前提

Raspberry Pi Zero WHを使用しており、本質問ではこれをマイコンと呼んでおります。
マイコンにはRaspberry Pi OS (32-bit) with desktop and recomended softwareを入れています。
このOSにはpython3が付属しています。
マイコンへOSをインストールしたあと、さらにopencv-pythonを追加しました。
マイコンには、カメラモジュールとしてOV5647を接続しています。
マイコンには、swapを禁止しています。
マイコンにおいては、rc.localを編集することなどにより、
次のpythonプログラムが自動起動する設定になっているものとします。

python:get_hash_img.py
1# 内容は、カメラから「生画像」を得て、
2# それをハッシュ化した「ハッシュ画像」をmicroSDへ保存する、を
3# 一定間隔で半永久的に繰り返すものです。
4
5import cv2, time
6ハッシュof = lambda キー: hashlib.sha512(キー).digest() # ハッシュof: bytes -> bytes
7カメラ = cv2.VideoCaputure(0) # 0: OV5647
8実行間隔 = 1 # 秒
9
10class np:
11    empty = type(cv2.VideoCapture(0).read()[1])
12
13    @staticmethod
14    def zeros_like(arr):
15        arr = np.empty(arr.shape, dtype=arr.dtype)
16        arr[:] = 0
17        return arr
18# こうすることで、numpyをインストール、インポートせずに
19# np.empty(shape, dtype?)やzeros_likeが利用可
20
21time_ = int(time.time())
22while True:
23    # 撮影する
24    _, 生画像 = カメラ.read() # 生画像は ndarray オブジェクト(2592,1944,3) np.uint8
25
26    # 映像データをsha512でハッシュ化する。但し1 byte 捨てて 63 byte にする
27    ハッシュ値 = ハッシュof(bytes(生画像.reshape([-1]).tolist()))[:-1] 
28
29    # ハッシュ画像を組み立てる
30    ハッシュ画像 = np.empty([63], dtype="uint8") 
31    ハッシュ画像[:] = ハッシュ値
32    ハッシュ画像 = ハッシュ画像.reshape([3,7,3])
33
34    # ハッシュ画像の保存
35    cv2.imwrite("hash_img.bmp", ハッシュ画像)
36
37    while int(time.time()) - time_ < 実行間隔:
38        pass
39    time_ = int(time.time())
40
41    # ★

実現したいこと

生画像のデータを抹消したいです。
whileループ内の処理が一周すると、後からどんな手段(主メモリを直接読むなど)を使っても生画像のデータを入手できないようにしたいです。
言い換えれば、主記憶装置にも補助記憶装置(microSD)にも、生画像の「痕跡」が一切残らないようにしたいということです。

試したこと

1. 電源は切りたくない

例えば、get_hash_img.pyの★のところに

python
1subprocess.run(['sudo shutdown -h now'], shell=True)

等を入れて、電源を切ってしまうことは、確実な手段かとは思います。
Raspberry Piの主記憶装置が揮発性メモリなので、microSDへ生画像を書き出さない限り、
電源を切ったときに生画像を記憶する術がすべて失われるからです。
しかしこの方法では、ループが難しくなってしまいます。

そこで、電源を落とさず、生画像のデータを抹消できないかと考えております。

2. `生画像[:] = (ランダムデータ)`だけで充分でしょうか。

get_hash_img.pyの★のところを生画像 = np.zeros_like(生画像)とすれば、生画像が0の配列に書き換えられるため、古いデータはどこにも保存されずに消滅しますでしょうか。

この対応で残る不安:

キャッシュなどが自動でとられて、電源を落とすまで残ってしまう恐れなどないでしょうか。

3. `echo 3 > /proc/sys/vm/drop_caches`を実行すれば安心でしょうか。

2のコードの直後に、次の内容を加えることで、
万が一生画像の内容がキャッシュされていても、ここで消去することができるでしょうか。
(別途import subprocessします)

python
1subprocess.run(['sudo echo 3 > /proc/sys/vm/drop_caches'], shell=True)

行動規範の内容に同意します

回答2件

フラッシュメモリ類は大概「ウェアレベリング」があり、上書きしても同じ所に書かれたか分かりません。確実に消去するにはディスクが一杯になるまでダミーデータを書き込む必要があります。(予備領域がある場合はそれでも無理)
ただ、逆に「ウェアレベリング」で書き込まれていた順番が分からないため、ファイルが削除されると復元は難しくなるでしょう。 (ブロックを跨ぐような大きなファイルの場合)

現実解として「2」を実施、廃棄時に「全領域にダミーデータの書き込み」か「物理破壊」になると思います。

※ ウェアレベリング： https://jp.transcend-info.com/embedded/Essay-22

投稿2022/07/15 14:18

jp_yen

総合スコア4

jmc

2022/07/16 13:05

ご回答ありがとうございます。今回議論の対象とさせていただいているのは、フラッシュメモリではなく、RAMになります。 (一部の例外を除いて、)RAMでは、一度電源を落とせばデータが抹消されると思います。ですが、電源を落とすのはためらわれるため、電源を落とさずにRAM内のデータを抹消することはできないかと伺いたい次第です。 RAMでもウェアレベリングは行われるのでしょうか。

jmc

2022/07/17 23:36

追加で質問させてください。 pythonでは`id`関数により変数のメモリアドレスを知ることができるかと思います。「ウェアレベリング」が行われていても、この方法に拠れば、上書きで同じ所に書かれたかが分かるという理解であっていますでしょうか。よって、下のqiitaにある方法などで`id`関数の逆関数を定義できれば、狙ったアドレスに値を上書きできるかと思うのですが、理解正しいでしょうか。 https://qiita.com/17ec084/items/785593f517a634a44e05

jp_yen

2022/07/18 12:01 編集

質問に「swapを禁止しています」、「microSDへ生画像を書き出さない限り」とありましたね。失礼しました。 RAM であればウェアレベリングは行われません。圧縮画像ではないので「生画像[:] = (ランダムデータ)」で、全てのデータが上書きできると考えられます。ちなみに、ウェアレベリングは物理アドレスと論理アドレス (PC に見えるアドレス) を変換するものですので一般的な方法で物理アドレスを読み取ることは不可能です。なので、ウェアレベリングが行われる場合は一度アドレスを取得しても削除してしまうと、次にそのアドレスでアクセスしても違う物理アドレスを指す可能性もあると思います。 (メーカーではデバッグ用などで用意しているのかも知れませんが、公開された API は無い筈です) こういう仮想の層を追加する役目が OS/LVM/果ては OS の仮想化であり、それを使ってもセキュリティーを担保させるのが現代的な役目です。一度メモリが解放されると、普通はゼロクリアした後に他のプロセスに割り当てられます。なので、OS の標準機能を使う限りは気を遣わなくて良いところになると思います。(太古の昔にはゼロクリアしなかったので、パスワードがメモリ上に残ったまま他のプロセスに割り当てられたりもしていましたが...) > `id`関数の逆関数を定義できれば、狙ったアドレスに値を上書きできる python は良く知らないのですが、スクリプト言語の割にすごい事が出来るのですね。ですが、プロセス毎にアドレス空間が独立している前提で、その中で自由に書き込みできます。が、allocate されていないアドレスに書き込みを行うと SEGV などで落ちてしまうでしょう。２番で良く、ここまでするとバグを作り込む可能性が高くなると思います。

行動規範の内容に同意します