【深入浅出SSD】移动固态硬盘的加密与解密实现方式

牧源膳品

深入浅出SSD系列：长期介绍SSD、PSSD的科普知识与专业知识。敬请关注 @存储印象 。
大到国家政府，小到企业、个人，信息安全、数据安全都是非常重要的。人们越来越重视个人信息和私密信息的保护。互联网传输中的数据和存储器内保存的静态数据都有相应的加密保护方法。


今天，主要针对存储设备中常用的加密方式进行讲解，尤其涉及到移动固态硬盘/固态硬盘的加密实现方式。
01 加密和解密的概念

信息存放在数字设备（如存储器）中，如果没有加密，那么谁都可以读懂这些信息，这种非加密信息被称为“明文”。为了这些信息不让他人轻易读懂，就需要对这些信息进行加密，以防泄密、泄露。加密的概念显然就是把输入数字设备（如存储器）中的信息转化为在他人看起来没有什么意义的数据块，这样他人就不能读懂这些信息了，即这些信息在他人看来是不可读的，加密的信息常被称为“密文”。如果对数据信息的加密流程越复杂，那么实施加密后的数据便变得越来越难辨认和破译。
有加密，就有解密，或许正与反、阴与阳就是这个世界的真谛。
解密就是将加密的数据通过某种方式变回原来的形式，使之再次可读。
02 常用的加密方式

常用的加密方式有软件加密、硬件加密以及指纹加密等。
1、软件加密

软件加密是比较常见的一种加密方式，它是指通过各种软件程序对逻辑卷中的数据进行加密。例如，对固态硬盘通过设定用户名和密码进行加密，是最为常见的，首次加密时，密钥会在软件程序中生成并存储在计算机内存中，完成首次加密后，当用户输入正确的用户密码后，系统便会解锁秘钥，此时允许用户对硬盘中未加密的数据进行访问。通过软件设置，秘钥的副本会写入到固态硬盘中永久保存。
软件加密的角色实际上就是充当了应用程序在设备上读取/写入数据的中间人，当用户要将数据写入硬盘时，这个中间人会使用密钥对数据进行加密处理，然后真正写入磁盘。当用户要从硬盘读取数据时，这个中间会使用同一密钥解密数据，然后再提供给程序。
单纯的软件加密是最为常见的一种低成本加密实现方式，但是它的安全性等级不见得有多高，如果密码或代码被破解了，加密的数据就会变得不安全，从而像皇帝的新衣一样完全暴露。
软件加密的加密动作和解密动作需要依赖处理器来完成，这会造成系统运行速度变慢。这是软件加密的一个弱点，还有一个弱点就是当系统启动后，加密秘钥存储在计算机内存中，会导致容易成为低级攻击的目标。
关于TCG Opal 2.0 软件加密
这是高阶的软件加密。比如，TCG Opal 2.0 软件加密就是一种高阶的软件加密。
TCG Opal 2.0 软件加密是由一家名为“Trusted Computing Group (TCG) ”的国际行业标准组织（该组织负责为可互操作可信计算平台定义基于硬件的可信根）制定的一项软件加密标准。
目前，可以提供TCG Opal 2.0 安全管理解决方案的独立软件供应商有Symantec™、McAfee™、WinMagic® 等。借助TCG Opal 2.0 安全管理解决方案，可以对加密的固态硬盘进行初始化、身份验证和管理。
2、硬件加密

硬件加密相当于给硬盘数据加了一把物理锁（硬件），这把物理锁需要一把电子钥匙，这种方式采用的是更具整体性的方法来给用户数据加密。
自加密硬盘（SED）
例如自加密硬盘（SED）使用了硬件加密，其配备板载AES加密芯片，该AES加密芯片在数据写入NAND介质前加密数据，并在从NAND介质读取数据前解密数据。硬件加密有个习惯特点，它位于硬盘上安装的操作系统和系统BIOS之间。当对硬盘进行首次加密时，AES加密芯片会生成加密密钥并将其存储在NAND闪存中；当系统首次启动时，将自定义BIOS会加载并要求提供用户密码，此时输入正确的密码后，会解密硬盘中的内容并授予操作系统和用户数据访问权限。
自加密硬盘（SED）还利用板载加密芯片实现数据动态加密与解密，该加密芯片负责在数据写入NAND闪存前将数据加密，并在读取数据前将数据解密，这个加密流程不用主机CPU不参与，因此可以保证了主机CPU不会因为软件加密而导致性能损失。为了提高秘钥检索难度，以及不易遭到第级攻击，可以采取的一种方法是当系统启动时，加密密钥存储在固态硬盘的板载内存中，这样的硬件加密方法对用户来说是不可见的，数据安全性更好。硬件加密的好处是基本不影响主机运行的性能，而硬件加密也无法被关闭，外人进不来窃取数据。
AES 256 位硬件加密
现在移动固态硬盘的主控可以有一种高级加密算法，这就是AES 256位硬件加密算法。AES的中文解释是高级加密标准，它是一种对称加密算法，让加密秘钥和解密秘钥一样。
AES属于分组密码，系统会先将数据分成128位数据块，然后以256位密钥的方式对数据进行加密，这就是AES 256位硬件加密。AES 256 位加密是目前最强大的几种加密标准之一，号称基本上无法以常规设备来破译，并成为一项可确保卓越数据安全性的国际标准。
每个主流品牌的一些高端移动固态硬盘基本都支持AES 256位硬件加密，例如闪迪的E61和E81。


为什么AES 256 位加密无法破译？
这是因为AES包括AES-128、AES-192 和 AES-256，AES后面的数字代表着每个加密和机密数据块中的密钥位数。
如果没有数学感知的话，可以这样来估算一下，即每增加一位，可能的密钥数量便增加一倍，这意味着什么呢？
哇！256位加密等于2的256 次方！你的脑子里一定闪出一连串的数字，看不到数字的尽头。这将是非常庞大的潜在密钥数量！
而且每个密钥位数都有不同的回合数，所谓回合是将明文变成密文的过程。2256位存在14个回合。
可想而知，对于加密14轮的256位，那些黑客要获得正确序列的难度不是一般的大，而是非常大，可以说获得正确序列的可能性极低，更不用要付出很多的时间和计算能力了。
3、指纹加密及其它

指纹加密技术是采用指纹作为身份认证的标准，实现对数据的保护。人体指纹具有独特的唯一性，具有优于软件加密和安全芯片硬件加密的特点，通过比较不同指纹的细节特征点来进行安全识别。严格来说，指纹加密是利用了指纹识别器这个硬件和手指，具有硬件加密的特征，同时也具有软件加密的特征，需要建立一个指纹识别与验证系统。
指纹加密移动固态硬盘是指利用指纹加密法作为硬盘解锁方式的移动固态硬盘，具有较高的安全性能。具有代表性的指纹加密移动固态硬盘是三星T7 Touch，它采用NVMe协议，提供USB Type-C接口（USB 3.2 Gen2），传输速度1050MB/s。
和指纹识别技术类似的有人脸识别技术等。人脸识别技术是利用人体独一无二的面部特征来进行识别的一个安全性较高的技术。
03  软件加密VS硬件加密

软件加密与硬件加密各有各的特点，总得来说，软件加密是通常是具有成本优势的一种加密方式，但是软件加密通常会增添一些额外的步骤——数据需要加密并在用户需要访问数据时解密，会影响主机CPU的运行效率；而硬件加密需要增加或集成AES加密芯片等硬件，成本会增加，但是硬件加密会更提供更加强大的安全解决方案，通过加密芯片对硬盘中的数据进行加密，使湿度转换成不可识别的数据块，这种方式基本不影响主机CPU和读写速度，因此大多数带有加密功能的移动固态硬盘或固态硬盘都是常用硬件加密的方式。
至于选择何种加密方式，这要基于数据安全等级、使用环境、技术能力、需求、预算等各方面进行选择。对于用户来说，了解相关加密技术的特点及差异是很有必要的，有助于用户对安全举措的效力和效率理解更深。
<hr/>码字不易，不接受未经授权的转载、搬运。如果文章内容对你有帮助，欢迎点赞支持，以及收藏哦~
我是 @存储印象 【可点击关注我】，目前专注于存储、数码电子、家电产品的知识科普和选购建议，希望我的文字可以帮助你学习到相关产品的应用知识和选购技巧。
关注我，长期推出相关产品的【硬核攻略】系列及相应的实用应用知识。
【硬核DIY】固态硬盘SSD选购指南与推荐（超1万字选购攻略）
【硬核攻略】移动固态硬盘（PSSD）选购指南
【硬核攻略】U盘产品知识科普与选购，有容乃大
【硬核攻略】通俗易懂的microSD存储卡（TF卡）知识科普及选购秘诀，拒绝被坑！
【硬核攻略】电脑内存条知识、选购指南及推荐，不仅仅是性价比还有品牌