全磁盘加密常见问题解答 - 售前


请参见文档 ID:205983 了解技术支持常见问题。 
 

点击下面的链接转到答案。

Seagate FDE 硬盘是否为 FIPS-2 合规?
该硬盘已经过资格验证,可用于国家安全系统之中,采用 DriveTrust 技术保护国家安全系统解决方案中敏感但非保密的信息,并且可以和其他经过批准的保障机制同时用于保密的国家安全系统中。   Momentus FDE.2 硬盘未获颁发 FIPS 140-2 证书,但根据 FIPS 标准,“已批准用于保密用途的加密模块可用于代替已根据此标准获得验证的模块。”

美国国家安全局的资格证书证明该产品“可在国家安全系统内使用”。

我能否将 FDE 硬盘放入任何 SATA 系统中?
这些硬盘为 SATA 接口,具有标准系统兼容性。  有一些 Seagate Secure 命令可能需要 BIOS 兼容性审查。   所有 Momentus FDE 硬盘始终都在加密数据,并且无法禁用该活动。每个硬盘都有自己的加密密钥,因此没有两个系统保存相同的数据。

Momentus FDE 硬盘可以描述为具有三种密码模式:OFF(关)、标准 ATA 安全性和 Seagate Secure 安全性。  如果密码为 OFF,则硬盘系列可以运行任何操作系统、系统和 BIOS。  使用标准 ATA 安全性管理密码时,任何带密码控制的笔记本 BIOS 都是兼容的。  在这种情况下,密码问题看起来与非 FDE 硬盘完全相同。  这两种密码模式也适用于非 Windows 应用程序。  

Seagate Secure 预引导验证密码要求系统 BIOS 在接受密码后发出热启动重置。  虽然这种 BIOS 重置很简单且常见,但我们看到有一些早期 SATA 笔记本电脑系统不支持该命令。  因此,我们建议进行资格预审兼容性测试或使用经过认证的系统合作伙伴产品。

 
安全模式推荐资格预审
兼容性测试?
OFF
标准 ATA
(系统 BIOS 托管)
Seagate Secure
(客户端或企业托管)
 

目前,Seagate 提供 80 至 160GB 容量选择的 Momentus 5400 FDE.2 系列笔记本电脑硬盘。  

目前,Seagate Secure 安全命令由采用 Windows Vista 和 XP 以及越来越多特定认证系统的第三方软件供应商提供支持。 

我能否关闭 FDE 硬盘的加密?
否。  Seagate FDE 硬盘始终通过唯一的加密密钥加密数据,无一例外。  由于没有任何两个 FDE 硬盘有相同的加密密钥,因此,在待保存数据相同时,没有两个 FDE 硬盘会向介质写入相同的数据模式。  另一方面,密码则可以被激活和停用。  关闭密码后,硬盘的行为就像普通硬盘一样。

我能否在 Mac 中使用 FDE 硬盘?
无论运行什么操作系统,都会在硬盘上进行硬件加密。  Seagate Momentus FDE.2 硬盘在出厂时即已加密,且每个硬盘会写入经过独特加密的数据。  除了加密,FDE 硬盘还支持两种类型的安全命令集模式:传统 ATA Security 和 Seagate 开发的 Seagate Secure 命令。  这两种模式均控制密码以验证对硬盘的访问。  密码也可以保持关闭。

较新的 Mac 系统使用可扩展固件接口 (EFI) 代替 BIOS。  传统的 ATA Security 集密码是系统管理的,依赖于 BIOS,这意味着较新的 Apple 笔记本电脑系统无法设置或使用传统的 ATA Security 密码。  Seagate Secure 密码由客户端软件管理。  这意味着该技术最终可以适应 Apple Mac。

Seagate Secure 命令集依赖于第三方开发商和应用程序。  多家软件供应商正在为此预引导身份验证过程提供各种解决方案。 

我能否在 FDE 硬盘上使用软件加密?
可以,可以在 FDE 硬盘上部署任何其他类型的软件加密技术。  极为强大的 Seagate Secure 预引导验证功能可控制对硬盘的所有初始访问。  在满足密码问题后,该硬盘就像典型的硬盘一样启动。  您可以使用任何其他类型的加密或安全软件,因为它们是在 FDE 预引导验证控制之后被激活。  从理论上讲,您可以在同一系统上使用 BIOS 系统密码、硬盘密码、分区(软件加密)密码、操作系统登录密码和文件夹加密。

要记住的一件事是软件加密可能会导致系统速度变慢。

您能否在外置 eSATA 硬盘盒上使用 FDE 硬盘,并且仍然使用加密功能?
从理论上讲,答案是肯定的。  Seagate FDE 硬盘和底层技术将适用于此处设想的设备类型。  但是,目前还没有可供购买的 eSATA 解决方案。   

在相关设计中,Seagate 还曾在 Maxtor 品牌下制造(但已不再制造)一系列名为“BlackArmor”的外置硬盘。  它在 USB 机箱内使用 Seagate 全磁盘加密硬盘。  此外,它还有软件支持硬盘中可用的 Seagate Secure 功能。  请查看此处的 Maxtor BlackArmor 用户指南。 

我是否需要软件来让 Momentus FDE 硬盘运行?
Momentus FDE 支持两种安全模式 – ATA Security 模式,无需软件即可运行;名为 Seagate Secure (DriveTrust) 的更高级别安全模式,它需要第三方软件 - 两者均提供全磁盘加密。

Seagate Secure 功能集包括强大的预引导密码验证环境和密码层次级别。  如需了解 Seagate Secure(前称为 DriveTrust)的完整评论,请查看我们的白皮书(Drive Trust 上的、Drive Trust 概述上的)。  没有特殊软件,Seagate FDE 硬盘也支持传统的 ATA 密码。  所有笔记本电脑制造商都支持 ATA Security 密码。

此外,密码可以全部关闭,硬盘看起来就像典型的硬盘一样运行,虽然加密了磁盘上的所有数据。  实际上,这一最后阶段是如何在硬盘上加载操作系统和应用程序或映像。

FDE 硬盘是否会直接切断对硬盘的访问?
每个 Momentus FDE.2 硬盘始终将 AES 级加密数据保存到物理介质上。  每个硬盘都有一个唯一的加密密钥,这意味着在给定相同数据的情况下,没有两个硬盘保存相同的数据模式。  当 FDE 硬盘全新开封时,密码控制被禁用。  在这种情况下,硬盘可以接收 Windows 操作系统和用户应用程序(包括 Seagate Secure 密码应用程序),并像普通硬盘一样引导。  如前所述,没有两块 FDE 硬盘会向物理介质保存相同的位模式。  完全构建系统后,下一阶段是使用特定的第三方软件(如 Secude 或 Wave Systems 的软件)激活密码控制。  激活 Seagate Secure 密码后,固件限制将使用户数据扇区无法访问,直到满足密码问题。  接受密码后,硬盘将像普通硬盘一样启动和运行(但会将 AES 加密数据保存到物理介质)。

除了硬件 FDE 之外,使用软件加密也是完全可行的。  许多人可能仍希望作为特例对文件夹或文件进行加密。  通过软件加密,引导至 CD 并运行数据擦除软件可以擦除普通硬盘上的数据。  借助 Seagate 的 FDE Seagate Secure 技术,数据扇区在密码问题之前完全无法使用。

以下是一些可能为您提供新信息的其他文档: 

--DriveTrust™ 技术:技术概述
--Seagate 凭借硬盘加密技术成为率先通过 NIST 认证的硬盘制造商

FDE 是否适用指纹识别器?
在过去十年中,笔记本电脑的硬盘级别安全选项仅限于由系统 BIOS 管理的一个用户密码以及其他类似锁定密码的一些命令。  尽管很简单,但它们仍然是行业标准。  利用 FDE 和 Seagate Secure 安全命令集,Seagate 提出了多项标准,正在接受  Trusted Computing Group 和 ATA 标准委员会的审核。  作为开放标准,第三方软件提供商将投入时间和精力开发支持增强型 Seagate Secure 命令的应用程序(4 个用户密码、隐藏的预引导验证存储空间、加密密钥更改和擦除等)。

预引导 Seagate Secure 密码应用程序有大约 130MB 的空间存储其代码。  根据软件供应商的产品,可以添加生物识别增强功能以补充 Seagate Secure 密码问题。 

一些安全的笔记本电脑系统 BIOS 实施现在支持使用指纹识别器等设备进行多因素身份验证。  每个品牌的系统或软件都有独特而有趣的选项,制造商对其提供了最佳描述。 

Seagate 是否捆绑软件来管理 Momentus FDE 硬盘上的 Seagate Secure 功能集?
Seagate 不随 FDE 硬盘提供任何软件来管理密码或其他安全功能。  Seagate 依靠第三方软件供应商为客户端和企业架构以及不同的操作系统提供多种不同的解决方案。  多家软件供应商正在为此预引导身份验证过程提供各种解决方案。 

您可以使用 Seagate SeaTools 诊断软件测试 FDE 硬盘。  您可以使用 Seagate DiscWizard 应用程序将 Windows 操作系统和数据迁移到新的 FDE 硬盘。 

如果 FDE 系列硬盘依赖计算机 BIOS 进行预引导验证,它们是否可以支持基于 EFI 的系统(例如 Intel Macbook 或某些仅限 EFI 的服务器)?
除主机系统外,FDE 磁盘命令不受系统和操作系统的影响,但它们仍依赖于第三方软件解决方案来提供用户界面。  截至今天,首批采用 Seagate Secure 技术的软件解决方案是针对 Windows XP、Vista 和传统的 PC BIOS 编写的。  除了开发时间之外,没有任何因素会阻碍对其他平台的支持,这些平台包括如 Mac、Linux、嵌入式操作系统(有或没有 BIOS 或 EFI)等。

由于 Seagate FDE 硬盘上的固件也支持传统的 ATA 安全命令,因此兼容性相当于使用常规 ATA 密码的非 FDE 磁盘驱动器,但 Seagate Momentus FDE 硬盘的额外优势在于始终加密 - 无论采用两种可用密码方法的哪一种,每个单元使用唯一的加密密钥。  传统的 ATA 安全密码依赖于传统的 BIOS 来管理密码事务。  目前,采用 EFI(可扩展固件接口)代替 BIOS 的 Apple Mac 系统不支持传统的 ATA 安全密码。

新软件和认证系统正在稳步上线。 

如果有人试图更改 FDE 硬盘密码,是否会删除硬盘上的数据?
用户可以根据需要随时通过其配置软件更改密码。  密码更改不会影响硬盘上的数据。  更改密码不会导致数据丢失(除非忘记密码且不存在备份)。  出于审计控制的原因,配置软件的企业版可能会限制密码更改。

在硬盘上的两种安全模式,传统的 ATA 安全模式和 Seagate Secure 模式之间,密码存在显着差异。  Seagate Secure 和传统 ATA 密码模式相互排斥。无法同时激活这两种类型的密码。

使用 Seagate Secure 技术的每个 FDE 硬盘最多可以设置四个用户和四个管理硬盘密码。  管理密码将解锁硬盘并可以重置用户密码。  除非被企业管理软件禁用,否则用户可以更改自己的密码。  

使用传统的 ATA 安全密码时,会有一个用户密码和一个主密码。  用户密码可以有两个级别:高和最高。  主密码可以解锁和更改高级用户密码。  主密码只能向最高级别设置的用户密码发出安全擦除命令。

但是,加密密钥是在每个硬盘上以不同方式设置的 128 位 AES 随机数字。  没有哪两个硬盘具有相同的加密密钥。  所有加密和解密活动都会通过密钥。  更改加密密钥是导致数据无法恢复的原因,这种情况会在安全擦除时发生。  

我们一直在关注戴尔以 Wave Embassy 套件后端提供的 Momentus FDE 硬盘。  这些硬盘是否可以与其他供应商的基于软件的后端解决方案一起使用,还是我们只能使用 Wave 系统?
Wave 将对其安全功能集的范围及其使用的高级操作系统企业服务提供一个明确的答案。  虽然硬盘最终使用正确的密码解锁,但是对可以采用用户密码输入(或指纹或智能卡增强功能),并且随后在将其呈现给 FDE 硬盘之前对其进行散列的软件工具没有限制。

对于硬盘的行为,任何冷启动(从关闭或休眠状态开启电源时)后都需要 Seagate Secure 密码。  保护“静态数据”是关键。  硬盘固件、硬盘介质上受保护的存储区域和安全接口通信协议均按照最高级别的可信计算标准进行设计。  如果不满足密码问题,系统 BIOS 将永远不会看到硬盘上的第一个引导记录。  如果笔记本电脑系统丢失,或密码丢失(或未知),则硬盘无用。

在满足初始密码问题后,硬盘的行为与普通硬盘无异。  Wave 正在安装客户端预引导验证软件并管理在操作系统的第一个主引导记录加载之前所需的密码(本地或通过企业)。  数据的实际解密和加密是在磁盘驱动器中即时发生的。  

Seagate Secure 和 DriveTrust 之间的区别是什么?
我们使用 Seagate Secure 这一术语作为 Seagate Momentus FDE.2 硬盘中许多功能的营销标题,这款硬盘具有实时硬件加密功能。  其中包括加密活动、密钥管理以及一个独特且非常重要的密码控制引导管理系统。  在我们的第一代产品开始推出时,Seagate 为相同的功能集使用 DriveTrust 这一词语。 在此期间使用 DriveTrust 一词制作了多个数据表和白皮书。  Seagate Secure 已取代 DriveTrust,因此二者都应被视为等效术语。

FDE 硬盘会提供什么样的最终用户体验?
新开箱的 FDE 硬盘引导方式与通用磁盘驱动器相同,允许分区、格式化和操作系统安装 - 包括复杂的多操作系统引导选择器。 FDE 硬盘可以在安全功能关闭的情况下进行操作以实现其完整用途。  可以在系统 BIOS 设置中设置简单的 ATA Security 硬盘密码。这些普通密码在 FDE 硬盘上的运行方式与在普通硬盘上相同。

除了全磁盘加密之外,Seagate 还推出了一套强大的密码验证功能和磁盘访问命令,共同采用 Seagate Secure 这一品牌。  其中一个功能可以描述为预引导验证。  使用 Seagate Secure 密码代替标准 ATA Security 密码。

在构建并完全配置系统之后,下一阶段是安装一些通过 Seagate Secure 功能集管理磁盘驱动器的第三方软件。  这些应用程序中的大多数都提供了单独的初始化步骤,以启用 Seagate Secure 功能和备份密码。  第一步是将密码控制软件加载到隐藏的预引导分区(在出厂时已预先调整为 130MB)。  下一步设置用户和/或管理员密码(规格中最多可以有 4 个)。  最后一步激活预引导分区和密码控制。

冷启动时,系统 BIOS 看到的存储空间不会超过 Seagate Secure 预引导分区中定义的空间。  没有硬盘诊断或取证级工具可以看到比这些扇区更多的内容或超出这些界限。  只有密码验证软件存储在此分区中。  此位置不存在用户数据,甚至主要的主引导记录也不存在。  密码问题成功后,软件会指示硬盘隐藏预引导扇区并取消隐藏用户数据扇区(完整容量)。  磁盘驱动器执行一种热设备重置,将真正的主引导记录呈现给 BIOS。  从这时开始,包括任何热重启,磁盘驱动器的行为与普通硬盘相同。

Seagate 开发出了一种由越来越多的独立安全软件供应商支持的规范。  实际的用户界面留给他们决定,并由他们编写软件的方式来定义。  在最简单的层面上,该软件可以发出直接的密码问题。  它还可以支持如指纹识别器等多因素身份验证生物识别增强功能,或智能卡读卡器等设备增强功能。  Seagate Secure 规范为软件提供商提供了他们想要的创意空间。  130MB 的分区空间允许他们考虑使用像 Linux 这样强大的预引导操作系统来运行他们的应用程序,并提供广泛的图形和设备支持。

我可以和 FDE 硬盘一起使用哪些其他安全措施?
采用 Seagate Secure 技术的 FDE 硬盘主要是围绕通过强大的密码验证来控制对硬盘的访问。  这称为保护静态数据。  如果笔记本电脑被盗,与软件加密不同,任何诊断或取证软件都不会看到密码形式加密的数据,更不用说经过解密的机密数据了。

加密可以分层,就像密码可以分层一样(我们都熟悉需要两到三个密码才能最终阅读我们的电子邮件这种体验。)  始终可以在 FDE 硬盘上使用选择性软件加密。  您可以进一步加密(使用软件)特定文件夹或 zip 文件。  您可以将磁盘驱动器划分为多个盘符(称为分区),并使用软件对其中一个逻辑驱动器进行加密。

如果使用 FDE 硬盘和 Seagate Secure 引导密码设置的笔记本电脑丢失或被盗,则您的机密客户端数据对新“所有者”而言根本不存在。  这是因为没有正确的身份验证,磁盘驱动器自己的控制软件不会开始引导过程。  实际上,FDE 硬盘本身也是无用的,因为在没有 ATA Security 或 Seagate Secure 密码的情况下,无法彻底清除并重新加载操作系统。

我在哪里可以找到关于 Maxtor BlackArmo 的规格和数据表,具体说明所使用的加密标准及其对任何政府加密标准的遵守情况?
Maxtor BlackArmor 外置 USB 硬盘和 Seagate Momentus FDE SATA 硬盘密切相关。  BlackArmor 使用 Momentus FDE.2。  因此加密标准为 AES-128。  我们网站上的安全新闻和活动页面有很多新闻稿,但不包括提供有用信息这两个。  NIST 认证说明了这个遵从性问题。

--通过 Maxtor® BlackArmor™ 锁定,这款采用硬件加密的存储设备为消费者提供政府级别的保护
--Seagate 凭借硬盘加密技术成为率先通过 NIST 认证的硬盘制造商

在对包含用户数据的硬盘扇区进行物理或逻辑访问之前,BlackArmor 硬盘使用“预引导”密码验证。  在密码验证之前,USB 驱动程序和 Windows 操作系统只能看到 130MB 的非数据空间。  

这一“预引导”空间:

  • 包含旅行者应用程序 - 用于管理密码问题的 GUI 和软件
  • 为只读,且不能包含用户数据
  • 密码验证后无法访问

最后,如果 BlackArmor 硬盘丢失,则通过固件限制对数据区域的访问和对设备上所有数据进行 AES 加密来保护用户数据。  由于每个硬盘都使用唯一的加密密钥,因此要保存的数据相同的情况下,没有两个硬盘会写入相同的数据模式。

谁制作了管理 Momentus FDE 硬盘上 Seagate Secure 功能集的软件?
Seagate 以外的软件公司制造可以控制 FDE 硬盘的工具。  FDE 磁盘驱动器旨在限制对介质数据区域的访问,直到完成有效的密码验证。除了简单的密码,还有多因素身份验证生物识别设备,如指纹识别器,可用作身份验证策略的一部分。  从理论上讲,有人可能想要使用密码和指纹进行多级控制 - 甚至可能需要更多控制。  某些软件专为单个系统硬盘而设计,而其他软件则是用于控制许多系统的企业级架构。

多家软件供应商正在为此预引导身份验证过程提供各种解决方案。 

将 FDE 硬盘作为所有敏感数据的辅助硬盘是否会有问题,亦或 FDE 硬盘必须是包含操作系统的主硬盘?
目前,启动设备在启动时发出允许访问 Momentus FDE 内置硬盘的密码问题。  管理预引导密码的软件工具仅适用于引导硬盘。

Seagate Secure 规范预计了其他内部设备的安装或热插拔(包含随后的密码问题),但尚未开发第三方工具和软件设备驱动程序。  另一种可能性是一个初始密码问题可以支持多个 FDE 硬盘。  同样,我们还没有看到任何第三方对此类配置的支持。

另一方面,我们有一种使用 FDE 硬盘的相关技术,您可能会感兴趣。  在我们的 Maxtor Solutions 品牌下,我们刚刚开始发售 BlackArmor 产品:它在 USB 机箱内使用 Seagate 全磁盘加密硬盘。  此外,它还有软件支持硬盘中可用的 Seagate Secure 功能。  请查看此处的 Maxtor BlackArmor 用户指南。 

如何购买 FDE 硬盘?
目前,Seagate FDE 硬盘仅通过指定分销商和认证系统合作伙伴提供。 如果您有兴趣使您的系统获得 FDE 硬盘资格,请参阅授权分销商部分获取联系人信息。