有人试图从SSD中提取加密密钥吗？

Question

在读取此论坛线之后，听起来并不像加密的SSD提供了太多的保护--具体来说，加密只发生在控制器芯片组和NAND存储之间。

为什么会这样呢？这是通常的磁盘加密设计吗？有关于加密的SSD硬件的研究吗？如果有的话，这种设置有哪些缺点和局限性？我特别感兴趣的是从控制器中提取密钥--这可能吗？它是否有必要，因为将整个硬盘带到另一个系统应该意味着它仍然是可读的？

Answer 1

这样的加密对于实现“擦除一切”功能是非常有用的。从SSD中提取安全地抹去东西是很困难的(对于一个经典的磁盘来说，它已经不完全容易了，但是SSD的内部特性，特别是磨损均衡，使得几乎不可能完全删除所有数据)。通过加密，问题大大减少了:这只是一个擦除密钥(并选择一个新密钥)的问题，只有128位，而不是12千兆字节。

除了这种安全擦除之外，您所描述的磁盘加密在安全性上是没有意义的，因为人们可能假设攻击者窃取磁盘将获得控制器，包括密钥.除非控制器没有密钥。这可能是一个“密码保护磁盘”，其中加密密钥是从启动时输入的密码派生出来的。如果加密密钥不是永久存储在磁盘本身中，那么在控制器级别进行加密是有意义的，因为在CPU中这样做没有什么意义，除非攻击模型假设攻击者可以监视SATA总线。在实际的模型中，攻击者窃取磁盘(或整个笔记本--最好是关闭，而不仅仅是进入休眠模式!)，磁盘加密就是要保持数据本身的机密性，所以加密必须在实际存储之前“某处”进行，但它可以在控制器中进行。

当然，没有人说加密是正确的。从加密128位块的AES算法到加密整个磁盘的系统，而不泄露加密数据的信息，同时允许随机读写访问，这并不是一件简单的事情。至少，“攻击者偷下了关机的笔记本电脑”使得事情变得相对简单:我们不必害怕主动攻击(攻击者不会把笔记本还给我们)，也不关心选择的明文/密文攻击。一个简单的CTR模式将是好的(我并不声称这是任何SSD所做的，只是它将是我如何做自己)。

Answer 2

警告:你的结论是毫无根据的。从论坛线程中得出的正确结论是，一个商业上可用的SSD以愚蠢的方式实现加密。这绝不意味着所有的SSD都有缺陷，或者SSD上的加密总是毫无意义的。

详细回答:磁盘加密有两种:硬件加密和软件加密。

不同之处在于加密的执行位置。这两种方法都可以安全使用，只要设计和实现得当。(您链接到的论坛线程中提到的OCZ实现显然没有得到适当的设计和实现。)

从用户的角度来看，软件加密是最容易设置和使用的。有几种软件产品将在软件级别为您执行全磁盘加密。例如，Truecrypt是很受人尊敬的，而PGP也有一个很好的产品.这些系统与SSD兼容，可用于加密存储在SSD上的数据。密钥来源于用户输入的密码，并且密钥没有存储在SSD上，因此没有什么可从SSD中提取，并且获得对SSD的物理访问的人无法获取您的密钥或数据(除了猜测您的密码)。

硬件加密需要驱动器和/或其控制器的支持。可以以一种安全的方式实现硬件加密。例如，用户可以输入密码，并且可以将密码传递给硬件(但从未存储在持久存储中)作为密钥进行加密。不幸的是，有一个历史，有一些驱动器制造商广告硬件磁盘加密，但实现它愚蠢的方式，否定了安全优势，所以它是买方小心这里。