TCG Opal 規格

何謂TCG OPAL

TCG (Trusted Computing Group)為一專司工業標準發展及制定的組織,內容由組織成員共同制定,並公佈供業界採用施行。

TCG的儲存裝置組織制定OPAL安全子系統分級 (Security Subsystem Class; SSC),此為儲存裝置安全管理規範分級的其中一種級別,多應用於PC、NB裝置。在此規範中針對儲存裝置的資料管理及資料存取的權限分層管理相關細節皆有所定義,以保護使用者資料。經認證符合OPAL SSC規範的儲存裝置,則稱之具有TCG OPAL級的可信賴安全儲存裝置。

TCG Opal 特色

OPAL制定了全面性架構的規範,對象同時包含儲存裝置的製造商、軟體供應商、系統整合業者及學術機構,此規範涵括儲存裝置的製作、系統安裝、管理及使用方式,將資料進行加密保存, 分層管理,以避免資料遭竊取、篡改,達到確保資料安全性的目的。

支援OPAL規範的儲存裝置架構,同時具有以下特色:

  1. 皆為自我加密機制裝置SED(Self Encrypting Device):裝置對於資料的加解密皆於裝置內部完成,不透過Host端的處理,加解密的金鑰也同樣保存於裝置內 (常見的技術如硬體AES加密功能)。
  2. 具開機認証程序:使用者開啟時先進入一個稱為shadow MBR模擬空間進行pre-boot的身份驗證動作,通過驗證後,才會進入真正的開機程序,與裝置連結。詳見圖1。
  3. 具分區分權設定功能:裝置管理者可針對儲存裝置本身建立邏輯區塊位址LBA (Logical Block Address)範圍,針對不同的LBA範圍設定不同的權限,唯有擁有相對應金鑰者可進入該分區內進行權限內的作業。同時也針對擁有金鑰者進行管理,將已劃分的加密硬碟區塊授權給不同的使用者管理。詳見圖2。

採用OPAL規範機制的優勢:

  1. 分層管理方式,只有取得授權的人員可於自我加密裝置的環境下進行資料安全管理,降低資料被竊取、篡改、遺失的風險。
  2. 所有加解密行為於裝置內部進行,不須透過Host端(作業系統),不占用主機資源,速度更快,安全性也更高,同時避免了與作業系統可能產生的相容性問題。

總結的來說,面對各項電子數據所具有的不論是商業價值,亦或是個人利益,資料安全在大量資訊運用收集的趨勢下,成為被日益重視的問題。TCG因應重視資料安全且多重安全層級管理使用情境的需求制定OPAL規範,從硬體設計到軟體;從製造端到使用者,提供一個可依循的全面性架構及標準。

創見的AES SSD符合TCG OPAL 2.0規範,提供客戶客製化服務。

分享