TCG Opal i dyski SED, czyli kilka słów o samoszyfrujących dyskach

Trusted Computing Group (TCG) to organizacja zrzeszająca największych producentów dysków, oprogramowania i sprzętu. W jej skład wchodzą m.in. takie firmy jak Dell, IBM, Seagate czy Western Digital. TCG Opal jest zestawem specyfikacji dla urządzeń przechowujących dane, którego stosowanie ma służyć zwiększeniu bezpieczeństwa. Standard ten definiuje sposób tworzenia i zarządzania nośnikami samoszyfrującymi w celu ochrony danych przed ich utratą bądź kradzieżą.

Specyfikacja TCG Opal 2.0

Najnowsza specyfikacja TCG Opal 2.0 wymaga funkcji szyfrowania i przechowywania danych tak, aby osoba nieuprawniona nie miała możliwości uzyskania dostępu do danych, nawet w sytuacji, kiedy będzie miała dostęp do samego nośnika.

Wynika to z faktu, że szyfrowanie dysku i danych jest mechanizmem zapewniającym ochronę po utracie czy kradzieży dysku.

Opal SSC (Security Subsystem Class) v.2.0 umożliwia zarządzanie szyfrowaniem sprzętowym. Standard ten przewiduje, że szyfrowanie sprzętowe jest stale aktywne (zawsze włączone). Oznacza to, że Opal 2.0 jest jednym z głównych standardów dla tzw. dysków samoszyfrujących SED. Nie oznacza to jednak, że każdy dysk SED jest zgodny z normą Opal.

Czym są dyski SED?

Dyski SED (Self-Encrypting Drive) są dyskami samoszyfrującymi opartymi na szyfrowaniu sprzętowym. Mogą to być zarówno dyski SSD, jak i dyski twarde. Dyski HDD, które również oparte są na szyfrowaniu sprzętowym, są jednak najczęściej nazywane dyskami pełnego szyfrowania (FDE – Full Disk Encryption).

W każdym razie główną zaletą dysków SED jest to, że procesor jest wolny od szyfrowania lub deszyfrowania, którego potrzebuje programowe narzędzie szyfrujące (szyfrowanie programowe) i w związku z tym jego wydajność jest większa. Kolejną korzyścią jest to, że procesor lub pamięć RAM nie są potencjalnymi celami ataku hakerów.

Dyski SED, które bazują na standardzie Opal 2.0, wdrażają zaawansowane zarządzanie kluczami za pomocą klucza uwierzytelniania (AK) oraz klucza szyfrowania danych drugiego poziomu (DEK). Zarządzanie kluczami odbywa się w układzie sterownika/procesora dysku. Kluczami szyfrowania są klucze 128 lub 256-bitowe AED (Advanced Encryption Standard).

Zatem klucze wykorzystywane do szyfrowania i deszyfrowania danych są przechowywane na dysku, a nie w pamięci RAM komputera.

Ponieważ szyfrowanie jest zawsze aktywne, kontroler odszyfrowuje zawartość dysku automatycznie po uruchomieniu komputera. Jeśli użytkownik chce zwiększyć bezpieczeństwo danych, może ustawić dodatkowe hasło ATA. Jeśli jednak to hasło zostanie utracone przez użytkownika, ani administrator, ani ekspert ds. odzyskiwania danych nie będzie mógł uzyskać dostępu do danych przechowywanych na nośniku.

Wielu producentów dysków SED zapewnia użytkownikowi dodatkowe narzędzia programowe do tworzenia dodatkowego hasła użytkownika. Chociaż nie jest to konieczne (jak wspomnieliśmy wcześniej, same dane są już zaszyfrowane), to zapewnia dodatkową warstwę zabezpieczeń.