Gutmann-Methode
Die Gutmann-Methode, benannt nach ihrem Erfinder Peter Gutmann, der diese erstmals im Jahr 1996 veröffentlichte, ist eine Methode zur vollständigen Löschung von Daten, die auf magnetischen Speichermedien, z. B. Festplatten, gespeichert sind.
Dabei werden die Daten insgesamt bis zu 35-mal mit bestimmten Werten nach einem speziellen Muster überschrieben. Diese Methode ist sehr zeitaufwändig, gilt aber für Festplatten, die noch kein PRML oder EPRML verwenden, als die sicherste Methode der softwaregesteuerten rückstandslosen Datenlöschung. Dies sind in der Regel Festplatten bis spätestens zum Herstellungsdatum 2001 bzw. bis höchstens 15 GB Kapazität. Ist das genaue Kodierungsverfahren der Festplatte bekannt, ist es möglich, sich auf einen Teil der Gutmann-Methode zu beschränken. Neuere Festplatten werden durch die im Verfahren enthaltenen acht Durchgänge mit Zufallsdaten ebenfalls zuverlässig überschrieben, die anderen 27 Durchgänge sind unnötig.[1]
Bei heutigen Datendichten magnetischer Medien reicht schon ein Zufallsdurchgang[2] oder sogar ein Durchgang mit Nullen.[3]
Inhaltsverzeichnis
Hintergrund[Bearbeiten | Quelltext bearbeiten]
Hintergrund der vielfachen Überschreibung ist, dass die an die Festplatte gelieferten Daten zur zuverlässigen Speicherung umkodiert auf das Magnetmedium geschrieben werden. Um an jeder Stelle des Mediums eine mehrfache, d. h. mindestens zwei-, besser dreifache Ummagnetisierung zu erreichen, was zur Verhinderung von Rückschlüssen auf den ursprünglichen Wert mittels technisch aufwendiger Messungen erforderlich ist, müssen für jedes mögliche Kodierungsverfahren eine höhere Anzahl von Datenmustern an die Festplatte geliefert werden.
Wenn eine Datei normal gelöscht wird, wird lediglich der Speicher als frei markiert. Die Daten selbst sind also weiterhin vorhanden. Erst wenn dieser freie Speicherplatz überschrieben wird, kann kein Programm mehr die Daten lesen. Es ist jedoch in der Theorie möglich, durch aufwändiges Messen des Restmagnetismus diese Daten zu bestimmen. In der Praxis konnten jedoch schon nach einmaligem Überschreiben keine Daten ausgelesen werden.[2][4]
Verfahren[Bearbeiten | Quelltext bearbeiten]
Die Gutmann-Methode verwendet folgende Durchgänge, wovon 27 auf bestimmte heute veraltete Leitungscodes abzielen:
| Durchgang | Datenmuster | Ziel-Leitungscode | |||
|---|---|---|---|---|---|
| binär | hexadezimal | (1,7) RLL | (2,7) RLL | MFM | |
| 1 | (Zufall) | (Zufall) | |||
| 2 | (Zufall) | (Zufall) | |||
| 3 | (Zufall) | (Zufall) | |||
| 4 | (Zufall) | (Zufall) | |||
| 5 | 01010101 01010101 01010101 | 55 55 55 | 100… | 000 1000… | |
| 6 | 10101010 10101010 10101010 | AA AA AA | 00 100… | 0 1000… | |
| 7 | 10010010 01001001 00100100 | 92 49 24 | 00 100000… | 0 100… | |
| 8 | 01001001 00100100 10010010 | 49 24 92 | 0000 100000… | 100 100… | |
| 9 | 00100100 10010010 01001001 | 24 92 49 | 100000… | 00 100… | |
| 10 | 00000000 00000000 00000000 | 00 00 00 | 101000… | 1000… | |
| 11 | 00010001 00010001 00010001 | 11 11 11 | 0 100000… | ||
| 12 | 00100010 00100010 00100010 | 22 22 22 | 00000 100000… | ||
| 13 | 00110011 00110011 00110011 | 33 33 33 | 10… | 1000000… | |
| 14 | 01000100 01000100 01000100 | 44 44 44 | 000 100000… | ||
| 15 | 01010101 01010101 01010101 | 55 55 55 | 100… | 000 1000… | |
| 16 | 01100110 01100110 01100110 | 66 66 66 | 0000 100000… | 000000 10000000… | |
| 17 | 01110111 01110111 01110111 | 77 77 77 | 100010… | ||
| 18 | 10001000 10001000 10001000 | 88 88 88 | 00 100000… | ||
| 19 | 10011001 10011001 10011001 | 99 99 99 | 0 100000… | 00 10000000… | |
| 20 | 10101010 10101010 10101010 | AA AA AA | 00 100… | 0 1000… | |
| 21 | 10111011 10111011 10111011 | BB BB BB | 00 101000… | ||
| 22 | 11001100 11001100 11001100 | CC CC CC | 0 10… | 0000 10000000… | |
| 23 | 11011101 11011101 11011101 | DD DD DD | 0 101000… | ||
| 24 | 11101110 11101110 11101110 | EE EE EE | 0 100010… | ||
| 25 | 11111111 11111111 11111111 | FF FF FF | 0 100… | 000 100000… | |
| 26 | 10010010 01001001 00100100 | 92 49 24 | 00 100000… | 0 100… | |
| 27 | 01001001 00100100 10010010 | 49 24 92 | 0000 100000… | 100 100… | |
| 28 | 00100100 10010010 01001001 | 24 92 49 | 100000… | 00 100… | |
| 29 | 01101101 10110110 11011011 | 6D B6 DB | 0 100… | ||
| 30 | 10110110 11011011 01101101 | B6 DB 6D | 100… | ||
| 31 | 11011011 01101101 10110110 | DB 6D B6 | 00 100… | ||
| 32 | (Zufall) | (Zufall) | |||
| 33 | (Zufall) | (Zufall) | |||
| 34 | (Zufall) | (Zufall) | |||
| 35 | (Zufall) | (Zufall) | |||
Einschränkungen[Bearbeiten | Quelltext bearbeiten]
Mittlerweile besitzen IDE- und SCSI-Festplatten eine eigene Logik, z. B. können defekte Sektoren stillschweigend als defekt markiert und nicht mehr verwendet werden. Dabei könnten alte Daten auf diesen vielleicht noch rekonstruierbar sein.
Angesichts der Entwicklung bei Schreibverfahren von magnetischen Datenträgern ist das Verfahren in seiner Gänze heute nur noch von historischer Bedeutung, da dessen Entwicklung noch auf inzwischen nicht mehr verwendete Kodierungsverfahren wie Modified Frequency Modulation (MFM) und Run Length Limited (RLL) abzielte. Bei aktuellen Schreib- und Kodierungsverfahren geht man schon aufgrund der seit 1996 enorm gestiegenen Datendichte davon aus, dass auch wesentlich weniger Überschreibungen ausreichen, um eine physikalische Aufbereitung (mit spezieller Hardware) zu verhindern. Zudem beeinflussen sich die Datenblöcke teilweise gegenseitig, was die Auswertung erschwert bis unmöglich macht.
Des Weiteren benutzen moderne Dateisysteme das so genannte Journaling, wodurch ein Benutzer nicht wissen kann, wo seine Daten geschrieben werden, so dass ein garantiertes Überschreiben sämtlicher Datenblöcke einer Datei (ohne weitere Kernelerweiterungen) unmöglich ist. Dieses Problem tritt nur auf, wenn Dateien eines gemounteten Dateisystems gelöscht werden sollen. Eine (nicht gemountete) Partition oder Festplatte zu löschen, ist hingegen möglich.
Weblinks[Bearbeiten | Quelltext bearbeiten]
- Peter Gutmann: Secure Deletion of Data from Magnetic and Solid-State Memory (englisch)
- Peter Gutmann: cryptlib Encryption Toolkit (englisch)
- Sicheres Löschen: Einmal überschreiben genügt heise online 16. Januar 2009
Einzelnachweise[Bearbeiten | Quelltext bearbeiten]
- ↑ Peter Gutmann: Secure Deletion of Data from Magnetic and Solid-State Memory. Abgerufen am 30. November 2012 (englisch).
- ↑ a b Craig Wright, Dave Kleiman, Shyaam Sundhar: Overwriting Hard Drive Data: The Great Wiping Controversy. In: R. Sekar, A. K. Pujari (Hrsg.): Information Systems Security. 4th International Conference, ICISS 2008. 2008, ISBN 978-3-540-89861-0, S. 243–257, doi:10.1007/978-3-540-89862-7_21 (PDF).
- ↑ Kissel, Richard, Andrew Regenscheid, Matthew Scholl, Kevin Stine: SP800-88 Rev. 1 Guidelines for Media Sanitization (PDF) In: Computer Security Division, Information Technology Laboratory. National Institute of Standards and Technology. December 2014. Abgerufen am 18. Januar 2018.
- ↑ Can Intelligence Agencies Read Overwritten Data? (englisch)
