淺談固態硬盤(SSD)加密方式

在日常工作生活中，會遇到手機、平板、電腦的存儲空間不夠時，需要將不同生態系統設備內的某些重要文件(如圖片、音視頻)轉移備份到存儲設備中， 對多數人而言，一支U盤僅能滿足存儲功能。而那些攝影愛好者和音視頻剪輯工作者，其文件動輒十幾GB乃至上百GB容量，若用U盤備份或轉移，其傳輸速度較慢；便攜移動固態硬盤因其脫離電腦隨身攜帶、容量大、傳輸速度快等優勢成為他們的優先選擇。

問題是市場上現有自帶加密功能的消費級存儲設備很少，若存儲設備被竊取，便造成隱私泄露，或重要數據丟失引發經濟糾紛，於是對設備加密的需求尤顯重要。當前主流的移動固態硬盤除了固態硬盤(SSD)本身採用AES硬體加密和OPAL協議軟體加密來確保數據在與電腦主機的交互中的數據安全外，對移動固態硬盤的使用者也做了認證識別的甄別工作，比如在操作系統上通過加密軟體，要求使用者輸入設定好的指紋或密碼才可打開SSD上存儲的文件資料。前者加密是SSD自身的工作，主機和使用者不參與其中，後者加密便是用戶參與的以防他人竊取設備後獲取資料。

瑞昱(RealTek)半導體公司提供一套完整的指紋加密固態硬盤盒解決方案，充分利用了SSD固態硬盤的快速讀寫性能，又對SSD指紋加密，就算有人拿到硬盤盒，沒有你的指紋或密碼，也無法讀取SSD數據，就算把SSD取下插到台式機筆記本上也不行，哪怕再專業點把NandFlash顆粒拆掉重新焊接到其他SSD主板上也是不行的。其要推廣的解決方案，分三大部件組成：SSD本身、PICE to USB-C轉板，指紋加密模組。其中的指紋加密模組，採用Realtek 內嵌雷達式指紋識別晶片RTS5815搭配指紋識別Sensor，以指定工廠生產模組來配合出貨。具有體積小、連接方便，準確穩定識別率高，響應快速，低功耗等優勢，可以通過USB接口與SSD連接，實現與SSD的通信和控制，結合SSD OPAL協議規範很好地實現加解密設定和用戶管理，從而確保SSD的安全性，可靠性，易用性。所以，指紋硬盤的用戶管理需要SSD支持OPAL協議規範才行，畢竟當前市場中並不是所有SSD支持該協議。RTS5815指紋識別模組如下圖所示：

SSD OPAL協議規範

TCG（Trusted Computing Group）國際行業標準組織可信計算組織，從用戶訪問控制和存儲數據自加密的維度，制定了OPAL/OPALite/OPAL Pyrite 存儲安全擴展協議族 （Storage Security Subsystem Class，Storage SSC），以下簡稱OPAL 2.0。它定義了對靜態數據保護的安全策略，包括基於AES-128或AES-256的設備自加密（SED，Self-Encrypting Drive）、用戶權限管理、開機前身份驗證等。由於採用硬體自加密技術，Opal並不會對系統的性能造成影響，同時，它獨立於操作系統之外，使用不同的操作系統，利用不同的操作系統漏洞，都無法對其產生影響。它是對傳統自加密技術的完善，也是存儲行業重要的規範之一。

SED是OPAL的必備項，它集成了對用戶靜態數據的加密功能，所有寫入硬盤的用戶數據都由硬盤控制器內的專門硬體進行加密，在讀取時進行解密。加密和解密均通過硬盤內部產生的媒體加密密鑰MEK（Media Encryption Key）進行，不通過Host端處理。

OPAL為主機應用定義了一個管理接口，用於激活、配置和管理用戶數據的加密功能。當存儲設備鎖定，用戶將無法直接訪問裡面的數據，只有通過主機向該存儲設備提供正確的憑證，存儲設備才會解鎖，並進行正常的讀取和寫入操作。

                                                  OPAL加密工作流程示意圖
『MEK作為影響數據安全的重要因素，其自身也需要被加密，給MEK加密的就是KEK（Key Encryption Key），它是基於用戶的密碼、口令或一些其它認證機制計算得出的特定數值。MEK只以加密的形式持久地存儲在設備中，任何明文MEK都只在存儲設備加電的情況下，在控制器內部短暫保存，當存儲設備斷電，明文MEK就會丟失。此外，OPAL並不會對明文的用戶密碼、口令加以記錄，也就杜絕了從硬盤本身泄露憑證的可能。如此一來，在未獲得正確的用戶密碼、口令等前提下，即使拿到加密設備，也無法獲得明文的KEK和MEK，更無法獲得裡面的明文用戶數據。』①

最近幾年，硬盤主控國產替代十分紅火。儘管頭部國產主控已經支持OPAL 2.0（儘管有各種各樣的小問題），但消費級SSD廠家出貨中，並不是所有SSD能夠支持OPAL協議，只是有客戶需求時廠商才會在SSD主控FW中支持OPAL協議。也就是，消費者使用便攜式指紋加密硬盤盒時，需要注意額外購置的SSD是否支持OPAL。而瑞昱(RealTek)的SSD主控全線支持該協議，當前SATA系列以RM1135T為主，PCIe Gen3以RTS576xDL系列為主，PCIe Gen4以RTS577xDL為主，現著重推介其主打產品型號如下：

SSD 主控RTS5772DL

RTS5772DL作為Realtek旗艦級PCIe Gen4 SSD控制器，採用13x13mm BGA封裝，支持NVMe 1.4 規範，內置第三代 LDPC糾錯算法，可適配3D TLC/QLC NAND，支持多達8個閃存通道（每通道最高可支持1066MT/s），順序讀寫性能最高順序讀取6000MB/s， 順序寫入6000MB/s； 隨機讀寫性能最高隨機讀取780K IOPS， 隨機寫入700K IOPS ； 支持 AES256 / TCG OPAL 2.0/Pyrite 2.0等安全算法機制，支持斷電保護，內建溫度傳感器,實現動態控溫，省電模式功耗1.5mW。


引用鏈接①：https://zhuanlan.zhihu.com/p/478631142

如有需求意向，請聯繫大聯大-友尚銷售團隊，了解方案詳情。