Уничтожение данных

Уничтожение данных — последовательность операций, предназначенных для осуществления программными или аппаратными средствами необратимого удаления данных, в том числе остаточной информации.

Как правило, уничтожение данных используются государственными учреждениями, прочими специализированными структурами и предприятиями в целях сохранения государственной или коммерческой тайны. Существует широкий спектр доступных программных средств безопасного уничтожения данных, в том числе программы с открытым исходным кодом.

Уничтожение данных используется также в средствах программного шифрования информации в рамках шифрования файлов или шифрования носителей данных (например, дисковых или твердотельных накопителей) для безопасного удаления временных файлов и уничтожения данных, поскольку в противном случае, используя классическое удаление файлов стандартными методами современных операционных систем, существует возможность восстановления исходного файла лицом, желающим получить доступ к личной или секретной информации.

Алгоритмы уничтожения информации стандартизированы, и во многих государствах изданы национальные стандарты, нормы и правила, регламентирующие использование программных средств для уничтожения информации и описывающие механизмы его реализации.

Все программные реализации алгоритмов уничтожения данных основаны на простейших операциях записи, тем самым происходит однократная или многократная перезапись информации в секторах жесткого диска или блоках SSD-диска ложными данными. В зависимости от алгоритма это может быть сгенерированное генератором (псевдо)случайных чисел случайное число либо фиксированное значение. Как правило, каждый алгоритм предусматривает запись восьми битовых единиц (FF₁₆) и восьми битовых нулей (00₁₆). В распространённых алгоритмах перезапись может производиться от одного до 35 раз. Существуют также реализации с возможностью произвольного выбора пользователем числа циклов перезаписи.

Теоретически, простейшим методом уничтожения исходного файла является его полная перезапись байтами FF₁₆, то есть битовой маской из восьми двоичных единиц (11111111₂), нулями или любыми другими произвольными числами, тем самым сделав невозможным его программное восстановление доступными пользователю программными средствами. Однако с использованием специализированных аппаратных средств, анализирующих поверхность магнитных и других носителей информации и позволяющих восстановить исходную информацию исходя из показателей остаточной намагниченности (в случае с магнитными носителями) или другими показателями, существует возможность того, что простейшая перезапись не даст полноценного и необратимого уничтожения подлежащей полному уничтожению информации.

С целью исключения любой возможности восстановления и разработаны существующие алгоритмы уничтожения данных.

Наиболее известен и распространён алгоритм, применяемый в американском национальном стандарте Министерства обороны DoD 5220.22-M. Вариант E, согласно данному стандарту, предусматривает два цикла записи псевдослучайных чисел, затем один — фиксированных значений, зависимых от значений первого цикла, и наконец четвёртый цикл — сверки записей. В варианте ECE перезапись данных производится 7 раз — 3 раза байтом FF₁₆, три раза байтом 00₁₆ и один раз байтом F6₁₆^[1].

В алгоритме Брюса Шнайера: в первом цикле записывается FF₁₆, во втором — 00₁₆, и в пяти остальных циклах — псевдослучайные числа. Считается^[кем?] одним из наиболее эффективных.

В наиболее медленном, но подходящем для магнитных дисковых накопителей с неизвестным методом физического кодирования данных алгоритме Питера Гутмана, выполняются 35 циклов, в которых записывают разные битовые маски, минимизирующие, в соответствии с его собственной теорией уничтожения информации, вероятность восстановления данных для разных физических механизмов записи информации на магнитные дисковые носители (MFM, RLL и др.)^[2]. Этот метод не учитывает особенностей хранения и уничтожения информации на современных твердотельных накопителях SSD и флеш-памяти, не предназначен для них, и не работает на таких накопителях^[2].

Цикл	Данные	Цикл	Данные
1	Псевдослучайные	19	99₁₆
2	Псевдослучайные	20	AA₁₆
3	Псевдослучайные	21	BB₁₆
4	Псевдослучайные	22	CC₁₆
5	55₁₆	23	DD₁₆
6	AA₁₆	24	EE₁₆
7	92₁₆ 49₁₆ 24₁₆	25	FF
8	49₁₆ 24₁₆ 92₁₆	26	92₁₆ 49₁₆ 24₁₆
9	24₁₆ 92₁₆ 49₁₆	27	49₁₆ 24₁₆ 92₁₆
10	00₁₆	28	24₁₆ 92₁₆ 49₁₆
11	11₁₆	29	6D₁₆ B6₁₆ DB₁₆
12	22₁₆	30	B6₁₆ DB₁₆ 6D₁₆
13	33₁₆	31	DB₁₆ 6D₁₆ B6₁₆
14	44₁₆	32	Псевдослучайные
15	55₁₆	33	Псевдослучайные
16	66₁₆	34	Псевдослучайные
17	77₁₆	35	Псевдослучайные
18	88₁₆

В алгоритме, предусмотренном американским национальным стандартом NAVSO P-5239-26 для MFM-кодируемых устройств: в первом цикле записывается 01₁₆, во втором — 7FFFFFF₁₆, в третьем — последовательность псевдослучайных чисел, в четвёртом проходит верификация. В варианте данного алгоритма для RLL-кодируемых устройств во втором цикле записывается 27FFFFFF₁₆.

В алгоритме, описываемом германским национальным стандартом VSITR, с первого по шестой цикл записываются последовательно байты 00₁₆ и FF₁₆, в седьмом — AA₁₆.

Многими заявляется^{[уточнить]} о существовании алгоритма, описанного российским государственным стандартом ГОСТ P 50739-95, предусматривающего запись 00₁₆ в каждый байт каждого сектора для систем 4—6-го классов защиты и запись псевдослучайных чисел в каждый байт каждого сектора для систем 1—3-го классов защиты^[3]. Однако данный ГОСТ содержит лишь следующую формулировку в пункте 5.1.5: «Очистка должна производиться путём записи маскирующей информации в память при её освобождении (перераспределении)», которая не содержит хоть какой-то детализации относительно порядка перезаписи, количества циклов, используемых битовых масок и т. д.^[4]. В то же время, существует действующий руководящий документ Государственной технической комиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», изданный в 1992 году и предусматривающий ряд требований к механизму уничтожения информации для систем определённых классов защищенности. В частности, для классов 3А и 2A «очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов)», для класса 1Г предусмотрена однократная такая же запись, а для классов 1В, 1Б и 1А «очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, использованную для хранения защищаемой информации»^[5].

В алгоритме Парагона первый цикл заключается в перезаписи уникальными 512-битными блоками, используя криптографически безопасный генератор случайных чисел. Затем, во втором цикле, каждый перезаписываемый блок переписывается своим двоичным дополнением. Третий цикл повторяет первый цикл с новыми уникальными случайными блокам. В четвёртом цикле происходит перезапись байтом AA₁₆. Завершается уничтожение информации циклом верификации.

Для файловых систем ещё одним механизмом для затруднения программного восстановления информации, в дополнение к перезаписи информации в отдельном файле согласно алгоритму уничтожения, является установка нулевого размера файла и его переименование, используя произвольный набор символов, за которым следует удаление файла из таблицы размещения файлов.

Примечания

↑ [pcsupport.about.com/od/termsd/g/dod-5220-22-M.htm Описание стандарта DoD 5220.22-M] Источник (англ.). Дата обращения: 24 июля 2014. Архивировано из оригинала 9 августа 2016 года.
↑ ¹ ² Gutmann, Peter. Secure Deletion of Data from Magnetic and Solid-State Memory (англ.). Дата обращения: 29 сентября 2025. Архивировано 9 декабря 2007 года.
↑ «След на воде» . Дата обращения: 2 июня 2008. Архивировано из оригинала 8 августа 2014 года.
↑ ГОСТ P 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования . Дата обращения: 24 июля 2014. Архивировано 5 марта 2016 года.
↑ Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 1992 год . Дата обращения: 24 июля 2014. Архивировано из оригинала 4 марта 2016 года.

Ссылки

Политика уничтожения данных: что это и для чего она необходима

[dod-1] [pcsupport.about.com/od/termsd/g/dod-5220-22-M.htm Описание стандарта DoD 5220.22-M] Источник (англ.). Дата обращения: 24 июля 2014. Архивировано из оригинала 9 августа 2016 года.

[gutmann-2] ¹ ² Gutmann, Peter. Secure Deletion of Data from Magnetic and Solid-State Memory (англ.). Дата обращения: 29 сентября 2025. Архивировано 9 декабря 2007 года.

[sled-3] «След на воде» . Дата обращения: 2 июня 2008. Архивировано из оригинала 8 августа 2014 года.

[gostr5073995-4] ГОСТ P 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования . Дата обращения: 24 июля 2014. Архивировано 5 марта 2016 года.

[gostehkomissiya1992-5] Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 1992 год . Дата обращения: 24 июля 2014. Архивировано из оригинала 4 марта 2016 года.

[1]

[2]

[3]

[4]

[5]