SSD作為一種數據存儲設備����,其數據存儲的安全性至關(guān)重要��,為保障數據不被竊取或篡改��,往往會(huì )對數據進(jìn)行加密處理�,本文將對數據加密技術(shù)展開(kāi)討論��。
數據加密的實(shí)現方式主要分為主機端加密與盤(pán)內加密����。
一���、主機端加密
主機端加密即盤(pán)外加密�����,分為軟件加密���、安全認證�����、硬件加密��。
1����、軟件加密一般有微軟的Bitlocker和Chinasec���,Bitlocker是VISTA操作系統自帶的計算機本地磁盤(pán)加密工具�,通過(guò)加密硬盤(pán)上的所有內容來(lái)增強安全性(數據�、程序甚至Windows本身)����;Chinasec則是基于網(wǎng)絡(luò )和數據的安全管理產(chǎn)品�,通過(guò)認證�����、加密��、監控和追蹤等手段在傳統PC終端和移動(dòng)終端提供系統數據保護����、文檔加密等整體解決方案��。
2�、安全認證最常見(jiàn)的就是用戶(hù)設置Windows登錄密碼���,系統通過(guò)密碼來(lái)辨認用戶(hù)的身份����,從而保障電腦內數據的安全性����。
3����、硬件加密則是TPM�����,屬于硬加密模板����,通過(guò)在設備中集成的專(zhuān)用安全硬件來(lái)處理設備中的加密密鑰�����,RSA/AES/SHA等加密算法在里面�����,不少筆記本都會(huì )帶一個(gè)TPM貼片模塊����,可實(shí)現數據加密�����、密碼保護等安全功能�,應用性能優(yōu)于以上兩種���。
二��、盤(pán)內加密技術(shù)
盤(pán)內加密技術(shù)分為:對稱(chēng)加密與非對稱(chēng)加密����、ATA security��、TCG�����、隱藏分區5種加密方法��。
1���、對稱(chēng)加密:是指在加密和解密時(shí)使用同一密鑰�����,是一種可逆的加密方式��。
目前主流的對稱(chēng)加密算法有以下幾種:
·DES算法加密流程:整個(gè)過(guò)程就是將明文按照64比特為一組經(jīng)過(guò)DES加密生成密文���,同樣將密文按照64比特為一組��,連續多組的密文可以通過(guò)解密密鑰再還原對應的明文��。
·3DES算法加密流程:字面上看就是經(jīng)過(guò)三次DES加密的過(guò)程����,是DES的加強版��。
·AES算法加密流程:因此流程較為復雜不做過(guò)多展開(kāi)��,大致流程為輸入的明文數據會(huì )逐字節的去替換��,替換完成后再平移��,平移完成后再做混合列的N輪迭代���,最后進(jìn)行異或運算生成密文�。解密則是反向操作����。
·SM4算法加密流程:SM4是一種分組密碼算法�,其分組長(cháng)度為128位(即16字節�,4字)����,密鑰長(cháng)度也為128位(即16字節���,4字)����。其加解密過(guò)程采用了32輪迭代機制(與DES����、AES類(lèi)似)���,每一輪需要一個(gè)輪密鑰(與DES�����、AES類(lèi)似)�,以及1次反序變換����。
2�����、非對稱(chēng)加密:特點(diǎn)為密文無(wú)法反推倒出明文�,屬于不可逆的流程���。
主流非對稱(chēng)加密算法:
·非對稱(chēng)加密算法(消息摘要)-MD5/SHA:用于文件校驗���、文件的數字簽名(保障原始明文在數據傳輸與明文傳輸過(guò)程中的正確性)��,文件內容可以是明文���。如圖所示是無(wú)法從摘要推倒出原文的���,經(jīng)常用于網(wǎng)絡(luò )上的文件傳輸校驗�。
·非對稱(chēng)加密算法-RSA:分兩個(gè)例子來(lái)說(shuō)明����。
舉例1:公司A要發(fā)布一個(gè)公眾文件(如驅動(dòng))�����,生成了公鑰和私鑰����,首先用私鑰進(jìn)行加密簽名���,以此來(lái)證明產(chǎn)品歸公司A所有并以此證明產(chǎn)品安全合法��,用戶(hù)下載驅動(dòng)文件后可用公鑰解驗簽后(類(lèi)似微軟會(huì )提示這是一個(gè)驅動(dòng)是否是合法的簽名驅動(dòng))進(jìn)行正常使用���。
私鑰用于簽名���、公鑰用于驗簽
實(shí)際上微軟應用程序的數字簽名�,比圖示中的流程更為復雜�,因為公私鑰的生成證書(shū)需要第三方機構頒發(fā)以做證明���,自己不得隨便生成��。
舉例2: A/B/C要各自發(fā)私信給O���,但又不想各自的信息給其它兩人看見(jiàn)���,就用O給他們的公鑰加密�����,由于其它兩人沒(méi)有私鑰無(wú)法解密���,只能O看見(jiàn)A的高密��。
公鑰用于加密��、私鑰用于解密�����,可起到加密的作用
3�����、加密算法的應用
在非對稱(chēng)加密算法中可以正向的用私鑰去發(fā)布簽名�,然后讓大家驗證�,反過(guò)來(lái)每個(gè)人也可以用公鑰來(lái)對文件進(jìn)行加密�,但在SSD應用過(guò)程中沒(méi)有可以反向操作的過(guò)程�����。
·SSD中加密算法的應用
在SSD內部有一個(gè)AES硬件模塊����,用于主機數據或內部數據的加解密�,它的Key由SSD的固件來(lái)管理��,保存在NAND上或SOC內部的OTP區域���,根據IEEE 1667規范����,這種SSD內部有加密模塊稱(chēng)之為SED(Self-encrypting) SSD����,其它的則非Non-SED SSD���。
在不同的實(shí)現情況下����,有的SOC會(huì )把AES模塊放在前端進(jìn)行加密��,有的會(huì )把AES放在后端進(jìn)行加密�����。
4�����、ATA security(安全認證)
前文描述的都是加密算法���,在更上一層如系統應用層則需要密鑰管理��、賬號登錄等安全機制來(lái)認證��。
ATA(AT Attachment)�,是一個(gè)很久遠的標準�,定義了一組存儲命令接口�����,用于存儲設備(SSD/HDD)的訪(fǎng)問(wèn)��。
ATA security feature:它類(lèi)似Windows訪(fǎng)問(wèn)密碼的概念�,訪(fǎng)問(wèn)密碼輸入正確后整個(gè)SSD的空間都可以被讀寫(xiě)�����,否則SSD會(huì )拒絕主機的讀寫(xiě)請求或其他特殊的應用請求�����,以此保證SSD能在安全的環(huán)境下使用����。
ATA Security有兩個(gè)密碼:
·User password:用于限制SSD的訪(fǎng)問(wèn)����,包括一些控制命令和數據讀寫(xiě)命令����,一般BIOS登錄解密要求輸入的密碼即User password來(lái)解鎖SSD���。
·Master
password:管理員密碼�����,僅用于解除User Password而并不會(huì )鎖住硬盤(pán)���;Master password不會(huì )使能SSD的security���。
Security state簡(jiǎn)圖
Security erase(安全擦除)方式:
1. Normal erase(普通擦除)��;
2. Enhance erase (增強擦除)��。
有AES和沒(méi)有AES的差異
5����、TCG(安全認證+數據加密)
TCG(Trusted Computing Group)中文名為可信計算組織���,最初是由AMD�、HP���、IBM�����、Intel���、Microsoft建立�,旨在建立個(gè)人電腦的可信計算概念���。它不僅是一個(gè)硬盤(pán)加密方式��,更是一個(gè)IT生態(tài)���,融合了網(wǎng)絡(luò )����、存儲�、加密硬件模塊���、基礎平臺��、軟件等�。
涉及到信息安全�����,在中國同樣也有可信計算組織(TCMU)來(lái)保障國內的信息安全技術(shù)���,由高等院校���、知名廠(chǎng)商等建立��。
在TCG中與SSD相關(guān)的TCG部分則是TCG Storage協(xié)議��。
如圖中所示����,在SSD上方有兩塊SP:Admin SP和Locking SP�����,Admin SP類(lèi)似管理員權限集���,只有一些管理功能��,不負責SSD的邏輯空間的分配或決策���;Locking SP即SSD訪(fǎng)問(wèn)空間管理��。
TCG Storage是把前面介紹的加密技術(shù)都融合了進(jìn)來(lái)�����,對SSD進(jìn)行授權管理以及數據安全管理��。
其中最主要的是Admin
SP�,用于密碼管理��,使能/禁止Locking SP����,恢復出廠(chǎng)設置等����,Admin SP不直接對SSD的數據空間進(jìn)行管理��,一般用于密碼管理��,多達幾十種�。
Locking SP除了基本管理之外����,還對數據空間進(jìn)行管理����,如空間分區�����,每個(gè)分區的加密�����,分區獨立鎖等�����,同時(shí)也有訪(fǎng)問(wèn)密碼的管理�。
6����、隱藏分區
·TCG MBR shadow
此MBR不是OS中的Master boot record�,TCG中的MBR與User空間是重疊的�,同一時(shí)間內只有一個(gè)對Host可見(jiàn)�,在SSD沒(méi)有被完全授權前����,真實(shí)的User數據空間是無(wú)法被訪(fǎng)問(wèn)的�,對Host顯示的僅為一小塊空間���,這里面存放一些Preboot的認證程序���、數據�,認證通過(guò)后會(huì )切換到真實(shí)的User數據空間����。
·Shadow area:
在SSD的物理空間里面額外開(kāi)辟一塊區域�����,在沒(méi)有獲得授權認證時(shí)��,Host不可見(jiàn)�����,反之對Host可見(jiàn)�。通常用于存放主機廠(chǎng)商的一些數據���,用于備份�����、恢復主機廠(chǎng)商所需的一些數據���,相較于TCG會(huì )犧牲一些用戶(hù)的物理存儲容量���。
隨著(zhù)《中華人民共和國數據安全法》的正式實(shí)施���,數據安全已上升至國家戰略高度���,而數據存儲作為數據安全中的關(guān)鍵一環(huán)����,對國家信息安全建設���、數字化建設起著(zhù)至關(guān)重要的作用��。
作為領(lǐng)先的國產(chǎn)SSD廠(chǎng)商����,憶聯(lián)SSD產(chǎn)品支持目前業(yè)界所有標準的加密算法���,并包含國密����。相關(guān)加密算法不僅僅包含了對用戶(hù)數據的加密�����,也涵蓋了產(chǎn)品固件包的簽名發(fā)布���,以保障固件發(fā)布后不會(huì )被惡意篡改�,從而進(jìn)一步確保SSD產(chǎn)品安全性�����。目前�����,憶聯(lián)SSD產(chǎn)品使用的加密技術(shù)已處于業(yè)界領(lǐng)先水平��,可為數據搭建起堅實(shí)的安全屏障����。
