SSD's vernietigen: waarom overwriten niet werkt
Elke IT-beheerder kent de reflex: een laptop verlaat de vloot, dus boot DBAN of een vergelijkbare tool en overschrijf de schijf drie keer. Tientallen jaren was dat de gouden regel. Op een moderne SSD werkt die regel niet meer. De fysieke laag onder SSD werkt fundamenteel anders dan bij een magnetische HDD, en een overwrite die op een HDD uitstekend was is op een SSD een gok. Dit artikel legt uit waarom, en wat de enige betrouwbare oplossing is.
Wie dit leest: IT-beheerders, DPO's, inkopers die eindelijk willen begrijpen waarom hun wisprocedure niet voldoet aan AVG artikel 32.
Hoe een SSD data opslaat
Een SSD bevat NAND-flash chips, opgesplitst in blocks en pages. Data wordt geschreven per page (meestal 4 of 16 KB) maar kan alleen gewist worden per block (vaak 256 KB of meer). Het besturingssysteem praat niet direct met die blocks. Tussen OS en NAND zit de Flash Translation Layer (FTL), die logische adressen vertaalt naar fysieke locaties. De FTL beslist zelf waar data komt te staan, niet het OS.
Dat is essentieel. Wanneer Windows, macOS of Linux ‘schrijf naar sector X’ zegt, kan de FTL die schrijfactie naar een heel andere NAND-cell sturen, bijvoorbeeld om slijtage te verdelen.
Wear-leveling: de slijtageverdeler
NAND-cellen verslijten. Elke schrijfactie doet de cell pijn, en na een paar duizend tot honderdduizend cycli is de cell kapot. Om te voorkomen dat dezelfde plek altijd geraakt wordt, roteert de controller schrijfacties over het hele geheugen. Als jij op logisch sectoradres 0 schrijft, kan de data op fysieke cell 12345 belanden. De volgende keer op cell 67890.
Gevolg: als je de hele schijf ‘overschrijft met nullen’, weet je niet of je echt alle oude data geraakt hebt. Oudere fysieke cellen kunnen nog steeds vroegere inhoud bevatten die logisch niet meer aanspreekbaar is, maar met directe chip-access nog wel uitleesbaar.
Reservecellen en over-provisioning
Bovenop wear-leveling houdt elke SSD een reservepool aan: cellen die het OS nooit te zien krijgt, bedoeld om kapotte cellen te vervangen (remapping) en schrijfprestaties op peil te houden (over-provisioning). Een 512 GB SSD heeft vaak 10 tot 30 procent extra ruimte verborgen. Die reservecellen kun je met geen enkel OS-commando benaderen of overschrijven. Ze kunnen oude data bevatten die via chip-access nog altijd ophaalbaar is.
Een SSD met 512 GB capaciteit heeft feitelijk 620 GB tot 640 GB NAND in zich. Alle ruimte die het OS niet ziet, kan oude data vasthouden die wisprogramma's nooit raken.
TRIM: helpt, maar garandeert niets
TRIM is een commando dat het OS stuurt om de SSD te vertellen dat een block niet meer in gebruik is. De controller kan dat block dan op een geschikt moment intern wissen. Dat lijkt een oplossing, maar:
- TRIM is een ‘advies’ aan de controller, geen garantie. Wanneer het daadwerkelijk wist, bepaalt de firmware.
- Niet alle SSD's ondersteunen deterministische TRIM (waarbij gelezen data na TRIM gegarandeerd 0 is).
- Reservecellen worden door TRIM niet geraakt.
- Bij RAID, encryptie of ouder besturingssysteem kan TRIM uitgeschakeld of beperkt zijn.
ATA Secure Erase: beter maar niet feilloos
Het ATA Secure Erase-commando laat de SSD-controller zelf alle cellen wissen, inclusief reservecellen in veel gevallen. Dat is aanzienlijk betrouwbaarder dan OS-niveau overwriten. Onderzoekers aan UCSD toonden al in 2011 (paper ‘Reliably Erasing Data from Flash-Based Solid State Drives’) aan dat een deel van de geteste SSD's na Secure Erase niettemin restanten data overliet. Fabrikant-bugs, firmware-problemen en implementatiefouten zorgen dat je nooit 100 procent zeker bent.
NIST 800-88 classificeert Secure Erase op SSD daarom onder Purge, met de kanttekening dat succes afhangt van fabrikant en model. Voor lage risicoprofielen acceptabel. Voor AVG-gevoelige categorieën onvoldoende.
Self-encrypting drives: snel wissen via crypto-erase
Moderne SSD's ondersteunen vaak OPAL of TCG-encryptie. Alle data staat versleuteld met een Data Encryption Key (DEK). Wie de DEK wegdoet, maakt alle data onleesbaar. Dit heet crypto-erase en is in seconden klaar. Krachtig, mits:
- De encryptie altijd actief is geweest (niet pas later aangezet).
- De sleutelbeheer op orde is.
- Er geen backdoors zijn gezet door firmware.
- De crypto zelf sterk genoeg is (AES-256 minimaal).
Voor hoog risico blijft fysieke vernietiging de veilige keuze. Crypto-erase is theoretisch breekbaar als ooit een zwakte in de encryptie gevonden wordt.
SSD-voorraad uit de roulatie? Vernietig fysiek.
Wij shredderen SSD's tot DIN 66399 E-4 of hoger op jouw locatie. Geen laptop verlaat je pand intact. Certificaat per serienummer.
Vraag een offerte aanWat schrijft DIN 66399 voor?
De E-reeks in DIN 66399 geldt voor elektronische dragers zoals SSD's, usb-sticks en geheugenkaarten.
- E-2: partikels tot 2000 mm². Onvoldoende voor persoonsgegevens.
- E-3: partikels tot 160 mm². Klasse 1.
- E-4: partikels tot 30 mm². De ondergrens voor reguliere persoonsgegevens.
- E-5: partikels tot 10 mm². Bijzondere categorieën en financieel.
- E-6: partikels tot 1 mm². Zeer gevoelige data.
- E-7: partikels tot 0.5 mm². Overheid en topgeheim.
Voor de meeste AVG-plichtige organisaties is E-4 de standaard. Voor zorg, financieel en advocatuur kies je E-5. Lees ook ons artikel over DIN 66399 P-niveaus voor de papierkant van dezelfde norm.
Verschil met USB en SD
USB-sticks, SD-kaartjes en microSD gebruiken dezelfde NAND-technologie, vaak met eenvoudiger controllers. Veel goedkope sticks hebben geen wear-leveling en slechte TRIM-ondersteuning, wat wissen nog onbetrouwbaarder maakt. De conclusie is hetzelfde: vernietigen. Zie ook ons artikel over USB-sticks en geheugenkaarten veilig afvoeren.
Samengevat
- Software-overwriting op SSD raakt niet alle NAND door wear-leveling.
- Reservecellen blijven buiten bereik van elk OS-commando.
- ATA Secure Erase is beter maar niet feilloos.
- Crypto-erase werkt alleen als encryptie van dag een actief was.
- Voor AVG-gevoelige data is fysieke vernietiging (E-4 of hoger) de enige betrouwbare optie.
Batch SSD's uit leaseretour of einde-levensduur? Bel ons of vraag een offerte aan via desnipperaar.nl. Mobiele shredder, certificaat per serienummer, geen brandstoftoeslag.