加密功能及软件介绍-2

硬件加密

 硬件加密相当于给硬盘数据加了一把物理锁（硬件），这把物理锁需要一把电子钥匙，这种方式采用的是更具整体性的方法来给用户数据加密。

SED

例如自加密硬盘（SED）使用了硬件加密，其配备板载AES加密芯片，该AES加密芯片在数据写入NAND介质前加密数据，并在从NAND介质读取数据前解密数据。硬件加密有个习惯特点，它位于硬盘上安装的操作系统和系统BIOS之间。当对硬盘进行首次加密时，AES加密芯片会生成加密密钥并将其存储在NAND闪存中；当系统首次启动时，将自定义BIOS会加载并要求提供用户密码，此时输入正确的密码后，会解密硬盘中的内容并授予操作系统和用户数据访问权限。

自加密硬盘（SED）还利用板载加密芯片实现数据动态加密与解密，该加密芯片负责在数据写入NAND闪存前将数据加密，并在读取数据前将数据解密，这个加密流程不用主机CPU不参与，因此可以保证了主机CPU不会因为软件加密而导致性能损失。为了提高秘钥检索难度，以及不易遭到低级攻击，可以采取的一种方法是当系统启动时，加密密钥存储在固态硬盘的板载内存中，这样的硬件加密方法对用户来说是不可见的，数据安全性更好。硬件加密的好处是基本不影响主机运行的性能，而硬件加密也无法被关闭，外人进不来窃取数据。

软件加密VS硬件加密

软件加密与硬件加密各有各的特点，总得来说，软件加密是通常是具有成本优势的一种加密方式，但是软件加密通常会增添一些额外的步骤——数据需要加密并在用户需要访问数据时解密，会影响主机CPU的运行效率；而硬件加密需要增加或集成AES加密芯片等硬件，成本会增加，但是硬件加密会更提供更加强大的安全解决方案，通过加密芯片对硬盘中的数据进行加密，使湿度转换成不可识别的数据块，这种方式基本不影响主机CPU和读写速度，因此大多数带有加密功能的移动固态硬盘或固态硬盘都是常用硬件加密的方式。

至于选择何种加密方式，这要基于数据安全等级、使用环境、技术能力、需求、预算等各方面进行选择。对于用户来说，了解相关加密技术的特点及差异是很有必要的，有助于用户对安全举措的效力和效率理解更深。

软件加密

优点

几乎与所有存储设备兼容

可以选择加密某些文件夹或分区

可选性强

缺点

降低系统性能

加大SSD的磨损

安全系数较其他形式低

需要很长时间来加密和解密数据

硬件加密

优点

安全

不影响CPU性能

简单快捷地启用或禁用

缺点

兼容性不高

其他名词解释

加解密算法

AES

AES加密算法（Advanced Encryption Standard）是一种对称加密算法，也称为高级加密标准。它是由美国国家标准与技术研究院（NIST）于2001年发布，作为DES加密算法的替代方案。AES加密算法使用128位、192位或256位密钥对数据进行加密和解密，具有高强度、高速度和易于实现等优点。

AES加密算法的原理是什么？

密钥扩展

根据AES密钥长度进行密钥扩展，生成多个轮密钥。

初始轮

将明文数据分成128位块，并与第一个轮密钥进行异或操作。

多轮加密

重复进行多轮加密操作，每轮操作包括四个步骤： 字节替换：将每个字节映射到另一个字节，使用S-Box进行替换。 行移位：对每个128位块的行进行循环左移，第一行不移动，第二行左移1个字节，第三行左移2个字节，第四行左移3个字节。 列混淆：对每个128位块的列进行混淆，使用固定矩阵进行乘法运算。 轮密钥加：将每个128位块与下一个轮密钥进行异或操作。

最终轮

最后一轮加密后，将128位块与最后一个轮密钥进行异或操作。

输出

输出所有块的加密结果作为密文。

AES的种类

SM2/SM3/SM4

国密即国家密码局认定的国产密码算法。

TCG Opal 2.0

TCG Opal是由TCG组织所发起，致力于针对硬件提供安全保护的安全系统，描述了与自加密硬盘通信协议的规范。

TCG Opal2.0 规范还还保证了行业范围内的装置互操作性，可以不受限与平台，为用户的应用带来高度安全性。

TCG Opal的优点

支持创新功能，例如从用户级别锁定访问权限，让某区块的数据只能被特定用户所存取

通过销毁金钥（MEK）,达到近乎瞬时的加密擦除。

得到充分支持的行业标准，广泛适用于个产品类别和产业中。

SED

全盘加密（FDE）

全盘加密（full disk encryption,FDE）功能会加密存储装置内的所有数据。这表示即使存储装置不幸落入有心人士手中，对方也无法存去任何数据。

FDE优势

基于硬件，且系统性的影响小到可忽略不计。

加密范围不限于特定的磁区，文件夹或者文件

自加密硬盘（SED）

全盘加密的一个常见例子就是自加密硬盘（Self-encryption drive,SED）.

自加密硬盘实现全盘加密的方式，是通过专门设计的存储装置，从硬件层面进行加密。自加密硬盘会在装置存储数据之前自动加密数据，因此不会有任何数据未经加密就被写入。

SED的优点

由于存储装置使用集成加密引擎-而非主机-来处理加密解密过程，因此对系统性能的影响可以忽略不计。

拥有高度的灵活性，提供多种应用方式选择。

为什么AES 256 位加密无法破译

这是因为AES包括AES-128、AES-192 和 AES-256，AES后面的数字代表着每个加密和机密数据块中的密钥位数。

如果没有数学感知的话，可以这样来估算一下，即每增加一位，可能的密钥数量便增加一倍，这意味着什么呢？

哇！256位加密等于2的256 次方！你的脑子里一定闪出一连串的数字，看不到数字的尽头。这将是非常庞大的潜在密钥数量！

而且每个密钥位数都有不同的回合数，所谓回合是将明文变成密文的过程。2256位存在14个回合。

现在移动固态硬盘的主控可以有一种高级加密算法，这就是AES 256位硬件加密算法。AES的中文解释是高级加密标准，它是一种对称加密算法，让加密秘钥和解密秘钥一样。

AES属于分组密码，系统会先将数据分成128位数据块，然后以256位密钥的方式对数据进行加密，这就是AES 256位硬件加密。AES 256 位加密是目前最强大的几种加密标准之一，号称基本上无法以常规设备来破译，并成为一项可确保卓越数据安全性的国际标准。

每个主流品牌的一些高端移动固态硬盘基本都支持AES 256位硬件加密，例如闪迪的E61和E81。

AES-256

AES-256

AES算法是主要有四种操作处理，分别是（Add Round Key）,(Sub Byte),  (Shift Rows), (Mix Column)

明文和密钥矩阵的形式排列

128位明文从上到下，从左到右排列成4*4的字节矩阵

256位密钥从上到下，从左到右排列成4*8的字节矩阵

加密功能及软件介绍-1-优快云博客