jetzt wohl nur die DISKPART Version möglich.

Ein Secure Erase z.B. auf einer selbstverschlüsselnden SSD bräuchte im Idealfall lediglich den Verschlüsselungsschlüssel zu ändern. Ganz ohne Schreibbelastung auf der SSD.

Und bezüglich der "paar GB".
Das sind z.B. bei Kingston zw. 7 und 28% der SSD Kapazität, die bei DISKPART CLEAN ALL nicht gelöscht werden.

 

[Holt]

Die Schreibbelastung bei DISKPART kostet einen P/E Zyklus, vielleicht zwei wenn die SSD sehr voll war, von wie vielen spezifizierten Zyklen? 1000, 2000, 3000 oder noch mehr? Wenn das ein Problem ist, dann sollte man besser die SSD ausbauen und in eine Virtine stellen, damit sie länger hält und man sie noch vererben kann.

Auch die Zeit ist relevanti, klar dauert es einige Zeit bis die ganze Kapazität überschrieben wurde und ein SE ist schneller, aber zuweilen eben auch nur, wenn man die reine Zeit für die Befehlsausführung berücksichtigt, muss man aber wie der TE die SSD aus einem USB Gehäuse aus- und in einen PC einbauen, dann sieht es schnell mal anderes aus. Das ein Secure Erease sicherer ist, davon gehe ich aus, außer der SSD Hersteller hat es falsch implmentiert, nur es ist eben nicht so einfach zu handhaben, man geht also ein gewisses Risiko ein und die Sicherheit beim Überschreiben durch DISKPART und CLEAN ALL sollte auch für Heimanwender mehr als ausreichend sein. Wer also ein Secure Erease machen will, der soll das gerne machen, wer dabei oder damit Probleme hat, für ist die DISKPART eine sehr gute Alternative.

 

[JackOh18]

Für mich ist das jetzt klar und gut zu wissen. Merke ich mir auf jeden Fall für das nächste mal und lasse die SSD noch im PC, bevor ich sie ausbaue, um es abzugeben. Danke!

 

[Holt]

Dann bedenke auch, dass bei SSDs die eDrive unterstützenl, dieser Modus auch gerne von Windows aktiviert wird und dann die normale Security Befehle zu denen auch Secure Erease zählt, deaktiviert werden und man erst einen PS Reset mit der auf dem Label der SSD aufgeduckten PSID machen muss.