本文详细介绍了硬盘数据加密的两种主要方案——软件加密与硬件自加密,重点讨论了硬件自加密中TCG的Opal标准及其细分标准Pyrite。Opal提供AES-256加密,支持多用户权限管理,而Pyrite则更多作为ATA硬盘锁的替代品,不具备真正加密功能。
1 Opal、Pyrite的区别
1.1 硬盘数据加密方案
在说TCG的Opal和Pyrite加密之前,需要了解硬盘的当前具有加密的方案:
1、软件全盘加密FDE
2、硬盘自加密SED
1.1.1 软件加密
软件加密工具除了Window自带的BitLocker之外,还有Winmagic SecureDoc、WAVE Embassy、McAfee S afeBoot等等;软件加密的工作原理就是通过Pre-Boot软件,在开机时首先引导,并在通过认证后负责解密盘上加密区域的数据。这种加密和解密运算需要通过CPU来进行,性能会受到一定的影响。
1.1.2 硬件自加密
则是在硬盘内完成数据的加解密工作,开启加解密后对性能的影响较小,甚至完全没有影响。
而硬件自加密(SED)又可以分为两类:
1、微软的eDrive标准:需要SSD同时支持Opal和IEEE1667才能开启(基于SSD硬件加密的BitLocker)
2、TCG/SWG推出的Opal标准
1.1.2.1 Opal标准
Opal定义的功能特性:
使用AES-256加密算法加密数据
一个管理员密码用于配置管理
支持多个用户密码用于配置不同的权限
存储设备可以被划分为多个连续的加密地址范围
每个加密地址范围可以被独立解锁也可以被多个用户解锁
每个加密地址范围使用字节的MEK秘钥
每个加密地址范围可以被秘钥茶树使得此块数据不能被解密
支持隐藏MBR来实现Pre-boot认证
1.1.2.1.1 opal细分标准
在Opal之下又有很多的细分标准,如Opalite、Pylite等,下图展示了TCG Opal、Opalite以及Pylite的关系;Opalite是Opal的一个子集,而Pyrite又是Opalite的一个子集。
Pylite其实并不是真正的加密,Pyrite提供了逻辑上对数据访问进行阻止或授权的能力,可以作为ATA硬盘锁的替代品,下图是Opal、Opalite、Pylite的功能对比
功能Opal V2.0.0 SSCOpalite SSC(Opal V2.0.0 Subset)Pylite SSC(Nonencrypting Version of Opalite)核心规范版本 V2.0.0 V2.0.0 V2.0.0激活和生命周期YesYesYes管理员/用户数量4 Admin,8User1Admin,2User1Admin,2User最小数据存储单元(通用存储)10MB128KB128KB最小MBR表大小128MB128MB128MB可配置访问控制YesYesYesPSID选配(V2.01必配)要求不需要(由于缺乏完整的数据擦除,建议禁止)Media加密要求要求不指定加密擦除Revert,RevertSP GenKey设备和锁定范围级别擦除的方法Revert,RevertSP GenKey设备和锁定范围级别擦除的方法不支持用户数据擦除-依赖与本机几口擦除功能
| 功能 | Opal V2.0.0 SSC | Opalite SSC(Opal V2.0.0 Subset | Pylite SSC(Nonencrypting Version of Opalite) |
|---|---|---|---|
| 核心规范版本 | V2.0.0 | V2.0.0 | V2.0.0 |
| 激活和生命周期 | Yes | Yes | Yes |
| 管理员/用户数量 | 4 Admin,8User | 1 Admin,2User | 1 Admin,2User |
| 最小数据存储单元(通用存储) | 10MB | 128KB | 128KB |
| 最小MBR表大小 | 128MB | 128MB | 128MB |
| 可配置访问控制 | Yes | Yes | Yes |
| PSID | 选配(V2.01必配) | 要求 | 不需要(由于缺乏完整的数据擦除,建议禁止) |
| Media加密 | 要求 | 要求 | 要求 |
| 加密擦除 | Revert,RevertSP GenKey设备和锁定范围级别擦除的方法 | Revert,RevertSP GenKey设备和锁定范围级别擦除的方法 | 不支持用户数据擦除-依赖与本机几口擦除功能 |
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
