為什麼即使沒有設定密碼,我的 SSD 也會內部加密資料?

為什麼即使沒有設定密碼,我的 SSD 也會內部加密資料?

最近我遇到了 SSD 故障,正在嘗試進行資料復原。資料恢復公司告訴我們,這很複雜,因為內建驅動器控制器使用加密。

我認為這意味著當它將資料寫入記憶體晶片時,它會以加密格式將其儲存在晶片上。

如果這是真的,他們到底為什麼要這麼做?

答案1

始終在線加密允許您透過設定密碼來保護數據,而無需擦除或單獨加密數據。它還可以快速、輕鬆地「擦除」整個驅動器。

  • SSD 透過以明文形式儲存加密金鑰來實現此目的。當您設定 ATA 磁碟密碼(三星稱之為 0 級安全)時,SSD 使用它來加密金鑰本身,因此您需要輸入密碼才能解鎖磁碟機。這可以保護磁碟機上的數據,而無需擦除磁碟機的全部內容或使用加密版本覆蓋磁碟機上的所有資料。

  • 對磁碟機上的所有資料進行加密還帶來了另一個好處:能夠立即有效地擦除資料。只需更改或刪除加密金鑰,驅動器上的所有資料都將變得不可讀,而無需覆蓋整個驅動器。一些較新的希捷硬碟(包括幾個較新的消費者驅動器)將此功能實作為即時安全擦除1

  • 由於現代硬體加密引擎是如此快速和高效,因此禁用它並沒有真正的性能優勢。因此,許多較新的 SSD(以及一些硬碟)都具有始終在線的加密功能。實際上,大多數較新的 WD 外接硬碟都具有始終開啟的硬體加密功能


1針對一些評論:考慮到政府可能在不久的將來能夠解密 AES,這可能並不完全安全。然而,對於大多數消費者和試圖重複使用舊硬碟的企業來說,這通常已經足夠了。

答案2

它是一個美麗的完全地優雅的駭客曾經節省磨損在磁碟上。 MLC 驅動器上的加擾/隨機化資料還可以提高較小製程尺寸的可靠性 - 請參閱這張紙以及這兩個引用的專利(這裡這裡,加密資料本質上是隨機的(感謝 alex.forencich 在評論中挖掘這一點)。從某種意義上說,AES 加密的工作方式與用於在非加密 SSD 上隨機化資料的 LSFR 相同,只是更快、更好、更簡單。

此類驅動器稱為自加密驅動器,並且相當多的現代 SSD 都是這樣建構的。本質上,加密是相對‘便宜的',並允許您將擾亂的資料儲存在 SSD 上(某些磁碟機不需要無論如何,加密可以提高可靠性)。如果需要格式化?只需透過丟棄密鑰來使資料無法訪問,直到需要空間為止。它是在韌體層級完成的,並且是動態解密的。這也有助於減少磨損,因為數據在此過程中分散。

除非您在BIOS 中設定HDD 安全密碼,或設定其他類型的受支援安全/加密選項,否則所有這些都會阻止某人拆焊您的NAND 晶片並在其他地方讀取它們,或者放入新控制器並取出您的資料 -請參閱 AnandTech 的評論英特爾320。當然,當您的驅動器損壞時,如果是控制器損壞,那麼恢復服務最終會執行此操作。除非他們能夠以某種方式從儲存位置恢復加密金鑰(韌體?)並傳輸它,否則這可能是不可能的。

簡而言之,加密可以延長磁碟的使用壽命,並使其在刪除檔案時「更快」。

答案3

出於安全考量! SSD 將分散的資料儲存在不同的快閃記憶體晶片上。由於快閃記憶體可能會損壞,因此它們的儲存空間都比宣傳的和可用的要多。

現在假設您的磁碟上有未加密的絕密資訊。您現在認為這是一個愚蠢的想法並加密整個驅動器。

但是你不能加密整個磁碟機。 SSD僅顯示16GB空間,而其內部有20GB(實際上,額外空間較少)。您加密了所有 16GB,但磁碟機內部仍然有 4GB,您無法知道其中儲存了什麼。也許某個快閃記憶體晶片甚至有部分缺陷,驅動器將永遠不會再接觸它。資料竊賊仍然可以直接從中讀取資料。

另一個原因是允許快速資料銷毀。如果你必須以 400MB/s 的速度擦除 1TB SSD,則需要 42 分鐘。如果您想遠端擦除被盜筆記型電腦中的 SSD,在這 42m 內,小偷會發現問題並切斷電源。出於同樣的原因,大多數新型智慧型手機預設都會加密,即使您不需要任何 PIN 碼。

只需擦除 128 位元(或 256 位元)金鑰即可擦除加密的 SSD/手機。之後,所有數據都毫無價值。

相關內容