Gutmann-Methode

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Die Gutmann-Methode, benannt nach ihrem Erfinder Peter Gutmann, der diese erstmals im Jahr 1996 veröffentlichte, ist eine Methode zur vollständigen Löschung von Daten, die auf magnetischen Speichermedien, z. B. Festplatten, gespeichert sind.

Dabei werden die Daten insgesamt bis zu 35-mal mit bestimmten Werten nach einem speziellen Muster überschrieben. Diese Methode ist sehr zeitaufwendig, gilt aber für Festplatten, die noch kein PRML oder EPRML verwenden, als die sicherste Methode der softwaregesteuerten rückstandslosen Datenlöschung. Dies sind in der Regel Festplatten bis spätestens zum Herstellungsdatum 2001 bzw. bis höchstens 15 GB Kapazität. Ist das genaue Kodierungsverfahren der Festplatte bekannt, ist es möglich, sich auf einen Teil der Gutmann-Methode zu beschränken. Neuere Festplatten werden durch die im Verfahren enthaltenen acht Durchgänge mit Zufallsdaten ebenfalls zuverlässig überschrieben, die anderen 27 Durchgänge sind unnötig.[1]

Bei heutigen Datendichten magnetischer Medien reicht schon ein Zufallsdurchgang[2] oder sogar ein Durchgang mit Nullen.[3]

Hintergrund[Bearbeiten | Quelltext bearbeiten]

Der Hintergrund dass Daten überschrieben werden um zu löschen, anstatt die die normalen Löschfunktionen der Betriebssysteme zu nutzen liegt darin, dass üblicherweise Betriebssysteme lediglich in den Dateimetadaten bzw. dem Verzeichniseintrag ein Vermerk setzen, dass die Datei gelöscht wurde. Die eigentlichen Daten bleiben dabei unangetastet.

Der Grund der vielfachen Überschreibung ist wiederum, dass die an die Festplatte gelieferten Daten zur zuverlässigen Speicherung umkodiert auf das Magnetmedium geschrieben werden. Um an jeder Stelle des Mediums eine mehrfache, d. h. mindestens zwei-, besser dreifache Ummagnetisierung zu erreichen, was zur Verhinderung von Rückschlüssen auf den ursprünglichen Wert mittels technisch aufwendiger Messungen erforderlich ist, müssen für jedes mögliche Kodierungsverfahren eine höhere Anzahl von Datenmustern an die Festplatte geliefert werden.

Wenn eine Datei normal gelöscht wird, wird lediglich der Speicher als frei markiert. Die Daten selbst sind also weiterhin vorhanden. Erst wenn dieser freie Speicherplatz überschrieben wird, kann kein Programm mehr die Daten lesen. Es ist jedoch in der Theorie möglich, durch aufwendiges Messen des Restmagnetismus diese Daten zu bestimmen. In der Praxis konnten jedoch schon nach einmaligem Überschreiben keine Daten ausgelesen werden.[2][4]

In einer Veröffentlichung aus dem Jahr 2003 von Daniel Feenberg[4], wird Kritik an Gutmanns Dokument geübt. Feenberg ist den im Dokument erwähnten Referenzen nachgegangen und stellte fest, dass keine der Behauptungen bezüglich der Wiederherstellung von Daten jemals praktisch erfolgreich waren. Die zitierten Personen haben zum Teil an ganz anderen Problemen gearbeitet als von Gutmann beschrieben.

Verfahren[Bearbeiten | Quelltext bearbeiten]

Die Gutmann-Methode verwendet folgende Durchgänge, wovon 27 auf bestimmte heute veraltete Leitungscodes abzielen:

Durchgang Datenmuster Ziel-Leitungscode
binär hexadezimal (1,7) RLL (2,7) RLL MFM
1 (Zufall) (Zufall)
2 (Zufall) (Zufall)
3 (Zufall) (Zufall)
4 (Zufall) (Zufall)
5 01010101 01010101 01010101 55 55 55 100 000 1000
6 10101010 10101010 10101010 AA AA AA 00 100 0 1000
7 10010010 01001001 00100100 92 49 24 00 100000 0 100
8 01001001 00100100 10010010 49 24 92 0000 100000 100 100
9 00100100 10010010 01001001 24 92 49 100000 00 100
10 00000000 00000000 00000000 00 00 00 101000 1000
11 00010001 00010001 00010001 11 11 11 0 100000
12 00100010 00100010 00100010 22 22 22 00000 100000
13 00110011 00110011 00110011 33 33 33 10 1000000
14 01000100 01000100 01000100 44 44 44 000 100000
15 01010101 01010101 01010101 55 55 55 100 000 1000
16 01100110 01100110 01100110 66 66 66 0000 100000 000000 10000000
17 01110111 01110111 01110111 77 77 77 100010
18 10001000 10001000 10001000 88 88 88 00 100000
19 10011001 10011001 10011001 99 99 99 0 100000 00 10000000
20 10101010 10101010 10101010 AA AA AA 00 100 0 1000
21 10111011 10111011 10111011 BB BB BB 00 101000
22 11001100 11001100 11001100 CC CC CC 0 10 0000 10000000
23 11011101 11011101 11011101 DD DD DD 0 101000
24 11101110 11101110 11101110 EE EE EE 0 100010
25 11111111 11111111 11111111 FF FF FF 0 100 000 100000
26 10010010 01001001 00100100 92 49 24 00 100000 0 100
27 01001001 00100100 10010010 49 24 92 0000 100000 100 100
28 00100100 10010010 01001001 24 92 49 100000 00 100
29 01101101 10110110 11011011 6D B6 DB 0 100
30 10110110 11011011 01101101 B6 DB 6D 100
31 11011011 01101101 10110110 DB 6D B6 00 100
32 (Zufall) (Zufall)
33 (Zufall) (Zufall)
34 (Zufall) (Zufall)
35 (Zufall) (Zufall)

Einschränkungen[Bearbeiten | Quelltext bearbeiten]

Mittlerweile besitzen IDE- und SCSI-Festplatten eine eigene Logik, z. B. können defekte Sektoren stillschweigend als defekt markiert und nicht mehr verwendet werden. Dabei könnten alte Daten auf diesen vielleicht noch rekonstruierbar sein.

Angesichts der Entwicklung bei Schreibverfahren von magnetischen Datenträgern ist das Verfahren in seiner Gänze heute nur noch von historischer Bedeutung, da dessen Entwicklung noch auf inzwischen nicht mehr verwendete Kodierungsverfahren wie Modified Frequency Modulation (MFM) und Run Length Limited (RLL) abzielte. Bei aktuellen Schreib- und Kodierungsverfahren geht man schon aufgrund der seit 1996 enorm gestiegenen Datendichte davon aus, dass auch wesentlich weniger Überschreibungen ausreichen, um eine physikalische Aufbereitung (mit spezieller Hardware) zu verhindern. Zudem beeinflussen sich die Datenblöcke teilweise gegenseitig, was die Auswertung erschwert bis unmöglich macht.

Des Weiteren benutzen moderne Dateisysteme das so genannte Journaling, wodurch ein Benutzer nicht wissen kann, wo seine Daten geschrieben werden, so dass ein garantiertes Überschreiben sämtlicher Datenblöcke einer Datei (ohne weitere Kernelerweiterungen) unmöglich ist. Dieses Problem tritt nur auf, wenn Dateien eines gemounteten Dateisystems gelöscht werden sollen. Eine (nicht gemountete) Partition oder Festplatte zu löschen, ist hingegen möglich.

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Peter Gutmann: Secure Deletion of Data from Magnetic and Solid-State Memory. University of Auckland, 22. Juli 1996, abgerufen am 14. April 2020 (englisch).
  2. a b Craig Wright, Dave Kleiman, Shyaam Sundhar: Overwriting Hard Drive Data: The Great Wiping Controversy. (pdf; 487 kB) In: Information Systems Security. 4th International Conference, ICISS 2008. Hrsg. von R. Sekar, A. K. Pujari, 21. Oktober 2008, S. 243–257, abgerufen am 14. April 2020 (englisch, ISBN 978-3-540-89861-0; doi:10.1007/978-3-540-89862-7_21).
  3. Richard Kissel, Andrew Regenscheid, Matthew Scholl, Kevin Stine: SP800-88 Rev. 1 Guidelines for Media Sanitization. (pdf; 532 kB) National Institute of Standards and Technology, 15. Dezember 2014, abgerufen am 14. April 2020 (englisch).
  4. a b Daniel Feenberg: Can Intelligence Agencies Read Overwritten Data? A response to Gutmann. National Bureau of Economic Research, 21. Juli 2003, abgerufen am 14. April 2020 (englisch, deutsch).