Datensicherheit ist eines der kritischsten Probleme bei der Datenspeicherung, und Datenverschlüsselung ist eine führende Methode zum Datenschutz. Durch die Verschlüsselung der auf einem Laufwerk gespeicherten Daten stellen Sie sicher, dass die Daten auch dann sicher bleiben, wenn der Benutzer die physische Kontrolle über das Speichergerät verliert. Die verschlüsselten Daten können nur entsperrt und entschlüsselt werden, wenn Sie die richtigen Anmeldeinformationen angeben.
AES
SSDs Verwenden Sie einen AES-Algorithmus mit symmetrischen Verschlüsselungsschlüsseln.
Der erste ist der Verschlüsselungsschlüssel, der zum Verschlüsseln aller auf der SSD gespeicherten Daten verwendet wird. Wenn die SSD AES-256-Bit-Verschlüsselung verwendet, ist dieser Schlüssel eine 256-Bit-Zahl, die zufällig generiert und in einem verschlüsselten Format in einem verborgenen Bereich der SSD gespeichert wird. Der Verschlüsselungsschlüssel verlässt niemals die SSD und ist nur der SSD selbst bekannt.
Der zweite Schlüssel ist der Autorisierungsschlüssel. Dies wird vom Benutzer festgelegt und steuert den Zugriff auf die SSD. Wenn Sie bei der ersten Verwendung eines Laufwerks keinen Autorisierungsschlüssel festlegen, verhält sich die SSD scheinbar wie eine unverschlüsselte SSD. Die Daten sind weiterhin verschlüsselt, aber ohne definierten Autorisierungsschlüssel entschlüsselt das Laufwerk Leseanfragen automatisch mit dem Verschlüsselungsschlüssel. Ebenso wie der Verschlüsselungsschlüssel wird der Autorisierungsschlüssel niemals im Klartext gespeichert. Die Speicherung erfolgt ausschließlich verschlüsselt.
TCG OPAL 2.0, Opalit und Pyrit
Die Trusted Computing Group (TCG) bietet eine skalierbare Infrastruktur zur Verwaltung der Verschlüsselung von Benutzerdaten auf einem Speichergerät. Es enthält erweiterbare Funktionen. Mit TCG können Sie die Zugriffskontrolle auf auf dem Speichergerät gespeicherte Benutzerdaten verwalten, einschließlich der Kontrolle der Medienverschlüsselung, der Schlüsselverwaltung und des Lese-/Schreibsperrstatus.
Die „TCG Storage Security Subsystem Class: Opal“, auch „Opal SSC“ oder einfach „Opal“ genannt, ist ein Implementierungsprofil für Speichergeräte, das diese Funktionalität beinhaltet.
Dieses Beispiel zeigt ein Self-Encrypting Drive (SED) – ein Speichergerät, das die Verschlüsselung von Benutzerdaten integriert. Alle Daten werden beim Schreiben verschlüsselt und beim Lesen wieder entschlüsselt. Das Laufwerk verschlüsselt und entschlüsselt Ihre Daten mithilfe eines Media Encryption Key (MEK), der intern im Speichergerät generiert wird.
Opal bietet einen Mechanismus, mit dem eine Hostanwendung, die die Opal-Funktionalität im Speichergerät verwaltet, einen Authentifizierungsnachweis (z. B. ein Passwort) festlegt, um die Zugriffskontrolle auf die Benutzerdaten zu ermöglichen. Die OPAL 2.0-Spezifikation berücksichtigt Blockgrößen, die für SSDs und die Ausrichtung des LBA-Bereichs geeignet sind, um die Schreibverstärkung zu minimieren.
Aus diesem Grund verschlüsselt SSDs sollten OPAL 2.0-kompatibel sein für optimale Leistung. Sie müssen außerdem mit Software verwendet werden, die OPAL 2.0 unterstützt, da die Spezifikation nicht abwärtskompatibel ist.
Auf Anfrage der NVMe-Arbeitsgruppe gibt es zwei neue Spezifikationen: Opalite und Pyrite. Diese beiden Spezifikationen sind eine Teilmenge von Opal. Der Hauptunterschied zwischen Opal und Opalite besteht darin, dass Opalite einen einzigen globalen Sperrbereich definiert, während Opal mehrere konfigurierbare Sperrbereiche definiert. Opalite begrenzt die Anzahl der unterstützten Benutzer auf zwei.
Pyrite ist fast identisch mit Opalite, mit einem wesentlichen Unterschied: Pyrite spezifiziert keine Funktionen für den kryptografischen Schutz ruhender Daten. Das bedeutet, dass Pyrite keine Funktionen im Zusammenhang mit Verschlüsselung und kryptografischer Löschung unterstützt.
SHA und RSA
Die Firmware einer SSD ist der Codesatz, der eine SSD steuert. Entwickler codieren Firmware auf die gleiche Weise wie Software. Die Softwarekompilierung wurde traditionell als ein einseitiger Vorgang betrachtet. Allerdings ist es einem Hacker theoretisch möglich, eine Binärdatei zurückzuentwickeln, um den Quellcode zu extrahieren. Daher müssen Firmware-Entwickler erkennen, wenn die Firmware manipuliert wurde, und verhindern, dass schädliche Firmware auf einem Speichergerät installiert wird. Im Allgemeinen verwenden Hersteller digitale Signaturen für Firmware-Upgrades, was bedeutet, dass digitale Signaturen für die Sicherung von Speichergeräten unerlässlich sind.
Das RSA-Kryptosystem erstellt, verwaltet und sichert digitale Signaturen. Wenn ein Programm in einem Betriebssystem ausgeführt wird, liest das Betriebssystem diese Signatur und zeigt sie an, und der Benutzer kann überprüfen, ob die Software von einem vertrauenswürdigen Anbieter stammt.
Die digitale Signatur stellt außerdem sicher, dass die Firmware nicht manipuliert wurde und nicht gefälscht ist. Sie können den Firmware-Update-Vorgang mit einer digitalen Signatur sichern. Jede Laufwerksschnittstelle, einschließlich SATA und NVMe, verfügt über eine definierte Befehlssequenz, die einen neuen Binärcode an ein Speicherlaufwerk sendet. Dadurch wird das Laufwerk angewiesen, die aktuelle Firmware zu ersetzen. Um sicherzustellen, dass dieser Befehl keine falsche Firmware liefert, überprüft das Laufwerk die Ziel-Firmware auf das richtige Modell und den richtigen Typ.
Sicherung der auf SSDs gespeicherten Daten
Die Gewährleistung der Sicherheit von Benutzerdaten und der Schutz der Integrität der SSD-Firmware vor Angriffen haben für jeden SSD-Hersteller höchste Priorität. Die sichersten Datenspeichergeräte beinhalten eine vollständige Verschlüsselung der Benutzerdaten, aber auch ohne Verschlüsselung ist die Datensicherheit immer noch von größter Bedeutung. Daher verfügen sowohl verschlüsselte als auch unverschlüsselte SSDs über Funktionen, die die Integrität der SSD-Firmware schützen und so einen zusätzlichen Schutz der Benutzerdaten bieten.
Deutsch 
English 
繁體中文 
简体中文 
日本語 
한국어