什么是固态硬盘加密？它是如何运作的？

5月 2021

从企业、政府到个人，今天，世界各地的每个人都面临一个同样的问题：需要并期望保护重要的个人信息和私密信息。无论是存储的数据，还是传输中的数据，数据保护都绝对不可或缺。数据泄露、黑客攻击和笔记本电脑/PC 丢失或失窃造成的财务和声誉损失可能是天文数字。

为了防范恶意黑客和组织数据泄露，需要对传输中的数据和静态数据进行加密。加密提供了一层增强的保护举措，防范未经授权的计算机网络或存储设备访问。如此一来，黑客无法获取数据。在本文中，我们将重要介绍软件加密、自加密硬盘 (SED)，并简要说明固态硬盘加密是如何运作的。

什么是加密？

通俗地说，加密就是把输入数字设备中的信息转化成看起来毫无意义的数据块。加密流程越复杂，加密后的数据越难辨识和破译。反过来，解密是将加密的数据变回原来的形式，再次变得可读。加密的信息常常被称作密文，非加密信息被称作明文。

软件加密与硬件加密

软件加密使用各种软件程序对逻辑卷中的数据加密。硬盘首次加密时，唯一密钥会生成并存储在计算机内存中。此密钥是利用用户密码进行加密的。当用户输入密码时，系统会解锁密钥，并允许用户访问硬盘中的未加密数据。密钥的副本还会写入硬盘。软件加密充当应用程序在设备上读取/写入数据的中间人；当数据要写入硬盘时，会使用密钥对数据加密，然后真正写入磁盘。当从硬盘读取数据时，会使用同一密钥解密数据，然后再提供给程序。

软件加密具有成本效益，但它的安全性最多与使用它的设备一样安全。如果黑客破解了代码或密码，加密的数据就会暴露。此外，由于加密和解密是通过处理器完成的，因此整个系统的运行速度会变慢。软件加密还存在另一个弱点：系统启动后，加密密钥存储在计算机内存中，因而容易成为低级攻击的目标。

自加密硬盘 (SED) 使用硬件加密，硬件加密采用更整体性的方法加密用户数据。SED 配备板载 AES 加密芯片，在数据写入 NAND 介质前加密数据，并在从 NAND 介质读取数据前解密数据。硬件加密位于硬盘上安装的操作系统和系统 BIOS 之间。当硬盘首次加密时，加密密钥会生成并存储在 NAND 闪存中。当系统首次启动时，自定义 BIOS 会加载并要求提供用户密码。输入密码后，会解密硬盘中的内容，并授予操作系统和用户数据访问权限。

自加密硬盘还利用板载加密芯片动态加密/解密数据，该芯片负责在数据写入 NAND 闪存前加密数据，并在读取数据前解密数据。主机 CPU 不参与这个加密流程，减少了与软件加密相关的性能损失。多数情况下，当系统启动时，加密密钥存储在固态硬盘板载内存中，这提高了密钥检索难度，更不易遭到低级攻击。这种硬件加密方法对用户不可见，提供了高水平的数据安全性。硬件加密无法被关闭，也不影响性能。

AES 256 位硬件加密

AES（高级加密标准）是一种对称加密算法（这意味着加密密钥和解密密钥一样）。由于 AES 是分组密码，系统会先将数据分成 128 位数据块，然后利用 256 位密钥对数据加密。AES 256 位加密是一项可确保卓越数据安全性的国际标准，得到美国政府等机构的认可。AES-256 加密基本上无法破译，因而成为目前最强大的加密标准。

为什么它无法破译？AES 包括 AES-128、AES-192 和 AES-256。其中的数字代表每个加密和机密数据块中的密钥位数。每增加一位，可能的密钥数量增加一倍，这意味着 256 位加密等于二的 256 次方！这是非常、非常庞大的潜在密钥数量。而且，每个密钥位数都有不同的回合数。（回合是将明文变成密文的过程。）2²⁵⁶ 位存在 14 个回合。因此，对于加密 14 轮的 256 位，至少可以说，黑客获得正确序列的可能性极低。更不用提这项工作所需的时间和计算能力。

TCG Opal 2.0 软件加密

Trusted Computing Group (TCG) 是一家国际行业标准组织，负责为可互操作可信计算平台定义基于硬件的可信根。借助 TCG Opal 2.0 安全管理解决方案的独立软件供应商，例如 Symantec、McAfee、WinMagic® 等，该协议可以对加密的固态硬盘进行初始化、身份验证和管理。

总之，软件加密的确存在优点，但算不上全方位。软件加密增添了额外步骤，因为数据需要加密并在用户需要访问数据时解密，而硬件加密提供更强大的解决方案。硬件加密的固态硬盘利用硬盘的剩余部分进行了优化，并不影响性能。根据应用，数据保护所牵涉的内容可能会令您感到惊讶。并非所有加密都一样，理解其中的差别对于您的安全举措的效力和效率具有重要意义。

#KingstonIsWithYou