必须使用符合NVMe/ATA协议的底层擦除机制才能彻底清除SSD数据。具体包括:一、厂商专用工具执行Secure Erase;二、BIOS/UEFI内置Secure Erase功能;三、Linux命令行调用nvme format或hdparm;四、SED硬盘密钥清除。
如果您需要彻底清除SSD固态硬盘中的所有数据,防止通过专业工具恢复敏感信息,则必须使用符合NVMe/ATA协议的底层擦除机制。普通格式化或文件删除无法真正覆盖闪存单元中的原始数据。以下是执行安全擦除的具体步骤:
一、使用SSD厂商专用工具执行Secure Erase
大多数主流SSD厂商(如Samsung、Crucial、WD、Intel)提供经过认证的专有工具,可直接调用设备内置的Secure Erase指令,该指令由控制器固件实现,能同时清除所有NAND闪存块,包括预留空间和磨损均衡区域。
1、访问SSD制造商官网,下载对应型号的官方管理工具(例如Samsung Magician、Crucial Storage Executive、WD Dashboard)。
2、将SSD通过SATA或NVMe接口连接至支持UEFI启动的Windows或Linux主机,确保系统以管理员权限运行工具。
3、在工具主界面中查找“Secure Erase”、“Data Sanitization”或“Factory Reset”选项,部分工具要求先解除硬盘写保护或输入用户密码(若已启用SED功能)。
4、确认执行后,工具会提示SSD将进入离线状态并重置所有逻辑页映射表,此过程不可中断,耗时从数秒到数分钟不等,取决于容量与主控性能。
二、通过BIOS/UEFI内置Secure Erase功能触发
部分主板(尤其是Intel 200系列及以上芯片组、AMD AM4平台后期主板)在UEFI设置中集成了ATA Secure Erase调用接口,可绕过操作系统直接向SSD发送标准指令,适用于无可用厂商工具或需在无系统环境下操作的场景。
1、重启计算机,在开机自检阶段反复按Delete/F2/F12键进入UEFI BIOS设置界面。
2、切换至“Advanced”或“Storage”选项卡,寻找名为“Secure Erase”、“ATA Secure Erase”或“Sanitize Drive”的子菜单项。
3、选择目标SSD设备,部分主板要求先设置一个临时密码(仅用于本次擦除验证),随后确认执行。
4、保存设置并退出,系统将自动重启并进入专用擦除流程,屏幕可能显示黑屏或进度光标,期间禁止断电或强制重启。
三、使用Linux命令行执行nvme format或hdparm --user-master
在Linux环境中,可通过标准内核驱动调用NVMe规范中的sanitize命令或传统ATA协议的SECURE_ERASE_UNIT指令,无需额外软件,适用于服务器环境或需脚本化批量处理的场景。
1、使用root权限登录终端,执行lsblk或lshw -class disk识别目标SSD设备名(如/dev/nvme0n1或/dev/sda)。
2、对NVMe盘执行:运行sudo nvme format /dev/nvme0n1 --ses=1,其中--ses=1表示启用全盘块擦除模式;对SATA SSD执行:sudo hdparm --user-master u --security-set-pass Eins /dev/sda后立即运行sudo hdparm --user-master u --security-erase Eins /dev/sda。
3、命令执行后,设备将返回完成状态码,此时需验证擦除效果:运行sudo nvme id-ctrl /dev/nvme0n1 | grep -i sanitize或sudo hdparm -I /dev/sda | grep "Security:"确认安全状态字段已重置。
4、重新分区前,必须执行sudo partprobe /dev/nvme0n1或sudo blockdev --rereadpt /dev/sda使内核重新识别磁盘结构。
四、启用硬件加密自毁(SED)模式下的密钥清除
若SSD支持TCG Opal 2.0标准且已启用硬件全盘加密(FDE),则擦除加密密钥等效于瞬时销毁全部用户数据,因原始明文从未以未加密形式存储于NAND中,该方法速度最快且不可逆。
1、确认SSD为Opal兼容型号(如Micron 5200/5300系列、Samsung PM893、Kingston KC600),并在BIOS中启用“Opal Password”或“HDD Password”选项。
2、使用sedutil-cli工具连接设备:sudo sedutil-cli --scan,记录返回的CPD值与锁状态。
3、执行密钥销毁指令:sudo sedutil-cli --initialSetup (首次初始化)或sudo sedutil-cli --revertTper (恢复出厂密钥并锁定)。
4、操作完成后,所有用户数据区域被标记为不可解密,即使物理提取NAND芯片也仅能读取随机密文,无需等待写入延迟,全程耗时低于1秒。
