了解自加密驅動器的價值

存儲設備上的數據有多安全？令人驚訝的事實是，如果沒有驅動器級訪問控制和加密，硬盤驅動器 (HDD) 或固態驅動器 (SSD) 上的數據可能容易受到不當訪問或未經授權的修改或刪除。例如，如果惡意行為者竊取了驅動器，他或她可以將其放置在另一台計算機上。驅動器將響應任何格式正確的 I/O 命令。

問題在於，標準驅動器依賴操作系統 (OS) 登錄和文件系統權限來控制誰可以訪問該驅動器以及他們可以訪問哪些文件。通過攻擊計算機的操作系統，黑客可能能夠提取加密密鑰並解鎖基於軟件的加密以訪問存儲在驅動器上的數據。

閱讀：Phison 和 Cigent 合作通過自防禦閃存驅動器樹立網絡安全新標準

TCG Opal 自加密驅動器 (SED) 可減輕這種風險。首先，TCG 提供強大的訪問控制，即使操作系統被黑客攻擊或 SSD 被放置在另一台 PC 中，訪問也會被鎖定。作為額外的保護層，TCG Opal SSD 上的用戶數據使用 AES-256 進行加密。這意味著攻擊者無法通過拆焊 NAND 閃存芯片並嘗試直接讀取它們來繞過訪問控制。

TCG Opal SSD 實現基於硬件的安全性，並且由於它是獨立的，因此更難受到攻擊。與連接到互聯網並運行瀏覽器和應用程序的 PC 不同，SSD 是一個封閉的環境。它只運行自己的固件。此外，精心設計的 TCG Opal SSD 始終實現安全啟動。此功能可確保 ROM 代碼在運行之前驗證固件加密簽名。

由於這些原因，TCG Opal SED 提供比標準驅動器更高級別的數據保護。本文回顧了 SED 的工作原理以及優秀 SED 的組成部分。

SED 的工作原理

一旦用戶解鎖，SED 就會自動加密和解密驅動器數據，無需用戶輸入或使用任何軟件來處理磁盤加密。憑藉其板載加密功能，驅動器可以對自己的數據進行加密，而不受外部因素的影響。

可信計算組織 (TCG) 的 Opal 加密規範構成了當今 SED 最常見的框架。在緩解攻擊方面，鎖定的 SED 會拒絕 I/O 命令，除非用戶首先提供正確的密碼來解鎖 SSD。即使攻擊者從 SSD 板上拆下 NAND 存儲芯片並將其放入 NAND 芯片讀取器中，攻擊者也必須破解 AES-256 或 ECDSA-256 等軍用級加密才能讀取數據。

閱讀：為什麼固件安全對於網絡安全解決方案至關重要

優秀的 SED 需要具備哪些要素？

有效的 SED 結合了標準、設計、配置和使用的最佳實踐。所有這些因素都必須協調一致，戰略經濟對話才能完成其安全使命。關於標準，驅動器使用的加密算法必須符合美國國家標準與技術研究所 (NIST) SP800-175B。這是 聯邦政府使用加密標準的指南。它用於保護傳輸和存儲中的敏感信息。符合以下要求的驅動器 聯邦信息處理標準 (FIPS) 可用於要求更高的場合

場景。 FIPS 驅動器要經過深入的驗證過程，需要政府、認可實驗室和 SSD 製造商之間的密切合作。 SSD 設計和製造過程的每個方面都經過驗證，以確保產品真正滿足安全數據管理和加密密鑰處理的所有要求。

一旦驅動器獲得認證，製造商就無法修改固件或硬件，除非經過另一個漫長的過程。群聯非常重視安全。其所有 SSD 都基於相同的安全代碼和技術，但只有經過 FIPS 驗證的產品才能作為 FIPS 認證的驅動器出售。

在功能和設計方面，SED 的構建必須具有彈性。此外，其固件需要強大的加密簽名來證明其有效且未經修改。添加一個符合 NIST SP800-90 的加密質量隨機數生成器， NIST 建議使用確定性隨機位生成器生成隨機數——或其他同等的國家特定標準。 SED 還必須對隨機數生成器運行持續的運行狀況檢查。

SED 的設計必須確保驅動器上的所有秘密都受到保護，即使攻擊者可以直接訪問 NAND 芯片也是如此。例如，這意味著不在驅動器上存儲密碼文件。即使對密碼進行哈希處理也不夠好。 GPU 每秒可以執行數百萬次哈希並通過暴力破解來發現密碼。更好的方法是使用密鑰包裝方案，例如 NIST SP800-132 中定義的方案， 基於密碼的密鑰派生的建議。這些比簡單的哈希比較更難破解。

其他最佳實踐和配置建議包括實施強大的密鑰管理和安全刪除。即使攻擊者可以物理訪問驅動器，也必須無法禁用或繞過 SED 上的任何安全機制。所有加密密鑰必須與特定的授權用戶緊密綁定。作為正常啟動過程的一部分，必須使用標準測試向量自動測試所有加密算法。 SSD 控制器必須在每次啟動時以及接受新的固件更新之前檢查此簽名。

所有調試功能都需要通過基於加密簽名的握手機制進行鎖定和保護，例如 NIST SP800-56B， 使用整數分解密碼學的成對密鑰建立方案的建議 或類似的國家特定的等效定義。成功啟用調試功能後，SSD 必須在授予調試訪問權限之前立即將所有密鑰歸零。虛擬或未啟用的用戶無法擁有加密密鑰的副本。

SED 有助於防止勒索軟件嗎？

存儲領域經常出現的一個問題是“SED 是否有助於防止勒索軟件？”如果分區被鎖定，它們就會這樣做，但一旦用戶登錄，SSD 就無法知道哪個 IO 是好是壞。為了解決勒索軟件問題，我們需要一個帶有集成 AI 的 SSD 來檢測勒索軟件使用的奇怪模式。群聯有 這樣的產品，但是否需要這樣的產品取決於你的威脅環境。

閱讀：企業安全的靜態數據保護以及為什麼 FIPS 140-2/-3 驗證很重要

群聯的產品

群聯提供多種符合 TCG 標準的 SED。它還擁有 FIPS 140-3 2 級認證產品以及支持人工智能的解決方案，以防範勒索軟件。它們是第一款也是唯一一款將網絡安全內置於固件中的 SED。固件集成將驅動器的防禦機制置於主機軟件、操作系統和 BIOS 固件之下。它們基於 Cigent Secure SSD™ 驅動器，該驅動器最初是為美國政府和軍事用途而開發的。

結論

在充滿高級威脅和設備物理盜竊的世界中，標準驅動器不夠安全。 SED 提供了一種解決方案，無需任何軟件即可自動加密驅動器上的數據。它們具有板載加密功能。然而，為了達到最佳效果，SED 的設計應滿足 NIST 標準的加密、隨機數生成等標準。配置和使用實踐也很重要。在保護其存儲的數據方面，SED 的使用方式與其構建方式同樣重要。

閱讀：Phison 現在提供業界最佳的安全 SSD 解決方案並獲得 FIPS 140-2 認證