Cum se generează o nouă cheie de criptare pentru o unitate care utilizează SED (Self Encryption Drive)

Deci, în prezent, învăț mai multe despre unitățile NVMe care sunt livrate cu o caracteristică numită SED (Self Encrypting Drive). Luați Smasung 970 EVO de exemplu. Se menționează clar că are SED.

970 EVO oferă multiple caracteristici avansate de criptare a datelor. Tehnologia de securitate Self-Encrypting Drive (SED) va ajuta la păstrarea datelor în siguranță în orice moment. 970 EVO include un AES pe 256 de biți motor de criptare bazat pe hardware pentru a vă asigura că dvs. personal fișierele rămân în siguranță. Fiind bazat pe hardware, criptarea motorul vă securizează datele fără degradarea performanței pe care o aveți poate experimenta cu criptarea bazată pe software. De asemenea, 970 EVO este compatibil cu diverse soluții avansate de management al securității (TCG Opal și unitate criptată-IEEE1667).

De obicei, aceste unități vin cu o cheie de criptare preinstalată din fabrică pe care o utilizează Motorul de criptare. Și, aparent, SSD-urile mai vechi, unitățile normale de 2,5" pot utiliza ceva numit "ATA Sanatize", care este o caracteristică care vine cu software precum PartedMagic. Și se presupune că va genera o nouă cheie. Nu sunt sigur cum și mi-ar plăcea ca cineva să explice cum o face.

Cu toate acestea..

Deoarece unitățile NVMe nu acceptă ATA Sanitization, cum ați genera o nouă cheie? Există o caracteristică pe care o oferă PartedMagic numită „NVMe Secure Erase - Șterge întreaga unitate la nivel hardware” și nu sunt sigur dacă este același lucru.

Unitățile (sau dispozitivele) cu criptare automată criptează întotdeauna datele care le sunt transmise pentru stocare. Ei folosesc o cheie numită Cheie de criptare a datelor (DEK). Această cheie este cunoscută numai de firmware-ul discului. Cheia nu părăsește niciodată discul. Toate datele care sunt transmise către și de pe disc sunt criptate și decriptate cu acea cheie. Când discul este oprit, acesta devine blocat. Când este pornit, necesită o parolă pentru a debloca DEK și pentru a începe din nou citirea/scrierea. Dacă nu este setată nicio parolă, atunci discul nu pare să fie criptat/decriptat.

Acum, când setați o parolă - o cheie de autentificare (AK) - unitatea știe să vă solicite ea și nu poate decripta/cripta nimic până când nu este deblocat.[De fapt, există două chei, dar acestea sunt mai multe detalii decât este necesar aici]

Acesta este și motivul pentru care este posibil să schimbați parola (AK) fără a fi nevoie să decriptați și să recriptați întregul conținut al discului.

Funcția Secure Erase, prezentă pe multe unități, profită de unul dintre efectele secundare ale criptării. Datele criptate arată ca niște caractere aleatorii până când utilizați cheia de criptare corectă (DEK) pentru a le decoda. Deci, să şterge un disc, pur și simplu schimbați cheia de criptare. Niciuna dintre datele vechi nu poate fi acum decodificată, adică este sters.

Seagate a produs un document frumos care detaliază toate acestea într-un limbaj relativ lizibil. https://www.seagate.com/files/staticfiles/support/docs/manual/Interface%20manuals/100515636c.pdf

De asemenea, dacă sunteți pe Linux sau puteți utiliza o distribuție Linux bootabilă USB, puteți încerca sugestiile din răspunsul la această întrebare: https://superuser.com/questions/1530363/how-to-securely-erase-an-nvme-ssd