在金士頓KC2000的產品標簽上，有一行PSID物理安全標識，代表著它能夠支持全盤自加密功能。與使用軟件進行的硬盤加密相比，開啟硬件自加密不影響硬盤性能，并且具備良好的數據安全性。

為什么需要Opal自加密：

傳統的ATA加密將密鑰直接存儲在硬盤當中，所以PC3000等一些底層硬盤工具有機會直接偷到密鑰來解鎖硬盤，這樣的加密方式是不安全的。

為了保障密鑰的安全，Opal自加密硬盤的密鑰(Media Encryption Key，MEK媒體加密密鑰)本身也以加密的形式進行存儲。即便拆掉硬盤中閃存直接讀取其中的信息，也無法獲得真正的加密密鑰，無法解密其中數據。MEK由硬盤主控自行隨機生成，并且始終只在硬盤內使用、無法被外部操作系統直接讀取。

用來加密MEK的是名為KeyEncryption Key(KEK，密鑰加密密鑰)的另一組密碼，它是由用戶輸入的密碼經過處理產生的。開機時通過KEK解密MEK，得到的真實數據加密密鑰，完成硬盤解鎖。MEK只存儲在易失性存儲器(如DRAM緩存、SRAM緩存)當中，一旦電腦關機、硬盤斷電，MEK也就隨之消失。所以Opal加密后的硬盤會隨著關機而重新進入鎖定狀態。

使用sedutil設置自加密系統盤：

在獲得MEK解鎖硬盤之前，整個硬盤的數據都處于被加密狀態，所以開機時需要通過一個“影子MBR”來接受用戶輸入密碼，再通過用戶密碼產生KEK，通過KEK解密出MEK，完成硬盤解鎖。

接下來下載sedutil工具，選擇RESCUE64img.gz，通過WinRAR等壓縮軟件將其中的img文件解壓出來。

使用Win32DiskImager將img鏡像文件寫入到優盤當中。接下來的過程會比較繁瑣，但是只要仔細認真，一切都會比較順利。

使用這張制作好的管理U盤引導開機，在提示DriveTrust login:時，輸入root并回車。

Starting logging:OKInitializing random number generator… done.Starting network:OK*****************************DTA sedutil rescue image RESCUE64-1.15.1.img**Login as root,there is no password*****************************DriveTrust?login:root

輸入并執行sedutil-cli –scan，會自動掃描電腦內安裝的硬盤，在/dev/nvme0后方出現的2代表KC2000支持Opal 2標準。如果硬盤不支持Opal加密，這里顯示的結果為NO。

#sedutil-cli --scanScanning for Opal compliant disks/dev/nvme0 2 KINGSTON SKC2000M81000G S2681101/dev/sda NoNo?more?disks?present?ending?scan

輸入命令linuxpba并用debug作為密碼來測試PBA，驗證結果是否為OPAL NOT LOCKED：

#linuxpba DTA LINUX Pre Boot Authorization Please enter pass-phrase to unlock OPAL drives: *****Scanning....Drive?/dev/nvme0?KINGSTON?SKC2000M81000G????is?OPAL?NOT?LOCKED

接下來輸入sedutil-cli –initialsetup debug/dev/nvme0啟用鎖定和PBA:

#sedutil-cli –-initialsetup debug /dev/nvme0takeOwnership completeLocking SP Activate CompleteLockingRange0 disabledLockingRange0 set to RWMBRDone set onMBRDone set onMBREnable set onInitial?setup?of?TPer?complete?on?/dev/nvme0

輸入并執行下面多個命令：

#sedutil-cli --enablelockingrange 0 debug /dev/nvme0LockingRange0 enabled ReadLocking,WriteLocking#sedutil-cli --setlockingrange 0 lk debug /dev/nvme0LockingRange0 set to LK#sedutil-cli --setmbrdone off debug /dev/nvme0MBRDone set off#gunzip /usr/sedutil/UEFI64-1.15.1.img.gz#sedutil-cli --loadpbaimage debug /usr/sedutil/UEFI64-1.15.1.img /dev/nvme0Writing PBA to /dev/nvme033554432 of 33554432 100% blk=20382PBA?image?/usr/sedutil/UEFI64-1.15.1.img?written?to?/dev/nvme0

測試PBA：密碼使用debug。驗證PBA是否解鎖了驅動器，正常結果應為OPAL Unlocked。

#linuxpba DTA LINUX Pre Boot Authorization Please enter pass-phrase to unlock OPAL drives: *****Scanning....Drive?/dev/nvme0?KINGSTON?SKC2000M81000G????is?OPAL?Unlocked

實裝真正的密碼：

包括SID和ADMIN1密碼，兩個密碼可以不一致。下面的zhimakaimen請用自己的密碼代替，這里只用作演示用。不建議使用這個弱密碼。

#sedutil-cli --setsidpassword debug zhimakaimen /dev/sdc#sedutil-cli --setadmin1pwd debug zhimakaimen /dev/sdcAdmin1?password?changed

通過下面的命令來驗證沒有輸錯密碼。

#sedutil-cli --setmbrdone on zhimakaimen /dev/nvme0MBRDone?set?on

輸入poweroff回車，讓電腦關機。硬盤將使用OPAL鎖定。重新啟動系統時它將啟動PBA。

再次開機時從NVMe SSD引導，系統將提示：

DTA LINUX Pre Boot AuthorizationPlease?enter?pass-phrase?to?unlock?OPAL?drivers:

輸入之前設定的密碼zhimakaimen回車即可解鎖硬盤并自動重啟。在電腦關機前，硬盤會保持解鎖狀態。重啟不受影響，大家可以先從KC2000引導，然后重啟選擇Windows系統安裝盤開始系統安裝。

性能測試：

系統安裝完畢后進行一些簡單的性能測試，可以看到加密未對KC2000的性能產生影響，這是硬件加密的一個優勢：實時加密解密過程不需要消耗電腦CPU資源。

未加密時作為系統盤PCMark 7存儲測試評分：6128

開啟加密后作為系統盤PCMark 7存儲測試評分：6129

徹底解鎖并停用Opal加密：

#sedutil-cli -–disableLockingRange 0 zhimakaimen /dev/nvme0LockingRange0 disabled#sedutil-cli –-setMBREnable off zhimakaimen /dev/nvme0MBRDone set onMBREnable?set?off

解鎖后硬盤內文件正常保留。更多sedutil使用方法可參考https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

總結

以上是生活随笔為你收集整理的form标签的action之前 加密_金士顿KC2000自加密功能测试的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。