HGST nach secure Erase HDD "locked" - unlock nicht möglich

[kaji-kun]

Hallo zusammen,

gestern hat mir ein Kumpel seine 4TB HGST HDS724040ALE640 vorbeigebracht.
Diese hat er auf seiner Synology mittels Secure Erase "löschen" wollen da er die Platte verkaufen will.
Da seine HDD nach dem Secure Erase nicht mehr funktioniert (SMART-Werte alle noch i.O aber kein Zugriff auf die HDD möglich) habe ich die HDD bei mir mal mittels hdparm -I geprüft. Wie zu erwarten steht die HDD als "locked" da.



Nach etwas Recherche wie man die HDD unlocken kann habe ich den entsprechenden Befehl:
sudo hdparm --user-master m --security-unlock [password] /dev/sda
gefunden und mit dem Password für Hitachi (32x Leertaste) getestet

Leider mit negativer Antwort: "Password missing"

Habt ihr ne Idee wie ich die HDD wieder entriegeln kann bzw. warum das "password" nicht funktioniert?

 

[BlubbsDE]

Den Kumpel nach dem Passwort fragen.

Wenn die per ATA Passwort geschützt wurde, bekommst Du das nicht weg.

 

[AndrewPoison]

Ist es möglich, dass der Secure-Erase einfach noch nicht abgeschlossen ist?
Im Gegensatz zu Instant-Secure-Erase werden da doch tatsächlich alle Daten überschrieben, statt einfach nur den Schlüssel für die (verschlüsselt vorliegenden) Daten zu löschen?


Evtl. steht da auch was im SMART-Log dazu (das eine aktive Operation gerade läuft).

 

[SimSon]

Was ist wenn gar kein Passwort eingegeben wurde? Schon mal ohne eine Eingabe eines Passwortes versucht?

 

[kaji-kun]

Mein Kumpel hat hier kein Passwort vergeben.
Ist leider ein bekanntes Thema bei DSM. Secure Erase läuft durch (ca. 5h) und schließt am ende nicht "richtig" ab. Zwar steht im DSM Vorgang erfolgreich aber leider kann man die HDD anschließend nicht initialisieren.

Normalerweise führt man den hdparm Befehl aus mit dem Herstellerspezifischen PW und anschließend sollte das ganze wieder gehen.

Ganz ohne PW hab ich noch nicht getestet - werd ich gleich mal.
SMART schaue ich auch nochmal nach...


EDIT:
Ohne Passwort leider das gleiche Ergebnis.
Habe gerade zufällig nen anderen Thread aus nem Synology-Forum entdeckt, bei dem ne Info steht, dass der unlock nur auf der DS passieren kann die auch den Secure Erase verbockt hat. Denke das teste ich als nächstes

 

[Holt]

mit dem Password für Hitachi (32x Leertaste) getestet

Die musst Du aber auch in Anführungszeichen setzen. Denke daran das es Stunden dauert, sofern die HDD nicht nur intern den Key der Verschlüsselung wechselt.

Nur wie kommt man auf die Idee das man unbedingt ein Secure Erease machen will? Dies führt eben immer wieder zu genau solchen Problemen, dabei reicht einmal überschreiben auch aus und dies klappt immer bzw. wenn die Platte sich nicht mehr überschreiben lässt, ist sie ein Fall für die Entsorgung und wird ggf. vorher mit kalt umverformt, sollten da noch sensible Daten drauf sein.

 

[kaji-kun]

Habe schon beide Varianten getestet mit und ohne Anführungszeichen.
Wenn das PW akzeptiert wird sollte es aber wohl nicht mit der Meldung "Password Missing" quittiert werden - gehe also davon aus, dass der Vorgang nicht gestartet wurde.

Warum man sowas macht?
Weil mein Kumpel wie geschrieben die HDD löschen wollte für den Verkauf und es leider nicht wusste das es sich hierbei nicht um ein normales HDD-Wiping handelt wie es bei seiner QNAP der Fall ist.

Wenn ich es nicht schon ganz am Anfang im Synology-Forum gelesen hätte, als die Funktion eingeführt wurde, das es hier massive Probleme gibt, hätte ich die Funktion wohl auch schon unbedacht benutzt.
Sieht ja auch relativ vernünftig aus:

 

[Holt]

Ohne Anführungszeichen kann es nicht gehen, da die shell die Blanks eben sonst nicht als Argument für den Befehl erkennt und sie daher nicht an ihn übergibt. Kennst Du das Userpasswort welches gesetzt wurde?

Die ATA Secure Erase Funktion ist kein Kinderspielzeug, man sollte wissen was man macht und sie nach Möglichkeit meiden, denn wenn man dabei Fehler macht, wird die Platte sehr leicht unbrauchbar. Das einfache Überschreiben mit 00 reicht und dabei kann man kaum etwas falsch machen, auch wenn ein Fehler wie ein Stromausfall passiert, ist dies kein Problem, dann fängt man einfach von vorne an, beim SE ist das Laufwerk danach meist im Eimer.

 

[kaji-kun]

Bin da ganz bei dir, dass man immer bzw. vorher wissen sollte was man so treibt.
Nur finde ich die ganze Funktion ungeschickt von Synology gelöst. Weder in der DSM selbst noch auf der Homepage findet man Hinweise, dass man mit "Secure Erase" mehr macht als einfach die HDD zu wipen.
Und damit einem bei allen durch den Begriff "Secure Erase" die Alarmglocken schrillen muss man mMn schon tiefer in der Materie drinstecken als es vermutlich ein Großteil der Synology Zielgruppe ist.

 

[Madnex]

Hast du das schon probiert?

Wenn Secure Erase während der Ausführung unsachgemäß angehalten wird, können Sie Secure Erase direkt auf der Benutzeroberfläche erneut ausführen. Wenn die Festplatten entfernt oder anderweitig verwendet werden, wenn sie noch gesperrt sind, müssen Sie das Kennwort „Synology“ eingeben, um sie zu entsperren.

Also mal "sudo hdparm --user-master m --security-unlock Synology /dev/sda" probieren.

 

[Holt]

Also mal "sudo hdparm --user-master m --security-unlock Synology /dev/sda" probieren.

Nein, denn Synology ist ja das Userpasswort und damit muss der Befehl dann so sein:

sudo hdparm --user-master u --security-unlock Synology /dev/sda

Sofern /dev/sda korrekt ist, nicht das am Ende die ganze Zeit versucht wurde die falsche Platte zu löschen. Das m hinter --user-master gibt ja an, dass man nun das Masterpasswort verwendet, mit dem u zeigt man an, dass es das Userpasswort ist.

Wobei ich gerade sehe das hier --security-erase statt --security-unlock verwendet werden sollte, mit dem Userpasswort kann man auch Unlock machen, aber mit dem Masterpasswort kann man je nach Securtiy Level der beim Setzen des Userpasswortes verwendet wurde, nur ein--security-erase aber kein --security-unlock machen, also nicht an die Daten kommen. Wenn es also mit dem Userpasswort Synology (Groß und Kleinschreibung beachten) nicht klappen sollte, dann probiere noch mal ... --user-master m --security-erase ... mit den 32 Blank in Anführungszeichen, ' oder " oder probiere beides.

 

[kaji-kun]

Guten Morgen zusammen,

vielen Dank für die zahlreichen Infos und Vorschläge.
/dev/sda passt, da ich die HDD via hdparm -I vorab ja identifiziert habe.

Hab alles mal durchgetestet - Soweit leider ohne "positives" Ergebnis. Jedoch kam bei dem --security-erase mit "32xSpace" ein Input/Output Error als Reaktion.
> zumindest mal ne andere Meldung als Missing Password.

Anschließend habe ich die HDD in meine eigene DiskStation nochmal eingebaut, weil ich wegen dem Input/Output-Fehler nachschauen wollte ob sich die SMART-Werte evtl. verändert haben und anders als zuvor stand nun für die HGST auch bei mir die "Secure Erase" Option zur Verfügung (zuvor war sie ausgegraut). Habe diese dann einfach gestartet und über Nacht durchlaufen lassen. Ergebnis: Platte funktioniert wieder und über hdparm -I passen jetzt auch wieder die Werte!



Merci für die Unterstützung