Вопрос или проблема
Я сейчас изучаю NVMe-диски, которые поставляются с функцией под названием SED (самозашифрованный диск). Например, возьмем Samsung 970 EVO. Четко указано, что он оснащен SED.
970 EVO предоставляет несколько усовершенствованных функций шифрования данных. Безопасность технологии самозашифрованных дисков (SED) поможет обеспечить безопасность данных в любое время. 970 EVO включает аппаратный шифровальной движок AES на 256 бит, чтобы гарантировать, что ваши личные файлы остаются в безопасности. Поскольку он аппаратный, шифровальной движок защищает ваши данные без деградации производительности, с которой вы можете столкнуться при использовании программного шифрования. Кроме того, 970 EVO соответствует различным решениям по управлению безопасностью (TCG Opal и Encrypted Drive-IEEE1667).
Как правило, эти диски имеют ключ шифрования, предустановленный с завода, который используется шифровальной системой. И, похоже, старые SSD, обычные 2,5-дюймовые диски могут использовать нечто, называемое “ATA Sanatize”, что является функцией, которая поставляется с программным обеспечением, таким как PartedMagic. И предполагается, что он генерирует новый ключ. Не уверен как, и мне бы хотелось, чтобы кто-то объяснил, как это делается.
Тем не менее..
Поскольку NVMe-диски не поддерживают ATA Sanitization, как вы сгенерируете новый ключ? Есть функция, которую предлагает PartedMagic, называемая “NVMe Secure Erase – Стереть весь диск на аппаратном уровне”, и я не уверен, одинаково это или нет.
Самозашифрованные диски (или устройства) всегда шифруют данные, которые передаются им для хранения. Они используют ключ, называемый ключом шифрования данных (DEK). Этот ключ известен только прошивке диска. Ключ никогда не покидает диск. Все данные, которые передаются на диск и из него, шифруются и расшифровываются с помощью этого ключа. Когда диск выключен, он становится заблокированным. При включении он требует пароль для разблокировки DEK и начала чтения/записи снова. Если пароль не установлен, то диск не кажется шифрующим/расшифровывающим.
Теперь, когда вы устанавливаете пароль – ключ аутентификации (AK) – диск знает, что нужно запросить его и не может расшифровать/зашифровать ничего, пока он не будет разблокирован. [На самом деле есть два ключа, но это больше деталей, чем нужно здесь]
Это также причина, по которой возможно изменить пароль (AK), не расшифровывая и не перешифровывая все содержимое диска.
Функция безопасного удаления, присутствующая на многих дисках, использует один из побочных эффектов шифрования. Зашифрованные данные выглядят как случайные символы, пока вы не используете правильный ключ шифрования (DEK) для их декодирования. Таким образом, чтобы стереть диск, вы просто меняете ключ шифрования. Никакие старые данные теперь не могут быть декодированы, т.е. они стерты.
Компания Seagate выпустила хороший документ, подробно описывающий все это на относительно понятном языке. https://www.seagate.com/files/staticfiles/support/docs/manual/Interface%20manuals/100515636c.pdf
Кроме того, если вы на Linux или можете использовать загрузочную USB-распределение Linux, вы можете попробовать предложения в ответе на этот вопрос: https://superuser.com/questions/1530363/how-to-securely-erase-an-nvme-ssd
Ответ или решение
Как сгенерировать новый ключ шифрования для SED (Самошифрующегося диска)
Самошифрующиеся диски (SED) представляют собой современные устройства хранения данных, которые используют встроенные средства шифрования для защиты содержимого. Основной компонент системы шифрования — это Ключ Шифрования Данных (DEK), который известен только прошивке диска. Эффективная генерация нового ключа шифрования для SED в условиях, когда ATA Sanitization не поддерживается (например, на NVMe-дисках), требует понимания как функционирует эта технология, а также доступных средств.
Понятие SED и DEK
SED автоматически шифрует данные, которые записываются на диск. Это шифрование осуществляется с помощью DEK, который фиксируется на уровне прошивки устройства. Любая попытка доступа к данным осуществляется через аутентификацию с использованием Ключа Аутентификации (AK). Пользователь указывает этот ключ, который разблокирует DEK и позволяет читать или записывать данные.
Процесс генерации нового ключа
Для генерации нового ключа шифрования в SED, который поддерживает спецификации TCG Opal или IEEE 1667, существует несколько методов:
-
Использование функции Secure Erase:
- Большинство современных NVMe-дисков поддерживают функцию Secure Erase, которая позволяет полностью стереть данные с диска. Эта операция не только физически удаляет все содержимое, но и меняет DEK на новый.
- Программа Parted Magic предлагает опцию «NVMe Secure Erase», которая позволяет сгенерировать новый ключ. Это достигается путем передачи команды на уровень прошивки накопителя, который отвечает за шифрование.
-
Программное обеспечение:
- Многие утилиты для работы с дисками, такие как
hdparmв Linux, поддерживают команду Secure Erase. Этот подход обеспечивает более низкоуровневый доступ к управлению диском, что позволяет генерировать новый ключ за счет замены старого. - Пример команды для использования в терминале:
sudo hdparm --user-master u --security-set-pass password /dev/nvme0n1 sudo hdparm --user-master u --security-erase password /dev/nvme0n1 - После выполнения данной команды диск будет полностью перешифрован с новым DEK.
- Многие утилиты для работы с дисками, такие как
-
Альтернативные утилиты:
- Если вы не хотите использовать коммандную строку, вы можете воспользоваться графическими интерфейсами, такими как GParted или другие инструменты, предлагаемые в Parted Magic.
- Эти инструменты обычно интуитивно понятны и позволяют легко инициировать процесс Secure Erase.
Рекомендации и предостережения
- Резервное копирование данных: Перед выполнением операции стирания, обязательно создайте резервные копии всех важных данных, поскольку все содержимое будет безвозвратно удалено.
- Проверка документации: Убедитесь, что ваш NVMe-диск поддерживает функцию Secure Erase и ознакомьтесь с документацией производителя.
- Использование рекомендованных утилит: Следуйте рекомендациям, предоставленным в документации для избежания непредвиденных последствий.
Заключение
Смена ключа шифрования на SED, особенно NVMe-дисках, осуществляется с помощью функций, встроенных в прошивку диска, таких как Secure Erase. Эти методы обеспечивают высокую степень защиты ваших данных, позволяя эффективно управлять процессом шифрования без дополнительных затрат ресурсов системы.
Правильное понимание и применение этих технологий — ключ к обеспечению безопасности на современном уровне хранения данных.