Was ist TCG OPAL? Und was sind SEDs?
TCG Opal steht für Trusted Computing Group OPAL. Die Trusted Computing Group ist eine Organisation, die offene Standards für vertrauenswürdige Computerplattformen entwickelt und von führenden Unternehmen aus der Computerindustrie betrieben wird. Laut ihrer Website ist ihr Ziel: "Die Mitglieder der Trusted Computing Group entwickeln und fördern offene, herstellerneutrale Industriestandardspezifikationen für vertrauenswürdige Computerbausteine und Software-Schnittstellen auf mehreren Plattformen." Der Begriff "Trust/Vertrauen" bedeutet, dass ein Gerät, ein Produkt oder eine Software für einen bestimmten Zweck auf eine zuvor definierte Weise agiert.
Daher ist Opal faktisch eine Reihe von festgelegten Spezifikationen für Datenspeichergeräte, um deren Sicherheit zu erhöhen. Die neueste Opal-Speicher-Spezifikation ist derzeit in der Version 2.0 verfügbar und verlangt solche Funktionen und Anforderungen zur Verschlüsselung der gespeicherten Daten, so dass eine unbefugte Person die Daten nicht sehen oder darauf zugreifen kann, selbst wenn sie in den Besitz eines Laufwerks gelangen konnte. Das liegt daran, dass die Festplatten- und Datenverschlüsselung generell ein Schutzmechanismus ist, der den Schutz nach dem Verlust, Diebstahl oder Beschlagnahme eines Laufwerks gewährleisten soll.
Opal SSC (Security Subsystem Class) v.2.0 macht die Hardwareverschlüsselung beherrschbar. Die Spezifikationsnorm schreibt vor, dass die Hardwareverschlüsselung dauerhaft aktiv ist ("always on"). Das bedeutet, dass Opal 2.0 ein Hauptstandard für die sogenannten SED (self encrypting drives/selbstverschlüsselnden Laufwerke) ist. Das bedeutet jedoch nicht, dass jedes SED-Laufwerk Opal-konform ist. Einige sind es, andere nicht.
Was sind SEDs?
SEDs sind selbstverschlüsselnde Laufwerke, die auf Hardwareverschlüsselung basieren. SEDs können sowohl SSDs als auch HDDs sein. Festplatten, die ebenfalls auf Hardwareverschlüsselung basieren, werden jedoch meist als Full Encryption Disks (FED) bezeichnet.
Der Hauptvorteil von SED-Laufwerken besteht jedoch darin, dass die CPU von der Verschlüsselungs- oder Entschlüsselungsberechnung befreit wird, die ein Software-Verschlüsselungswerkzeug normalerweise benötigt und somit die Gesamtleistung des Computers erhöht wird. Ein weiterer Vorteil ist, dass die CPU oder das RAM keine möglichen Angriffsziele für Hacker mehr sind.
SEDs, die auf dem Standard Opal 2.0 basieren, implementieren ein erweitertes Schlüsselmanagement sowohl über einen Authentifizierungsschlüssel (AK) als auch über einen Datenverschlüsselungsschlüssel der zweiten Ebene (DEK). Die Schlüsselverwaltung erfolgt innerhalb des Disk-Controller-Chips. Die Verschlüsselungscodes sind entweder 128 oder 256 Bit AED (Advanced Encryption Standard).
Da die Verschlüsselung immer eingeschaltet ist, entschlüsselt der Festplattencontroller den Inhalt der Festplatte automatisch, nachdem der Computer hochgefahren ist. Wenn der Benutzer mehr Sicherheit wünscht, kann er ein zusätzliches ATA-Passwort festlegen. Aber wenn dieses Passwort vom Benutzer verloren geht, kann weder der Administrator noch ein Datenrettungsexperte erneut auf die Festplatte oder die Daten zugreifen.
Viele SED-Hersteller stellen dem Anwender zusätzliche Software-Tools zur Verfügung, um sein zusätzliches Benutzerpasswort zu erstellen. Auch wenn es, wie gesagt, nicht notwendig ist, da die Daten selbst bereits verschlüsselt sind, bietet es eine zusätzliche Sicherheitsebene.
