全磁碟加密（Full Disk Encryption）

全磁碟加密（FDE）可以是保护静态数据的软件或硬件解决方案。基於硬件的全磁碟加密通常称为自加密驱动器（SED），通常符合OPAL（例如Windows的加密硬盘驱动器）和由Trusted Computing Group（TCG）开发的企业标准。“内置在驱动器中或驱动器机箱中的基於硬件的加密对用户来说是透明的。除启动身份验证外，该驱动器的运行方式与任何驱动器相同，并且不会降低性能。与磁碟加密软件不同，它没有复杂性或性能开销，因为所有加密对於操作系统和主机计算机处理器都是不可见的。” （维基百科）

身份验证和机密性(Authentication and Confidentiality)
SED通过锁定驱动器和加密数据来增强安全性。开机时需要使用身份验证密钥（AK）来解锁驱动器（解密DEK），然後数据加密密钥（DEK）解密数据。SED不会将DEK存储在可信平台模块（TPM）中，该平台通常以母板或芯片集组件的形式实现。

数据加密密钥（Data Encryption Key:DEK）
. 用於加密和解密数据。
. 由驱动器生成，并且永不离开驱动器（未存储在TPM上）。
. 如果更改或擦除，则无法解密以前的现有数据。

可信平台模块(Trusted Platform Module)
以下是维基百科的摘录：
可信平台模块（TPM，也称为ISO / IEC 11889）是安全密码处理器的国际标准，安全密码处理器是一种专用微控制器，旨在通过集成的密码密钥来保护硬件。
TPM 2.0实现有五种不同类型：
. 离散TPM是专用芯片，它们在自己的防篡改半导体封装中实现TPM功能。从理论上讲，它们是TPM的最安全的类型，因为与在软件中实现的例程相比，在硬件中实现的例程应该对错误（需要澄清）有更强的抵抗力，并且它们的软件包必须具有一定的抗篡改性。
. 集成的TPM是另一个芯片的一部分。当他们使用抵抗软件错误的硬件时，不需要实现防篡改功能。英特尔已在其某些芯片组中集成了TPM。
. 固件TPM是基於固件（例如UEFI）的解决方案，可在CPU的受信任执行环境中运行。英特尔，AMD和高通已实施固件TPM。
. 虚拟机管理程序TPM是由虚拟机管理程序提供并依赖於虚拟机TPM，它们处於隔离的执行环境中，该环境对於虚拟机内部运行的软件是隐藏的，以从虚拟机中的软件中保护其代码。它们可以提供与固件TPM相当的安全级别。
. 软件TPM是TPM的软件仿真器，其运行方式与操作系统中常规程序获得的保护一样多。它们完全取决於运行的环境，因此它们提供的安全性没有普通执行环境所能提供的安全高，并且容易受到渗透到普通执行环境中的自身软件漏洞和攻击的影响。 ]它们对於开发目的很有用。

参考
. 基於硬件的全磁碟加密
. 蛋白石存储规范
. SSD的数据安全性功能
. TCG设置驱动器加密标准
. 您的自加密驱动器（SED）多合一指南
. TCG存储安全子系统类：蛋白石
. 符合TCG / Opal 2.0标准的自加密驱动器（SED）
. FDE的基本原理：比较顶级的全磁碟加密产品
. 加密硬盘驱动器（符合TCG OPAL和IEEE 1667的自加密硬盘驱动器）
. 自加密驱动器
. SSD加密漏洞和TPM
. 与TPM集成的Opal SSD
. 可信平台模块–调查
. 实现信任的硬件根源：可信平台模块已成时代
. TPM 2.0快速教程
. 企业自加密驱动器
. 企业SED演示

资料来源： Wentz Wu QOTD-20210316