Tech Talk: 一文看懂SSD数据加密技术

日期:2024-09-11 浏览:1073 分享:

微信扫一扫:分享

使用微信扫一扫

http://unionmemory.com/news_detail.php?menuid=107&id=148

SSD固态硬盘加密技术对于保护数据安全至关重要,突出体现在企业环境和个人隐私保护等方面,用于防止数据泄露,满足合规需求,并保护数据完整性。SSD数据加密中,通常涉及软件加密、全盘加密(自加密硬盘)、加密标准和协议,以及密钥管理等加解密技术和方法,本文将简单介绍与探讨这些关键概念与要点。



01、软件加密


基于软件的加密是在操作系统级别或应用程序级别进行的数据加密,由软件(例如全盘加密软件)负责加密和解密操作。常见的实现包括Windows BitLocker、macOS FileVault、Linux LUKS(Linux Unified Key Setup)等各种加密工具,可以提供较高的灵活性和兼容性,支持不同类型的存储设备,更新和升级较为方便。


相较于硬件加密,软件加密突出的不足体现在:



02、自加密硬盘


自加密硬盘(Self-Encrypting Drives,简称SED)是内置了加密功能的SSD,通常具备硬件加密引擎,可以实时对写入的数据自动加密,对读取的数据自动解密,而无需额外的软件支持。


除高性能和自动化的优势之外,SED提供有效的数据安全防护。其通常遵循相关加密标准,提供透明加密和访问控制,即使硬盘被物理盗取,数据也无法被非法访问。


SED常用AES等硬件加密标准,其在SSD内部配备硬件加密模块,负责实现HOST数据写入或读取过程中的加解密。使用的加密密钥由SSD的固件来管理,保存在NAND上或SOC内部的OTP(One-Time Programmable)区域。


可见,在SSD控制器内部的硬件加密,通常对系统性能的影响较小,释放了CPU资源;同时也能提供更高的安全性,其密钥和加密操作由硬件保护,不易受到软件层面的攻击。



03、加密标准和协议


高级加密标准AES


高级加密标准(Advanced Encryption Standard,简称AES)是一种对称加密算法,支持128位、192位和256位三种不同长度的密钥,密钥长度决定了加密的强度和处理速度。多数SSD使用AES-256加密标准,这是目前最常见和安全的对称加密算法。


对称加密算法是指加密和解密使用相同的密钥,只有拥有密钥的双方才能解密数据。AES采用块加密的方式,将数据分成固定大小的块并逐块加密,每块数据都独立地经过相同的加密过程。


如下图所示,AES的加密过程为:


1. 初始轮:在加密的开始阶段,对数据块进行初步的密钥混合。


2. 主轮:包括多个轮次(10轮、12轮或14轮,具体取决于密钥长度),每轮包含四个操作:

①逐字节替换(SubBytes):使用一个S-盒对数据进行字节级替换。

②平移行(ShiftRows):对数据的行进行移位操作,增加混淆度。

③混合列(MixColumns):对数据的列进行混合,进一步扩散信息。

④与轮密钥按位异或(AddRoundKey):将当前数据块与轮密钥进行异或操作。


3. 最终轮:与主轮类似,但不包括列混合操作。

AES解密过程与加密过程相似,但操作的顺序和使用的逆操作不同。解密时,需要逆向进行所有步骤,包括逆S-盒、逆移位和逆混合列等。

AES加密和解密过程


由此可以看出,AES主要特点包括:



TCG Opal与IEEE 1667


可信计算组织(Trusted Computing Group,简称TCG)是致力于推动计算机安全的非营利性组织,目标是通过制定和推广标准来增强计算环境的安全性和可信性,这些标准涵盖硬件、软件以及系统级别的安全措施。


TCG Opal作为硬件加密规范标准,定义了如何在SSD中实现数据加密和保护,具体包括用于SSD的加密和身份验证规范,允许管理员设置密码策略,启用或禁用硬盘锁定等功能。该标准与IEEE 1667兼容,使得操作系统可以直接与驱动器的加密功能交互,例如Windows的BitLocker To Go可以利用这一标准来加密SSD。


在TCG存储协议中,定义了“Admin SP”和“Locking SP”这两个与存储设备的安全功能相关的重要概念,用于帮助确保数据的安全性和完整性,并提供管理和访问控制的标准。


1.Admin SP(Administrative Service Provider),指存储设备中的一个角色,负责管理和控制存储设备的安全设置和功能。其主要职责包括:

TCG存储协议通过对Admin SP角色和功能的详细描述,确保设备可以通过统一的标准进行管理和配置。Admin SP可以通过控制和配置存储设备来增强设备的安全性,并实现数据保护和访问控制。


2.Locking SP(Locking Service Provider),指在存储设备上实现数据锁定和保护的服务提供者。其主要职责包括:


TCG存储协议将Locking SP的功能定义为提供数据保护和安全性,未经授权的数据访问或篡改。通过实现锁定机制,确保只有通过适当的认证和授权程序的用户可以访问数据。



04、密钥管理


SSD通常利用一系列内部密钥管理机制来保障数据的安全性,包括密钥生成、存储和保护。

除对称加密算法外,SSD也支持非对称加密算法,如RSA或ECC。非对称加密算法采用密钥对(包含公钥和私钥)进行加密,公钥可以公开分发,而私钥则需要保护。


在SSD实际应用中,非对称加密算法通常用于固件的数字签名验证,而数据本身则使用对称加密算法进行加密,因为对称加密在处理大规模数据时效率更高。



05、忆联SSD加密技术


综上所述,SSD加密技术通过多种手段确保数据安全,包括从硬件级别的SED到标准化的TCG Opal,提供了从静态数据保护到动态访问控制的全面安全解决方案。


忆联SSD产品支持硬件加密以及业界多种标准的加密算法,例如,内置AES-128/256、SHA256、RSA2048加密算法,遵从TCG Opal 2.0标准。相关加密算法不仅包含对用户数据的加密,也涵盖了产品固件包的签名发布,以保障固件发布后不会被恶意篡改,从而进一步确保SSD产品安全性。


以忆联新一代消费级SSD AM541为例,为满足不同场景下对数据安全性的需求,该产品支持TCG opal/Pyrite、国密SM2/3/4、AES-256等多种加密算法,借助这些更高级别的数据保护,有效保障用户数据隐私,确保数据在存储、传输等过程中的安全性。

忆联AM541


加密算法和技术在忆联SSD中的应用,主要包括如下几个方面:



借助多重加密技术,忆联SSD能够为数据搭建起坚实的安全屏障,有效保护用户数据免受非法访问和窃取,同时确保数据在存储和传输过程中的完整性。因此,忆联SSD不仅提高了数据的安全性,也满足了多种应用场景下的数据保护需求,借助技术的持续升级,实现更高效、更安全的数据存储服务。


您可能对其它新闻感兴趣

  • 上一篇

    忆联产品力之“全能战士“(一):速度制胜,打造AI时代存储“新范式”

  • 下一篇

    Tech Talk: SSD架构与功能模块详解

     
  • 产品中心
    企业级固态硬盘
    数据中心级固态硬盘
    消费级固态硬盘
    嵌入式存储
    解决方案
    服务器
    数据中心
    个人电脑
    移动终端
    智能穿戴
    技术方案
    核心技术
    存储控制器开发
    固件设计
    封装测试
    服务支持
    下载中心
    咨询与投诉
    关于忆联
    企业简介
    大事记
    荣誉资质
    企业文化
    联系我们
    新闻资讯
    公司新闻
    媒体报道
    展会活动
    技术白皮书
    投资者关系
    公司治理
    管理团队
    财务报告
    最新公告
    加入我们
    社会招聘
    校园招聘

    深圳忆联信息系统有限公司

    地址:深圳市南山区记忆科技后海中心B座19楼

    电话:0755-2681 3300

    邮箱:support@unionmem.com

  • 微信:
  • 官方微博

  • Copyright © 2020-2024 All Rights Reserved. 粤ICP备18155700号 技术支持:深圳忆联信息系统有限公司 法律声明 隐私政策