西安数据恢复中心
首页 | 联系方式 | 加入收藏 | 设为首页

服务项目

站内搜索

联系方式

办公地址:西安市未央区未央路130号(市图书馆旁)
联系电话: 18091827330

当前位置:主页 > 硬盘修复新闻 > 正文

希捷硬盘SED加密技术详解

编辑::西安硬盘维修中心-硬盘修复厂家-移动硬盘维修-西安硬盘修复公司  更新时间:2016-09-03  字号:
摘要:有一个标准的企业级硬盘和SED(除了标签)之间没有硬件差异然而,SED的确经历了一组其配置在驱动器中的安全功能的其他的制造过程。 这种配置涉及到安全表的安装,定义了一组凭据
有一个标准的企业级硬盘和SED(除了标签)之间没有硬件差异然而,SED的确经历了一组其配置在驱动器中的安全功能的其他的制造过程。
这种配置涉及到安全表的安装,定义了一组凭据(密码),使加密引擎,并初始化介质上的系统频带。安全模块处理驱动器的密码,并确保只有所有者可以访问存储的数据。当驱动器上电时,它处于锁定状态,所有的媒体访问是不允许的,直到密码已通过驱动接收的,并已证实针对其存储在系统频带的所有者的密码。一旦验证完成,驱动器检索来自系统频带并将其装入该加密密钥到加密发动机。现在驱动器已解锁并正常的读/写活动才能进行。
正如我们很快就会看到,有由安全块管理额外的密码。这些控制之类的东西固件下载,访问诊断资源,以及数据的密码擦除。在一般情况下,安全块仅影响这是有关用户数据的操作。
在锁定状态下,驱动器仍然会接受不涉及访问用户数据,例如查询命令,模式页,主轴启动/停止等。这些命令在图6中的“控制”下的分组并进行管理题为块“驱动处理器和标准电子”。
表1提供了由安全块监视的所有命令的列表,并显示驱动器如何响应这些命令时,它被锁定,当它被解锁。注意,读缓冲器的以外,所有的这些命令尝试访问媒体并因此(与没有适当的访问控制)可能构成一个直接威胁到用户数据的安全性。
1Read缓冲器(1C):返回错误历史(没有用户数据涉及)
2Write缓冲区(4H - 7H,0EH和F0)上下载微码的变化(不涉及用户数据)
3Mark的LBA含有伪不可恢复的错误(没有用户数据涉及)
当驱动器解锁,表1所示的命令又是一次打,但是这是怎么回事与四那些继续存在检查状况作出反应,即使驱动器已解锁的命令?这些命令阅读缓冲区,阅读长,写缓冲区和写长篇。
读/写缓冲区
所有在缓冲器中的数据(缓存)的信息加密,并由于获得的密文是不允许加密的设备,这些命令已经从SED的曲目中删除。
读/写龙
这些命令允许媒体上的密文被操纵和观看,因此,如读/写缓冲区命令,他们已经从SED的可执行命令集合中删除。
Note.The联邦政府不允许存储设备进行操作的,其中一个明确的文字输入提供了一个可视密文输出编码机。这种装置将属于的类别下的“弹药”。
2.1Authentication密钥(密码)
上面我们提到过,在驱动器中的安全功能模块负责管理一个以上的密码。那么,现在是时候采取这些口令和他们做什么一探究竟。
有在驱动定义了两个安全分区(SPS):
•管理SP
•锁定SP
当我们谈到驱动器加锁。管理SP控制访问驱动器和锁定SP的控制逻辑端口访问用户数据的介质。

2.2Logical端口
在驱动器内一些专业功能被分配通过逻辑(或虚拟)端口访问。这些功能具有可以通过一个连接器来访问的驱动器上没有物理端口。它们提供了维修通道或在驱动器内,并诊断资源正常操作期间不被使用。这些端口不提供访问用户数据,并且可以锁定或通过在任何时间所有者(密码持有者)解锁。此外,它们可以是空调,自动锁定下一个驱动力循环。唯一的逻辑端口,这将引起我们的关注是固件下载端口,它必须被解锁之前固件更新将通过驱动器所接受。
还有,以获得所有驱动器的业务资源的访问需要4个认证密钥。这些是这是由所述凭证名称SID,MSID,PSID,乐队指挥和EraseMaster所确定32字节的密码
我们将看看每一项依次为:
2.3SID(安全ID)
此密码也被称为所有者的密码或所有者的凭证。它用于锁定和解锁固件下载端口。它也可以被用来防止从被切换到诊断状态的驱动(见MSID下面的讨论)高级失效分析。
安全分区和相关的认证密钥
2.4MSID(制造商的安全ID)
此密码由希捷在制造过程中分配的,并且是不能由改变的密码主机系统。当驱动器从制造出厂,其他所有的密码,即SID,乐队指挥和EraseMaster被设置为可电子地从通过接口驱动器中获得的MSID的值。
当驱动娩出后,新东家应该通过定义SID,频带 - 新密码进行个性化的驱动器法师和EraseMaster。不这样做意味着任何人都可以使用MSID抢占所有者和采取控制的驱动。这样的驱动器上的攻击被称为服务(DoS)拒绝,因为合法拥有者已被锁定
2.5PSID
PSID是驱动器(物理SID)的物理所有者。此密码是由希捷在制造过程中分配进程,并且是不能由主机系统被改变的密码。该PSID凭证:燃着印在驱动器标签的基础上可读的格式。
b.May也可以提供条形码形式在标签上。
示例驱动器标签
PSID可以用来调用RevertSP命令,这将导致驱动器被恢复到默认状态并完成整个驱动器上的加密擦除。这将导致驱动像个它只是剥离了新的第一次。
与庄家凭证,其价值只知道希捷PSID在一起,可能会导致切换驱动进入诊断状态。这种状态将希捷用于在具有驱动器上执行高级诊断在保修期内进行故障分析得到回报。当驱动器是由希捷切换到诊断状态时,开关导致要执行自动加密擦除,所有用户数据都将丢失。
这里值得注意的是,根据担保退回的驱动器将针对数据访问,只要它们是被锁定从主机系统移除并断电。访问用户数据密码控制下,因此只可能。
切换到诊断模式中进行自动加密擦除(加密密钥的变化)是一个额外的预防措施,以确保访问他们的数据在先进的诊断分析是不可能的顾客。
如果客户仍然不相信他们的数据是安全的,他们可以使用所有者的密码(SID)禁用庄家凭据。这不是一个应该轻易采取然而,因为它会阻止从驱动器的操作被切换到诊断模式,因此在关闭故障分析及后续的再处置的任何企图。
2.6BandMaster
这个密码是锁定的SP的一部分,并且控制对用户数据的介质。在非加密驱动器,媒体包含开始于LBA 0和LBA最大结束一个连续的LBA空间。在SED的,在LBA空间分成两个或多个数据条带,其每一个都有其自己的密码。这就是为什么,在图7中,我们称这种密码BandMasterX其中X是频带号码和取值0,1,2,3,等等取决于有多少带可在特定的磁盘上。 16个数据带磁盘将有16个乐队指挥密码编号BandMaster0通过BandMaster15。所有的乐队指挥默认的密码MSID的新驱动器的价值。我们将深入深入到数据乐队适时的主题。
2.7EraseMaster
主机需要以一个乐队的数据进行加密擦除使用EraseMaster。虽然有可能是多个数据条带,所述相同EraseMaster密码用于他们每个人的,但它们必须在同一时间内消除一个通过与擦除请求指定波段号。带加密擦除会导致以下
动作发生:
1.A新的数据加密密钥为带问题创建(加密擦除)
2.带解锁的阅读和写作。一个加密擦除之后,从所述媒体读取的任何数据将与新的密钥进行解密。这意味着,读到的LBA而没有被写入新密钥将导致乱码被返回到主机。
3,乐队指挥口令恢复到MSID的价值为了阻止在乐队指挥口令蛮力攻击中,尝试限制和持久性的设置可能通过使用EraseMaster凭证指定。
该驱动器有一个计数器,跟踪失败认证尝试的次数。在尝试极限集一个上限这个计数器。这成为的次数驱动器将关闭之前接受虚假密码驱动下防止进一步的攻击。 0尝试限制意味着没有限制。缺省值为1024。
持久性设置确定计数是否仍然存在通过电源循环。什么是“关闭驱动器下来“呢?嗯,这取决于其已经选择了持久性的设置。当驱动器关闭它基本上不响应任何进一步的验证尝试。如果计数不通过持续动力循环,这将是复位到零,并且可以由另一轮认证尝试,直到尝试限制是再次杀入。如果计仍然存在通过电源周期是不重置为零,一旦达到极限尝试,驱动器将锁定所有进一步的验证尝试驱动器是否重新加电或没有。不管持久性设置,如果成功认证的任何时间之前到达极限尝试,计数器复位到零。
2.8Taking的SED的所有权
当驱动器出厂时,所有的用户可配置的凭据都设置为MSID的值,潜水解锁准备安装在新的主机系统。驱动器将作为标准的非加密开车在这个时候无限制access1,所以第一件事就是新的主人应该做的是驱动器个性化设置排除恶意访问和服务(DoS)可能拒绝的可能性。
类似的过程被用来改变的证书的值(密码)用于锁定的SP而非管理员SP,然而,看一下图10将表明,有一些需要注意BandMasterX一些额外的参数。该ReadLockEnabled和WriteLockEnabled参数不锁有问题的数据乐队,他们只是使锁定机构并允许参数LockOnReset是有效的。当这个参数设置为关机后再开机,当断电后重新应用和数据频段将自动锁定。
虽然这里未示出,驱动器也可以被锁定并通过将参数解锁ReadLocked和
WriteLocked为TRUE或FALSE。
一个另外的点上,ReadLockEnabled和WriteLockEnabled参数必须设置为一对,使得它们必须无论是TRUE或它们必须为FALSE。驱动器会忽略任何尝试设置TRUE / ​​FALSE或FALSE / TRUE组合。这同样适用于所述ReadLocked / WriteLocked对。在企业应用程序中,假设做出的运行环境是安全的,并且带锁定当变频器从箱中取出才真正需要(造成电力损失)。失败,以确保
数据乐队将锁定在断电之后可以去除其系统机箱的驱动器的访问用户数据。如果该驱动器的正常运行时,ReadLocked / WriteLocked期间对恶意活动的任何人的怀疑可使用锁定和根据需要解锁数据带。
2.9Summary
一个SED和一个标准的驱动器具有相同的硬件和除少数例外,以相同的SCSI命令响应集,但是SED经过该驱动器上安装的安全分区额外的制造工艺并启用加密引擎。没有人被允许访问的介质,或在数据缓冲器中的密文,并因此,这将允许该访问的SCSI命令不可用的SED上。当从工厂发货,所有驱动器口令被设置到被印刷在标签上,或者可以被电子地获得的该MSID凭证的值从驱动器。在收到新的驱动器,车主应更改所有密码到驱动器的个性化为了防止DoS攻击。

上一篇:windows 10 如何解锁无法复制的锁定网页

下一篇:windows系统启动流程

分享到: