Nutzung des Linux-basierten DBAN-Partitions- und Festplatten-Loeschprogramms

Nutzung des Linux-basierten DBAN-Partitions- und Festplatten-Löschprogramms

Rudi Theisen, ZAM
10.06.2006

Quellen: WWW.FZ-Juelich.DE/zam/sicherheit/download/freeware.1/eraser/zam-doc/dban-zam.htm

Gliederung:

Überblick über das DBAN-Platten-Löschprogramm
Vorbereitungen
2.1 Erzeugung einer bootfähigen DBAN-Lösch-Diskette
2.2 Erstellung einer bootfähigen DBAN-Lösch-CD
2.3 Ermittlung der Platten-Typenbezeichnungen
Löschung einer Partition bzw. Platte mit DBAN
3.1 DBAN-Kurzanleitung
3.2 Ausführliche DBAN-Löschanleitung
Das DBAN F2-Menü mit einer DBAN-Einführung
Das DBAN F3-Menü mit der Liste der Bootprompt-Befehle
Das DBAN F4-Menü mit den Hinweisen zur Fehlerbehebung
Überblick über die DBAN Löschmethoden
Hinweise auf andere Platten-Löschprogramme
8.1 Löschen mit dem Eraser-Programm
8.2 Das VS-Clean-Plattenlöschprogramm des BSI
8.3 Das CBL-Schredder-Programm
Entsorgung sensitiver Platten im Forschungszentrum Jülich
Externe Links

1. Überblick über das DBAN-Platten-Löschprogramm

DBAN ist die Abkürzung von "Darik's Boot and Nuke". Der Autor heißt Darik Horn. DBAN zeichnet sich durch folgende Eigenschaften aus:

DBAN ist kostenlos und liegt im Open Source Code vor (s. [1]).
Aktuell ist derzeit immer noch die DBAN-Version 1.0.6 vom 24.7.2005. Von Version 1.0.7 findet man dort bereits eine Testversion.
DBAN kann nicht nur Platten, sondern auch gezielt einzelne Partitionen löschen.
DBAN wird nicht installiert, sondern bootet von einer Diskette oder CD ein Mini-Linux-System, das seinerseits das DBAN-Programm aufruft.
Das Programm zur Erstellung der bootfähigen Diskette wird mitgeliefert (s. Kap. 2.1).
Eine ISO-Datei zur Erstellung einer bootfähigen DBAN-CD wird ebenfalls bereitgestellt (s. Kap. 2.2).
DBAN kann alle XT-, IDE-, PATA-, SATA- und SCSI-Platten löschen (generell alle Platten, für die es unter Linux Treiber gibt).
DBAN kann die Windows-Dateisysteme FAT, VFAT und NTFS und die Linux-Dateisysteme ReisersFS, EXT und UFS löschen.
Da DBAN linux-basiert arbeitet (DBAN 1.0.6 verwendet Linux 2.4.31), ist es nicht vom BIOS anhängig. Bei einem veralteten BIOS werden ja mitunter von großen Platten nur der erste Teil erkannt. Lösch-Programme, die BIOS-basiert arbeiten (wie etwa VS-CLEAN (s. Kap. 8.2), haben dann Probleme, den zweiten Teil solch großer Platten zu löschen. DBAN kann auch große Platten ganz löschen.
DBAN bietet 5 Löschmethoden an:
1. Quick
2. RCMP TSSIT OPS-II (Kanada)
3. DoD 5220-22.M (USA)
4. Löschen mit Zufallszahlen: PRNG (Pseudo Random Number Generator)
5. Gutmann
Die Quick-Löschmethode löscht alles einmal mit Nullen. Diese unsichere Methode ist allenfalls dann zu verwenden, wenn man auf einer bereits benutzten Platte ein neues Betriebssystem installieren will.
Die DoD-Löschmuster finden Sie in [6] beschrieben.
Die Gutmann-Methode mit 35 Lösch-Durchgängen galt ab 1995 lange als die beste Löschmethode. Viele der darin verwendeten Löschmuster (s. [5]) wurden aber zur Löschung von MFM- bzw. RLL-kodierten Platten optimiert. Bei modernen PRML- bzw. EPRML-kodierten Platten sind - wie auch Peter Gutmann später zugegeben hat - Zufallszahlen als Löschmuster besser. Die Gutmann-Methode verwendet übrigens auch schon 8 Lösch-Durchläufe mit Zufallszahlen. Für uns wird i.a. ein einziger Lösch-Durchlauf mit Zufallszahlen (PRNG) ausreichend sein.
Für die PRNG-Löschmethode kann man einen eigenen Start-Vektor (Seed, 512 Byte) auf dem Boot-Medium bereitstellen. (Erzeugung unter Linux: s. readme.txt, Kap. 2.3)

DBAN kann aber leider nicht alles löschen:

Keine RAID-Systeme
Keine USB-Sticks oder -Platten.
Keine ZIP-Disketten
Keine Ersatz-Sektoren
Moderne Platten-Kontroller können für defekte Sektoren Ersatz-Sektoren verwenden. Manche Programme können das ebenfalls veranlassen, z.B. SafeGuard Easy von Utimaco. Was in den als defekt gekennzeichneten Sektoren steht, kann kein software-basiertes Programm mehr löschen.

2. Vorbereitungen zur Nutzung von DBAN

2.1 Erzeugung einer bootfähigen DBAN-Lösch-Diskette

Zur Erstellung der DBAN-Lösch-Diskette braucht man Administrator-Rechte. Eventuell muß man die Antiviren-Software vorher abschalten. Bei VirusScan habe ich das aber nicht beobachtet.

Mit dem Eraser-Löschprogramm (s. [3]) wird auch eine Prozedur mitinstalliert, mit der man sich eine bootfähige, linux-basierte Diskette mit dem DBAN-Lösch-Programm erzeugen kann (s. 1a bis 2a).

Wenn Sie aber das Eraser-Programm nicht installiert haben, beschaffen Sie sich entweder direkt über die DBAN-Download-Homepage (s. [1]) oder vom ZAM-WWW-Server (s. WWW.FZ-Juelich.DE/zam/sicherheit/download/freeware.1/eraser/dban) oder innerhalb des JuNet vom ZAM-PC-Server \\pcsrv\public\JuNetSecCD\Zusatz-CD\eraser\dban\ die DBAN-Zip-Datei und packen diese aus. Das dban-VERSION_i386.exe (s. 1) erstellt die DBAN-Löschdiskette (s. 2 bis 4):

Bild 2.1 Erzeugung einer bootfähigen Linux-basierten DBAN-Löschdiskette

Wer will, kann sich ja die neu erstellte Diskette mit dem Explorer ansehen (s. B).

Hinweis: In der readme.txt -Datei ist in Kap. 2.3 erklärt, wie man diese Diskette unter Linux erzeugen kann.

2.2 Erstellung einer bootfähigen DBAN-Lösch-CD

Falls Ihr PC schon kein Disketten-Laufwerk mehr besitzt, so können Sie sich entweder direkt über die DBAN-Download-Homepage (s. [1]) oder vom ZAM-WWW-Server (s. WWW.FZ-Juelich.DE/zam/sicherheit/download/freeware.1/eraser/dban) oder innerhalb des JuNet vom ZAM-PC-Server \\pcsrv\public\JuNetSecCD\Zusatz-CD\eraser\dban\ die aktuelle .ISO-Datei holen. Falls Sie das Nero-Brenner-Programm installiert haben, starten Sie per Doppelklick auf eine .ISO-Datei bereits deren Brennen.
Sie könnten sich aber auch aus einer an einem anderen PC nach Kap. 2.1 erstellten DBAN-Boot-Diskette eine bootbare CD erstellen (s. Erzeugung einer bootfähigen CD unter Nero (http://www.fz-juelich.de/zam/sicherheit/docs/win/inf-win/Boot-CD-per-nero.htm)).

Hinweis: Wenn man z.B. die Voreinstellungen der Datei syslinux.cfg ändern möchte, so kann man die Datei dban-VERSION_i386.exe auspacken (z.B. mit WinZip oder WinRAR unter Windows oder dem bei Linux mitgelieferten unzip-Programm), die Änderungen vornehmen und sich dann mit dem mkisofs-Programm eine ISO-Datei erzeugen und diese brennen.

2.3 Ermittlung der Platten-Typenbezeichnungen

Wenn Sie mehrere Platten haben, aber nur eine bzw. nur eine Partition auf einer Platte löschen wollen, so müssen Sie die Typen-Bezeichnungen Ihrer Platte kennen, weil nur diese vom DBAN-Programm angezeigt werden, da das unter Linux läuft.

Beim Booten werden die Platten-Bezeichnugen kurzzeitig angezeigt.

Als Administrator kann man die Typen-Bezeichnungen unter Windows z.B. über

Start ==> Systemsteuerung ==> Verwaltung ==> Computerverwaltung
in der Datenträgerverwaltung sehen:

Bild 2.2 Ermittlung der Platten-Typenbezeichnungen unter Windows

Die erste Platte dieses PCs hat also die Typenbezeichnung "IBM DNES-309170" (s. A oder B) und die zweite "IBM DDRS-39130" (s. C oder D).

3. Löschung einer Partition bzw. Platte mit DBAN

Vorbemerkung: Da man unter dem DBAN Mini-Linux-Betriebssystem kein Programm hat, mit dem man die Bildschirm-Anzeigen erfassen kann, kann ich zur Zeit die Anwendung des DBAN-Löschprogramms leider nicht durch Bilder erklären.

3.1 DBAN-Kurzanleitung

Die DBAN-Nutzung selbst erfordert folgende Schritte:

Die DBAN-Boot-Diskette muß man booten (Boot-Reihenfolge: A: vor C: vorher einstellen).
Falls Sie DBAN von einer CD starten (müssen), ist natürlich die Boot-Reihenfolge: "CD vor ..." erforderlich.
Mit ENTER den interaktive Mode dieses DBAN-Programms starten.
Von den angezeigten Platten die zu löschende Platte und dort die zu löschende Partition mit den Cursor-Tasten ansteuern und per Leertaste auswählen.
Mit "M" die Lösch-Methoden-Auswahl ansteuern und dort mit den Cursor-Tasten oder mit "J" oder "K" die Löschmethode PRNG auswählen, bei der Zufallswerte zum Löschen verwendet werden.
Per "R" kann man die Rundenzahl verändern. Diese besagt, wie oft die Platte/Partition überschrieben wird. Als Rundenzahl genügt normalerweise 1. Nur wenn Sie vertraulische Daten hatten, sollten Sie die Rundenzahl auf 2 bzw. 3 setzen.
Mit F10 starten Sie das Löschen. Der Lösch-Fortschritt wird angezeigt.

Zum Abschluß erhalten Sie eine Protokoll-Anzeige über diesen Lösch-Auftrag. Dieser DBAN-Log-File wird auf eine DOS-formatierte Diskette nach A:\dban gerettet. Normalerweise ist das die DBAN-Lösch-Diskette; diese darf dann aber nicht schreibgeschützt sein!

Anmerkungen:

Bitte denken Sie daran, abschließend im BIOS wieder die Boot-Reihenfolge auf "C:" oder "C: vor ..." zu setzen.
Wenn man diese so gelöschte Platte wieder unter Windows nutzen will, muß man sie vorher formatieren.

3.2 Ausführliche DBAN-Löschanleitung

Wenn Sie die DBAN-Diskette bzw. DBAN-CD booten, erscheint zunächst folgende Anzeige: (Text aus Datei warning.txt)

Darik's Boot and Nuke
=====================

Warning: This Software irrecoverably destroys data.

This Software is provided without any warranty; without even the implied
warranty of merchantability or fitness for a particular purpose. In no event
shall the Software authors or contributors be liable for any damages arising
from the use of this Software. The Software ist provided "as is".

http://dban.sourceforge.net/

* Press the F2 key to learn about DBAN
* Press the F3 key for a list of quick commands.
* Press the F4 key for troubleshooting hints.
* Press the ENTER key to Start DBAN in interactive mode.
* Enter autonuke at this prompt to Start DBAN in automatic mode.

Mit der F2-Taste bekommen Sie eine DBAN-Einführung (Kap. 4), mit der F3-Taste eine Liste der wichtigen DBAN-Bootprompt-Befehle (Kap. 5) und mit der F4-Taste Hinweise zur Fehlerbehebung (Kap. 6).

Erst mit ENTER wird das Linux-System geladen und das DBAN-Programm gestartet:

boot:
Loading kernel.bzi.....................
Loading initrd.gz.....
Ready
Uncompressing Linux... Ok, booting the kernel. Please wait....

Dann erscheint die DBAN-Bedienungs-Übersicht:

                       Darik's Boot and Nuke 1.0.6
 ______________ Options ___________________  ______________________________
|Entropy: Linux Kernel (random)	           ||Runtime:                      |
|PRNG:    Mersenne Twister (mtl9937ar-cok) ||CPU Time:                     |
|Methode: DoD Short                        ||Load Average:                 |
|Verify:  Last Pass                        ||Throughput:                   |
|Rounds:  1                                ||Errors:                       |
 __________________________________________  ______________________________

 ____________________________Disks and Partitions _________________________
| > [    ]  (SCSI 0,0,1,0,-) IBM DDRS-39130                                |
|                                                                          |
 __________________________________________________________________________

  M=Methode V=Verify R=Rounds, J=Up K=Down Space=Select, FlO-Start

Unten werden die Typenbezeichnungen der verfügbaren Festplatten angezeigt. Die sind bei jedem PC anders. Bei dem in Bild 2.2 untersuchten PC z.B. sieht diese Übersicht über die Festplatten und deren Partitionen umfangreicher aus:

 ____________________________Disks and Partitions _________________________
| > [    ]  (SCSI 0,0,1,0,-) IBM DNES-309170                               |
| > [    ]  (SCSI 0,0,1,0,1)  Partition                                    |
| > [    ]  (SCSI 0,0,1,0,2)  Partition                                    |
| > [    ]  (SCSI 0,0,1,0,3)  Partition                                    |
| > [    ]  (SCSI 0,0,2,0,-) IBM DDRS-39130                                |
| > [    ]  (SCSI 0,0,2,0,1)  Partition                                    |
| > [    ]  (SCSI 0,0,2,0,2)  Partition                                    |
|                                                                          |
 __________________________________________________________________________

  M=Methode V=Verify R=Rounds, J=Up K=Down Space=Select, FlO-Start

Man kann also gezielt einzelne Partitionen oder ganze Festplatten löschen. Die zu löschende Platte bzw. Partition muß man entweder mit den Cursor-Tasten oder mit "J" bzw. "K" ansteuern und dann mit der Leertaste markieren. Diese "Zeile" bekommt dann die Kennung "wipe" und nur diese wird im interaktiven Mode gelöscht. Beim ersten Beispiel sieht dann die Platten-Übersicht so aus:

 ____________________________Disks and Partitions _________________________
| > [wipe]  (SCSI 0,0,1,0,-) IBM DDRS-39130                                |
|                                                                          |
 __________________________________________________________________________

  M=Methode V=Verify R=Rounds, J=Up K=Down Space=Select, FlO-Start

Da wir aber nicht wissen, wie die Daten, die wir an den Platten-Kontroller zum Schreiben abgeben, letztendlich auf die Fest-Platte geschrieben werden, empfiehlt sich für uns als Löschmethode nicht die voreingestellte "DoD short"-Methode, sondern das Löschen mit Zufalls-Werten (PRNG Stream-Lösch-Methode). Die verschiedenen Löschmethode kann man sich durch Eingabe "M"-Buchstabens anzeigen lassen und wiederum über die Cursor-Tasten oder mit "J" bzw. "K" auswählen:

                       Darik's  Boot  and Nuke   1.0.6
 ______________ Options ____________________  ______________________________
|Entropy: Linux Kernel (random)             ||Runtime:                      |
|PRNG:    Mersenne Twister (mt19937ar-cok)  ||CPU Time:                     |
|Methode: DoD Short                         ||Load Average:                 |
|Verify: Last Pass                          ||Throughput:                   |
|Rounds: 1                                  ||Errors:                       |
 ___________________________________________________________________________


 _________________________Wipe Methode _____________________________________
|   Quick Erase       syslinux.cfg: nuke="dwipe --method dodshort"          |
|   RCMP TSSIT OPS-II Security Level: Medium (3 passes)                     |
|-> DoD Short                                                               |
|   DoD 5220-22.M                                                           |
|   Gutmann Wipe                                                            |
|   PRNG Stream                                                             |
|                                                                           |
| The American Department of Defense 5520-22.M short wipe.                  |
| The methode is composed of passes 1,2,7 from the standard wipe.           |
|                                                                           |
 ___________________________________________________________________________
                         J=Up K=Down Space=Select

Steuern Sie PRNG Stream an und bestätigen diese mit der Leertaste:

 ______________________ Wipe Methode __________________________________________
|    Quick Erase        syslinux.cfg: nuke="dwipe -- methode random"           |
|    RCMP TSSIT OPS-II  Security Level: Depends  on Rounds                     |
|    DoD Short                                                                 |
|    DoD 5220-22.M                                                             |
|    Gutmann Wipe                                                              |
| -> PRNG Stream                                                               |
|                                                                              |
| This methode fills the device with a stream from PRNG. It is probably the    |
| best method to use on modern hard disk drives because enconding schemes vary.|
|                                                                              |
| This method has a medium security level with 4 rounds, and a high security   |
| level with 8 rounds.                                                         |
 ______________________________________________________________________________

Solange wir Platten-Inhalte nicht vor den Geheimdiensten oder ähnlich gut ausgestatteten Angreifern schützen wollen, reicht es wohl für die meisten von uns aus, wenn wir eine Platte nur einmal überschreiben (Rundenzahl = 1). Diese ist bereits voreingestellt. Ansonsten können Sie die Rundenzahl (Rounds:) über den Kennbuchstaben "R" ändern, im folgenden zum Beispiel von 4 auf 1:

                         Darik's Boot and Nuke 1.0.6
 ______________ Options ____________________  ______________________________
|Entropy: Linux Kernel (random)             ||Runtime:                      |
|PRNG:    Mersenne Twister (mt19937ar-cok)  ||CPU Time:                     |
|Methode: PRNG Stream                       ||Load Average:                 |
|Verify: Last Pass                          ||Throughput:                   |
|Rounds: 4                                  ||Errors:                       |
 ___________________________________________________________________________

 ____________________________ Rounds ____________________________________
|                                                                         |
|  > 1                                                                    |
|                                                                         |
|  This is the number of times to run the wipe methode on each device.    |
|                                                                         |
|  syslinux.cfg: nuke="dwipe --rounds 1"                                  |
 _________________________________________________________________________

Starten Sie nun mit F10 das Löschen. Dann werden die statistischen Angaben dauernd aktualisiert und auch unterhalb der zu löschenden Platte der Fortgang angezeigt:

                         Darik's Boot and Nuke 1.0.6
 ________________ Options ________________  ______________________________
 ______________ Options ____________________  ______________________________
|Entropy: Linux Kernel (random)             ||Runtime:                      |
|PRNG:    Mersenne Twister (mt19937ar-cok)  ||CPU Time:                     |
|Methode: PRNG Stream                       ||Load Average:                 |
|Verify: Last Pass                          ||Throughput:                   |
|Rounds: 1                                  ||Errors:                       |
 ___________________________________________________________________________

 ________________________ Disks and Partitions ___________________________
|                                                                         |
|  (SCSI 0,0,1,0,-) IBM DDRS-39130                                        |
|     [00,90%, round 1 of 1, pass 1 of 1] [writing]  12693 KB/s           |
 __________________________________________________________________________

Zum Abschluß wird eine Übersicht über den Lösch-Auftrag angezeigt:

DBAN succeeded. All selected disks have been wiped.
Hardware clock Operation Start date:  Tue Jan 25 17:56:42 2005
Hardware clock Operation finish date: Tue Jan 25 18:40:47 2005
Saving log file to floppy disk.... saved /floppy/dbanlog/dbanOOOO.tgz
DBAN finished. Press ENTER to save the log file again.

Der DBAN-Log-File wird auf eine DOS-formatierte Floppy im Verzeichnis A:\dban gerettet Das kann auch die DBAN-Lösch-Floppy sein; sie darf dann aber nicht schreibgeschützt sein.

Nun können Sie den Rechner ausschalten und die DBAN-Lösch-Diskette aus dem Floppy-Laufwerk nehmen.

Denken Sie bitte daran, im BIOS wieder die Boot-Reihenfolge so zu setzen, daß nur von der Festplatte gebootet wird.

Wenn man eine so mit DBAN gelöschte Platte anschließend wieder unter Windows benutzen will, so muß man diese vorher formatieren.

4. Das DBAN F2-Menü mit einer DBAN-Einführung

(Text aus Datei about.txt)

Darik's Boot and Nuke: About
============================

Darik's Boot and Nuke ("DBAN") is a self-contained boot floppy that securely
wipes the hard disks of most Computers. DBAN will automatically and completely
delete the contents of any hard disk that it can detect, which makes it an
appropriate utility for bulk or emergency data destruction.

This Software wipes IDE and SCSI hard disk only. It does not recognize USB
devices, IEEE 1394 (Firewire) devices, or any kind of removable media. All
storage devices that this Software detects will be wiped. A 32-bit x86 class
CPU with 8 megabytes of memory is required for proper Operation.

All DBAN components are subject to Copyright. Please see the 'licenses'
folder within the DBAN distribution package for additional information.

Additional documentation will be available at http://dban.sorceforge.net/.

Remove the boot media to abort or press the ENTER key to continue.

boot:  __

Aktuell ist inzwischen die DBAN-Version 1.0.6 (s. [1]). Bereits Vers. 1.0.4 konnte schon SATA-Festplatten löschen.

5. Das DBAN F3-Menü mit der Liste der Bootprompt-Befehle

(Text aus Datei quick.txt)

Darik's Boot and Nuke: Quick Commands
=====================================

You may enter these commands at the boot prompt. In each case, all disks in
the Computer will be wiped automatically without confirmation.

 dod     Wipe all disks with the DoD 5220-22.M method.
 ops2    Wipe all disks with the RCMP TSSIT OPS-II method.
 gutmann Wipe all disks with the Gutmann method.
 prng    Wipe all disks with the PRNG Stream method.
 quick   Wipe all disks with the Quick Erase method.

Edit the syslinux.cfg file on the floppy disk to change the default
behavior of DBAN.

Remove the boot media to abort or press the ENTER key to continue.

boot: _

Hinweis: Die Schnellbefehle und die dadurch definierten Aufruf-Optionen sind in der Datei syslinux.cfg definiert, z.B. für den dod-Aufruf:

LABEL  dod
KERNEL kernel.bzi
APPEND initrd=initrd.gz root=/dev/ram0 init=/rc nuke="dwipe --autonuke --method dod522022m" silent

Die direkte Eingabe eines dieser Schnell-Befehle habe ich mich aber nie getraut, weil dann laut Beschreibung alle Platten gelöscht werden. Die vorher zu retten und hinterher alle wiederherzustellen war mir aber nur zum Testen dieses DBAN-Programms doch etwas zu aufwendig, denn dann müßte ich ja die gelöschten Platten auch wieder formatieren und die Partitionen exakt wieder so wie derzeit einrichten, bevor ich die Partitionen wieder aus dem Image-Backup herstellen kann.

6. Das DBAN F4-Menü mit den Hinweisen zur Fehlerbehebung

(Text aus Datei trouble.txt)

Darik's Boot and Nuke: Troubleshooting Commands:
================================================

Try these boot commands if you have problems.

   noflopy  Start without loading the floppy driver
   verbose  Print kernel messages

If DBAN runs with low throughput, then it may not have a good driver for
your hardware, or DMA faults may be causing a fallback to PIO mode. Check
the disk cabling and log file.

If DBAN does not detect any harddrivers in a new computer, than it does
not have an appropriate driver for that Computer. Drivers are added to
DBAN as they published for Linux.

Using DBAN on hardware RAID devices is unsupported.

Remove the boot media to abort or press the ENTER key to continue.

boot: _

Sehr informativ ist aber auch die DBAN-FAQ ("http://dban.sourceforge.net/faq/index.html).

7. Überblick über die DBAN Löschmethoden

Über den "M"-Buchstaben sieht man die Angaben zu den verschiedenen Lösch-Methoden.

Im rechten Teil der Anzeige bekommt man zum einen gesagt, wie man diese Methode im DBAN-Konfigurations-File syslinux.cfg voreinstellen kann. Zum anderen wird eine Sicherheits-Wertung gegeben.
Darunter wird die Löschmethode genauer bezeichnet.

Mit den Cursor-Tasten bzw. mit "J" oder "K" kann man eine andere Löschmethode auswählen und mit der Leertaste bestätigen. Dann wird dieses Auswahl-Menü wieder beendet.

Im folgenden sind die Angaben zu den einzelnen Lösch-Methoden aufgeführt:

Angaben zur Quick Erase-Löschmethode:

 ______________________ Wipe Methode _______________________________________
| -> Quick Erase        syslinux.cfg: nuke="dwipe -- methode zero"           |
|    RCMP TSSIT OPS-II  Security Level: Very Low (1 passes)                  |
|    DoD Short                                                               |
|    DoD 5220-22.M                                                           |
|    Gutmann Wipe                                                            |
|    PRNG Stream                                                             |
|                                                                            |
| This methode fills the device with zeros. Note that the rounds Option does |
| not apply to this method. This method always runs one round.               |
|                                                                            |
| Use this method to blank disks before internal redeployment, or before     |
| reinstalling Microsoft Windows to remove the data areas that the format    |
| utility preserves.
 ____________________________________________________________________________

Angaben zur RCMP TSSIT OPS-II-Löschmethode:

 ______________________ Wipe Methode _______________________________________
|    Quick Erase        syslinux.cfg: nuke="dwipe -- methode ops2"           |
| -> RCMP TSSIT OPS-II  Security Level: Low (8 passes)                       |
|    DoD Short                                                               |
|    DoD 5220-22.M                                                           |
|    Gutmann Wipe                                                            |
|    PRNG Stream                                                             |
|                                                                            |
| The Royal Canadian Mounted Police Technical Security Standard for          |
| Information Technology, Appendix OPS-II: Media Sanitization.               |
|                                                                            |
| This implementation, with regards to paragraph 2 section A of the standard,|
| uses a pattern that is one random byte and that is changed each round.     |
 ____________________________________________________________________________

Angaben zur voreingestellten DoD Short-Löschmethode:

 _________________________Wipe Methode _____________________________________
|   Quick Erase       syslinux.cfg: nuke="dwipe --method dodshort"          |
|   RCMP TSSIT OPS-II Security Level: Medium (3 passes)                     |
|-> DoD 5220-short                                                          |
|   DoD 5220-22.M                                                           |
|   Gutmann Wipe                                                            |
|   PRNG Stream                                                             |
|                                                                           |
| The American Department of Defense 5520-22.M short wipe.                  |
| The methode is composed of passes 1,2,7 from the standard wipe.           |
|                                                                           |
 ___________________________________________________________________________

Angaben zur DoD 5222-22.M-Löschmethode (s. [6]):

 _________________________Wipe Methode _____________________________________
|   Quick Erase       syslinux.cfg: nuke="dwipe --method dod522022m"        |
|   RCMP TSSIT OPS-II Security Level: Medium (7 passes)                     |
|   DoD Short                                                               |
|-> DoD 5220-22.M                                                           |
|   Gutmann Wipe                                                            |
|   PRNG Stream                                                             |
|                                                                           |
| The American Department of Defense 5520-22.M standard wipe.               |
| This implementation uses the same algorithm as the Heidi Eraser product.  |
|                                                                           |
 ___________________________________________________________________________

Hinweise zum Heidi Eraser product: s. [3]

Angaben zur Gutmann-Löschmethode (s. [5]):

 ______________________ Wipe Methode _______________________________________
|    Quick Erase        syslinux.cfg: nuke="dwipe -- methode gutmann"        |
|    RCMP TSSIT OPS-II  Security Level: High   (35  passes)                  |
|    DoD Short                                                               |
|    DoD 5220-22.M                                                           |
| -> Gutmann Wipe                                                            |
|    PRNG Stream                                                             |
|                                                                            |
| This is the methode described by Peter Gutmann in the paper entitled       |
| "Secure Deletion of data from Magnetic and Solid-State Memory".            |
 ____________________________________________________________________________

Angaben zur PRNG Stream-Löschmethode:

 ______________________ Wipe Methode __________________________________________
|    Quick Erase        syslinux.cfg: nuke="dwipe -- methode random"           |
|    RCMP TSSIT OPS-II  Security Level: Depends  on Rounds                     |
|    DoD Short                                                               |
|    DoD 5220-22.M                                                             |
|    Gutmann Wipe                                                              |
| -> PRNG Stream                                                               |
|                                                                              |
| This methode fills the device with a stream from PRNG. It is probably the    |
| best method to use on modern hard disk drives because enconding schemes vary.|
|                                                                              |
| This method has a medium security level with 4 rounds, and a high security   |
| level with 8 rounds.                                                         |
 ______________________________________________________________________________

8. Hinweise auf andere Platten-Löschprogramme

In der DBAN-FAQ heißt es zwar, DBAN is "good enough" for "most people", insbesondere wenn man die Platte bzw. Partition mehrfach mit Zufallszahlen (PRNG-Methode) überschreiben läßt, z.B. 4 oder gar 8 mal. Der ein oder andere ist aber an weiteren Lösch-Möglichkeiten interessiert.

8.1 Löschen mit dem Eraser-Programm

Der Eraser-Löschprogramm (s. [3]) kann unbenutzte Sektoren z.B. mit Zufallszahlen n-mal überschreiben. Das Eraser-Programm beherrscht aber auch die Gutmann-Lösch-Methode (s.[5]) oder die US DoD 5220-22.M-Löschmethoden (s. [6]). Damit kann man gezielt einzelne Partitionen sicher "löschen", indem man zuerst die betreffende Partition formatiert, und zwar mit FAT bzw. FAT32 statt mit NTFS, weil bei NTFS eine große Datei übrigbleibt, die das ERASER-Programm nicht löscht. Die Schnell-Formatierung reicht völlig aus. Durch die Formatierung sollen ja nur alle Sektoren freigegeben werden. Freigegebene, also zur Zeit unbenutzte Sektoren kann das Eraser-Programm dann im zweiten Schritt sicher löschen.

Man kann damit aber nicht die Windows-Partition löschen, also üblicherweise die C-Partition, weil Windows das Formatieren seiner eigenen Partition nicht erlaubt. Dazu benötigt man eine CD, von der man ein Windows bootet. Im FZJ stellt das ZAM für die Viren-Entfernung eine ZAM-Notfall-CD bereit (s. \\PCSRV\public\JuNetSecCD\Notfall-CD\DATUM-zam-notfallcd.iso ), die mit Hilfe der BartPE monatlich erstellt wird. Die Zeitschrift c't hat im Heft 8, 2005 ebenfalls eine solche Notfall-CD bereitgestellt. Wenn Sie von einer solchen Notfall-CD booten, ist Ihre Windows-System-Partition (C:) nicht aktiv. Dadurch können Sie diese von der Notfall-CD formatieren. Die ZAM-Notfall-CD verwendet den A43-Explorer. Damit können Sie die Partition anklicken und über dessen Rechte-Maus-Kontext-Menü das Formatieren starten. Unter X:\ERASER\CMD\ finden Sie auf der ZAM-Notfall-CD die Kommando-Version des Eraser-Programms (z.Z. in der älteren Version 5.7) und BAT-Files, deren Namen besagen, in welcher Partition die unbenutzten Sektoren überschrieben werden sollen. Anschaulich wird das in Kap. 10 der Eraser-Benutzeranleitung gezeigt (URL s. [4]).

8.2 Das VS-Clean-Plattenlöschprogramm des BSI

Vom BSI (Bundesamt für Sicherheit in der Informationsverarbeitung) können wir das Lösch-Programm VS-Clean in der Vers. 2.1 kaufen, das der VS-IT-Richtlinie entspricht. Dieses bootet von Diskette bzw. CD eine freie DOS-Version und startet damit das VS-Clean-Programm.

Das kann aber immer nur ganze Festplatten löschen, aber nicht gezielt nur einzelne Partitionen.
Die Angabe der zu löschenden Platte ist undurchsichtig.
Mein PC hat zwei Platten. Beim Löschen muß man dann angeben, ob man die 1. oder die 2. Platte löschen will. Da ich aber nicht weiß, wie das Programm meine Platten zählt, habe ich vorsorglich vorher die Platte, die ich nicht gelöscht haben wollte, entfernt (Stecker gezogen).
Das Löschen verwendet direkt den BIOS-13h Interrupt.
Es löscht in 7 Durchläufen mit folgenden Löschmustern:
- x'FF' (alles Einsen)
- x'00' (alles Nullen inklusiv der logischen Sektor-Nummern)
- x'FF' (alles Einsen inklusiv der invertierten Sektor-Nummern)
- x'00'
- x'FF'
- x'00'
- x'AA' also 1010 1010
Da die Löschung direkt per BIOS-Ausrufe durchgeführt wird, ist es wichtig, daß dieses auch bei größeren Platten immer die ganze Platte ansprechen kann ("sieht"). Ansonsten würde ja alles hinter der Grenze, die ein veraltetes BIOS erkennt, nicht gelöscht. Diese Problematik wird in der VS-Clean-Bedienungsanleitung sehr ausführlich besprochen.
Mit Hilfe des VS-Clean-Programms soll man sich Sektoren anzeigen lassen können.

Erste Wertung: Da keine Zufallszahlen, sondern nur statische Löschmuster verwendet werden, erscheint mir dieses Löschverfahren nicht sehr vertrauenserweckend. Andere Programme, z.B. das DBAN-Programm können diese Löschaufgabe mindestens gleichwertig erfüllen.

8.3 Das CBL-Schredder-Programm

Vorteile:

Es enthält die wichtigsten Lösch-Methoden.
Ausführliche Dokumentationen werden mitgeliefert.

Nachteile:

Es muß installiert werden.
Damit kann man immer nur Platte als ganzes löschen, aber nicht nur eine einzelne Partitionen.
Es verwendet das aktuelle Windows. Daraus folgt:
- Man kann damit dessen Windows-System-Platte (C:) natürlich nicht löschen. Dazu soll es aber laut Dokumentation eine DOS-Version geben.
- Wenn noch ein älteres BIOS verwendet wird, das von großen Platten nur den ersten Teil sieht, dann kann man mit diesem CBL-Schredder-Programm den zweiten Teil solch großer Platten nicht löschen.

9. Entsorgung sensitiver Platten im Forschungszentrum Jülich

Innerhalb des Forschungszentrum Jülich (FZJ) kann man Platten mit sensiblen Daten über B-NR entsorgen lassen. Die Platten werden dann von einer externen Firma "gemäß dem Bundesdatenschutzgesetz vernichtet." Herr Flaskamp hat das kontrolliert.
Ansprech-Partner: H. K.Flaskamp, Tel. 5787, H. T.Sommer, Tel. 5261 oder H. A.Thönnißen, Tel. 5261.
Die kommen auf Anruf die Platten bei Ihnen abholen. Man kann sie aber auch per Mail erreichen (hinter den oben angegebenen Namen (aber A.Thoennissen) unsere übliche Jülicher Mail-Adresse anfügen).
Für die OEs (Organisationseinheiten) entstehen keine Kosten.
Quelle: B-NR, Gruppe Abfallwirtschaft, abfallnewsletter Nr. 2 vom 7.4.2006
Die entsorgen auch CDs.

Festplatten mit sensitiven Daten kann man mechanisch zerstören, z.B. mit dem Bohrer. Bei defekten Festplatte ist das oft die einzige Methode.

10. Externe Links

[1] DBAN-Homepage
(http://dban.sourceforge.net/)

[2] DBAN Produkt-Übersicht (Product Feature Checklist)
(http://dban.sourceforge.net/features.html)
DBAN FAQ (http://dban.sourceforge.net/faq/index.html)

[3] Eraser Homepage ( http://www.heidi.ie/eraser/)
Eraser-Download ( http://www.heidi.ie/eraser/download.php)

[4] Nutzung des Eraser-Löschprogramms Vers. 57
(http://WWW.FZ-Juelich.DE/zam/sicherheit/download/freeware.1/eraser/zam-doc/eraser57-zam.htm)

[5] Peter Gutmann: Secure Deletion of Data from Magnetic and Solid-State Memory
(http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html)

 Pass	Lösch-Muster (binary,       hex)
   1	01010101 01010101 01010101, 0x55
   2	10101010 10101010 10101010, 0xAA
   3	10010010 01001001 00100100, 0x92 0x49 0x24
   4	01001001 00100100 10010010, 0x49 0x24 0x92
   5	00100100 10010010 01001001, 0x24 0x92 0x49
   6	00000000 00000000 00000000, 0x00
   7	00010001 00010001 00010001, 0x11
   8	00100010 00100010 00100010, 0x22
   9	00110011 00110011 00110011, 0x33
  10	01000100 01000100 01000100, 0x44
  11	01010101 01010101 01010101, 0x55
  12	01100110 01100110 01100110, 0x66
  13	01110111 01110111 01110111, 0x77
  14	10001000 10001000 10001000, 0x88
  15	10011001 10011001 10011001, 0x99
  16	10101010 10101010 10101010, 0xAA
  17	10111011 10111011 10111011, 0xBB
  18	11001100 11001100 11001100, 0xCC
  19	11011101 11011101 11011101, 0xDD
  20	11101110 11101110 11101110, 0xEE
  21	11111111 11111111 11111111, 0xFF
  22	10010010 01001001 00100100, 0x92 0x49 0x24
  23	01001001 00100100 10010010, 0x49 0x24 0x92
  24	00100100 10010010 01001001, 0x24 0x92 0x49
  25	01101101 10110110 11011011, 0x6D 0xB6 0xDB
  26	10110110 11011011 01101101, 0xB6 0xDB 0x6D
  27	11011011 01101101 10110110, 0xDB 0x6D 0xB6

[6] Die US DoD 5220-22.M-Lösch-Methoden:

  Pass	Matrix	Lösch-Muster
   1	 E [1]	Zufälliges Zeichen X
   2	 E [2]	Dessen bit-weise invertierte Darstellung
   3	 E [3]	Zufälliges Löschmuster
   4	 C     Zufälliges Zeichen Y
   5	 E [1]	Zufälliges Zeichen Z
   6	 E [2]	Dessen bit-weise invertierte Darstellung
   7	 E [3]	Zufälliges Löschmuster
                 mit X, Y, Z = [0,255]
                 Zufalls-Muster mit ISAAC
                 Pseudo-Zufallsgenerator erzeugt

  Pass	Matrix	Lösch-Muster (bin und hex)
   1	  E [1]	00000000,             0x00
   2	  E [2]	11111111,             0xFF
   3	  E [3]	Zufälliges Löschmuster, erzeugt mit ISAAC
                 Pseudo-Zufallsgenerator