SSD Secure Erase unter Linux mit hdparm

Viele SSD-Hersteller bieten mittlerweile entsprechende Tools zur Verwaltung ihrer SSDs an. Neben diversen anderen Aufgaben lässt sich damit oftmals auch ein Secure Erase durchführen, allerdings nur bei den SSDs von diesem Hersteller. Eine allgemeine Möglichkeit für einen Secure Erase bietet hdparm unter Linux. Diese Variante ist herstellerunabhängig und sollte bei allen modernen SSDs funktionieren.

Besonders empfehlenswert für diesen Einsatzzweck sind Live-CDs oder ein bootbarer USB-Stick mit einer entsprechenden Linux-Distribution. Für einen Secure Erase mittels hdparm darf die SSD nicht gemounted sein, weshalb sich vor allem die beiden vorher genannten Möglichkeiten anbieten. Außerdem sollte die SSD direkt mit dem SATA-Controller auf dem Mainboard verbunden sein. Hardware-RAID-Controller oder andere Anschlüsse wie beispielsweise USB- und Firewire sollten nicht verwendet werden.

Vorgehen

Hier zeige ich euch, wie ihr einen Secure Erase unter Linux mit hdparm durchführen könnt. Ich setze dabei immer sehr gerne auf Ubuntu, wie ihr auch an den folgenden Screenshots erkennen könnt.

  1.  Nach dem Booten von Linux muss ein Terminal geöffnet werden. Anschließend werden Root-Priviliegien benötigt, die mit folgendem Befehl erlangt werden können:
    sudo -i
  2. Im zweiten Schritt muss die zu löschende SSD identifiziert werden. In meinem Beispiel ist dies die Samsung SSD 840 PRO. Der folgende Befehl listet alle angeschlossenen Festplatten und SSDs auf:
    hdparm -i /dev/sd?

    hdmparm
    Meine Samsung SSD 840 PRO befindet sich also unter „/dev/sdb“.

  3. Jetzt muss überprüft werden, ob die SSD gelöscht werden kann, d.h. sich im Zustand „not frozen“ befindet. Dies kann mit folgende Befehl herausgefunden werden:
    hdparm -I /dev/sdb

    hdmparm
    In meinem Beispiel befindet sich die SSD im Zustand „not frozen“ und kann gelöscht werden. Bei der Ausgabe ist auch schön zu erkennen, dass die SSD Secure Erase unterstützt („supported: enhanced erase“). In diesem Fall kann man direkt zu Schritt 4 springen.

    Viele Mainboards blockieren das „ATA Secure Erase“-Kommando aus Sicherheitsgründen, sodass die SSD nicht aus Versehen gelöscht werden kann. Sollte die SSD also „frozen“ sein, dann muss der Zustand erst auf „not frozen“ geändert werden. Oftmals hilft es, wenn das Datenkabel der SSD im laufenden Betrieb ab- und wieder angesteckt wird. Bei einigen SSDs muss zudem auch noch das Stromkabel entfernt werden. Falls beides nicht funktioniert sollte die SSD an einem anderen SATA-Port wieder angesteckt werden. In Einzelfällen kann auch eine andere Linux-Distribution oder ein anderer PC die Lösung sein.

  4. Ab jetzt beginnt der etwas heikle Teil. Alle Daten auf der angegebenen SSD werden unwiederbringlich gelöscht. Zunächst muss das ATA-Security-Passwort auf der zu löschenden SSD gesetzt werden. In meinem Beispiel lautet der Befehl dazu folgendermaßen:
    hdparm --user-master u --security-set-pass test /dev/sdb
  5. Anschließend folgt der eigentliche Lösch-Befehl, der auch das ATA-Security-Passwort wieder entfernt:
    hdparm --user-master u --security-erase test /dev/sdb

    hdmparm

  6. Der Secure Erase kann unterschiedliche lange dauern, sollte in den allermeisten Fällen aber nach wenigen Sekunden abgeschlossen sein. Moderne SSD-Controller wenden automatisch eine Verschlüsselung an, wodurch bei einem Secure Erase lediglich der Kryptoschlüssel neu generiert werden muss.

Quellen

1 Kommentar » Schreibe einen Kommentar

  1. Pingback: SSD Secure Erase – Was ist das und Informationen zur Durchführung - Antary

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.