擁有AES-XTS 256位硬加密和祕鑰刪除，企業資料安全性會怎樣？

怎樣做企業資料會更安全？

現有的資料保護技術有軟體加密、Trusted Platform Module（TPM）晶片、加密卡硬體加密等技術。而軟體加密佔用主機資源，硬體加密實施成本高，但在固態硬碟控制器中實施加密引擎，即無需獨立的硬體實現，而且加解密操作對使用者透明，是一種安全實用的解決方案。

通過研究分析固態硬碟的讀寫資料流，根據加密引擎的位置提出了加密固態硬碟的設計方案。憑藉安全性好、效率高、實用性強且具有很高的靈活性，高階加密標準演算法（Advanced Encryption Standard, AES）取代資料加密演算法（DataEncryption Standard, DES）被廣泛應用於使用者敏感資料的保護。

高階加密標準演算法（AES，AdvancedEncryption Standard）是由美國國家標準技術研究所（NIST）制定的加密標準，旨在對機密資料和諮詢進行安全保護。目前該技術為美國政府與全球其他國家所採用，無論在軟體還是硬體加密中都有廣泛的應用。新一代Memblaze PBlaze5 SSD儲存產品就採用AES-XTS256位硬加密技術，對所有寫入的使用者資料進行全盤加密。

AES演算法可以通過六種模式實施：電子密碼本模式（Electronic Codebook, ECB）、密碼分組連結模式（Cipher Block Chaining, CBC）、計算器模式（Counter, CTR）、密碼反饋模式（Cipher Feedback, CFB）、輸出反饋模式（Output Feedback, OFB）和XTS 加密（XEX Tweak + Ciphertext Stealing）模式。從安全性程度看，XTS 是六種之間安全性最高的加密模式，最常見的是128位，而密碼越長，破解難度越大，安全性越高，PBlaze5採用256位長度金鑰增強加密安全性。下圖中最左側的是未加密的原始影像，右側分別是經過ECB 和XTS 加密的影像。

由於用ECB 加密，相同的圖形畫素會產生相同的密文，所以會出現中間圖示的“滲濾”現象。而XTS 可以保證相同的明文產生不同的密文。顯而易見，對於對資料安全性有更高要求的企業級使用者，選用XTS模式加密不失為“資料可靠性更高”的明智之舉。

XTS 256位全盤自加密

資料加密，簡單的說就是資料在寫入時進行加密，讀出時進行解密。Memblaze PBlaze5加密由控制器中的硬體邏輯單元完成，資料寫入時自動加密，對使用者透明，同時對效能補損耗。XTS加密模式由兩部分組成，第一部分為對輸入的資料流進行加解密處理，第二部分為Tweak調節值，也就是用兩個不同的AES 金鑰（Key1和Key2）, Key1用來執行AES 區塊加密，Key2 用來加密“調節值（Tweak Value）”，加密後進一步經過伽羅瓦多項式函式（GF）和XOR 的修改，然後和明文混合，而相同金鑰應用的資料組的數目不超過2²⁰。這就保證了相同的明文不會產出相同的密文，達到輸入各區塊產出獨特加密文字的目標。相反的過程即可對資料進行解密。AES 金鑰會儲存在pSLC 模式區域中並冗餘備份，確保企業資料安全、可靠。

金鑰刪除，資料閃電般“清除”

在大資料時代，資料已然成為企業最寶貴的“財富”，同時面對行業發展，企業資料中心面臨升級和轉型的挑戰，使用者除了快速將資料遷移至新平臺儲存介質外，如何保障“退役”不用的SSD內資料完全擦除，不被洩露，成為CIO擔憂的難題。

對於使用者而言，有兩種安全刪除資料的方式，一種是使用者資料安全擦除，一種是金鑰刪除。PBlaze5支援金鑰刪除，使用者可以通過刪除金鑰，立即將裝置內所有資料變得離散、雜亂、無價值，而且金鑰的大小僅有256bit，使用者可瞬間刪除，相比全盤資料安全擦除效率直線提升。更重要的是，使用者不必再為刪除過程中意外掉電，或者下發刪除命令後，資料並沒有“真正”被徹底擦除的困惑而擔憂。對於企業而言，簡單、快捷、安全性更強的金鑰刪除方式對於敏感資訊的保護必不可少。