專業技術

SED

自我加密硬碟

SED（Self-Encrypting Drive）常被稱為自我加密硬碟或自加密硬碟。需要特別說明的是，SED本身並不是一種單一的加密演算法或特定硬體IP，而是一種用來描述「儲存裝置具備可被信任與管理的自我加密行為」的安全能力概念。

SED的工作原理

從技術實作角度來看，SED的基礎仍建立在SSD既有的自動加密（Inline Encryption）架構之上，但其關鍵差異在於是否具備金鑰隔離與可管理的存取控制行為（Key Isolation & Access Control）。當資料寫入SSD時，會先由控制器內建的硬體加密引擎即時完成加密，再將密文形式的資料寫入NAND Flash。加密金鑰則由控制器於其內部安全機制中管理，與使用者資料所在的NAND儲存區域分離。透過這樣的設計，即使SSD被拆下、移機或系統遭到破壞，若未經授權解鎖，資料仍無法被正確解讀。

SED的能力

1. 硬體自加密（Inline Encryption）

   SED的運作基礎來自SSD控制器內建的硬體AES加密引擎，加密演算法通常採用AES-256。該引擎會在資料寫入NAND前自動完成加密，並在讀取時自動解密，整個流程皆於SSD內部完成，不需OS或CPU參與。由於加密處理由專用硬體即時完成，在多數工作負載下對整體效能影響極小，且不受作業系統、BIOS、驅動程式或軟體更新影響。需要注意的是，單純具備Inline Encryption並不足以構成SED，其是否能被稱為 SED，取決於後續是否具備可被管理與驗證的安全行為。

2. 加密金鑰存在碟機安全區（Device-Based Key Storage）
   

   在SED的架構中，金鑰隔離是核心安全原則，而其具體的實作方式是：SED的硬體加密金鑰（Master Encryption Key, MEK）只存在於SSD控制器的內部安全區（Secure Zone），不會暴露至主機或任何外部系統，這也是SED與純軟體加密最大的差異。這意味著：
   ．OS損毀：資料保護不受影響
   ．SSD拆下來接到別台電腦：資料仍然是加密狀態

3. 瞬間安全抹除（Instant Secure Erase, ISE）

   SED的所有資料都是被加密後存放於NAND。因此，只要執行金鑰銷毀（Key Purge），原本儲存在NAND的加密資料即便仍然存在，也因為失去對應的金鑰而無法被解密，等同於全部資料被瞬間抹除。這種金鑰銷毀的抹除機制極為快速，不需要花時間覆寫整個NAND空間，特別適用於工業電腦、金融機構、政府單位等高度重視資料安全的環境，以及伺服器汰換時的資料快速消除需求。
   這種資料抹除機制，依不同介面與標準，名稱可能不同，包括：
   ．Instant Secure Erase（企業級SSD常用詞）
   ．Crypto Erase（SATA / TCG規範用詞）
   ．Crypto Sanitize（NIST / NVMe Sanitize指令中的名稱）

SED與TCG的關係

若將SED視為一種「安全能力概念」，那麼TCG（Trusted Computing Group）規範則負責定義如何對這項能力進行管理、驗證與存取控制。透過TCG Opal或TCG Enterprise（TCGe）標準，系統可以依應用情境套用不同的權限管理模式。例如TCG Opal常用的開機前驗證（PBA）與多區塊加密管理，或TCGe在資料中心環境中的集中式金鑰管理與大規模安全域控管。換言之，SED 描述的是儲存裝置「具備可管理之自我加密行為」的能力，是一種對外描述儲存裝置安全行為的概念與能力模型，而非單一加密技術，而TCG規範則定義了如何安全地使用與管理這項能力，也就是針對這類能力所制定的安全管理與存取控制規範。