Alcuni dischi rigidi e unità a stato solido più recenti sono SED (Self-Encrypting Drives), che creano un DEK (Data Encryption Key) e lo memorizzano non crittografati, o crittografati con un AK (Authentication Key) fornito dall'utente se FDE è ricercato. Il DEK viene utilizzato per crittografare tutto il contenuto sul disco. Nel caso in cui l'unità debba essere cancellata in modo sicuro, il DEK può essere semplicemente cancellato, indipendentemente dal fatto che l'AK sia impostato o meno.
In base al TCG , il DEK viene generato sull'unità stessa, piuttosto che essere generato sul computer e trasferito tramite un comando ATA specifico del fornitore:
A: The encryption key is generated on board the drive and NEVER LEAVES THE DRIVE. The manufacturer does NOT retain or even have access to the key.
La mia domanda è come viene generato il DEK. Ovviamente, l'AK, se utilizzato, viene trasferito dal computer, ma il DEK è apparentemente generato sull'unità. Se il firmware di ciascuna unità genera il DEK a modo suo, con gli sviluppatori del firmware che cercano di reinventare la ruota e pensare a modo loro di generare casualità, con ogni probabilità si otterrebbe un DEK prevedibile.
Per almeno un modello di HGST Ultrastar utilizza ciò che chiama NDRNG, il "Generatore di numeri casuali non deterministici che è la fonte di entropia per il DRBG". È un requisito per tutti i drive SED, o alcuni di loro potrebbero provare a generare entropia da fonti più deterministiche come il movimento della testina del motore?