iShredder™ Defense · 2026/2027 试点计划

任务数据。
可验证地清除。

Q: iShredder™ Defense 能否在完全隔离的 air-gapped 环境中运行？

可以。iShredder™ Defense 不需要互联网连接或云组件。数据清除、验证、报告、许可证激活和更新均面向本地签名离线流程设计。

Q: 如果擦除过程被中断 — 例如断电 — 会发生什么？

进度会记录在加密、持久化的状态文件中。根据方法不同，流程可以继续或查询设备状态；报告会记录中断时间、原因和介质状态。

Q: 擦除报告的完整性如何验证？

报告通过 X.509 签名保护，并生成 SHA-256 哈希；也可选择使用 PAdES、QES 和合格时间戳进行保护。

Q: iShredder™ Defense 是否受美国出口管制（ITAR / EAR）约束？

iShredder™ Defense 不是 ITAR 管制产品。由于包含加密组件，可能适用 EAR 要求；ECCN、license exceptions 和 end-use/end-user 审查按发布版本提供。

Q: 是否为政府和企业客户提供源代码托管？

是。Protectstar 通过德国和/或美国的独立受托方提供公证源代码托管；生产环境私有签名密钥不包含在托管范围内。

Q: 如何确保软件供应链完整性？

开发在德国和美国的 Protectstar 场所进行。计划采用签名提交、代码审查、可复现构建、CycloneDX SBOM 和签名发布制品。

Q: iShredder™ Defense 能否集成到现有 SIEM、MDM 或资产管理系统中？

可以。计划提供 CLI 自动化和 REST API 集成。擦除报告可导出为 JSON 或 CEF，并连接到常见 SIEM 和 MDM 平台。

Q: iShredder™ Defense 是否符合美国联邦采购的 TAA 要求？

Protectstar Inc. 总部位于佛罗里达，软件主要在美国和德国开发。TAA 合规性按产品和发布版本确认。

符合 NIST SP 800-88r2 和 IEEE 2883 的离线数据清除 — 面向无人机存储、控制器和移动任务平台。包含可数字签名的擦除报告，用于保管链证据、审计和采购。

申请试点计划访问权限 →

自 2004 年起保持独立 NIST SP 800-88r2 IEEE 2883 BSI-CON.6 NSA/CSS 9-12 工作流 GDPR 合规义务

场景

一架无人机被截获。
风险早在此前就已产生。

任务存储介质、控制器、返修设备、测试系统和退役介质中都可能留有视频、遥测、航线数据和黑匣子日志，并可能被合适的取证工具恢复。iShredder™ Defense 在复用、维护、返还或报废之前，按照公认标准对这些数据进行清除，使其在定义的取证工作量模型下不具备实际恢复可行性。

1 · 存储介质上的任务数据

→

2 · 正在清除

→

3 · 不可恢复地删除

NVMe · 512 GB

NIST SP 800-88r2 PURGE · 已验证

任务视频、GPS 遥测、黑匣子日志 — 以结构化方式存储在设备上。使用标准恢复工具时，这类数据可能被重建。

· 或选择上方阶段

产品

一个工具。适用于每一种平台。

iShredder™ Defense 完全离线运行，并为每种介质选择可用的最强清除方法 — 从 NVMe Sanitize、ATA Secure Erase 到 Crypto Erase 和验证覆盖。每次操作都会生成可数字签名的擦除报告，用于保管链文档。

开发中 · 可提供评估单元

完全离线

无需云连接，无外部服务器。可在安全库房和现场运行 — 包括 air-gapped 隔离环境。

面向审计

可签名擦除报告包含方法、时间戳、设备 ID 和 LBA 覆盖范围，支持不中断的保管链。

跨平台

Windows、macOS、iOS 和 Android。适用于库房工作站和控制器平板 — 一个工作流，一致的报告。

工作流

五个步骤。一份报告。

01 识别
介质
02 选择
配置
03 执行
方法
04 进行
验证
05 签署
报告

介质支持矩阵

并非每种介质都支持每种方法。

iShredder™ Defense 会根据介质、接口、安全配置和审计要求，选择可用的最强清除方法。矩阵展示了各类介质的主要方法。

介质

主要方法

Fallback

验证

NVMe SSD PCIe · U.2 · M.2

NVMe Sanitize Block Erase 或 Crypto Erase

验证覆盖如控制器支持

Sanitize 状态检查配合抽样回读

SATA SSD 2.5″ · mSATA

ATA Secure Erase Normal 或 Enhanced

Crypto Erase 或覆盖

设备状态写入最终报告

HDD SATA · SAS

覆盖单遍或多遍

ATA Secure Erase 可用 legacy 配置

完整回读或抽样方法

SD · microSD SD · SDHC · SDXC

SD ERASE 如介质支持

覆盖可寻址范围

卡能力配合最终报告

eMMC · UFS 嵌入式 · 控制器

eMMC Sanitize / Secure Erase 或 UFS 专用 purge 方法

OEM 专用取决于平台

控制器状态配合元数据检查

关于闪存介质的说明： 对于使用 overprovisioning 和 wear leveling 的存储（SSD、eMMC、SD），单纯覆盖不能保证完整清除。此类介质优先使用设备和控制器专用的 sanitize 命令（NVMe Sanitize、ATA Secure Erase、Crypto Erase）— 符合 NIST SP 800-88r2 和 IEEE 2883。TRIM/Discard 仅作为辅助命令使用，不能作为独立的数据清除证明。

证据

清除前可恢复。清除后可验证。

以下为 NVMe 任务存储设备上的数据清除工作流示例。实际结果取决于介质、控制器、所选配置和验证方法。

Forensic Recovery · 擦除前

风险

/recovered/

├─ mission_04_video.mp4 478 MB ⚠ PARTIAL

├─ telemetry.log 12 MB ⚠ PARTIAL

├─ gps_waypoints.enc 340 KB ⚠ PARTIAL

├─ crew_chat.db 2.4 MB ⚠ PARTIAL

├─ black_box_04.dat 89 MB ⚠ PARTIAL

├─ thermal_cam_04.raw 1.2 GB ⚠ PARTIAL

Forensic Recovery · iShredder™ 后

安全

/recovered/

└─ <<无可用痕迹>>

NIST SP 800-88r2 PURGE · 验证成功

LBA 0x00000000: 00 00 00 00 · 00 00 00 00
LBA 0x00001000: 00 00 00 00 · 00 00 00 00
LBA 0x00002000: 00 00 00 00 · 00 00 00 00
... 可寻址范围 · 已验证

保管链

不只是删除。
可证明已清除。

iShredder™ Defense 的每次数据清除操作都会生成可数字签名的擦除报告。所有相关参数都以机器可读和人工可读形式记录 — 用于审计、采购报告以及保管链流程中的证明。

机器可读

JSON · XML · PDF/A-3

签名

X.509 · PAdES · 可选 QES/TSA

对比

为什么选择 iShredder™ Defense，而不是替代方案？

标准

传统企业级
擦除工具

OEM
无人机工具

iShredder™
Defense

Windows · macOS · iOS · Android 来自同一方案

部分

—

✓

完全离线 · 可用于 air-gapped 环境

部分

✓

可签名、面向审计的擦除报告

✓

—

✓

开箱即用的 NIST SP 800-88r2 / IEEE 2883 / BSI 预设

部分

—

✓

硬件级 purge 命令
NVMe Sanitize · ATA Secure Erase · eMMC · SD-ERASE

部分

—

✓

厂商中立 · 无 vendor lock-in

✓

—

✓

22+ 年独立安全积累

视情况而定

—

✓

常见问题

采购团队最先会问什么。

iShredder™ Defense 能否在完全隔离的 air-gapped 环境中运行？

可以 — 这正是它的设计目标。iShredder™ Defense 不需要互联网连接，也不需要任何云组件。数据清除、验证和报告都不需要联网。

具体来说，这意味着：无遥测、无后台自动更新、无 call-home 功能、无 analytics。所有流程都只在本地运行。

许可证激活通过签名的激活文件离线完成，该文件可通过安全传输流程带入隔离环境。更新以签名的离线包形式提供，并手动部署；也可在生产 rollout 前先在单独测试区进行 staging。这使 iShredder™ Defense 能够满足符合 BSI SÜG 实践和适用 NATO 要求的机密部署环境要求。

如果擦除过程被中断 — 例如断电 — 会发生什么？

iShredder™ Defense 会将数据清除流程的每一步记录在加密、持久化的状态文件中。若因断电、硬件故障或用户取消而中断，下一次启动时会识别准确进度。

根据方法不同，流程可以从中断的 LBA 范围继续；对于硬件级 purge 命令，则会查询存储设备的内部状态。NVMe Sanitize 和 ATA Secure Erase 在设备端具备抗中断能力，恢复供电后会自动继续直至完成。

对审计至关重要的是：擦除报告会明确记录每一次中断 — 包括时间戳、原因以及事件前后的介质状态。因此审计信息不会丢失，即使发生事件，保管链也保持完整。

擦除报告的完整性如何验证？

每份擦除报告都通过基于相应 iShredder™ Defense 安装实例证书的 X.509 签名进行保护。签名覆盖方法、时间戳、设备 ID、LBA 覆盖范围及所有其他参数，使后续篡改可被密码学方式检测。

此外，还会生成整份报告的 SHA-256 哈希并存入独立审计日志，也可选择通过中央 audit-server 组件保存。签名作为 eIDAS 法规下的高级电子签名，符合 PAdES。

对于最高证据要求的操作，报告还可使用合格电子签名 (QES)以及合格信任服务提供商提供的合格时间戳进行保护。具体集成将在试点计划中与客户约定。

iShredder™ Defense 是否受美国出口管制（ITAR / EAR）约束？

iShredder™ Defense 不是 ITAR 管制产品 — 它是商业数据擦除软件，不属于 U.S. Munitions List 下的国防物项。

但由于包含加密组件，该产品受 U.S. Export Administration Regulations (EAR) 约束。具体 ECCN 分类、适用的 license exceptions、end-use/end-user 审查以及 reporting 义务，会作为合格评估的一部分按产品和发布版本提供。

Protectstar 支持完整的最终用户认证流程，筛查适用制裁名单，并提供出口所需文档。

是否为政府和企业客户提供源代码托管？

是。对于政府机构、武装力量和企业客户，Protectstar 通过德国和/或美国的独立受托方提供公证源代码托管。

托管材料包括可交付版本的完整源代码、为可复现性记录的构建说明和构建工具链、依赖项列表、公共验证证书以及发布文档。生产环境私有签名密钥明确不包含在托管范围内。

释放条件在许可协议中单独约定。典型触发条件包括破产、长期停止产品维护，或未能提供合同保证的安全更新。范围、更新周期和审计权利通过企业客户 SLA 定义。

如何确保软件供应链完整性？

开发在德国和美国的 Protectstar 自有场所进行。提交会被签名，并经过代码审查流程。

Defense 发布计划在隔离构建机器上提供可复现构建（deterministic builds）。每个发布版本都会附带 CycloneDX 格式的 Software Bill of Materials (SBOM)，列出第三方库、版本和许可证。

二进制文件使用 Authenticode（Windows）或 Developer ID（macOS）签名；发布制品还会额外使用 PGP 签名。与安全相关的第三方库通过 CVE monitoring（NIST NVD、GitHub Security Advisories）进行监控。具体补丁 SLA 在企业级支持合同中约定。

iShredder™ Defense 能否集成到现有 SIEM、MDM 或资产管理系统中？

可以。iShredder™ Defense 提供两个集成层：用于库房流程脚本自动化的命令行接口 (CLI)，以及计划用于 Defense 发布的、面向集中管理系统集成的 REST API。

擦除报告可以以 JSON 或 CEF 格式导出，并连接到常见 SIEM 系统，包括 Splunk、Elastic Stack、IBM QRadar 和 Microsoft Sentinel。对于 MDM 平台，包括 Microsoft Intune、Jamf Pro 和 VMware Workspace ONE，连接器会作为试点计划的一部分提供。

每个事件也会本地记录，以便在中央基础设施故障时仍保持完整证据链。具体集成 — 包括 field mapping、认证方式和 alerting 规则 — 会与客户共同配置并记录。

iShredder™ Defense 是否符合美国联邦采购的 TAA 要求？

Protectstar Inc. 是一家总部位于美国佛罗里达州的美国公司。软件主要在美国和德国开发 — 二者均为 Trade Agreements Act (TAA) 下的 “Designated Countries”。

TAA 合规性，包括 “substantial transformation” 文档，会按产品和发布版本确认，并可作为支持证据归入采购记录。

面向相关美国联邦和 NATO 采购渠道的采购文档会作为合格评估的一部分提供。对于特定要求，例如 Buy American Act waiver，我们可按个案支持申请流程。

证据、标准和参考

三层结构。明确分离。

产品安全、数据清除标准和采购证据 — 每一层都有自己的证据，不混淆范围。

产品和应用安全

在产品和构建层级验证

DEKRA MASA L1 已针对 iShredder Android 验证（Mobile App Security Assessment, Baseline）
AV-TEST 产品组合中的多项认证（按产品）
签名构建 Authenticode · Developer ID · PGP · 可复现构建
SBOM 每个发布版本提供 CycloneDX 格式的 Software Bill of Materials

数据清除标准

与相关方法保持一致

NIST SP 800-88r2 当前基线（2025 年 9 月）— Clear / Purge / Destroy
IEEE 2883 Standard for Sanitizing Storage
BSI CON.6 用于删除和销毁的 IT-Grundschutz 模块
NSA/CSS 9-12 使用 EPL 列表设备的 Destroy 工作流
Legacy DoD 5220.22-M 当现有策略要求时可提供配置

采购和审计

可验证、已记录、可审计

签名报告 X.509 · PAdES · 可选 QES/TSA，经合格信任服务提供商
导出格式面向 SIEM 和归档的 PDF/A-3 · JSON · XML
时间戳按 RFC 3161 可选 TSA（合格时间戳服务）
GDPR 支持满足擦除流程中的文档和证明义务
源代码托管公证托管 · 面向企业和政府客户

单项认证适用于 Protectstar 产品组合中的特定产品和版本。确切有效范围会在试点计划中按产品记录。不暗示任何政府机构背书。

Early Access · 2026/2027 试点计划

先评估单元。
再更广泛部署。

试点计划优先面向政府机构、武装力量和国防承包商。资格确认后我们会回复。

任务数据。可验证地清除。