Mengapa Penghapusan DoD Tidak Bekerja pada Memori Flash (dan Apa yang Sebenarnya Bekerja)

Mengapa Skema Penghapusan DoD Multi-Pass Tidak Berlaku untuk Memori Flash, Meskipun Sering Dirujuk

Untuk waktu yang lama, penghapusan aman berarti satu hal: menimpa data. Lalu menimpanya lagi. Dan mungkin sekali lagi, agar benar-benar aman. Pendekatan ini berhasil, dapat diukur, dan selaras dengan pedoman Departemen Pertahanan yang ditulis pada akhir tahun 1990-an.

Dulu hal ini benar. Sekarang tidak lagi. Mari kita berhenti berpura-pura sebaliknya.

Masalahnya bukan karena pedoman penghapusan DoD itu salah. Masalahnya adalah media penyimpanan telah berubah — secara mendasar — sementara banyak kebiasaan penghapusan tidak ikut berubah.

Mengapa penghapusan DoD ada sejak awal

Skema penimpaan DoD klasik dirancang untuk media magnetik: hard drive dan pita, di mana data berada di lokasi fisik yang tetap. Setiap sektor dapat dialamatkan langsung oleh perangkat lunak. Jika pola baru ditulis di atas sektor lama cukup sering, dapat diasumsikan secara wajar bahwa domain magnetik asli telah hilang atau tidak dapat dipulihkan.

Penimpaan multi-pass bukanlah takhayul. Metode ini ditujukan untuk menghadapi teknik forensik nyata yang berfokus pada pendeteksian residu magnetik. Asumsi-asumsinya masuk akal karena perangkat keras mendukungnya.

Memori flash tidak demikian.

Memori flash merusak model penimpaan

Penyimpanan NAND flash — drive USB, kartu SD, microSD, CompactFlash, SSD — memperkenalkan lapisan abstraksi yang tidak pernah dimiliki media magnetik. Data tidak lagi ditulis langsung ke lokasi fisik yang tetap. Sebaliknya, sebuah controller mengelola di mana data sebenarnya disimpan.

Controller tersebut melakukan wear leveling, pemetaan ulang blok, dan pensiun blok yang rusak. Alamat blok logis yang disajikan ke host dipetakan secara dinamis ke sel NAND fisik. Beberapa blok fisik sengaja disembunyikan. Yang lain dipensiunkan setelah terjadi kesalahan. Banyak di antaranya tidak pernah dapat diakses langsung melalui antarmuka baca/tulis standar.

Hal ini membawa pada satu kebenaran sederhana namun tidak nyaman: perangkat lunak tidak dapat mengalamatkan setiap blok fisik pada perangkat flash secara andal.

Ini bukan pendapat. Hal ini kini secara eksplisit didokumentasikan dalam pedoman sanitasi modern. Penghapusan berbasis penimpaan tidak dapat menjamin penghilangan semua data yang sebelumnya ditulis pada media flash karena tidak semua lokasi memori dapat dijangkau oleh host.

Mengapa penimpaan multi-pass tidak menyelamatkan Anda

Pada titik ini, sebagian orang kembali ke naluri lama: “Baik, kalau begitu kita timpa saja lebih banyak kali.”

Logika tersebut masuk akal ketika cakupan penimpaan bersifat deterministik. Pada flash, tidak demikian.

Beberapa kali penimpaan tidak meningkatkan kepastian. Justru sering kali menghasilkan kebalikan. Penulisan berulang memicu wear leveling tambahan, meningkatkan kemungkinan data dipindahkan ke blok cadangan atau yang telah dipetakan ulang — tepat pada area yang tidak dapat dilihat atau dijangkau oleh host.

Memori flash juga tidak menyimpan residu analog seperti media magnetik. Tidak ada domain magnetik yang memudar untuk dikhawatirkan. Jika setiap sel dapat ditimpa satu kali, itu sudah cukup. Masalahnya bukan berapa kali penimpaan dilakukan, melainkan bahwa Anda tidak mengontrol ke mana penimpaan tersebut diarahkan.

Lebih banyak pass tidak berarti cakupan yang lebih luas. Sebagian besar hanya berarti lebih banyak optimisme.

Jadi, apakah memori flash dapat dihapus sepenuhnya?

Jawaban yang jujur bergantung pada tingkat jaminan yang Anda perlukan.

Penimpaan berbasis host saja tidak cukup untuk sanitasi dengan tingkat jaminan tinggi. Metode ini dapat membersihkan ruang alamat logis, tetapi tidak dapat membuktikan bahwa semua sel NAND fisik telah dihapus.

Perintah secure erase atau sanitize pada tingkat controller dapat efektif — jika diimplementasikan dengan benar. Metode ini bergantung pada firmware yang menginstruksikan controller untuk membatalkan pemetaan, menghapus blok internal, atau meninggalkan wilayah yang telah dipensiunkan. Efektivitasnya hanya sejauh firmware controller dapat dipercaya dan dirancang dengan baik.

Penghapusan kriptografis, di mana semua data disimpan dalam keadaan terenkripsi dan kunci enkripsi dihancurkan, saat ini merupakan pendekatan non-destruktif yang paling praktis untuk membuat semua data — termasuk blok tersembunyi — tidak dapat dibaca. Namun, sekali lagi, hal ini bergantung pada implementasi dan pengelolaan kunci yang benar di dalam controller.

Penghancuran fisik tetap menjadi satu-satunya metode yang dapat dibuktikan tanpa bergantung pada perilaku firmware. Itulah sebabnya metode ini masih muncul dalam kebijakan dengan tingkat jaminan tertinggi, meskipun secara operasional tidak praktis.

Realitas praktis yang dihadapi organisasi

Dalam lingkungan nyata, sebagian besar organisasi tidak beroperasi dengan model ancaman badan intelijen. Mereka perlu membersihkan perangkat untuk digunakan kembali, dipindahkan, atau dibuang secara terkendali. Mereka membutuhkan konsistensi, dokumentasi, dan pengurangan risiko — bahkan jika pemusnahan fisik absolut tidak dapat dicapai.

Di sinilah proses penghapusan yang disiplin tetap penting. Menggunakan alat yang sadar akan controller untuk melakukan penghapusan logis yang tervalidasi, dikombinasikan dengan batas kebijakan yang jelas tentang kapan penghapusan kriptografis atau penghancuran diperlukan, jauh lebih baik daripada menerapkan asumsi lama secara membabi buta.

Ini juga berarti bersikap jujur tentang apa yang sebenarnya dicapai oleh suatu operasi penghapusan — dan apa yang tidak.

Mengapa hal ini semakin penting saat ini

Penyimpanan flash ada di mana-mana. Drive USB, kartu SD, microSD, CompactFlash — faktor bentuknya berubah, tetapi perilaku dasarnya tidak. Memperlakukan semua media penyimpanan seolah-olah masih berupa hard drive tahun 1998 secara diam-diam meningkatkan risiko.

Intinya bukan bahwa flash itu tidak aman. Intinya adalah metode sanitasi harus sesuai dengan media. Ketika tidak sesuai, kesenjangan antara keamanan yang dirasakan dan keamanan yang sebenarnya akan semakin besar.

Alat dan platform seperti Nexcopy hadir untuk membawa struktur dan keterulangan ke dalam realitas ini di berbagai jenis media berbasis flash. Mereka tidak mengubah fisika NAND. Mereka membantu organisasi menerapkan kontrol terbaik yang tersedia — secara konsisten, terlihat, dan dengan lebih sedikit asumsi.

Penghapusan aman tidak berhenti bekerja. Penyimpananlah yang berubah. Semakin cepat kita mengakuinya, semakin baik kebijakan — dan hasil — yang akan kita peroleh.

---

Bagaimana artikel ini dibuat

Artikel ini disusun dengan bantuan AI untuk kerangka dan perumusan, kemudian ditinjau, diedit, dan difinalisasi oleh penulis manusia untuk meningkatkan kejelasan, akurasi, dan relevansi dunia nyata.

Pengungkapan gambar

Gambar di bagian atas artikel ini dibuat menggunakan kecerdasan buatan untuk tujuan ilustrasi. Gambar tersebut bukan merupakan foto dari lingkungan nyata.