Suchen

Reiseführer durch den Begriffsdschungel der Solid State Drive

| Redakteur: Margit Kuther

Der Ruf nach einer SSD mit Security-Funktion ist rasch formuliert. Doch bei Begriffen wie SED, AES 256-Bit, TCG OPAL, PSID und IEEE 1667 geht der Überblick verloren. Dieser Artikel informiert über Security SSDs.

Firmen zum Thema

Sicherheit im Zeichen der SSD: Datensicherheit nimmt bei externen Speichermedien eine immer wichtigere Rolle ein.
Sicherheit im Zeichen der SSD: Datensicherheit nimmt bei externen Speichermedien eine immer wichtigere Rolle ein.
(Bild: Adobe Stock )

Im Informationszeitalter spielt die Datensicherheit eine immer wichtigere Rolle. Dabei geht es nicht nur um den Erhalt von Daten, sondern auch darum, diese vor dem Zugriff durch unbefugter Dritter zu schützen. Das ist gerade dann von Bedeutung, wenn diese Daten mit dem Speichermedium den eigenen Geltungsbereich verlassen.

Gerade im Embedded Bereich ergibt sich daraus eine steigende Nachfrage nach SSDs mit Security-Funkionen Features. Die Liste dieser potenziellen Features ist lang und nicht alle Begriffe sind geläufig.

ATA Security Feature Set identifiziert den Nutzer

Schon zu Beginn des Jahrtausends war das ATA Security Feature Set Teil der ATA-Spezifikationen des Technical Committee T13. Folglich implementierten die namenhaften Hersteller von Festplatten dieser Zeit, diese Funktion nach und nach in ihre Produkte.

Das ATA Security Feature Set beschreibt eine Reihe von Kommandos, welche die SSD zur Identifikation des Nutzers verwendet. Im BIOS wird ein Passwort für den Zugriff auf die SSD festgelegt und später abgefragt. Somit erhält ausschließlich der Nutzer mit dem richtigen Passwort Zugriff auf die SSD und die dort gespeicherten Daten. Selbst wenn die SSD ausgebaut und an ein anderes Hostsystem angeschlossen wird, bleibt die Zugriffsbeschränkung aktiv. Diese Funktion bietet jedoch keinen Schutz gegen Angriffe auf den NAND-Flash selbst, da die Daten im Speicher unverschlüsselt in Klarschrift abgelegt sind.

Bei einer SED sind die Daten auch im Speicher verschlüsselt

SEDs (Self-Encrypting Drives) sind selbstverschlüsselnde Laufwerke, die auf Hardwareverschlüsselung basieren. Ein SED verschlüsselt stets sämtliche Daten mit einem intern generierten Schlüssel, bevor diese in die Flash-Chips geschrieben werden. Im Gegensatz zu einer Softwareverschlüsselung erfolgt das Ver- und Entschlüsseln autark im Controller der SSD. Das entlastet Controller und RAM der Applikation von dieser Arbeit. Ein weiterer Vorteil ist, dass die CPU oder der RAM keine möglichen Angriffsziele für Hacker mehr darstellen.

Anders als bei der Softwareverschlüsselung funktioniert mit solch einer SED auch die Trim-Funktion. TRIM ist ein Befehl, um den Controller eines Speichermediums über derzeit nicht (mehr) benötigte Datenblöcke zu informieren. Der Controller markiert die betreffenden Blöcke intern als ungültig, um sie im Folgenden zu löschen und für neue Daten frei zu geben. Laufwerke, die TRIM unterstützen, vermeiden zudem das Risiko des Wear Levelings. Dabei werden einige Flashzellen häufiger genutzt als andere, was die Lebensdauer des gesamten Produktes signifikant verringert.

Beide Maßnahmen verhindern, dass unverschlüsselte oder anders verschlüsselte Reste alter Daten in den Flash-Chips zurückbleiben. Daten in den Flash-Chips einer SED lassen sich ohne den Controller nicht mehr lesen, also auch nicht retten. Doch letztlich bietet auch eine SED allein keine umfassende Datensicherheit, da die Ver- und Entschlüsselung der Daten in einem SED erst im Flash Controller erfolgt.

Regierungsbehörden nutzen die AES-256-Verschlüsselung

Eine weitverbreitete Methode zur Verschlüsselung von Daten in Speichermedien wie bei SEDs ist das Verfahren Advanced Encryption Standard (AES). Der AES-Algorithmus ist eine symmetrische Blockchiffre, welche einen kryptographischen Schlüssel von 128, 192 oder 256 Bits Länge verwenden kann, um Daten in Blöcken von 128 Bits ver- und entschlüsseln zu können. Wird die Verschlüsselung als AES-256 angegeben, bezieht sich die Zahl auf die Schlüssellänge. Bei aktuellen Security SSDs ist eine AES-256-Verschlüsselung der Standard. Hier wird der Datenblock mit dem Schlüssel in 14 Runden verschlüsselt und neu angeordnet. Ähnlich einem Plätzchenbäcker, der Mehl und Butter zu einem Plätzchenteig vermengt. Je öfters der Teig durchgeknetet wird, umso mehr werden Mehl und Butter miteinander vermischt und können später nicht mehr voneinander getrennt werden. Eine AES-256-Verschlüsselung gilt aktuell als ein sehr sicheres Verfahren und wird von verschiedenen Regierungsbehörden in mehreren Ländern verwendet.

TCG OPAL eint Software- und Hardwareverschlüsselung

Die Organisation Trusted Computing Group (TCG) entwickelt offene Standards für vertrauenswürdige Computerplattformen. Der TCG gehören eine Vielzahl von führenden Herstellern von Speicherlösungen, Technologiekonzernen und Software-Unternehmen an. Einer dieser Standards ist der Opal-Standard. Die SSC-Opal-Spezifikation wurde erstellt, um die Vertraulichkeit von gespeicherten Nutzerdaten auf Speichermedien vor unberechtigtem Zugriff zu schützen, sobald diese die Kontrolle des Besitzers verlässt. Diese Spezifikation ist herstellerübergreifend. Die SSC Opal definiert die vollfunktionsfähige Schnittstelle zur Verwaltung der Sicherheitsfunktionen auf einem Speichermedium, einschließlich der Geräteverschlüsselung. Sie führt die Vorteile einer Software- und Hardwareverschlüsselung zusammen. Dafür muss das Speichermedium eine SED sein und eine AES-128-Bit- oder AES-256-Bit-Verschlüsselung haben.

Spezialisierte Independent Software Vendors (ISV) bieten Softwarelösungen an, um das Opal Feature zu aktivieren und zu verwalten. Diese Programme richten einen Shadow MBR (Master Boot Record) ein. Dieser ermöglicht eine sichere Pre-Boot-Umgebung zur Authentifizierung und zum Entsperren der SSD. Hier wird ebenfalls die ISV-Software installiert und die Schlüssel abgelegt. Es lassen sich verschiedene Bereiche, so genannte Locking Range, mit separaten Schlüsseln definieren.

Rückseitenlabel einer 2,5"-SSD von Xmore: Zu erkennen ist die Presence Security ID (rot umrahmt) zur Identifizierung der sicherheitsfähigen SSD.
Rückseitenlabel einer 2,5"-SSD von Xmore: Zu erkennen ist die Presence Security ID (rot umrahmt) zur Identifizierung der sicherheitsfähigen SSD.
(Bild: GLYN )

Sollte bei aktivierter OPAL-Funktion der Schlüssel verloren gehen oder die Verwaltung des Laufwerks nicht länger möglich sein, lässt sich die SSD über die PSID (Presence Security ID) auf den Auslieferungszustand zurücksetzen. Bei dem SSD-Hersteller Xmore befindet sich die PSID-Identifizierung auf dem Rückseitenlabel. Das linke Bild zeigt das Rückseitenlabel einer Xmore-2,5‘‘-SSD mit 4 TB in I-Temp mit PSID. Die PSID ist eine durch die TCG spezifizierte Zeichenkette mit 32 Stellen. Die Übertragung der PSID erfolgt über ein Tool des Herstellers.

eDrive regelt den Datenzugriff via Betriebssystem

Der eDrive-Standard (Encrypted Drive) von Microsoft organisiert den Zugriff durch das Betriebssystem mit Bitlocker auf das SED-Speichermedium. Der eDrive-Standard basiert dabei auf der TCG OPAL und IEEE 1667. IEEE 1667 ist ein Standardprotokoll für die Authentifizierung Host-anhängiger Speichermedien. Diese Spezifikationen müssen von einem SED-Speichermedium unterstützt werden, damit die eDrive-Funktion genutzt werden kann. Durch das Auslagern der Verschlüsselung auf die Hardware der SED wird die Performance von Bitlocker gesteigert, sowie die Host-Auslastung und der Stromverbrauch reduziert.

Dieser Beitrag ist erschienen in der Fachzeitschrift ELEKTRONIKPRAXIS Ausgabe 6/2020 (Download PDF)

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46354791)