Как создать новый ключ шифрования для диска, использующего SED (диск с самошифрованием)

Поэтому в настоящее время я узнаю больше о дисках NVMe, которые поставляются с функцией, называемой SED (Self Encrypting Drive). Возьмите Смасунг 970 ЭВО например. В нем четко указано, что он оснащен SED.

970 EVO предоставляет несколько расширенных функций шифрования данных. Технология безопасности Self-Encrypting Drive (SED) поможет сохранить данные безопасно в любое время. 970 EVO включает 256-битный AES. аппаратный механизм шифрования, чтобы гарантировать, что ваши личные файлы остаются в безопасности. Будучи аппаратным, шифрование двигатель защищает ваши данные без снижения производительности, которое вы могут столкнуться с программным шифрованием. Кроме того, 970 EVO совместим с различными передовыми решениями по управлению безопасностью (TCG Opal и зашифрованный диск-IEEE1667).

Обычно эти диски поставляются с предустановленным на заводе ключом шифрования, который использует Encryption Engine. И, по-видимому, старые твердотельные накопители, обычные 2,5-дюймовые диски, могут использовать что-то, называемое «ATA Sanatize», которое является функцией, которая поставляется с таким программным обеспечением, как ПартедМагия. И предполагается сгенерировать новый ключ. Не уверен, как, и я хотел бы, чтобы кто-нибудь объяснил, как это делается.

Тем не менее..

Поскольку диски NVMe не поддерживают очистку ATA, как бы вы сгенерировали новый ключ? Существует функция, которую предлагает PartedMagic, под названием «Безопасное стирание NVMe — стирание всего диска на аппаратном уровне», и я не уверен, что это то же самое.

Диски с самошифрованием (или устройства) всегда шифруют данные, которые передаются им для хранения. Они используют ключ, называемый ключом шифрования данных (DEK). Этот ключ известен только прошивке диска. Ключ никогда не покидает диск. Все данные, которые передаются на диск и с диска, шифруются и расшифровываются с помощью этого ключа. Когда диск выключен, он блокируется. При включении требуется пароль, чтобы разблокировать DEK и снова начать чтение/запись. Если пароль не установлен, диск не шифруется/дешифруется.

Теперь, когда вы устанавливаете пароль - ключ аутентификации (AK) - диск знает, что вам нужно его ввести, и не может ничего расшифровать/зашифровать, пока он не будет разблокирован.[На самом деле есть два ключа, но здесь больше подробностей, чем необходимо]

Это также причина, по которой можно изменить пароль (AK) без необходимости расшифровки и повторного шифрования всего содержимого диска.

Функция безопасного стирания, присутствующая на многих дисках, использует один из побочных эффектов шифрования. Зашифрованные данные выглядят как случайные символы, пока вы не используете правильный ключ шифрования (DEK) для их декодирования. Итак, чтобы стереть диск вы просто меняете ключ шифрования. Никакие старые данные теперь не могут быть декодированы, т.е. стертый.

Компания Seagate подготовила хороший документ, подробно описывающий все это относительно читабельным языком. https://www.seagate.com/files/staticfiles/support/docs/manual/Interface%20manuals/100515636c.pdf

Кроме того, если вы работаете в Linux или можете использовать загрузочный дистрибутив Linux с USB, вы можете попробовать предложения в ответе на этот вопрос: https://superuser.com/questions/1530363/как безопасно стереть-an-nvme-ssd