如何为使用 SED(自加密驱动器)的驱动器生成新的加密密钥

如何为使用 SED(自加密驱动器)的驱动器生成新的加密密钥

因此,我目前正在进一步了解带有 SED(自加密驱动器)功能的 NVMe 驱动器。三星 970 EVO例如。它明确指出了其具有 SED 功能。

970 EVO 提供多种高级数据加密功能。自加密驱动器 (SED) 安全技术将帮助始终确保数据安全。970 EVO 包含一个基于硬件的 AES 256 位加密引擎,可确保您的个人文件保持安全。由于基于硬件,加密引擎可保护您的数据,而不会出现软件加密可能遇到的性能下降。此外,970 EVO 符合各种高级安全管理解决方案(TCG Opal 和加密驱动器-IEEE1667)。

通常这些驱动器出厂时会预装加密密钥,供加密引擎使用。显然,较旧的 SSD(普通 2.5 英寸驱动器)可以使用名为“ATA Sanatize”的功能,这是以下软件附带的功能:PartedMagic。它应该会生成一个新密钥。不知道怎么做,我希望有人能解释一下它是怎么做到的。

尽管如此..

由于 NVMe 驱动器不支持 ATA Sanitization,您如何生成新密钥?PartedMagic 提供了一项名为“NVMe 安全擦除 - 在硬件级别擦除整个驱动器”的功能,我不确定这是否相同。

答案1

自加密驱动器(或设备)始终对传递给它们进行存储的数据进行加密。它们使用称为数据加密密钥 (DEK) 的密钥。只有磁盘固件知道此密钥。密钥永远不会离开磁盘。传递到磁盘和从磁盘传递的所有数据都使用该密钥进行加密和解密。当磁盘断电时,它会被锁定。当通电时,需要密码才能解锁 DEK 并再次开始读取/写入。如果没有设置密码,则磁盘似乎没有加密/解密。

现在,当您设置密码(即身份验证密钥 (AK))时,驱动器会提示您输入该密码,并且在解锁之前无法解密/加密任何内容。[实际上有两个密钥,但这里的细节比必要的要多]

这也是可以更改密码(AK)而无需解密并重新加密整个磁盘内容的原因。

许多驱动器上的安全擦除功能利用了加密的副作用之一。加密数据看起来像随机字符,直到您使用正确的加密密钥 (DEK) 对其进行解码。因此,要擦除磁盘,您只需更改加密密钥即可。现在无法解码任何旧数据,即已删除

希捷制作了一份详细的文档,用相对易读的语言详细介绍了所有这些内容。https://www.seagate.com/files/staticfiles/support/docs/manual/Interface%20manuals/100515636c.pdf

此外,如果您使用的是 Linux,或者可以使用 USB 可启动的 Linux 发行版,您可以尝试此问题的答案中的建议: https://superuser.com/questions/1530363/how-to-securely-erase-an-nvme-ssd

相关内容