SED و یا Self-Encrypting Drive نوعی هارد دیسک است که به طور خود کار و پیوسته داده های روی درایو (SSD) را بدون هیچ گونه تعامل کاربر رمزگذاری می کند. آنچه ممکن است بسیاری از خوانندگان را شگفت زده کند این است که بسیاری از درایوهای موجود در بازار (از جمله SSD های اچ پی HPE MSA 800GB SAS 12 Mixed Use SFF که در سیستم های خود استفاده می کنیم) در واقع SED هستند. اما از آنجایی که سازندگان آن را به عنوان یک ویژگی اصلی معرفی نمی کنند، اغلب در میان تعداد زیادی از مشخصات مهم تر معمولاً گم می شوند. حتی زمانی که یکی از این درایوهای SED را خریداری، نصب و شروع به استفاده از آن میکنید، رمزگذاری آنقدر برای کاربر شفاف است که بعید است هرگز متوجه SED بودن درایو شوند.
این فرآیند رمزگذاری از طریق استفاده از یک کلید رمزگذاری تصادفی داده (DEK) انجام می شود که درایو برای رمزگذاری و رمزگشایی داده ها استفاده می کند. هر زمان که دادهها روی درایو نوشته میشوند، ابتدا طبق DEK رمزگذاری میشوند. به طور مشابه، هر زمان که دادهها از درایو خوانده میشوند، ابتدا توسط همان DEK رمزگشایی میشوند و سپس به بقیه سیستم ارسال میشوند.
رمزگذاری SED چیست؟
در حالی که رمزگذاری و رمزگشایی خودکار داده ها بر روی هارد دیسک است، اما به تنهایی مفید نیست زیرا هارد دیسک به صورت خودکار داده ها را در صورت درخواست رمزگشایی می کند. با این حال، SED ها همچنین به شما اجازه می دهند چیزی را تنظیم کنید که به آن کلید تأیید هویت (AK) می گویند که به عنوان رمز عبوری عمل می کند که درایو را تا زمانی که کلید وارد شود قفل می ماند. اگر یک کلید احراز هویت تنظیم شده باشد، هنگامی که برای اولین بار روشن می شود، سیستم آن را درخواست خواهد کرد. در حالی که تعداد تلاشها بر اساس مادربرد متفاوت است، اگر پس از سه یا چهار بار تلاش رمز عبور اشتباه را وارد کنید، سیستم به سادگی درایو را قفل نگه میدارد و فرآیند بوت را ادامه میدهد. اگر این اتفاق بیفتد، درایو کاملاً برای سیستم غیرقابل استفاده می شود تا زمانی که رایانه و یا سرور شما خاموش شود و کلید صحیح وارد شود.
در واقع، حتی اگر آن را از سرور اصلی جدا کرده و به سرور دیگری وصل کنید، درایو همچنان باید AK وارد شود تا درایو باز شود. با این حال، اگر آن را به سیستمی متصل کنید که از رمزگذاری SED پشتیبانی نمی کند، درایو غیرقابل استفاده خواهد بود. از آنجایی که مادربرد توانایی وارد کردن کلید احراز هویت را ندارد، درایو هرگز نمیداند قفل خود را باز کند. نتیجه این است که درایو بدون هیچ راهی برای باز کردن قفل آن، قفل خواهد ماند. مگر اینکه درایو را به سیستمی منتقل کنید که از رمزگذاری SED پشتیبانی می کند، هیچ راهی برای بازیابی داده های آن درایو وجود ندارد.
به گفته سیگیت، این روش رمزگذاری توسط NIST و CSE تایید شده است که الزامات امنیت سطح 2 برای ماژول های رمزنگاری را برآورده می کند.
معایب رمزگذاری SED
هنگامی که امنیت داده ها یک هدف است، دانستن محدودیت ها و معایب یک فناوری خاص ضروری است.تکنولوژی SED یک فناوری عالی می باشد اما از این نظر که مطمئناً دارای معایبی هستند، تفاوتی با هر چیز دیگری ندارند. در مورد SED ، نقطه ضعف اصلی این است که پس از باز شدن قفل درایو، تا زمانی که برق درایو قطع نشود، باقی می ماند. به عبارت دیگر، اگر به سادگی رایانه و یا سرور را راه اندازی مجدد کنید یا آن را در حالت خواب قرار دهید، درایو آنلاک باقی می ماند. تا زمانی که کامپیوتر را به طور کامل خاموش نکنید، دوباره نیاز به وارد کردن کلید احراز هویت نیست.
به عبارت دیگر، اگر لپتاپ شما به سرقت رفته باشد و فقط در حالت خواب باشد، اطلاعات روی درایو کاملاً در معرض دید قرار میگیرند. اگر رمز عبور کاربری را روی سیستم عامل تنظیم کرده اید، یک سارق می تواند به سادگی دستگاه را راه اندازی مجدد کند، در یک محیط زنده راه اندازی شود و تقریباً به داده های شما دسترسی کامل داشته باشد. در واقع، حتی اگر رمز عبور سیستم عامل و رمز عبور بایوس را تنظیم کرده باشید، باز هم می توان با انتقال درایو به رایانه دیگری بدون قطع برق، به داده ها دسترسی داشت. در لپتاپها این امر دشوار است (اما غیرممکن نیست) اما روی دسکتاپ با راهاندازی مناسب در واقع بسیار آسان است.
بنابراین اگر تصمیم به استفاده از رمزگذاری SED دارید، بزرگترین توصیه ما این است که عادت کنید سیستم خود را زمانی که در حال استفاده نیست خاموش کنید، نه اینکه آن را به سادگی بخوابانید.
دومین نقطه ضعف رمزگذاری SED این است که فقط در تنظیمات دیسک ساده کار می کند. شما می توانید چندین درایو در یک سیستم با رمزگذاری SED فعال داشته باشید و حتی از RAID نرم افزاری استفاده کنید، اما انجام کاری مانند RAID در سطح سخت افزار به سادگی پشتیبانی نمی شود.
چگونه بفهمم که درایو با پشتیبانی از فناوری SED است؟
از آنجایی که بسیاری از تولیدکنندگان درایو فناوری رمزگذاری خودکار را یک ویژگی اصلی در نظر نمی گیرند، ممکن است شما یک SED خریداری کرده باشید و از آن اطلاعی نداشته باشید. بنابراین، اگر در حال حاضر یک HDD یا SSD دارید که فکر میکنید به صورت خودکار رمزگذاری میشود، چند کار وجود دارد که میتوانید انجام دهید تا متوجه شوید که آیا واقعاً چنین است یا خیر.
اگر یک HDD یا SSD مستقل خریداری کرده اید، بسته بندی، دستورالعمل ها یا کتابچه راهنمای کاربر احتمالاً به شما می گوید که آیا درایو مجهز به رمزگذاری خودکار است یا خیر. اگر دیگر بستهبندی، دستورالعمل یا کتابچه راهنمای کاربر را ندارید، میتوانید مدل درایو را به صورت آنلاین برای یافتن این اسناد جستجو کنید. هم چنین هنگام جست وجو توجه فرمایید؛ آیا درایو شما با Opal 2.0 یا FIPS 140-2 مطابقت دارد و آیا از رمزگذاری AES 128 بیتی یا 256 بیتی استفاده می کند.
درایوهای رمزگذاری خودکار چه سطحی از رمزگذاری را ارائه می دهند؟
بالاتر اشاره کردیم که در حین بررسی درایو خود، جهت اطمینان حاصل کردن از بابت اینکه آیا پشتیبانی از تکنولوژی SED دارد ویا خیر واگر دارد از چه سطحی می باشد از این بابت می باشد که SEDهای مطابق با TCG Opal 2.0 از اندازه بلوک های 128 بیتی با کلیدهای AES 128 و256 بیتی استفاده می کنند.
دو عدد آخر به طول واقعی کلید مورد استفاده برای رمزگذاری و رمزگشایی داده های شما اشاره دارد. هر چه کلید طولانی تر باشد، رمزگذاری سخت تر می شود. همانطور که می توانید تصور کنید، به دلیل طول کلید و اندازه بلوک، SED هایی که از این الگوریتم ها استفاده می کنند شکستن تقریبا غیرممکن است. به طور جدی، میلیاردها سال طول می کشد، و به همین دلیل است که هکرها بیشتر روی دسترسی فیزیکی یا به دست آوردن کلیدهای احراز هویت شما تمرکز می کنند.
به این صورت است که رمزگذاری AES به زبان ساده کار می کند: داده های شما بر اساس اندازه بلوک تعیین شده به بلوک ها تقسیم می شوند. بنابراین، در مورد TCG Opal 2.0، این 128 بیت یا یک آرایه چهار در چهار 16 بایتی یا هشت بیت در هر بایت است. از آنجا، هر بیت داده با دیگری مطابق با طول کلید تعیین شده، 128 بیتی یا 256 بیتی، با کلیدهای جدید، به نام کلیدهای گرد، جایگزین می شود که با هر دور رمزگذاری برای لایه اضافی جایگزینی بیت، تولید می شود.
برای اینکه همه چیز حتی انتزاعیتر و پیچیدهتر شود، همه اینها زمانی اتفاق میافتد که ستونها و ردیفها در آن آرایه چهار در چهار در حال جابجایی و مخلوط شدن هستند. در پایان این فرآیند بسیار پیچیده، شما متن رمزی دارید. رمزگشایی فقط این فرآیند را معکوس میکند، و آن متن رمزی را به شکل قابل تشخیص دادهای که درخواست کردهاید برمیگرداند.
تفاوت بین AES-compliant، FIPS 140-2-compliant و Opal-compliant چیست؟
SED ها گاهی اوقات به عنوان “سازگار با AES”، FIPS-140-2، و “مطابق با Opal” به بازار عرضه می شوند، بنابراین ممکن است تعجب کنید که چه تفاوت هایی با هم دارند یا اینکه آیا رعایت هر سه مهم است یا خیر.
FIPS 140-2 معمولاً برای برنامه های نظامی و دولتی که اطلاعات طبقه بندی نشده کنترل شده را ارسال می کنند مورد نیاز است، بنابراین اگر این مورد برای شما صدق نمی کند، فقط به دنبال یک درایو سازگار با Opal 2.0 باشید. هر دو الگوریتم رمزگذاری 128 بیتی و 256 بیتی AES تقریبا غیرممکن است – به یاد داشته باشید، میلیاردها سال – بنابراین هر کدام از این گزینه ها مناسب است، اما رمزگذاری 256بیتی از نظر فنی امن تر است.
اکنون، اگر درایوهای شما با Opal 2.0 مطابقت دارند، با AES سازگار هستند زیرا Opal 2.0 از همین الگوریتمهای رمزگذاری استفاده میکند. به طور مشابه، اگر درایوهای شما با FIPS 140-2 مطابقت داشته باشند، با رمزگذاری AES و بسیاری از الزامات Opal 2.0 مطابقت دارند.
Opal 2.0 فقط مشخصات TCG برای مدیریت SED ها و قابلیت های رمزگذاری آنهاست. این مشخصاتی است که امروزه توسط اکثر سازندگان SED برای دستیابی به قابلیت همکاری بین درایوها استفاده می شود. از سوی دیگر، AES الگوریتم رمزگذاری واقعی یا رمز بلوکی است که توسط NIST ایجاد شده است که اکثر SED ها از آن استفاده می کنند. FIPS 140-2 این استانداردها و سایر استانداردها را در بر می گیرد و همچنین سخت افزاری سخت افزاری را اضافه می کند.
