Gutmann-Methode
Die Gutmann-Methode, benannt nach ihrem Erfinder Peter Gutmann, der diese erstmals im Jahr 1996 veröffentlichte, ist eine Methode zur vollständigen Löschung von Daten, die auf magnetischen Speichermedien, z. B. Festplatten, gespeichert sind.
Dabei werden die Daten insgesamt bis zu 35 Mal mit bestimmten Werten nach einem speziellen Muster überschrieben. Diese Methode ist sehr zeitaufwendig, gilt aber für Festplatten, die noch kein PRML oder EPRML verwenden, als die sicherste Methode der softwaregesteuerten rückstandslosen Datenlöschung. Dies sind in der Regel Festplatten bis spätestens zum Herstellungsdatum 2001 bzw. bis höchstens 15 GB Kapazität. Ist das genaue Kodierungsverfahren der Festplatte bekannt, ist es möglich, sich auf einen Teil der Gutmann-Methode zu beschränken. Neuere Festplatten werden durch die im Verfahren enthaltenen acht Durchgänge mit Zufallsdaten ebenfalls zuverlässig überschrieben, die anderen 27 Durchgänge sind dann unnötig.[1]
Bei heutigen Datendichten magnetischer Medien reicht schon ein Zufallsdurchgang[2] oder sogar ein Durchgang mit Nullen.[3]
Hintergrund
Der Hintergrund, dass Daten überschrieben werden, um sie zu löschen, anstatt die normalen Löschfunktionen der Betriebssysteme zu nutzen, liegt darin, dass üblicherweise Betriebssysteme lediglich in den Dateimetadaten bzw. dem Verzeichniseintrag einen Vermerk setzen, dass die Datei gelöscht wurde. Die eigentlichen Daten bleiben dabei unangetastet.
Der Grund der vielfachen Überschreibung ist wiederum, dass die an die Festplatte gelieferten Daten zur zuverlässigen Speicherung umkodiert auf das Magnetmedium geschrieben werden, womit erreicht werden soll, dass mittels der so eingebrachten zusätzlichen Bits eine Fehlerkorrektur beim Lesen möglich wird. Um an jeder Stelle des Mediums eine mehrfache, d. h. mindestens zwei-, besser dreifache Ummagnetisierung zu erreichen, was zur Verhinderung von Rückschlüssen auf den ursprünglichen Wert mittels technisch aufwendiger Messungen erforderlich ist, müssen für jedes mögliche Kodierungsverfahren eine höhere Anzahl von Datenmustern an die Festplatte geliefert werden.
Wenn eine Datei normal gelöscht wird, wird lediglich der Speicherort als frei markiert. Die Daten selbst sind also weiterhin vorhanden. Erst wenn dieser freie Speicherplatz überschrieben wird, kann kein Programm mehr die Daten lesen. Es ist jedoch in der Theorie möglich, durch aufwendiges Messen des Restmagnetismus diese Daten zu bestimmen. In der Praxis konnten jedoch schon nach einmaligem Überschreiben keine Daten ausgelesen werden.[2][4]
In einer Veröffentlichung aus dem Jahr 2003 von Daniel Feenberg[4] wird Kritik an Gutmanns Dokument geübt. Feenberg ist den im Dokument erwähnten Referenzen nachgegangen und stellte fest, dass keine der Behauptungen bezüglich der Wiederherstellung von Daten jemals praktisch erfolgreich war. Die zitierten Personen haben zum Teil an ganz anderen Problemen gearbeitet als von Gutmann beschrieben.
Verfahren
Die Gutmann-Methode verwendet folgende Durchgänge, wovon 27 auf bestimmte, heute veraltete, Leitungscodes abzielen:
| Durchgang | Datenmuster | Ziel-Leitungscode | |||
|---|---|---|---|---|---|
| binär | hexadezimal | (1,7) RLL | (2,7) RLL | MFM | |
| 1 | (Zufall) | (Zufall) | |||
| 2 | (Zufall) | (Zufall) | |||
| 3 | (Zufall) | (Zufall) | |||
| 4 | (Zufall) | (Zufall) | |||
| 5 | 01010101 01010101 01010101 | 55 55 55 | 100… | 000 1000… | |
| 6 | 10101010 10101010 10101010 | AA AA AA | 00 100… | 0 1000… | |
| 7 | 10010010 01001001 00100100 | 92 49 24 | 00 100000… | 0 100… | |
| 8 | 01001001 00100100 10010010 | 49 24 92 | 0000 100000… | 100 100… | |
| 9 | 00100100 10010010 01001001 | 24 92 49 | 100000… | 00 100… | |
| 10 | 00000000 00000000 00000000 | 00 00 00 | 101000… | 1000… | |
| 11 | 00010001 00010001 00010001 | 11 11 11 | 0 100000… | ||
| 12 | 00100010 00100010 00100010 | 22 22 22 | 00000 100000… | ||
| 13 | 00110011 00110011 00110011 | 33 33 33 | 10… | 1000000… | |
| 14 | 01000100 01000100 01000100 | 44 44 44 | 000 100000… | ||
| 15 | 01010101 01010101 01010101 | 55 55 55 | 100… | 000 1000… | |
| 16 | 01100110 01100110 01100110 | 66 66 66 | 0000 100000… | 000000 10000000… | |
| 17 | 01110111 01110111 01110111 | 77 77 77 | 100010… | ||
| 18 | 10001000 10001000 10001000 | 88 88 88 | 00 100000… | ||
| 19 | 10011001 10011001 10011001 | 99 99 99 | 0 100000… | 00 10000000… | |
| 20 | 10101010 10101010 10101010 | AA AA AA | 00 100… | 0 1000… | |
| 21 | 10111011 10111011 10111011 | BB BB BB | 00 101000… | ||
| 22 | 11001100 11001100 11001100 | CC CC CC | 0 10… | 0000 10000000… | |
| 23 | 11011101 11011101 11011101 | DD DD DD | 0 101000… | ||
| 24 | 11101110 11101110 11101110 | EE EE EE | 0 100010… | ||
| 25 | 11111111 11111111 11111111 | FF FF FF | 0 100… | 000 100000… | |
| 26 | 10010010 01001001 00100100 | 92 49 24 | 00 100000… | 0 100… | |
| 27 | 01001001 00100100 10010010 | 49 24 92 | 0000 100000… | 100 100… | |
| 28 | 00100100 10010010 01001001 | 24 92 49 | 100000… | 00 100… | |
| 29 | 01101101 10110110 11011011 | 6D B6 DB | 0 100… | ||
| 30 | 10110110 11011011 01101101 | B6 DB 6D | 100… | ||
| 31 | 11011011 01101101 10110110 | DB 6D B6 | 00 100… | ||
| 32 | (Zufall) | (Zufall) | |||
| 33 | (Zufall) | (Zufall) | |||
| 34 | (Zufall) | (Zufall) | |||
| 35 | (Zufall) | (Zufall) | |||
Einschränkungen
Mittlerweile besitzen IDE- und SCSI-Festplatten eine eigene Logik, z. B. können defekte Sektoren stillschweigend als defekt markiert und nicht mehr verwendet werden. Dabei könnten alte Daten auf diesen vielleicht noch rekonstruiert werden.
Angesichts der Entwicklung bei Schreibverfahren von magnetischen Datenträgern ist das Verfahren in seiner Gänze heute nur noch von historischer Bedeutung, da dessen Entwicklung noch auf inzwischen nicht mehr verwendete Kodierungsverfahren wie Modified Frequency Modulation (MFM) und Run Length Limited (RLL) abzielte. Bei aktuellen Schreib- und Kodierungsverfahren geht man schon aufgrund der seit 1996 enorm gestiegenen Datendichte davon aus, dass auch wesentlich weniger Überschreibungen ausreichen, um eine physikalische Aufbereitung (mit spezieller Hardware) zu verhindern. Zudem beeinflussen sich die Datenblöcke teilweise gegenseitig, was die Auswertung erschwert bis unmöglich macht.
Des Weiteren benutzen moderne Dateisysteme das so genannte Journaling, wodurch ein Benutzer nicht wissen kann, wo seine Daten geschrieben werden, so dass ein garantiertes Überschreiben sämtlicher Datenblöcke einer Datei (ohne weitere Kernelerweiterungen) unmöglich ist. Dieses Problem tritt nur auf, wenn Dateien eines gemounteten Dateisystems gelöscht werden sollen. Eine (nicht gemountete) Partition oder Festplatte zu löschen, ist hingegen möglich.
Weblinks
- Peter Gutmann: Secure Deletion of Data from Magnetic and Solid-State Memory. University of Auckland, 22. Juli 1996 (englisch).
- Peter Gutmann: cryptlib Encryption Toolkit. University of Auckland, 16. Juni 2004 (englisch).
- Harald Bögeholz: Sicheres Löschen: Einmal überschreiben genügt. In: Heise online. 16. Januar 2009.
Einzelnachweise
- Peter Gutmann: Secure Deletion of Data from Magnetic and Solid-State Memory. University of Auckland, 22. Juli 1996, abgerufen am 14. April 2020 (englisch).
- Craig Wright, Dave Kleiman, Shyaam Sundhar: Overwriting Hard Drive Data: The Great Wiping Controversy. (pdf; 487 kB) In: Information Systems Security. 4th International Conference, ICISS 2008. Hrsg. von R. Sekar, A. K. Pujari, 21. Oktober 2008, S. 243–257, abgerufen am 14. April 2020 (englisch, ISBN 978-3-540-89861-0; doi:10.1007/978-3-540-89862-7_21).
- Richard Kissel, Andrew Regenscheid, Matthew Scholl, Kevin Stine: SP800-88 Rev. 1 Guidelines for Media Sanitization. (pdf; 532 kB) National Institute of Standards and Technology, 15. Dezember 2014, abgerufen am 14. April 2020 (englisch).
- Daniel Feenberg: Can Intelligence Agencies Read Overwritten Data? A response to Gutmann. National Bureau of Economic Research, 21. Juli 2003, abgerufen am 14. April 2020 (englisch, deutsch).