Howto: SSD Secure Erase mit hdparm unter Linux

Herkömmliche, magnetische Festplatten löscht man am einfachsten mit DBAN, sofern es mit aktuellen (U)EFI-Versionen noch bootbar ist. Um hierbei Erfolg zu haben, kann man im UEFI-Setup ggf. Secure Boot deaktivieren und die Unterstützung von nativen Geräten, die nicht UEFI-fähig sind, aktivieren.

Manchmal möchte man aber auch eine SSD löschen. Hierzu gibt es zwei Möglichkeiten: Entweder, man verwendet eine PartedMagic Live-CD. Liegt diese nicht vor, kann man auch irgendein Live-Linux System booten und sich des hdparm-Kommandos der Shell bedienen.

Grundsätzlich muss unterschieden werden zwischen dem Löschen, dem sicheren Löschen und dem Zurücksetzen jeder einzelnen Speicherzelle der SSD über das TRIM-Kommando. Sicheres Löschen meint hier, dass ein internes Kommando der SSD angesprochen wird; was die SSD dabei genau macht, hat der Hersteller definiert. In der Regel wird dabei nur der Schlüssel der Speicherverschlüsselung neu erstellt, so dass alle Daten in den bisherigen Speicherzellen unlesbar sind und die SSD „wie fabrikneu“ aussieht. Deshalb ist der Löschvorgang oft auch bereits nach wenigen Sekunden erledigt. Mehr soll mit dem „sicheren Löschen“ auch nicht erreicht werden. Ein vollständiges Zurücksetzen aller Speicherzellen kann einen Geschwindigkeitsvorteil bewirken. Die Hersteller schweigen sich aber leider immer noch über die Möglichkeiten dazu aus, so dass ich darauf nur zum Schluss und am Rande eingehen werde.

Wichtig: Bei Neuinstallation von Ubuntu wird das Secure Erase automatisch vorgenommen. Das nachfolgende Vorgehen ist also nur sinnvoll, will man z. B., dass ein Windows-PC die eingebaute SSD als fabrikneu erkennt.

  1. Booten Sie ein aktuelles Live-Linux von CD, DVD oder USB-Stick.
  2. Starten Sie ein Terminal-Fenster und fordere root-Rechte an.
    sudo -i
  3. Lassen Sie sich eine Liste aller angeschlossenen Speichermedien anzeigen.
    hdparm -i /dev/sd?
  4. In der Regel wird die am ersten SATA-Port angeschlossene Festplatte mit sda bezeichnet.
  5. Fragen Sie den Status des Security Freeze für sda ab.
    hdparm -I /dev/sda
  6. Die Ausgabe enthält ganz unten in etwa folgende Angaben: supported, not enabled, not locked, not frozen, not expired: security count, supported: enhanced erase.
  7. Sollte hier statt not frozen die Eigenschaft frozen stehen, muss nun noch der Freeze-Status der SSD aufgehoben werden: Handelt es sich um einen Laptop, hilft es, diesen in den Standby-Modus (Display-Deckel schließen) zu versetzen und direkt danach wieder aufzuwecken. Handelt es sich um einen Desktop-PC, kann im laufenden Betrieb die SSD stromlos gemacht und wieder mit Strom versorgt werden. Danach führt eine erneute Abfrage meist zum Erfolg.
  8. Legen Sie nun ein temporäres ATA-Security-Passwort fest. Nennen Sie es doch einfach „SSD“.
    hdparm –user-master u –security-set-pass SSD /dev/sda
  9. Nun kann der Security Erase ausgeführt werden.
    hdparm –user-master u –security-erase SSD /dev/sda
  10. Der Vorgang kann je nach SSD von wenigen Sekunden bis zu wenigen Minuten dauern. In meinen Tests mit Intenso-, Kingston-, Sandisk- und Verbatim-SSDs dauerte es ca. 5–20 Sekunden.
  11. Sollten Sie risikofreudig sein und sich einen Performancegewinn erhoffen, können Sie nun auch jeden Block der SSD einzeln per TRIM löschen. Der entsprechende Befehl wäre wie folgt. Die Werte müssen jedoch je nach SSD angepasst werden.
    hdparm –trim-sector-ranges 1000:4 7894:16 /dev/sda

Als weitere Informationsquellen empfehle ich die folgenden Artikel:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.