iShredder 是否符合 DoD 5220.22-M（数据擦除标准）？是否有符合性声明？

Protectstar 作为 iShredder™ 产品线的制造商，特此正式声明：所有 iShredder™ 解决方案（适用于 Android、iOS、macOS、Windows 和 Windows Server）均符合 DoD 5220.22-M 数据擦除标准的要求。本声明同样面向终端用户、企业客户和公共机构。其目标是在适合所有目标群体理解的前提下，同时提供技术细节与通俗说明。
 

1. 背景：什么是 DoD 5220.22-M 标准？

DoD 5220.22-M 标准来源于美国国防部（DoD）的 National Industrial Security Program Operating Manual (NISPOM)，最早发布于 1995 年。
它描述了通过多次覆盖实现安全数据销毁的方法，并在全球范围内被视为专业擦除流程的重要参考。

• 来源与目的
  DoD 5220.22-M 的核心目的，是以这样的方式覆盖敏感数据：无论使用软件工具还是取证硬件方法，都无法再恢复原始信息残留。长期以来，这一指南一直被视为政府机构和企业在寻找可靠、可追踪的数据销毁流程时的准标准。
• 当前意义
  更新的指南（例如 NIST SP 800-88）在某些方面已经取代或超越了 DoD 5220.22-M，因为如今通常认为一次正确的覆盖就已足够。
  尽管如此，许多客户——尤其是美国客户——仍然会要求采用熟悉的 DoD 方法 作为安全数据删除的参考。
   

2. DoD 擦除算法的技术细节

DoD 标准的核心是对所有可寻址存储区域执行三次覆盖，并在之后进行验证。

• 第一次覆盖 – 固定比特模式（通常为 0x00）：
  首先使用全 0对要擦除的区域进行统一写入。
  目的：完全覆盖原始数据，从而排除简单恢复的可能。
• 第二次覆盖 – 互补比特模式（通常为 0xFF）：
  随后对同一区域再次覆盖，但这一次使用逻辑补码（通常为二进制 1）。
  目的：进一步降低任何残留效应（磁性或电子残留）。
• 第三次覆盖 – 随机比特模式：
  最后一步中，会使用伪随机——理想情况下是密码学安全随机数生成器——以完全随机的数值覆盖目标数据。
  目的：进一步减少残余痕迹和重复模式，使取证分析方法无法从中发现关于原始数据的结构性线索。
• 验证（Verify）：
  三次覆盖完成后，会执行一次检查，以确保所有区域都确实被最后一次（例如随机）比特模式覆盖。
  目的：确保没有区域被跳过或仅被部分覆盖。

给非技术用户的说明：
可以把它想象成：先用黑色马克笔把手写文字划掉，然后再用白色笔覆盖，最后再把五颜六色的颜料涂满整个表面。最后你还要检查是否还能看到原来的文字。三次覆盖在存储介质上的原理与此相似——当然，一切都是以数字方式完成的。 

3. iShredder™ 中对 DoD 5220.22-M 标准的实现

iShredder™ 解决方案完全按照 DoD 5220.22-M 的要求，实现了三次覆盖加验证。具体包括：

• 第一次覆盖循环：
  iShredder™ 使用固定比特模式（0x00）或类似的定义值（在某些变体中例如 0x55）写入所有选定数据区域。
• 第二次覆盖循环：
  iShredder™ 使用与第一次模式互补的值（例如 0xFF 或 0xAA）再次覆盖相同区域。
• 第三次覆盖循环：
• iShredder™ 会为相关区域中的每个字节生成随机值并用其进行覆盖。
  为此会使用密码学安全伪随机数生成器（CSPRNG），以确保尽可能高的熵值。
• 擦除验证（校验和 / 哈希）：
  随后，iShredder™ 可以执行校验和或哈希计算，检查所有扇区是否都已成功且无错误地被覆盖。
  这一过程为“未留下任何原始数据片段”提供了安全性和透明度。

附加功能：
擦除报告： 擦除过程完成后，iShredder™ 会提供详细的 Erasure Report，其中列出所使用的方法（例如“DoD 5220.22-M”）、涉及的文件/分区以及验证结果。
扩展算法： 某些版本还提供 DoD 5220.22-M ECE（7-pass），以及其他国家和国际标准（NATO、BSI、Gutmann 等）。这些主要适用于高度关键的数据场景。对于大多数使用场景而言，DoD 5220.22-M 下的3-pass 版本已足够。
 

4. 为什么 iShredder™ 符合 DoD 5220.22-M 标准

• 原始方法学
  iShredder™ 完全遵循 DoD 5220.22-M 所要求的覆盖模式（固定值、补码值和随机值），并执行后续验证。
• 同等级别的安全效果
  多次使用不同模式进行覆盖，可确保即使是专业数据恢复技术也无法再重建原始信息。
  第三次覆盖中使用安全随机数生成器又额外提高了安全级别。
• 可追踪的文档记录
  每次擦除过程都可记录。企业和机构因此会获得一份书面记录，可在内部或对外作为“存储介质已按照 DoD 标准净化”的证明。对于审计或认证（例如 ISO 27001）而言，这类文档往往必不可少。
• 可由独立机构复核
  虽然美国国防部并不会为软件解决方案颁发这类“DoD 证书”（尤其是在数据擦除软件领域，早已不再这样做），但 iShredder™ 仍可以接受外部专家鉴定或安全实验室的审查。
   

5. 关于正式认证的说明

美国国防部并不会仅因实现了 DoD 5220.22-M 方法而授予官方印章。如果有厂商宣称“通过 DoD 认证的数据擦除”，那通常具有误导性，因为这种特定形式的认证并不存在。

给非技术用户的重要说明： “DoD 5220.22-M” 指的是一种数据擦除流程，而不是一项官方审计。它更像是一份被广泛认可的配方，每个厂商都必须自行负责将其正确实现。

iShredder™ 正是按照这一“配方”执行，因此实现了 DoD 5220.22-M 所承诺的同等安全级别。
 

6. 正式符合性声明

Protectstar™ Inc. 特此正式声明，iShredder™ 解决方案符合 DoD 5220.22-M。

• 算法实现：
  三次覆盖流程（固定比特模式、补码模式、随机值）加后续验证，以确认覆盖是否正确执行。
   
  等同安全效果：
  所选流程及其实现与 DoD 5220.22-M 所描述的要求一致。
• 证明与透明度：
  iShredder™ 会生成详细的擦除报告，精确列明使用的擦除方法和验证结果。因此，无论是个人用户、政府机构还是有更高安全需求的组织，都可以获得一种可追踪且被广泛认可的解决方案，以永久且不可逆地净化数字存储介质。
   

来源

1.) 美国国防部（DoD）：National Industrial Security Program Operating Manual (NISPOM) – DoD 5220.22-M，首次发布于 1995 年，旧版。
2.) 德国联邦信息安全局（BSI）：“关于信息删除和销毁的建议”，不同出版物，最后访问时间为 2023 年。
3.) NIST Special Publication 800-88 Rev. 1：Guidelines for Media Sanitization，美国国家标准与技术研究院，2014 年。
4.) Protectstar™ Inc.：iShredder™ Technical Documentation，截至 2025 年。