TCG Opal

何谓TCG Opal

TCG (Trusted Computing Group)为一专司工业标准发展及制定的组织，内容由组织成员共同制定，并公布供业界采用施行。

TCG的储存装置组织制定Opal安全子系统分级 (Security Subsystem Class; SSC)，此为储存装置安全管理规范分级的其中一种级别，多应用于PC、NB装置。在此规范中针对储存装置的数据管理及数据存取的权限分层管理相关细节皆有所定义，以保护用户数据。经认证符合Opal SSC规范的储存装置，则称之具有TCG Opal级的可信赖安全储存装置。

TCG Opal 特色

Opal制定了全面性架构的规范，对象同时包含储存装置的制造商、软件供货商、系统整合业者及学术机构，此规范涵括储存装置的制作、系统安装、管理及使用方式，将数据进行加密保存, 分层管理，以避免数据遭窃取、篡改，达到确保数据安全性的目的。

支持Opal规范的储存装置架构，同时具有以下特色：

1. 皆为自我加密机制装置SED(Self Encrypting Device)：装置对于数据的加解密皆于装置内部完成，不透过Host端的处理，加解密的密钥也同样保存于装置内 (常见的技术如硬件AES加密功能) 。
2. 具开机认证程序：使用者开启时先进入一个称为shadow MBR模拟空间进行pre-boot的身份验证动作，通过验证后，才会进入真正的开机程序，与装置链接。如图1所示。
3. 具分区分权设定功能：装置管理者可针对储存装置本身建立逻辑区块地址LBA (Logical Block Address)范围，针对不同的LBA范围设定不同的权限，唯有拥有相对应密钥者可进入该分区内进行权限内的作业。同时也针对拥有密钥者进行管理，将已划分的加密硬盘区块授权给不同的使用者管理。如图2所示。

采用Opal规范机制的优势

1. 分层管理方式，只有取得授权的人员可于自我加密装置的环境下进行数据安全管理，降低数据被窃取、篡改、遗失的风险。
2. 所有加解密行为于装置内部进行，不须透过Host端(操作系统)，不占用主机资源，速度更快，安全性也更高，同时避免了与操作系统可能产生的兼容性问题。

总结的来说，面对各项电子数据所具有的不论是商业价值，亦或是个人利益，数据安全在大量信息运用收集的趋势下，成为被日益重视的问题。TCG因应重视数据安全且多重安全层级管理使用情境的需求制定Opal规范，从硬件设计到软件；从制造端到用户，提供一个可依循的全面性架构及标准。

创见的AES SSD符合TCG Opal 2.0规范，提供客户客制化服务。