使用两层商用解决方案的军事应用硬件全盘加密技术

　　作者：PHILIP FULMER，BOB LAZARAVICH

　　虽然消费市场促进快速采用产品生命周期不断缩短的新型微电子产品，但军事市场需要风险缓解和长期供应连续性 - 即使是根据军事要求修改或筛选的商用现货（COTS）部件。鉴于当今消费者认为理所当然的固态硬盘 （SSD） 设备的优势，看到 SSD 设备用于军事应用也就不足为奇了。在之前的出版物中，我们定义了军用级数据存储设备的标准，该设备从开发的早期阶段就设计了安全性。这种新型军用存储设备称为安全 SSD，从设计阶段就内置了安全性。

　　从历史上看，机密、机密和绝密数据存储只能通过实施政府现成 （GOTS） 类型 1 安全解决方案来实现。按照政府协议，可以实现所需的最终结果 - 静态数据 （DAR） 保护。尽管实际实施类型 1 安全解决方案所需的详细步骤超出了本文的范围，但类型 1 安全解决方案与冗长的实施时间和巨大的开发成本广泛相关。用于静态数据保护的 Type 1 安全解决方案的完整性或适用性毋庸置疑。

　　认识到美国政府客户对最先进、高度灵活的商业技术的需求日益增长，美国国家安全局 （NSA） 和中央安全局 （CSS） 启动了机密商业解决方案 （CSfC） 计划。CSfC 计划的一个关键方面是能够在几个月而不是几年内部署安全解决方案。

　　根据NSA的说法，“NSA没有尽可能构建政府拥有和运营的解决方案，而是使用正确配置的分层解决方案转向纵深防御方法，为各种不同的功能提供对机密数据的充分保护。

　　CSfC 解决方案架构

　　CSfC 实施要求由 NSA 发布的功能包定义。如前面的参考中所强调的，必须根据相应功能包中概述的规范正确配置安全技术的每一层。在撰写本文时，有四个功能包可用;由于本文重点介绍硬件全磁盘加密技术，因此仅讨论一个功能包 - 静态数据 （DAR）。

　　CSfC计划同时实现两个或多个独立的商业安全组件，为机密数据的存储提供分层安全方法。每个安全组件或层都必须根据 CSfC 要求进行验证。这两个安全层称为内层和外层。

　　内部和外部安全层都必须集成套件 B 加密算法。在这样做时，第二层安全层提供的安全冗余使得敌对部队不太可能穿透两个安全层，前提是成功满足所有CSfC要求。需要注意的是，CSfC 计划在选择安全组件时需要多样性。

　　乍一看，多样性要求似乎令人费解。冗余安全组件的目的是降低任何一个特定组件发生故障的风险。但是，生产多个安全组件的单个供应商可能会对每个组件的加密算法使用类似（如果不是相同）的设计原则。如果两个独立组件中的安全漏洞源于相同的基本设计弱点，则一个安全层的渗透会迅速为攻击者提供通过第二个安全层的类似绕过。最大的保护，并完全符合CSfC计划准则，只有在安全组件选择方面经过验证的多样性才能实现。但是，应该指出的是，NSA文档确实允许单个供应商生产多个安全组件。这种情况需要 NSA 的明确证据和协议，即每个加密算法都是使用不同且独立开发的资源和设计方法开发的。

　　根据 NSA 准则验证安全组件并有资格用作 CSfC 安全组件后，制造商必须实施严格的更改控制程序。不遵守精确复制的制造要求可能会带来安全威胁。例如，考虑这样一种情况：ASIC ［专用集成电路］ 控制器的制造商对 ASIC 的内部 ROM ［只读存储器］ 固件进行了微小更改，但未能通知其客户。在实施制造变更的过程中，设备的完整性可能会有意或无意地受到损害。例如，假设此类更改意外引入了安全绕过机制或激活以前禁用的密钥恢复过程。可信供应链中的不连续性可能会产生远远超出预期目的范围的灾难性影响。

　　构建 CSfC 静态数据解决方案

　　NSA 发布的静态数据功能包将安全组件分为四类，如下所述。为了符合 CSfC 要求，需要选择两个独立的安全组件，同时保持加密算法开发的独立性。其中两个安全组件使用全磁盘加密 （FDE），而其余两个使用文件或平台加密。

　　软件 FDE （SWFDE）：SWFDE 组件对硬盘驱动器上的所有数据进行加密，包括计算机的操作系统。只有在身份验证成功后，才允许启动顺序和随后对数据的访问。

　　文件加密 （FE）：FE 对设备中的单个文件或文件集进行加密。只有在身份验证成功后，才提供对加密数据的访问。加密可以由应用程序、平台或主机操作系统执行。

　　平台加密 （PE）：PE 由操作系统提供，用于平台范围的数据加密。PE与FE的不同之处在于PE只是内层，而FE只是外层。两者之间的主要技术差异与硬件密钥保护要求有关。

　　硬件 FDE （HWFDE）：HWFDE 组件使用嵌入到存储控制器中的加密算法。身份验证密钥用于解密数据加密密钥 （DEK） 并提供对数据的访问。本文的主要主题集中在 HWFDE 技术的应用上。

　　表 1：允许的内层和外层组合的静态数据解决方案名称。

　　静态数据解决方案组件是开发、注册和提供 CSfC 注册解决方案维护所需的基本构建块。NSA 为要集成为内层和外层的解决方案组件的特定组合提供了明确的说明。虽然理论上可以使用四种不同的安全组件类型进行 16 种组合，但只有四种解决方案是授权配置。这四种解决方案由两个字母首字母缩略词表示，其中第一个字母表示内层，第二个字母表示外层。例如，HS 解决方案使用 HWFDE 作为内层保护，使用 SWFDE 作为外层安全。

　　选择合适的解决方案 - SF、PF、HF 或 HS - 只有在仔细考虑应用及其安全要求后才能进行。为清楚起见，作者不认可任何单一的解决方案设计。鼓励读者仔细评估DAR功能包，以确定最适合其特定安全应用的解决方案名称。

　　HWFDE 组件注意事项：安全性

　　对于那些不熟悉 CSfC 计划要求的人，在完成了对该计划的讨论后，现在可以考虑将安全 SSD 作为 HWFDE 内层组件集成到双层 CSfC 解决方案中。根据 CSfC 程序要求，外层组件必须是 FE 或 SWFDE。在继续之前，请务必注意，对于每个安全实现，没有一个通用的通用高级 HWFDE 组件。鼓励读者参考 NSA 文档，以确定最适合其特定安全实现的解决方案实现。

　　HWFDE 组件可以是带有旋转磁性介质的传统硬盘驱动器 （HDD），也可以是使用 NAND 闪存介质的固态驱动器 （SSD）。鉴于 SSD 和 HDD 之间的可靠性和性能差异，当今大多数应用程序都选择固态技术进行数据存储。这两种配置都需要自加密功能，这通常是通过在驱动器的控制器和/或处理器中实现加密算法来实现的。

　　必须仔细选择 HWFDE 组件，以确保部署在内部 HWFDE 层中的加密算法与选定的外部安全层（FE 或 SWFDE）不同。可以使用随机生成的密码短语或随机生成的位字符串来执行 HWFDE 组件的身份验证，该字符串等效于 DEK 的加密强度。密码短语必须符合 DAR 功能包中概述的要求，尤其是最小强度计算。

　　还有其他注意事项。数据必须使用具有 256 位密钥的高级加密标准 （AES） 和 XTS（具有密文窃取的 XEX）、GCM（伽罗瓦/计数器模式）或 CBC（密码块链接）块密码模式进行保护。通常，XTS 实现更可取。在此过程中，所有机密数据都必须在设备上加密，无一例外。

　　此外，每个层的加密密钥必须是不同的。如果攻击者要访问其中一个加密密钥，则每层的唯一加密密钥会阻止访问加密数据。如果从设备中清除加密密钥，则设备上不得有密钥的残留，并且不得无法从驱动器中恢复密钥。

　　HWFDE 组件注意事项：数据完整性

　　上面的讨论重点介绍了在 CSfC 解决方案中部署存储设备之前必须解决的众多注意事项。同样程度的审查不仅应用于数据的安全性，还应用于影响数据完整性的任何设备考虑因素。任何数据，无论是机密的还是非机密的，对于军事行动来说都可能非常有价值且不可替代。设备在执行任务期间发生故障可能会产生灾难性后果。在下面的讨论中，让我们讨论用户在选择一个 HWFDE 组件而不是另一个组件时的注意事项。

　　首先，NAND闪存介质类型必须与应用及其环境的性能需求相匹配。NAND闪存制造商现在为消费者提供了无数可用的技术：

　　单级单元 （SLC） NAND 闪存每个单元仅存储 1 位，但提供的数据耐久性比次佳替代介质类型高 10 倍。它还具有最稳定的工作温度范围，–40 °C 至 +85 °C。 SLC 技术是存储 SSD 故障时无法替换的数据的应用程序的首选介质。

　　相比之下，多级单元 （MLC） NAND 闪存每个单元存储 2 位，从而以显著降低成本提供更大的数据存储容量。然而，与SLC NAND相比，这种增加的容量是以降低读/写耐久性和更短的数据保留为代价的。

　　三级单元 （TLC） 技术每个单元存储 3 位，从而进一步降低成本，在数据耐用性和工作寿命方面比 MLC 技术更严重。

　　3D-NAND技术垂直堆叠存储单元，以克服传统平面（SLC，MLC，TLC）技术的扩展限制。在撰写本文时，3D NAND存储器仅在工作温度为0至+70°C的情况下可用。 尽管3D-NAND技术确实允许进一步扩展，但垂直整合确实存在新的可靠性问题。

　　借助无数的 NAND 技术，为给定应用选择合适的 SSD 并非易事。根据经验，当数据完整性至关重要和/或工作温度低于 0 °C 或超过 70 °C 时，选择 SSD 显然是最安全的方法。 在商业工作温度下，SSD 作为预防性维护操作可以轻松更换，MLC 技术提供更高的存储容量，适用于数据生命周期价值有限的大容量数据记录记录应用。在撰写本文时，TLC和3D NAND技术尚未达到成熟度，作者可以建议将其用于军事应用。

　　建议选择 HWFDE 组件的用户向制造商咨询旨在延长设备使用寿命的性能限制算法。通常，这些算法在重占空比操作或高温操作下激活，但SSD制造商不会宣传。延长使用寿命听起来对用户来说是一种好处;然而，延长运行寿命是以非确定性和降低的读写速度为代价的。虽然商业应用可能被接受，但许多军事应用需要在扩展温度下连续高速捕获数据才能成功执行任务。

　　假设SSD的NAND闪存介质和控制器架构已得到解决，则还有一个额外的问题：如果突然断电，正在读取和/或写入的单元会发生什么？如果设备没有机制来确保有序和确定的关机过程，则电源突然中断可能会导致数据损坏或丢失。电池、超级电容器和其他数据保存方式可以集成到设备的架构中。在选择任何部署电池或超级电容器的解决方案时，用户应小心谨慎，因为它们在需要低温和高温操作的环境中的有效性有限。

　　HWFDE 组件注意事项：外形规格

　　行业标准的 2.5 英寸外形是事实上的配置。但是，并非所有 2.5 英寸 SSD 封装都是一样的。必须评估部署期间的预期和意外冲击和振动条件。SSD 的物理封装/外壳必须经过结构验证，以承受给定应用中可能出现的所有冲击和振动条件。必须进一步考虑 SSD 和主机系统之间机械连接接口的完整性。坚固耐用的机械联锁连接器最大限度地减少了与主机系统意外断开的可能性。可能会出现用户需要备用外形规格（如 mSATA 或 XMC 卡）的情况。

　　SSD 制造商能否支持快速开发和认证程序，以获得用作 CSfC 解决方案组件的资格？控制器架构是否便于移植并易于适应新的外形尺寸？如果制造商甚至没有在一个外形规格上获得第三方资格（如 FIPS 140-2 和通用标准），则极不可能快速完成新外形规格所需的审查和鉴定过程。

　　根据 CSfC 计划指南正确配置和实施的两层安全解决方案可用于正确保护敏感的军事数据。但是，对于使用硬件全磁盘加密技术的安全实现，并非所有硬件解决方案都是平等创建的。必须仔细考虑用例场景。特别是，硬件制造商选择的设计参数（CSfC 程序未指定）可能会对安全实现产生短期和长期影响。

　　审核编辑：郭婷