39585 Letture
Secure Erase e SSD: cos'è e come funziona

Secure Erase e SSD: cos'è e come funziona

Cancellazione sicura dei dati su SSD ovvero Secure Erase: come funziona e come può aiutare a ripristinare un'unità SSD che ha iniziato a diventare lenta.

Per eliminare in modo sicuro i dati da un hard disk esistono "dalla notte dei tempi" apposite utilità che impediscono il recupero dei file previa loro sovrascrittura (con diversi algoritmi; ne abbiamo parlato anche nell'articolo Cancellare file in modo sicuro quando si cedono PC o hard disk).

Le metodologie e gli strumenti utilizzati per eliminare i file definitivamente dagli hard disk magnetomeccanici di tipo tradizionale non vanno bene per le unità SSD. Operare pesanti operazioni di sovrascrittura dei dati su SSD contribuisce a ridurre la vita dell'unità e non consente di ottenere il risultato prefisso.

Nell'articolo Hard disk o SSD, caratteristiche e differenze abbiamo descritto tutte le principali differenze tra hard disk e SSD nonché spiegato perché un elevato numero di scritture su SSD può contribuire a ridurne la vita anche se ormai sono piuttosto il tempo, le condizioni di utilizzo e conservazione dell'unità a stato solido a incidere molto sulla sua durata e sulla comparsa dei primi problemi: vedere La durata degli SSD è un parametro di cui preoccuparsi?, SSD, come funzionano le tecnologie che li rendono più veloci e SSD, differenze tra le unità consumer e quelle destinate alle imprese.


Secure Erase e SSD: cos'è e come funziona

Tutti i più moderni sistemi operativi supportano ormai il comando TRIM che permette di indicare i blocchi che non sono più in uso su un SSD (si pensi ai blocchi liberati dopo l'eliminazione di uno o più file).
Il comando TRIM permette di passare al controller dell'SSD l'informazione sui blocchi di dati da eliminare al controller dell'SSID che poi procederà, successivamente, alla loro effettiva rimozione.

L'idea è quella di posporre l'operazione di cancellazione dei blocchi di dati demandandola appunto al controller che la eseguirà usando lo logica stabilita dal produttore dell'SSD a livello firmware. Il comando TRIM consente di evitare quei rallentamenti che si rilevarono nei primi modelli di SSD quando le celle di memoria NAND venivano gestite una per volta in fase di cancellazione dei dati.

La "ricetta" per l'eliminazione dei dati dall'unità SSD è comunque contenuta, come accennato, nel firmware ossia nel programma precaricato dal produttore - che ovviamente differisce da un modello all'altro - e che prescrive quando e come cancellare davvero i dati.

Cos'è il Secure Erase delle unità SSD e come funziona

Abbiamo detto che usare le utilità per la cancellazione sicura dei dati concepite per gli hard disk tradizionale è inutile, controproducente e anche dannoso sulle unità SSD. Aumentare drasticamente il numero di scritture sull'unità, contribuisce soltanto a ridurne la vita e non permette di arrivare all'obiettivo prefissato perché la cancellazione dei dati è di fatto gestita - a basso livello - da firmware e controller.

Si chiama Secure Erase quella speciale procedura che sugli SSD permette di cancellare i dati definitivamente, in modo sicuro, in maniera tale che essi non possano essere recuperati - almeno sulla carta - neppure usando apposite utilità o rivolgendosi a centri specializzati.

Secure Erase è un comando ATA che viene cioè eseguito a basso livello e che permette di "istruire" il controller dell'SSD di impostare tutte le sue celle come "vuote", riportandole allo stato di fabbrica.

Il comando Secure Erase, pur presente nella specifica ATA, viene supportato in maniera differente nelle varie unità SSD. Ecco perché gli strumenti software rilasciati da ciascun produttore - che permettono il Secure Erase - non sono compatibili con gli SSD di terze parti.

Samsung Magician, SanDisk SSD Toolkit, Intel Solid-State Toolbox e OCZ Toolbox sono alcuni esempi di utilità che permettono di effettuare la cancellazione sicura del contenuto di un SSD riportandolo allo "stato di fabbrica" su Windows 7, Windows 8, Windows 8.1 e Windows 10.

Nel caso in cui non si riuscisse a individuare l'utilità che permette di arrivare allo stesso risultato ed effettuare un Secure Erase su SSD, è possibile l'ottimo (e gratuito) AOMEI Partition Assistant.


Dopo aver installato e avviato il software, selezionato l'SSD il cui contenuto deve essere cancellato definitivamente, basterà scegliere il comando SSD Secure Erase dalla colonna di sinistra (sezione Disk operations).

Secure Erase e SSD: cos'è e come funziona

AOMEI Partition Assistant può lanciare l'operazione di Secure Erasing su qualunque tipo di unità SSD.

Il contenuto di tutte le celle di memoria NAND viene così "azzerato" e ripristinato in un'unica soluzione.

Soluzioni alternative per effettuare la cancellazione sicura dei dati presenti in un'unità SSD

Come alternativa rispetto ad AOMEI Partition Assistant, nel caso in cui non si disponesse di un'utilità - fornita dal produttore - per il Secure Erase, si può usare Parted Magic come spiegato nell'articolo Eliminare dati in modo sicuro da SSD e flash (il programma costa 11 dollari) oppure ricorrere al comando hdparm usato da un supporto di avvio basato su kernel Linux (vedere questa pagina di supporto).


Per le unità SSD NVMe (vedere anche SSD M2, cosa sono e come scegliere quelli migliori), si può effettuare il boot da una distribuzione Linux "live" (ad esempio da Ubuntu Linux), aprire la finestra del terminale e digitare quanto segue:

sudo apt install nvme-cli
sudo nvme list


L'utilità nvme-cli mostra un elenco delle unità SSD NVMe installate sul sistema che saranno riconoscibili con "etichette" quali /dev/nmve0n1 o simili con il modello mostrato accanto a ciascuna di esse.
Per controllare se l'unità supporta la modalità Secure Erase, si può digitare sudo nvme id-ctrl -H /dev/nvme0n1.


Nell'output del comando, cercare l'area "fna": se appare "Crypto Erase Supported as part of Secure Erase", l'unità SSD supporta la cancellazione sicura. Il comando seguente renderà irrecuperabili i dati:
sudo nvme format /dev/nvme0 --ses=1

Come accennato in precedenza, è possibile usare l'utilità hdparm eseguita ad esempio da una distribuzioni Linux "live" digitando quanto segue:

sudo -i
hdparm -i /dev/sd?


Il secondo comando permette di ottenere la lista delle unità collegate (non solo SSD ma anche eventuali hard disk).

Con il comando seguente si dovrà dapprima sbloccare ("scongelare"), ove necessario, l'unità: hdparm -I /dev/xxx
Al posto xxx è necessario sostituito l'identificativo dell'unità SSD da gestire.

Successivamente si potranno impartire due comandi per procedere con la cancellazione sicura dei dati:

hdparm --user-master u --security-set-pass password /dev/sdX
hdparm --user-master u --security-erase password /dev/sdX


Al posto di password specificare una password arbitrariamente scelta.

Alcune osservazioni conclusive sul processo Secure Erase

Durante il Secure Erase l'SSD viene temporaneamente "bloccato" in modo da renderlo totalmente inutilizzabile da parte di qualunque altro processo. Diversamente, si correrebbe il rischio di rendere l'unità completamente inutilizzabile.

Il Secure Erase consente anche di riportare in salute un SSD che cominciasse ad evidenziare comportamenti "strani" come evidenti cali prestazionali. Dopo un utilizzo "massivo" dell'SSD, infatti, le performance dell'unità potrebbero crollare verticalmente: l'utilizzo del Secure Erase permette di ripristinare l'unità di memorizzazione senza impattare negativamente sulla sua vita e quindi sulla su durata.


In precedenza, riferendoci alle finalità della funzionalità Secure Erase abbiamo scritto che "sulla carta" consente di cancellare tutti i dati memorizzati nell'SSD in maniera definitiva.
Diversi studi accademici hanno comunque dimostrato che la logica con cui il firmware procede alla rimozione dei dati conservati nelle celle NAND talvolta è imperfetta e in alcune situazioni può comunque essere possibile ripristinare delle informazioni.
È bene tenerlo presente quando si memorizzano dati personali su un SSD nel caso in cui si prevedesse di trasferirlo ad altri utenti.

Secure Erase e SSD: cos'è e come funziona - IlSoftware.it