提交成功
返回列表

再谈数据安全:TCG Opal 介绍

2022 / 03 / 08
1

在之前发表的《企业数据如何更安全》一文中,我们详细介绍了AES加密算法和AES-XTS全盘自加密的工作原理。它是目前政府、企业广泛采用的数据加密方式,也是PBlaze系列企业级SSD在数据安全方面的重要功能之一。

 

在此之外,我们也会在一些SSD的规格介绍中,在数据安全一栏看到TCG Opal的身影。它和AES有何关系?又能起到怎样的数据安全防护效果?本文将给出解答。

 

 

TCG Opal是什么

 

TCG全称Trusted Computing Group(可信计算工作组),它是一家非盈利性组织,致力于开发、定义和推广数据安全防护技术和规范标准,保护企业敏感数据不被泄露,建立完善的安全认证,用户身份保护,设备认证和完整的网络防护体系,有效降低企业的总拥有成本,且完全合规。

 

TCG Opal是TCG制定的安全标准规范,它定义了对静态数据保护的安全策略,包括基于AES-128或AES-256的设备自加密(SED,Self-Encrypting Drive)、用户权限管理、开机前身份验证等。由于采用硬件自加密技术,Opal并不会对系统的性能造成影响,同时,它独立于操作系统之外,使用不同的操作系统,利用不同的操作系统漏洞,都无法对其产生影响。它是对传统自加密技术的完善,也是存储行业重要的规范之一。

 

 

Opal定义下的加密流程

 

SED是Opal的必备项,它集成了对用户静态数据的加密功能,所有写入硬盘的用户数据都由硬盘控制器内的专门硬件进行加密,在读取时进行解密。加密和解密均通过硬盘内部产生的媒体加密密钥MEK(Media Encryption Key)进行,不通过Host端处理。

 

Opal为主机应用定义了一个管理接口,用于激活、配置和管理用户数据的加密功能。当存储设备锁定,用户将无法直接访问里面的数据,只有通过主机向该存储设备提供正确的凭证,存储设备才会解锁,并进行正常的读取和写入操作。

 

加密工作流程示意
引自TCG & NVMe白皮书TCG Storage, Opal, and NVMe

 

MEK作为影响数据安全的重要因素,其自身也需要被加密,给MEK加密的就是KEK(Key Encryption Key),它是基于用户的密码、口令或一些其它认证机制计算得出的特定数值。MEK只以加密的形式持久地存储在设备中,任何明文MEK都只在存储设备加电的情况下,在控制器内部短暂保存,当存储设备断电,明文MEK就会丢失。此外,Opal并不会对明文的用户密码、口令加以记录,也就杜绝了从硬盘本身泄露凭证的可能。如此一来,在未获得正确的用户密码、口令等前提下,即使拿到加密设备,也无法获得明文的KEK和MEK,更无法获得里面的明文用户数据。

 

 

除了自加密,Opal还有哪些功能

 

Opal提供了一个接口,允许主机应用程序管理与用户认证和媒体加密有关的功能,具体包括:

 

  • 设置用于执行配置的管理员凭证(最少支持4个);

 

  • 多个用户凭证的设置和管理(最少支持8个),这些用户可以被分配到Opal子系统中执行相应操作;

 

  • 将存储设备划分为多个"锁定范围",每一个“锁定范围”都对应一段连续的LBA;

 

  • 每个锁定范围都对应不同的MEK进行加密,访问相互独立;

 

  • 每个“锁定范围”的访问权限可以授权至0个或多个用户;

 

  • 每个锁定范围都可以独立解除锁定,此过程中,旧的MEK将被删除,并创建一个新的MEK,而使用旧MEK加密的数据将不再能够被解密;

 

  • 0个或多个用户可以被配置到解除锁定的区域,为存储设备的重新使用或报废提供快速、安全的执行方式;

 

  • 支持MBR Shadowing功能,使用者开机时需要先进行Pre-Boot身份验证操作,只有验证通过后才能进入开机程序,和设备连接。

 

总结来说,Opal可以设置多个不同类别、不同权限的用户,并将设备划分为多个锁定范围;其每个锁定范围、用户配置、访问权限都相互独立,使用灵活;即使设备离开所有者,也可以防止未经授权的访问,保护用户的静态数据,有效减少数据泄露风险;支持MEK删除,可快速安全清除用户数据。此外,Opal还具有易扩展的特性,可通过添加新的功能来实现更多用户请求的支持。

 

 

补充:Opal、Opalite、Pyrite的区别

 

通常,Opal被用于企业级数据安全解决方案。受NVMe工作组邀请,TCG也打造了针对消费级市场的解决方案,即Opalite SSC和Pyrite SSC,它们是Opal的两个子集。三者主要区别在于管理员、用户、可配置的锁定范围的数量等。此外,Pyrite没有规定对静态数据进行加密保护的能力,也不具备与加密、秘钥擦除等有关的功能,具体如下:

 

 

TCG Opal是由TCG组织成员共同推动定义的存储设备安全管理规范。TCG Opal的应用,除了获得设备完善的加密保障外,其优势还在于通过硬件本身加密,节约主机系统加密带来的开销,从而获得更优的存储性能。TCG Opal安全管理规范在应用上具备明显的地域性特征,北美、欧洲应用范围较广,加之其标准实现的复杂性,给存储设备厂商的开发带来不小挑战。Memblaze在用户数据安全保障上一直保持高度重视,并在PBlaze6 6530系列企业级NVMe SSD中率先支持TCG Opal 2.0,让国产品牌在数据安全及拥抱更优存储技术方面更进一步。

 

参考资料:

Trusted Computing Group and NVM Express Joint White Paper: TCG Storage, Opal, and NVMe