Een SED, of zelfversleutelende schijf, is een type harde schijf die automatisch en continu de gegevens erop versleutelt zonder tussenkomst van de gebruiker. Veel verrassende dingen zijn dat een goed aantal schijven dat momenteel op de markt is, waaronder de populaire Samsung 840 Pro SSD-serie, eigenlijk SED's zijn. Omdat fabrikanten dit echter niet als een belangrijk kenmerk beschouwen, gaan ze vaak verloren in veel meer typische kenmerken.

Zelfs als u een van deze SED-schijven hebt gekocht, geïnstalleerd en ermee bent begonnen, is de codering zo transparant voor de gebruiker dat de schijf waarschijnlijk niet merkt dat het een SED is.

Dit coderingsproces wordt uitgevoerd met behulp van een unieke en willekeurige gegevenscoderingssleutel (DEK) die de schijf gebruikt om gegevens te coderen en decoderen. Elke keer dat gegevens naar de schijf worden geschreven, worden deze eerst versleuteld volgens DEK. Op dezelfde manier worden elke keer dat gegevens van de schijf worden gelezen, deze gedecodeerd door dezelfde DEK voordat ze naar de rest van het systeem worden verzonden.

Opmerking van de uitgever:
Gastauteur Matt Bach is president van Puget Labs en maakt deel uit van Puget Systems, een fabrikant van boetiekgames en werkstationcomputers sinds zijn vroege dagen werkzaam in verschillende productie-subsets. Dit artikel was het eerste Puget-blog.

Dit betekent dat alle gegevens op de schijf altijd versleuteld zijn. Een handige truc die op basis hiervan kan worden gedaan, is om een ​​harde schijf vrijwel onmiddellijk en volledig te wissen. Het enige dat u hoeft te doen, is de SED vertellen om een ​​nieuwe DEK te genereren, en alle gegevens op de schijf worden onmiddellijk betekenisloos (aangezien de sleutel om de gegevens te ontsleutelen niet langer beschikbaar is) en kunnen niet effectief worden hersteld. Dus als u een schijf snel en veilig moet wissen voordat u deze opnieuw distribueert of weggooit, bieden SED's een snelle en zeer veilige manier om dit te doen.




Hoewel deze actie vaak wordt aangeduid als "Veilig wissen", wordt het een aantal verschillende namen genoemd, afhankelijk van de fabrikant.




Wat is SED-codering?

Hoewel gegevens regelmatig automatisch worden gecodeerd en gedecodeerd op een harde schijf, is het op zichzelf niet zo handig omdat de harde schijf automatisch gegevens op verzoek zal decoderen. Met SED's kunt u deze echter ook instellen op Authentication Key (AK), dat fungeert als een wachtwoord dat de schijf vergrendelt totdat de sleutel wordt ingevoerd. Als er een verificatiesleutel is ingesteld, zal het systeem om de sleutel vragen wanneer deze voor het eerst wordt ingeschakeld. Hoewel het aantal pogingen per moederbord verschilt, zal het systeem de schijf vergrendelen en het opstartproces voortzetten als u het verkeerde wachtwoord invoert na drie of vier pogingen. In dit geval wordt de drive volledig onbruikbaar totdat de computer wordt uitgeschakeld en de juiste sleutel wordt ingevoerd.







Zelfs als u het van de originele computer verwijdert en op een andere computer aansluit, moet de drive in AK worden ingevoerd om de drive te ontgrendelen. Als u echter verbinding maakt met een systeem dat geen SED-codering ondersteunt, kan de schijf niet worden gebruikt. Omdat het moederbord de verificatiesleutel niet kan invoeren, zal de bestuurder nooit weten hoe hij deze moet ontgrendelen. Het resultaat is dat de schijf vergrendeld blijft zonder dat deze kan worden ontgrendeld. Als u de schijf niet verplaatst naar een systeem dat SED-codering ondersteunt, is er geen manier om gegevens van die schijf op te halen.

Door SeagateDeze versleutelingsmethode is gevalideerd door zowel NIST als CSE en voldoet aan de beveiligingsvereisten van niveau 2 voor cryptografische modules.




Nadelen van SED-codering

Wanneer gegevensbeveiliging een doel is, is het belangrijk om de beperkingen en nadelen van een bepaalde technologie te kennen. SED's zijn geweldige technologie, maar ze verschillen niet van al het andere omdat ze absoluut negatief zijn. Bij SED's is het belangrijkste nadeel dat als de schijf eenmaal is ontgrendeld, dit zo blijft totdat de stroom naar de schijf wordt onderbroken. Met andere woorden, als u de computer opnieuw opstart of in de slaapstand zet, blijft de schijf ontgrendeld. De verificatiesleutel hoeft niet opnieuw te worden ingevoerd totdat u de computer volledig hebt afgesloten.

Met andere woorden, als uw laptop wordt gestolen en alleen in de slaapstand staat, zijn de gegevens op de schijf volledig zichtbaar. Als u een gebruikerswachtwoord in het besturingssysteem heeft, kan een dief de machine nog steeds opnieuw opstarten, opstarten naar een live-omgeving en bijna volledige toegang hebben tot uw gegevens. Zelfs als u zowel een wachtwoord voor het besturingssysteem als een BIOS-wachtwoord heeft, zijn de gegevens toegankelijk door de schijf naar een andere computer te verplaatsen zonder stroom te verliezen. Op laptops zou dit moeilijk zijn (maar niet onmogelijk), maar met de juiste configuratie op een desktop is het eigenlijk vrij eenvoudig.

Daarom, als u besluit SED-codering te gebruiken, is onze grootste aanbeveling om er een gewoonte van te maken uw systeem uit te schakelen in plaats van het in de sluimerstand te zetten wanneer u het niet gebruikt.




Een tweede nadeel van SED-codering is dat het alleen werkt op eenvoudige schijfconfiguraties. Op een systeem waarop SED-codering is ingeschakeld, kunt u meerdere schijven hebben en zelfs software-RAID gebruiken, maar zoiets als RAID op hardwareniveau wordt niet ondersteund.

Wat heeft SED-codering nodig om te werken?

Een ding dat we hebben ontdekt, is dat volledige ondersteuning voor HIA eigenlijk erg zwak is. Er zijn veel modellen harde schijven en SSD's die SED-codering ondersteunen (deze kunnen moeilijk te vinden zijn), maar volledige ondersteuning voor SED vereist ook een compatibel moederbord.

Sommige functies van de SED (zoals automatische codering en decodering van gegevens en Secure Erase) werken onafhankelijk van het moederbord. Als u echter SED-codering wilt gebruiken door een verificatiesleutel in te stellen, heeft u een moederbord nodig dat dit ondersteunt.

Veel laptops hebben de mogelijkheid om een ​​verificatiesleutel te gebruiken zonder dat een speciaal BIOS nodig is. Het ontbreekt echter vaak aan de mogelijkheid om de AK via het BIOS in te stellen. Dit betekent natuurlijk niet dat elke laptop SED-codering ondersteunt, maar in onze ervaring zullen laptops dit eerder ondersteunen dan desktop- of servermoederborden.

Sprekend met Asus, Super Micro en Samsung ontdekten we dat de meeste desktop- en servermoederborden SED's volledig ondersteunen, maar de mogelijkheid om een ​​verificatiesleutel te gebruiken is duidelijk uitgeschakeld. Dit komt omdat fabrikanten bang zijn dat een gebruiker per ongeluk zijn harde schijf kan vergrendelen en niet meer weet wat hij voor de verificatiesleutel heeft gebruikt. Dus in plaats van dat een woedende klant zijn schijven per ongeluk vergrendelt, schakelen ze bepaalde functies van SED's uit. We zijn er echter in geslaagd om fabrikantspecifieke BIOS-bestanden te verkrijgen door de mogelijkheid om verificatiesleutels te gebruiken te ontgrendelen.

SED-coderingswachtwoorden beheren

Op een moederbord dat SED-codering volledig ondersteunt, is er een optie om de SED-authenticatiesleutel op uw SED-schijf in de BIOS-instellingen in te stellen, te wijzigen of te verwijderen. We ontdekten echter dat veel moederborden die SED ondersteunen deze functie niet in het BIOS hebben ingebouwd. In vergelijkbare gevallen Winmagic U kunt een reeks stappen doorlopen om de coderingssleutel te beheren of een live-omgeving van Linux gebruiken om de SED-authenticatiesleutel te beheren zonder dat u hiervoor betaalde software nodig hebt.

U kunt de instructies van Ubuntu volgen om dit te doen. Maak een LiveCD met alles wat je nodig hebt. Nadat uw systeem is opgestart in de live-omgeving van Linux, zijn er drie combinaties van stappen die u moet uitvoeren om het SED-coderingswachtwoord in te stellen, te verwijderen of te wijzigen.

  • Doe wat je wilt doen, je moet het eerst doen vind de chauffeur U wilt het SED-coderingswachtwoord beheren en decoderen
  • Als u vervolgens het SED-coderingswachtwoord wilt wijzigen of de SED-codering volledig wilt verwijderen, Schakel SED-codering uit.
  • Tenslotte, Schakel SED-codering in Als u het SED-coderingswachtwoord wijzigt of een nieuw SED-coderingswachtwoord instelt, voert u een nieuw wachtwoord in.

De driver vinden en oplossen


1

Open een terminal vanuit de Unity-werkbalk of de sneltoetscombinatie "ctrl + T"

2

Typ 'commando om rootrechten in te schakelen'su'. U wordt gevraagd om een ​​wachtwoord in te voeren.

3

"Voer het commando inlsblk"Hierdoor wordt een lijst met stations in het systeem gegenereerd. Zoek de naam van het station (sda, sdb, enz.) Waarvoor u het coderingswachtwoord wilt wijzigen of de SED-codering wilt uitschakelen.

4

"Voer het commando inhdparm -I / dev / X"waarbij X de stationsnaam is (sda, sdb, enz.) om de huidige status van het station te controleren. Gebruik de hoofdletter i" -I ", niet een kleine letter of een kleine letter L. Er is een regel die in plaats daarvan" actief "zegt. Als er "niet ingeschakeld" staat, is SED-codering momenteel niet ingeschakeld op die schijf. SED-codering is nooit geconfigureerd of heeft de verkeerde naam van de harde schijf ingevoerd (sda, sdb, enz.).

5

Meestal wordt de schijf gemarkeerd als bevroren (aangegeven door een lijn met de tekst "bevroren") en moet hij bevriezen voordat u verdergaat. Om de drive uit te schakelen, zet u het systeem in de slaapstand door op het tandwielpictogram rechtsboven in het scherm te klikken en "Suspend" te selecteren. Druk na ~ 10 seconden op de aan / uit-knop om het systeem uit de slaapstand te halen.

6

Herhaal "hdparm -I / dev / XControleer of de "schijf nu is gemarkeerd als" niet bevroren ". Als deze nog steeds is vastgelopen, moet u de schijf een paar seconden fysiek loskoppelen terwijl het systeem zich in een live-omgeving bevindt, en vervolgens de opdracht herhalen.

Schakel de huidige SED-codering uit

Nadat u de stappen hebt doorlopen om de driver te vinden en te decoderen, "hdparm --beveiliging uitgeschakeld PASSWORD / dev / X"PASSWORD is het huidige SED-wachtwoord en X is de stationsnaam (sda, sdb, etc.) om de huidige SED-codering te verwijderen. Als je de SED wilt uitschakelen, is het proces voltooid. Nieuw wachtwoord voor de SED, lees verder.

Schakel SED-codering in met een nieuw wachtwoord

1

Om SED-codering uit te schakelen nadat u de stappen hebt doorlopen om de schijf te zoeken en te decoderen, klikt u op "hdparm --user-master u --security-set-pass PASSWORD / dev / X"waarbij PASSWORD het wachtwoord is dat u wilt gebruiken en X de stationsnaam (sda, sdb, enz.) is om SED-codering opnieuw in te schakelen met een nieuw wachtwoord.

2

"Voer het commando inhdparm -I / dev / XKijk nogmaals naar de regels "en" ingeschakeld "(" niet ingeschakeld ") om er zeker van te zijn dat SED is ingeschakeld. Op dit punt moet u uw systeem volledig afsluiten (geen standaard herstart) om er zeker van te zijn dat het SED-wachtwoord correct is ingesteld.

Resultaat

Nadat we met SED-codering hadden gewerkt en hadden gezien hoe goed het werkt, waren we erg verrast over hoe weinig ondersteuning we hebben op moderne moederborden. In feite schakelen veel moederbordfabrikanten SED-codering actief uit en hebben ze een aangepast BIOS nodig om deze in te schakelen. Hoewel andere moederborden SED-codering ondersteunen, is de mogelijkheid om het wachtwoord te beheren niet beschikbaar in het BIOS. In deze gevallen kunt u nog steeds SED-codering gebruiken, maar u moet gaan, zij het een ongepaste bewerking met betrekking tot de live-omgeving van Linux.

Over het algemeen hebben we geconstateerd dat SED-codering geweldig is, zolang u uw huiswerk doet en weet dat het op uw systeem zal werken. Zelfversleutelende schijven hebben nadelen (meestal moet het wachtwoord alleen worden ingevoerd wanneer de machine voor het eerst wordt ingeschakeld), maar ze zijn zeer gemakkelijk te gebruiken en effectief voor een breed scala aan toepassingen.

Als u geïnteresseerd bent in het versleutelen van uw gegevens, raden we u aan de SED-versleuteling te controleren voordat u opties zoals Bitlocker of andere softwarematige versleuteling overweegt.

Gebruikt u versleuteling van de harde schijf op uw computer, SED-versleuteling of zoiets? Laat het ons weten in de reacties hieronder!

Header afbeelding sluiter