Семикратная перезапись данных для безопасного удаления — устаревший миф, который продолжает жить благодаря маркетингу и непониманию физических принципов работы современных накопителей
Метод многопроходной перезаписи часто ассоциируется с зарубежными стандартами, такими как DoD 5220.22-M (три или семь проходов), и особенно с работой Питера Гутмана (Peter Gutmann) 1996 года. Гутман описал до 35 проходов с различными паттернами для старых дисков с кодированием MFM (Modified Frequency Modulation) и RLL (Run-Length Limited). В то время плотность записи составляла единицы–десятки мегабит на квадратный дюйм, а размер битовой ячейки теоретически позволял использовать магнитно-силовую микроскопию (magnetic force microscopy) для считывания остаточного намагничивания (magnetic remanence).
Современные жёсткие диски применяют перпендикулярную магнитную запись (PMR — Perpendicular Magnetic Recording) и достигают плотности в терабиты на квадратный дюйм. Трек-питч (track pitch) сократился до десятков нанометров, а битовая ячейка стала сопоставима по размеру с магнитным доменом. Магнитное поле записи полностью перемагничивает домены, а высокое соотношение сигнал/шум (signal-to-noise ratio) в головках чтения (с TMR — Tunneling Magnetoresistive или MAMR-элементами) делает любой остаточный сигнал предыдущей записи неотличимым от шума.
Сам Гутман в поздних комментариях подчёркивал, что для дисков с PRML/EPRML-кодированием, а тем более для современных накопителей, достаточно «good scrubbing with random data» — по сути, одного–трёх проходов случайными данными. Полные 35 проходов он не считал обязательными.
В российской практике вопросы защиты информации регулируются ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» и ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации». Требования к стиранию данных и остаточной информации на машинных носителях содержатся в приказах ФСТЭК России — № 117 (от 11 апреля 2025 г., вступил в силу 1 марта 2026 г. и заменил ранее действовавший приказ № 17) для государственных информационных систем, иных информационных систем государственных органов, государственных унитарных предприятий и государственных учреждений, а также № 239 для значимых объектов критической информационной инфраструктуры. Эти документы акцентируют внимание на уничтожении (стирании) данных при передаче носителей, выводе из эксплуатации или обработке информации ограниченного доступа, с обязательным документированием действий. Кроме того, ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» описывает методы защиты, включая двухпроходную перезапись (первый проход — нули или фиксированный паттерн, второй — случайные данные).
Достаточно ли одной перезаписи?
Однократная перезапись нулями или криптографически стойкими случайными данными полностью перекрывает предыдущее состояние битовой ячейки. Вероятность восстановления исходных данных стремится к нулю благодаря физике: интерференция от соседних дорожек значительно превышает любой остаточный сигнал. На плотностях выше ~1 Тбит/дюйм² даже специализированное лабораторное оборудование не способно извлечь полезную информацию после одного прохода.
Международные рекомендации, в частности NIST SP 800-88 (Guidelines for Media Sanitization), подтверждают, что для современных магнитных накопителей на уровне Clear достаточно одного прохода перезаписи (single-pass overwrite фиксированным значением или случайными данными). Многопроходные методы не дают измеримого прироста безопасности, но существенно увеличивают время операции. Они сохраняют смысл только для действительно старых архивных носителей с низкой плотностью записи (MFM/RLL до середины 1990-х годов). На дисках, выпущенных после 2010 года, практических публичных случаев успешного восстановления данных после однократной перезаписи не зафиксировано.
Для твердотельных накопителей (SSD — Solid State Drive) подход принципиально отличается. Из-за wear-leveling (выравнивания износа) и over-provisioning (скрытых резервных областей, обычно 7–28 % от номинальной ёмкости) простая перезапись логического блока не гарантирует физического затирания всех копий данных. Контроллер может перенаправить запись в другую NAND-ячейку, оставив исходную до момента garbage collection (сборки мусора).
Восстановление данных после форматирования
Криминалистическое восстановление работает на уровне сырых секторов. Быстрое форматирование лишь сбрасывает таблицу файловой системы (MFT в NTFS, inode в ext4), оставляя данные нетронутыми — их легко восстановить инструментами вроде R-Studio или TestDisk.
Полное форматирование с заполнением нулями выполняет однократную перезапись всех пользовательских секторов. На современных HDD этого достаточно: после перезаписи инструменты восстановления видят только нули или шум. Личный эксперимент на десятках дисков разных поколений подтверждает, что исходные данные не извлекаются.
На SSD команда TRIM (или UNMAP в NVMe) уведомляет контроллер, что логический блок больше не используется. В фоне запускается garbage collection: ячейки NAND переводятся в стёртое состояние. Процесс занимает от секунд до часов в зависимости от нагрузки и прошивки. Однако если TRIM отключён (например, в RAID-массиве, через USB-адаптер без поддержки или на старом контроллере), данные могут сохраняться в областях over-provisioning.
Почему метод Гутмана устарел
Алгоритм Гутмана разрабатывался под слабости старых кодировок, где остаточное намагничивание теоретически поддавалось восстановлению с помощью MFM-микроскопа. Современные HDD с PMR, TDMR (Two-Dimensional Magnetic Recording) и высокой линейной плотностью делают такой подход невозможным: перезапись полностью меняет магнитное состояние доменов, а треки расположены настолько плотно, что сигнал от соседних дорожек доминирует.
Wear-leveling в SSD добавляет дополнительный слой сложности. При перезаписи логического адреса контроллер перенаправляет данные в физическую страницу, отличную от предыдущей. Исходные ячейки остаются нетронутыми до блочного стирания. Поэтому программная многопроходная перезапись одного и того же LBA часто не затрагивает все физические копии данных.
Рекомендации по безопасному удалению данных
Для жёстких магнитных дисков (HDD) однократной перезаписи нулями или случайными данными достаточно в большинстве случаев. Подходящие инструменты включают cipher /w: в Windows, shred -n 1 -z в Linux и diskutil secureErase в macOS. Для максимальной надёжности рекомендуется использовать ATA Sanitize-команду, если накопитель её поддерживает, или полное форматирование с overwrite.
Для SSD предпочтительны специализированные команды firmware. ATA Secure Erase (или NVMe Sanitize) инициирует блочное стирание всех NAND-ячеек, включая скрытые области. Cryptographic Erase (криптографическое стирание) на self-encrypting drives (SED, поддерживающих TCG Opal или Pyrite) позволяет просто удалить или заменить ключ шифрования — данные остаются на диске, но становятся полностью нечитаемыми. Этот метод не вызывает дополнительный износ NAND и работает практически мгновенно. Существует также Enhanced Secure Erase, который записывает предопределённые паттерны производителя.
Перед применением Secure Erase необходимо проверить поддержку команды через утилиты hdparm, smartctl или фирменные инструменты производителей. Если диск уже зашифрован (BitLocker, FileVault, LUKS), криптографическое стирание становится самым быстрым и надёжным вариантом.
Лучшая долгосрочная практика — полнодисковое шифрование с момента начала эксплуатации (full disk encryption, AES-XTS 256 bit). В этом случае удаление данных сводится к уничтожению ключа шифрования. Такой подход одинаково эффективен на HDD и SSD, минимизирует время операции и износ носителя.
Как проверить результат
Не следует полагаться исключительно на отчёт программы удаления. После перезаписи рекомендуется просмотреть сырые сектора с помощью dd и hexdump в Linux (или аналогов в Windows — HxD, WinHex). Инструменты восстановления (Photorec, DMDE, R-Studio) не должны обнаруживать исходные файлы. Для дополнительной уверенности можно написать простой скрипт, который выборочно читает сектора и сравнивает их содержимое с ожидаемым паттерном (нули или случайные данные).
Некоторые утилиты отображают только прогресс записи, но не выполняют верификацию чтением. Поэтому независимая проверка результата остаётся обязательным этапом.
FAQ (часто задаваемые вопросы)
Достаточно ли одной перезаписи на современных HDD? Да. Согласно физике записи и рекомендациям NIST SP 800-88, однократная перезапись (single-pass overwrite) делает восстановление данных практически невозможным для большинства сценариев. Многопроходные методы (включая семь проходов) — это перестраховка, не дающая реального прироста безопасности.
Что лучше для SSD — перезапись или Secure Erase? Для SSD программная перезапись ненадёжна из-за wear-leveling и over-provisioning. Предпочтительны ATA Secure Erase / NVMe Sanitize или Cryptographic Erase. Последний особенно удобен на зашифрованных дисках.
Соответствуют ли рекомендации российским ГОСТам и приказам ФСТЭК? Да. Приказ ФСТЭК № 117 (заменивший № 17) и № 239 требуют надёжного уничтожения (стирания) данных и остаточной информации на машинных носителях при передаче или выводе из эксплуатации, с контролем и документированием. ГОСТ Р 50739-95 описывает двухпроходный метод как один из вариантов защиты. Однократная перезапись на HDD, dedicated sanitize-команды и криптографическое стирание на SSD в сочетании с шифрованием обычно удовлетворяют этим требованиям при правильной реализации и верификации.
Нужно ли физическое уничтожение носителя? Только в случаях высшей секретности или когда другие методы недоступны. Для большинства задач достаточно sanitize-команд или криптографического стирания.
Какой инструмент выбрать для проверки? Используйте сырое чтение секторов (dd, hexdump, HxD) и программы восстановления. Не доверяйте только отчёту утилиты удаления.
Основные термины
- Magnetic Remanence (магнитная реманентность) — остаточное намагничивание, которое теоретически может сохранять следы предыдущей записи.
- Wear Leveling (выравнивание износа) — технология SSD, распределяющая записи по всем ячейкам для продления срока службы.
- Over-Provisioning (избыточное резервирование) — скрытая дополнительная ёмкость NAND-памяти (7–28 %), используемая контроллером для оптимизации и замены изношенных ячеек.
- Garbage Collection (сборка мусора) — процесс очистки и объединения блоков NAND после удаления данных.
- Cryptographic Erase (криптографическое стирание) — метод, при котором данные остаются на носителе, но становятся нечитаемыми после удаления ключа шифрования.
- ATA Secure Erase — firmware-команда, выполняющая низкоуровневое стирание всего диска.
Маркетинг активно эксплуатирует страх, делая фразу «семикратная перезапись» более убедительной, чем «один проход». Сертификации и тендеры часто копируют устаревшие требования. В нишевых сценариях многопроходные алгоритмы могут применяться, однако в большинстве случаев это перестраховка, а не техническая необходимость.
Граница между разумной предосторожностью и избыточной паранойей определяется ценностью данных и конкретной угрозной моделью. Для большинства практических задач оптимальным балансом остаётся однократная перезапись на HDD, dedicated sanitize-команды и криптографическое стирание на SSD, а также обязательное использование полнодискового шифрования.