Self-Encrypting Drive
Een Self-Encrypting Drive (SED) is een harde schijf of ssd die alle gegevens zelf versleutelt voordat ze naar individuele sectoren of flashcellen worden geschreven. De SED genereert zelf de sleutel voor de encryptie die hij nooit vrijgeeft; de SED bewaart hem in zijn ingebouwde elektronica. Deze truc zorgt ervoor dat de opgeslagen gegevens alleen kunnen worden benaderd via de interface van de SED, dus via de SATA-, SAS-, USB- of PCIe-poort. Indien je de magneetschijven of flashchips direct zou proberen te benaderen, zou dat alleen maar onleesbare data opleveren. Met het commando "security erase" verwijdert de SED-elektronica de bestaande sleutel, genereert een nieuwe en vernietigt binnen enkele seconden alle gegevens, zonder dat alle blokken overschreven hoeven te worden.
Beschermt tegen
• het uitlezen van gegevens vanaf een
defecte harde schijf of ssd.
• leesbare gegevensresten in reservesectoren
op harde schijven of ssd's.
• de diefstal van gegevens dankzij de combinatie met een interfacewachtwoord.
Beschermt niet tegen
• het lezen van gegevens via de interface indien er geen wachtwoord is ingesteld. Instellen kan via ATA Security Feature Set – wat in veel BIOS-setups het HDD password wordt genoemd – volgens de TCG Opalspecificatie, of via het eDrive-concept van Microsoft Bitlocker. Sommige usb-schijven kunnen ook een wachtwoord instellen. Pas dan is het niet meer mogelijk om zonder wachtwoord de gegevens op een SED te lezen.
• het lezen van gegevens door een trojan. De SED is tenslotte ontsleuteld op het moment dat het besturingssysteem draait.
Risico's en bijwerkingen
• Zelfs data recovery-bedrijven kunnen niets van een versleutelde SED redden. Dat lukt alleen bij zeer specifieke hardwaredefecten waarbij zowel een ATA-wachtwoord ingesteld of Bitlocker geactiveerd is als de wachtwoord/herstelsleutel bekend is.
• De propriëtaire SED-firmware kan bugs of achterdeuren (een tweede sleutel) bevatten.