In che modo le unità SED generano il DEK?

2

Alcuni dischi rigidi e unità a stato solido più recenti sono SED (Self-Encrypting Drives), che creano un DEK (Data Encryption Key) e lo memorizzano non crittografati, o crittografati con un AK (Authentication Key) fornito dall'utente se FDE è ricercato. Il DEK viene utilizzato per crittografare tutto il contenuto sul disco. Nel caso in cui l'unità debba essere cancellata in modo sicuro, il DEK può essere semplicemente cancellato, indipendentemente dal fatto che l'AK sia impostato o meno.

In base al TCG , il DEK viene generato sull'unità stessa, piuttosto che essere generato sul computer e trasferito tramite un comando ATA specifico del fornitore:

A: The encryption key is generated on board the drive and NEVER LEAVES THE DRIVE. The manufacturer does NOT retain or even have access to the key.

La mia domanda è come viene generato il DEK. Ovviamente, l'AK, se utilizzato, viene trasferito dal computer, ma il DEK è apparentemente generato sull'unità. Se il firmware di ciascuna unità genera il DEK a modo suo, con gli sviluppatori del firmware che cercano di reinventare la ruota e pensare a modo loro di generare casualità, con ogni probabilità si otterrebbe un DEK prevedibile.

Per almeno un modello di HGST Ultrastar utilizza ciò che chiama NDRNG, il "Generatore di numeri casuali non deterministici che è la fonte di entropia per il DRBG". È un requisito per tutti i drive SED, o alcuni di loro potrebbero provare a generare entropia da fonti più deterministiche come il movimento della testina del motore?

    
posta guest 06.03.2017 - 01:44
fonte

1 risposta

1

Le nuove Self Encrypting Drives (SED) in genere seguono sia il TCG OPAL o TCG Enterprise standard. Ho fatto molte ricerche su questo problema e, per quanto posso dire, non esiste un metodo specifico specificato negli standard TCG per generare il DEK.

Se si esaminano i documenti della politica di sicurezza che ogni manifattura invia al NIST per ottenere l'approvazione FIPS 140-2 per il proprio prodotto, sembra che tutti utilizzino un DRBG che segue SP 800-90A standard . Come fanno a seminare il DRBG anche se varia tra i produttori. Alcuni usano un NDRNG come hai notato con l'HGST. Altri come Seagate sembrano avere un seme che viene impostato al momento della produzione. Ho anche visto alcuni Seagate più vecchi che sembrano indicare che l'utente può impostare il seed DRBG con i comandi proprietari del produttore. La linea di fondo sembra essere che il meccanismo utilizzato per seminare il DRBG è specifico del venditore.

    
risposta data 30.06.2018 - 11:46
fonte

Leggi altre domande sui tag