Algunos discos duros y unidades de estado sólido más nuevos son SED (unidades de autocifrado), que crean un DEK (Clave de cifrado de datos) y lo almacenan ya sea sin cifrar o cifrado con una clave de autenticación (AK) suministrada por el usuario si FDE es querido. El DEK se utiliza para cifrar todo el contenido de la unidad. En el caso de que la unidad deba limpiarse de forma segura, el DEK se puede borrar simplemente, independientemente de si el AK está configurado o no.
De acuerdo con TCG , el DEK se genera en la propia unidad, en lugar de generarse en la computadora y transferirse a través de algún comando ATA específico del proveedor:
A: la clave de cifrado se genera a bordo de la unidad y NUNCA DEJA EL DISCO. El fabricante NO retiene ni tiene acceso a la clave.
Mi pregunta es cómo se genera el DEK. Obviamente, el AK, si se usa, se transfiere desde la computadora, pero aparentemente se genera el DEK en la unidad. Si el propio firmware de cada unidad genera el DEK a su manera, con los desarrolladores de firmware tratando de reinventar la rueda y ideando su propia manera de generar aleatoriedad, es muy probable que se obtenga un DEK predecible.
Para al menos un modelo del HGST Ultrastar , utiliza lo que llama el NDRNG, el "Generador de números aleatorios no determinista que es la fuente de entropía para el DRBG". ¿Es este un requisito para todas las unidades SED, o algunos de ellos podrían intentar generar entropía a partir de fuentes más deterministas como el movimiento del cabezal de la unidad de sincronización?