磁盘加密是一款小巧强大的文件加密工具,用户能够使用这款软件方便快捷的进行文件的加密处理。软件支持多种不同的加密强度,用户能够按照需求选择适合的加密方式,磁盘加密加密存储的主要挑战之一是有一个安全的方法在系统重启后再次解锁存储。在大型环境中,手动输入加密口令并不能很好地扩展。NBDE 解决了这一问题,允许以自动方式解锁加密存储。
数据加密过程:存储通过从KMC获取AK(AK传输通过KMIP和SSL安全机制)读写磁盘上的数据,由KMC对SED的AK(认证密钥)进行管理(产生、存储、管理、撤销、销毁等操作),KeyBackup Server 用于对KA的密钥进行冷备。加密硬盘具备两层安全保护,分别使用AK(Authentication Key)和DEK(Data Encryption Key)两个安全密钥。AK是访问磁盘的密钥,DEK是数据加密的密钥,AK保存在KMC,而DEK通过AK加密后保存在磁盘中。打开硬盘加密特性和加密硬盘AutoLock功能时,从KMC分配AK给加密盘。硬盘上下电时,从KMC获取AK与硬盘上设置的AK匹配,如果匹配成功 就可以对盘进行读写操作了。密钥长期保持不变可能面临被破解的风险,所以需要对所有加密硬盘进行AK密钥的更新(由用户指定加密硬盘密钥更新周期),加密盘将根据新的AK重新加密DEK并保存到硬盘芯片内,DEK本身并不改变,因此盘上数据仍能有效读出和写入。
当磁盘通过AK认证并对磁盘进行读写时,磁盘通过自身电路获取磁盘内的DEK,由AES完成数据加密和读取数据解密功能。数据在写入磁盘后通过DEK加密,变成加密信息。磁盘的DEK外部是无法获取的,所以磁盘拆除或故障后,通过机械读取方式是无法还原信息的。数据在主机层、网络层、存储系统都是明文数据;数据写入硬盘时,由硬盘上的AES加密引擎和DEK对数据进行加密,数据从盘上读出时,也是由AES加密引擎和DEK(数据加密密钥)对数据进行解密。
