Tabla de contenido
www.seagate.com
4.0
Acerca de las unidades de autocifrado
Las unidades de autocifrado (SED) ofrecen servicios de cifrado y seguridad para la protección de los datos almacenados, comúnmente conocida
como "protección de datos en reposo". Estas unidades cumplen con las especificaciones de almacenamiento empresarial de Trusted Computing
Group (TCG) como se detalla
Trusted Computing Group (TCG) es una organización patrocinada y operada por empresas de la industria de la informática, el
almacenamiento y las comunicaciones digitales. Los modelos SED de Seagate cumplen con los estándares publicados por TCG.
Para utilizar las funciones de seguridad en la unidad, el host debe ser capaz de construir y emitir los siguientes dos comandos
ATA:
Envío confiable
-
-
Recepción de confianza
Estos comandos se utilizan para transmitir el protocolo TCG hacia y desde el variador en sus cargas útiles de comando.
4.1
Cifrado de datos
Las unidades de cifrado utilizan un motor de cifrado en línea para cada puerto, empleando claves de cifrado de datos AES-256 bit con modo AES-
XTS para cifrar todos los datos antes de que se escriban en el medio y para descifrar todos los datos a medida que se leen del medio. Los
motores de cifrado están siempre en funcionamiento y no se pueden desactivar.
La clave de cifrado de datos (DEK) de 32 bytes es un número aleatorio que genera la unidad, nunca sale de la unidad y es inaccesible para
el sistema host. La DEK se cifra en sí misma cuando se almacena en los medios y cuando se encuentra en un almacenamiento temporal
volátil (DRAM) externo al motor de cifrado. Se utiliza una clave de cifrado de datos única para cada una de las posibles 16 bandas de datos
de la unidad
(consulteSección
4.2
Acceso controlado
La unidad tiene dos proveedores de seguridad (SP) denominados "SP de administración" y "SP de bloqueo". Estos actúan como guardianes de los servicios de
seguridad de las unidades. Los comandos relacionados con la seguridad no se aceptarán a menos que también proporcionen las credenciales correctas para
demostrar que el solicitante está autorizado para ejecutar el comando.
4.2.1
Administrador SP
Admin SP permite al propietario de la unidad habilitar o deshabilitar las operaciones de descarga de firmware (consulte
SP de administración está disponible mediante la contraseña de SID (ID segura) o la contraseña de MSID (ID segura de fabricantes).
4.2.2
Bloqueo de SP
El SP de bloqueo controla el acceso de lectura / escritura a los medios y la función de borrado criptográfico. El acceso a Locking SP está
disponible usando las contraseñas BandMasterX o EraseMaster. Dado que el propietario de la unidad puede definir hasta 16 bandas de
datos en la unidad, cada banda de datos tiene su propia contraseña llamada BandMasterX, donde X es el número de la banda de datos (0
a 15).
4.2.3
Contraseña predeterminada
Cuando la unidad sale de fábrica, todas las contraseñas se establecen en el valor de MSID. Este valor aleatorio de 32 bytes solo puede ser leído por
el host electrónicamente a través de la interfaz. Después de recibir la unidad, es responsabilidad del propietario utilizar la contraseña MSID
predeterminada como autoridad para cambiar todas las demás contraseñas a valores únicos especificados por el propietario.
Manual del producto Seagate Exos X16 SATA, Rev. J
enSección
2.13.
4.5).
Acerca de las unidades de autocifrado
Sección
4.4). El acceso al
26
Tabla de contenido
