JP7413300B2 - 記憶装置 - Google Patents

記憶装置 Download PDF

Info

Publication number
JP7413300B2
JP7413300B2 JP2021041646A JP2021041646A JP7413300B2 JP 7413300 B2 JP7413300 B2 JP 7413300B2 JP 2021041646 A JP2021041646 A JP 2021041646A JP 2021041646 A JP2021041646 A JP 2021041646A JP 7413300 B2 JP7413300 B2 JP 7413300B2
Authority
JP
Japan
Prior art keywords
control parameter
hdd
soc
verification
firmware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021041646A
Other languages
English (en)
Other versions
JP2022141379A (ja
Inventor
康人 荒牧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Electronic Devices and Storage Corp
Original Assignee
Toshiba Corp
Toshiba Electronic Devices and Storage Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Electronic Devices and Storage Corp filed Critical Toshiba Corp
Priority to JP2021041646A priority Critical patent/JP7413300B2/ja
Priority to US17/410,861 priority patent/US20220292227A1/en
Publication of JP2022141379A publication Critical patent/JP2022141379A/ja
Application granted granted Critical
Publication of JP7413300B2 publication Critical patent/JP7413300B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0623Securing storage systems in relation to content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0634Configuration or reconfiguration of storage systems by changing the state or mode of one or more devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0659Command handling arrangements, e.g. command buffers, queues, command scheduling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Storage Device Security (AREA)

Description

本発明の実施形態は、記憶装置に関する。
HDD(Hard Disk Drive)等の記憶装置を使用するユーザ(例えば、データセンター企業または行政サービス機関等)が不要になった記憶装置を廃棄する場合、多くは廃棄処理業者に廃棄を依頼する。その後、廃棄依頼された記憶装置は、廃棄処分されることが前提とされるが、一部不正な処理として廃棄の依頼主であるユーザに通知されることなく、またはユーザの許可を得ることなく、リユース品またはネットオークション品等として再度市場に流通することがある。これにより記憶装置に記憶された重要情報(例えば、顧客情報、個人情報、営業秘密等の秘密情報)が第三者へ流出する場合があり、重要情報が流出するだけでなく、リユース品等として再度市場に流通することを防止することが望まれる。
特開2006-172451号公報 特開2019-122046号公報 特開2003-108257号公報
一つの実施形態は、安全に廃棄することができる記憶装置を提供することを目的とする。
一つの実施形態によれば、記憶装置は、SoCと、記憶媒体と、フューズと、第1記憶部と、第2記憶部と、を備える。SoCは、演算装置が実装される。記憶媒体は、SoCを介して制御される。フューズは、出力装置が演算装置へクロック信号を出力するために出力装置と演算装置とを接続し、かつSoC内に実装された信号線、または、演算装置へ電力を供給し、かつSoC内に実装された電源線に設置されており、演算装置への外部からの入力によりファームウェアによって切断される。第1記憶部は、SoCに対応する固有の固有値が書き換え不能に記憶され、SoCに実装される。第2記憶部は、記憶媒体の駆動に必要な第1制御パラメータに対して固有値を用いた第1処理を行うことにより、再び固有値を用いて使用できるような状態にして第1制御パラメータを記憶する。
図1は、記憶装置の廃棄の流れの一例を説明する図である。 図2は、暗号記憶装置の破棄の流れの一例を説明する図である。 図3は、故障した記憶装置の廃棄の流れの一例を示す図である。 図4は、第1の実施形態の記憶装置の廃棄の流れを示す図である。 図5は、第1の実施形態の記憶装置の構成の一例を示す図である。 図6は、第1の実施形態の記憶装置におけるSoCのe-fuseの接続構成の一例を示す図である。 図7は、第1の実施形態の記憶装置における制御パラメータおよび暗号鍵の格納の態様の一例を示す図である。 図8は、第1の実施形態の記憶装置の取り扱いおよび処理の流れの一例を示すフローチャートである。 図9は、第1の実施形態の記憶装置に対する同一のモデルの記憶装置からの部品交換の一例を示す図である。 図10は、第2の実施形態の記憶装置における制御パラメータの格納の態様の一例を示す図である。 図11は、第2の実施形態の記憶装置の取り扱いおよび処理の流れの一例を示すフローチャートである。
以下に、実施形態に係る記憶装置を図面に基づいて詳細に説明する。なお、これらの実施形態における構成要素には、当業者が置換可能、かつ、容易なもの、または、実質的に同一のものが含まれ、以下の実施形態によりこの発明が限定されるものではない。また、実施形態に係る記憶装置として、以下、SoC(System on a Chip)を搭載したHDDを例として説明するが、これに限定されるものではなく、SoCを搭載したSSD(Solid State Drive)または半導体メモリ等の記憶装置でも適用可能である。
(第1の実施形態)
図1は、記憶装置の廃棄の流れの一例を説明する図である。図2は、暗号記憶装置の破棄の流れの一例を説明する図である。図3は、故障した記憶装置の廃棄の流れの一例を示す図である。図1~図3を参照しながら、従来の記憶装置の廃棄の流れについて説明する。
まず、図1に示す例では、廃棄対象となるHDD500をユーザ側で何ら処置をすることなく廃棄処理業者に廃棄依頼をした場合の流れを示している。通常、廃棄依頼を受けた廃棄処理業者は、廃棄対象となるHDD500を分解または破壊等を行って廃棄を行う。しかし、一部不正を図る廃棄処理業者は、図1に示すように、不正な処理として廃棄の依頼主であるユーザに通知されることなく、またはユーザの許可を得ることなく、HDD500をリユース品またはネットオークション品等として再度市場に流通させる場合がある。これにより、当該HDD500の購入者である第三者は、HDD500に記憶された重要情報(例えば、顧客情報、個人情報、営業秘密等の秘密情報)が取得できることになり、情報漏洩のリスクが非常に高いことになる。
また、顧客情報等の重要情報の流出を防ぐために、ユーザ側の責任において、廃棄処理業者に廃棄依頼する前に、顧客情報等の重要情報を消去することが考えられる。しかし、一般にHDD等の記憶装置では、大容量化に伴い上書き消去に時間がかかることになる。そのため、短時間で安全に消去するために暗号機能付きのHDD(以下、「暗号HDD」と称する場合がある)を使用することが推奨される。この場合、図2に示す例のように、ユーザは、暗号HDDであるHDD500を廃棄する場合には、予め暗号鍵EK10のみを消去して廃棄処理業者に廃棄依頼することになる。しかし、重要情報自体は破損せずに保存された状態のままであり、かつSoC等の機能は正常のまま、HDD500が第三者にわたることになるので、好ましい状態とは言えない。
また、暗号HDDを使用していても、暗号鍵EK10を消去する前に記憶媒体であるディスクが回転しなくなる等の故障が発生した場合には、暗号鍵EK10は、通常ディスク内に保存されていることが多いため、暗号鍵EK10を消去することが不可能になる。図3に示す例では、ディスクが回転しなくなる等の故障が発生した暗号HDDであるHDD500を廃棄処理業者に廃棄依頼した場合の流れを示している。故障した状態のHDD500をそのまま廃棄処理業者に引き渡した場合、この故障の原因が、例えば同一モデルの暗号HDDより調達可能な電気部品の不良、または塵埃等による電気的接触障害等の軽微なものであれば、廃棄処理業者により暗号HDDの修理または修復が可能となってしまう。そして、廃棄処理業者による修理または修復が完了した後、リユース品またはネットオークション品等として再度市場に流通した場合は、顧客情報等の重要情報および暗号鍵EK10がそのまま残った状態となるため、重要情報が流出するリスクが非常に高まることになる。
以上の図1~図3に示した場合において、HDD500が再度市場に流通して重要情報が流出する事態を避けるためには、ユーザ自身でパンチャ等によりHDD500のディスクまたは磁気読み取りヘッド等を確実に物理的に破壊する必要があるが、その労力およびコストの観点から不利益が大きい。
図4は、第1の実施形態の記憶装置の廃棄の流れを示す図である。本実施形態のHDD1については、ユーザは、通常の構成である外部のPC(Personal Computer)等のホスト端末と接続して、当該ホスト端末から破壊コマンドをHDD1に対して送信することによって、HDD1を起動できないように物理的に破壊することができる。これによって、図4に示すように、リユース品またはネットオークション品等として再度市場に流通させることをユーザ側で未然に防ぐことができる。また、上述のように、HDD1に接続されたホスト端末から破壊コマンドを送信するだけで物理的に破壊できるので、特殊な破壊工具を不要とすることができる。以下、本実施形態のHDD1の構成および動作について、詳細に説明する。
図5は、第1の実施形態の記憶装置の構成の一例を示す図である。図6は、第1の実施形態の記憶装置におけるSoCのe-fuseの接続構成の一例を示す図である。図5および図6を参照しながら、本実施形態のHDD1の構成について説明する。
図5に示すHDD1は、例えばPC(Personal Computer)等の情報処理装置に搭載され、各種のユーザデータ(プログラム等を含む)を記憶させるための不揮発性の記憶装置である。図5に示すように、HDD1は、SoC11と、Flash-ROM(Read Only Memory)12(以下、FROM12と称する)(第2記憶部)と、ディスク13(記憶媒体の一例)と、VCM(Voice Coil Motor)14と、SVC(Servo Combo)15と、DRAM(Dynamic Random Access Memory)16と、I/Fポート17と、を備えている。
SoC11は、演算機能およびデータ記憶機能等を集積してシステムとして機能するように1つのチップ上に構成された集積回路である。SoC11は、図5に示すように、CPU(Central Processing Unit)111と、Mask ROM112と、AES(Advanced Encryption Standard)113(暗号化部)と、SRAM(Static RAM)114と、SPI(Serial Peripheral Interface)115と、SVL(Servo Logic)116と、HIF(Host Interface)117と、BM(Buffer Manager)118と、DM(Disk Manager)119と、RDC(Read Channel)120と、バス121と、を含む。
CPU111は、SoC11の動作、ひいてはHDD1全体の動作を制御する演算装置である。
Mask ROM112は、電源投入時の初期設定、およびFROM12に記憶されたファームウェアを読み出すためのIPL(Initial Program Loader)であるファームウェアFW0を記憶している不揮発性の記憶回路である。HDD1の電源が投入されると、まず、Mask ROM112に記憶されたファームウェアFW0がCPU111により実行(起動)され、後述するFROM12に記憶されたファームウェアFW1を起動する。
AES113は、乱数値を用いてデータの暗号化処理を行う暗号回路である。また、AES113は、後述するように、ディスク13に記憶されたユーザデータを、暗号鍵を用いて暗号化する処理も行う。
SRAM114は、内部処理用のデータ等を記憶する半導体メモリである。SPI115は、FROM12からデータの読み出すためのインターフェースである。
SVL116は、SVC15の制御を行う制御回路である。HIF117は、外部のPC等のホスト端末からI/Fポート17を介して受信したコマンドを処理する回路である。
BM118は、データのキャッシュとして機能するDRAM16を管理する回路である。DM119は、ディスク13をコントロールし、データの読み書きを管理する回路である。
RDC120は、例えば16進数等で表されたデータを、ディスク13に書き込める2進数の状態に変換する回路である。バス121は、SoC11の各回路、素子を互いにデータ通信可能となるように接続する通信経路である。
FROM12は、後述するディスク13のシステム領域131からデータを読み出すためのファームウェアFW1と、ファームウェアFW1がディスク13の回転およびヘッド14aを動作させるために使用する制御パラメータCP1(第1制御パラメータ)と、を記憶している不揮発性の記憶回路である。制御パラメータCP1は、HDD1ごとにヘッド14aおよびディスク13のモータ等の物理的特性の組み合わせに対応するように調整され数値化された各種のパラメータである。したがって、HDD1が変われば、そのHDD1のFROM12に記憶された制御パラメータCP1は異なる数値となる。ファームウェアFW1は、上述のようにファームウェアFW0により起動されると、制御パラメータCP1を使用して、ディスク13を回転させ、ヘッド14aを動作させて、後述するディスク13のシステム領域131に記憶されたファームウェアFW2を起動する。
ディスク13は、HDD1のユーザデータの記憶という主目的を実現する記憶媒体である。ディスク13は、図5に示すように、システム領域131(第2領域)と、ユーザ領域132(第1領域)と、を有する。
システム領域131は、ユーザ領域132からユーザデータを読み出すためのファームウェアFW2と、ファームウェアFW2がユーザ領域132にアクセスするために使用する制御パラメータCP2(第2制御パラメータ)と、ユーザデータを暗号化および復号するための暗号鍵EKと、を記憶する記憶領域である。制御パラメータCP2は、ディスク13の形状変形および記録密度等の特性の組み合わせに対応するように調整され数値化された各種のパラメータである。したがって、HDD1が変われば、そのHDD1のシステム領域131に記憶された制御パラメータCP2は異なる数値となる。ファームウェアFW2は、上述のようにファームウェアFW1により起動されると、制御パラメータCP2を使用して、ユーザ領域132へのアクセスを行う。
ユーザ領域132は、ユーザデータを記憶する記憶領域である。具体的には、ユーザ領域132は、システム領域131に記憶された暗号鍵EKを用いて暗号化された状態のユーザデータを記憶している。
VCM14は、ディスク13に記憶されたデータを読み書きするためのヘッド14aを動作させるためのモータである。SVC15は、VCM14の回転動作を制御する駆動回路である。
DRAM16は、データのキャッシュとして機能する半導体メモリである。
I/Fポート17は、外部(例えばHDD1を搭載するPC等)とデータ通信するためのインターフェースである。
図6に示すように、HDD1は、さらに、電源ポート18と、外部端子19と、OSC(Oscillator)20(出力装置)と、を備えている。また、図6に示すように、SoC11は、さらに、バス121に接続されたOTP(One Time Programmable)122(第1記憶部)と、e-fuse123と、を含む。
電源ポート18は、HDD1のSoC11を含め、各素子に対して電源を供給するためのポートである。例えば、SoC11は、図6に示すように、電源ポート18から電源線PLを介して電源が供給される。
外部端子19は、SoC11に対して接地させるか否かを切り替えるための端子である。例えば、外部端子19に短絡部材19aを取り付けることによって、外部端子19の端子間が短絡(ショート)され、CPU111は、外部端子19を介して接地された状態であることを認識することができる。
OSC20は、CPU111の演算処理のためのクロック信号を発生させる装置である。OSC20は、クロック信号線CLを介して、クロック信号をCPU111に対して出力する。
OTP122は、一度だけデータを書き込むことができ、以降は書き換え不能な記憶装置である。具体的には、OTP122は、所定の乱数値が書き換え不能に記憶されている。例えば、OTP122は、HDD1のメーカ側が出荷前等に事前に所定の乱数値を書き込んでおくものとすればよい。
なお、OTP122に事前に乱数値を書き込んでおくことに限定されるものではなく、例えば、HDD1が、内部で乱数値を生成して、自らその乱数値を書き込むものとしてもよい。この場合、ファームウェアFW1またはファームウェアFW2に、乱数値を生成してOTP122に当該乱数値を書き込む機能を含めるものとすればよい。また、OTP122には、乱数値のほかHDD1について固有な固有値が記憶されているものとすればよい。
e-fuse123は、CPU111とOSC20とを接続するクロック信号線CL(信号線)に設置された物理的なフューズ部材である。e-fuse123は、CPU111からの切断指令によって、クロック信号線CLを物理的に切断する。これを実現するためには、ファームウェアFW0に、I/Fポート17を介した外部のホスト端末等から破壊コマンド(破壊指令)を受信する機能、および当該破壊コマンドを受信した場合にe-fuse123を切断するための切断指令を出力する機能を含めておく。これによって、外部のホスト端末等から破壊コマンドが受信されると、ファームウェアFW0が起動し、e-fuse123を物理的に切断するための切断指令をe-fuse123へ出力する。この結果、e-fuse123が切断され、すなわちクロック信号線CLが切断され、CPU111にクロック信号が供給されなくなるため、SoC11(CPU111)の動作が不能となる。
なお、e-fuse123は、SoC11(CPU111)の動作を不能にさせるものとすればよく、上述のクロック信号線CLに設置されること以外にも、例えば、CPU111への電源線に設置されるものとしてもよい。また、ホスト端末等から送信される破壊コマンドは、既存のコマンドのサービスアクションコードを変更して流用するものとしてもよく、または特殊なコマンドをメーカ側で設定しておくものとしてもよい。
また、破壊コマンドを不正に発行されること、または誤って発行されてしまうこと等による意図しないe-fuse123の切断を防ぐために、上述したように、外部端子19に短絡部材19aが取り付けられて端子間が短絡(ショート)されている場合には、CPU111は、破壊コマンドを無効化するものとしてもよい。
図7は、第1の実施形態の記憶装置における制御パラメータおよび暗号鍵の格納の態様の一例を示す図である。図7を参照しながら、本実施形態のHDD1における制御パラメータCP1、CP2および暗号鍵EKの格納の態様について説明する。なお、暗号化前の制御パラメータCP1、CP2および暗号鍵EKを、便宜上制御パラメータCP1’、CP2’および暗号鍵EK’と称して説明する。
HDD1のメーカは、HDD1の出荷前に、制御パラメータCP1’に、当該制御パラメータCP1’に基づくチェックサム、CRC(Cyclic Redundancy Check)またはハッシュ等の検証値(第1検証値)を付加した上で、OTP122に記憶された乱数値を用いて暗号化(第1処理の一例)をした状態の制御パラメータCP1として、FROM12に記憶させる。すなわち、上述の暗号化は、後に再び乱数値を用いて制御パラメータCP1を使用できるような状態にしている、ということができる。また、HDD1のメーカは、HDD1の出荷前に、制御パラメータCP2’に、当該制御パラメータCP2’に基づくチェックサム、CRCまたはハッシュ等の検証値(第2検証値)を付加した上で、OTP122に記憶された乱数値を用いて暗号化(第2処理の一例)をした状態の制御パラメータCP2として、ディスク13のシステム領域131に記憶させる。すなわち、上述の暗号化は、後に再び乱数値を用いて制御パラメータCP2を使用できるような状態にしている、ということができる。さらに、HDD1のメーカは、HDD1の出荷前に、予めユーザデータ用の暗号鍵EK’を、OTP122に記憶された乱数値を用いて暗号化した状態の暗号鍵EKとして、ディスク13のシステム領域131に記憶させる。なお、制御パラメータCP1’、CP2’を暗号化する際に、必ずしも検証値を付加する必要はないが、以下では、検証値を付加するものとして説明する。
なお、制御パラメータCP1’、CP2’および暗号鍵EK’の暗号化は、例えばAES(Advanced Encryption Standard)等の暗号化アルゴリズムを用いればよい。また、HDD1が内部で乱数値を生成してOTP122へ書き込む場合、ファームウェアFW2に、乱数のOTP122への書き込み時に、FROM12に記憶された制御パラメータCP1’、およびシステム領域131に記憶されたCP2’を、それぞれ当該乱数値を用いて暗号化して、FROM12およびシステム領域131にそれぞれ再格納する機能を含めるものとすればよい。
図8は、第1の実施形態の記憶装置の取り扱いおよび処理の流れの一例を示すフローチャートである。図9は、第1の実施形態の記憶装置に対する同一のモデルの記憶装置からの部品交換の一例を示す図である。図8および図9を参照しながら、本実施形態のHDD1の取り扱いおよび処理の流れについて説明する。
<ステップS11>
HDD1のユーザは、暗号HDDであるHDD1を廃棄する場合に、I/Fポート17に接続したホスト端末に対する操作により、当該ホスト端末から破壊コマンドを発行させる。そして、CPU111は、I/Fポート17を介して破壊コマンドを受信する。そして、ステップS12へ移行する。
<ステップS12>
CPU111は、破壊コマンドを受信するとファームウェアFW0を起動する。ファームウェアFW0は、CPU111による実行により、e-fuse123を切断するための切断指令を、e-fuse123に対して出力する。これによって、e-fuse123が切断される。そして、ステップS13へ移行する。
<ステップS13>
e-fuse123が切断されると、クロック信号線CLが切断され、CPU111へクロック信号が供給されなくなるため、SoC11(CPU111)の動作が不能となる。これによって、ファームウェアFW0、FW1、FW2のすべてが実行できなくなり、HDD1は起動不能となる。そして、ステップS14へ移行する。
<ステップS14>
ユーザは、e-fuse123の切断により物理的に破壊されたHDD1を、廃棄処理業者へ引き渡し、廃棄依頼する。そして、ステップS15へ移行する。
<ステップS15>
HDD1の廃棄依頼を受けた廃棄処理業者は、以下、不正な処理としてHDD1をリユース品またはネットオークション品等として再度市場に流通させるように図ろうとした場合について説明する。廃棄処理業者は、不正な処理として、図9に示すように、物理的に破壊されたHDD1と同じモデルのHDD1_NewからSoC11_Newを取り出して、当該HDD1のSoC11との交換を試みる場合(ステップS15:SoCのみ)、ステップS16へ移行する。一方、廃棄処理業者は、不正な処理として、図9に示すように、物理的に破壊されたHDD1と同じモデルのHDD1_NewからSoC11_NewおよびFROM12_Newを取り出して、当該HDD1のSoC11およびFROM12との交換を試みる場合(ステップS15:SoC+FROM)、ステップS19へ移行する。
<ステップS16>
廃棄処理業者により、不正な処理として、物理的に破壊されたHDD1と同じモデルのHDD1_NewからSoC11_Newが取り出され、当該HDD1のSoC11との交換が試みられた場合を考える。HDD1において交換されたSoC11_Newのe-fuse123は切断されていないため、HDD1の電源が投入されると、Mask ROM112に記憶されたファームウェアFW0がCPU111により実行(起動)され、FROM12に記憶されたファームウェアFW1も起動される。そして、ステップS17へ移行する。
<ステップS17>
この場合、FROM12内の制御パラメータCP1は、AES113により、交換されたSoC11_New内のOTP122に記憶された乱数値を用いて復号されるが、交換前のSoC11のOTP122に記憶された乱数値とは異なる値であるため、正しく復号できない。そして、ステップS18へ移行する。
<ステップS18>
したがって、ファームウェアFW1は、CPU111による実行により、復号された制御パラメータCP1を使用しても、ディスク13のシステム領域131のデータを読み出すことができない。また、ファームウェアFW1は、CPU111による実行より、復号された制御パラメータCP1の検証値を用いて、当該制御パラメータCP1の検証を行った結果、検証NGとなるので処理を停止する。以上のように、暗号HDDであるHDD1を起動することができないため、HDD1内のユーザ領域132のユーザデータを読み出すことができなくなる。
なお、上述のように制御パラメータCP1の検証に失敗した場合は、使用した乱数値が異なっていること、すなわちSoC11がSoC11_Newに不正に交換されていることがわかるため、この時点で、ファームウェアFW0またはファームウェアFW1が、CPU111による実行により、SoC11_New内のe-fuse123を切断するものとしてもよい。
<ステップS19>
廃棄処理業者により、不正な処理として、物理的に破壊されたHDD1と同じモデルのHDD1_NewからSoC11_NewおよびFROM12_Newが取り出され、当該HDD1のSoC11およびFROM12との交換が試みられた場合を考える。HDD1において交換されたSoC11_Newのe-fuse123は切断されていないため、HDD1の電源が投入されると、Mask ROM112に記憶されたファームウェアFW0がCPU111により実行(起動)され、交換されたFROM12_Newに記憶されたファームウェアFW1も起動される。そして、ステップS20へ移行する。
<ステップS20>
この場合、FROM12_New内の制御パラメータCP1は、AES113により、交換されたSoC11_New内のOTP122に記憶された乱数値を用いて復号される。FROM12_New内の制御パラメータCP1は、元々、交換されたSoC11_New内のOTP122に記憶された乱数値を用いて暗号化されたものであるため、正しく復号されることになる。そして、ステップS21へ移行する。
<ステップS21>
しかし、FROM12_New内の制御パラメータCP1は、交換元であるHDD1_New用のパラメータであるため、ファームウェアFW1は、CPU111による実行により、当該制御パラメータCP1を使用しても、ディスク13のシステム領域131からデータを読み出すことができない。仮に、万が一、部品交換用に用意したHDD1_Newの制御パラメータCP1が、物理的に破壊されたHDD1の制御パラメータCP1と似通っているために、ファームウェアFW1が、CPU111による実行により、制御パラメータCP1を使用して、システム領域131からデータを読み出すことできた場合(ステップS21:可)、ステップS23へ移行する。一方、通常の予測通り、ファームウェアFW1が、CPU111による実行により、制御パラメータCP1を使用して、システム領域131からデータを読み出すことできない場合(ステップS21:不可)、ステップS22へ移行する。
<ステップS22>
ファームウェアFW1は、CPU111による実行により、制御パラメータCP1を使用しても、システム領域131からデータを読み出すことができないため、ファームウェアFW2を起動することができない。以上のように、ファームウェアFW2を起動することができないため、HDD1内のユーザ領域132のユーザデータを読み出すことができなくなる。
<ステップS23>
ファームウェアFW1が、CPU111による実行により、制御パラメータCP1を使用して、システム領域131からデータを読み出すことできた場合、ファームウェアFW2を起動することができる。そして、ステップS24へ移行する。
<ステップS24>
しかし、この場合、ディスク13のシステム領域131内の制御パラメータCP2および暗号鍵EKは、AES113により、交換されたSoC11_New内のOTP122に記憶された乱数値を用いて復号されるが、交換前のSoC11のOTP122に記憶された乱数値とは異なる値であるため、正しく復号できない。そして、ステップS25へ移行する。
<ステップS25>
したがって、ファームウェアFW2は、CPU111による実行により、復号された制御パラメータCP2および暗号鍵EKを使用しても、ディスク13のユーザ領域132のユーザデータを読み出すことができない。また、ファームウェアFW2は、CPU111による実行より、復号された制御パラメータCP2の検証値を用いて、当該制御パラメータCP2の検証を行った結果、検証NGとなるので処理を停止する。以上のように、暗号HDDであるHDD1を起動することができないため、HDD1内のユーザ領域132のユーザデータを読み出すことができなくなる。
なお、上述のように制御パラメータCP2の検証に失敗した場合は、使用した乱数値が異なっていること、すなわちSoC11がSoC11_Newに不正に交換されていることがわかるため、この時点で、ファームウェアFW0またはファームウェアFW2が、CPU111による実行により、SoC11_New内のe-fuse123を切断するものとしてもよい。
以上のステップS11~S25の流れに示すように、廃棄処理業者が不正に、物理的に破壊されたHDD1と同じモデルのHDD1_Newから、SoC11_Newのみ、またSoC11_NewおよびFROM12_Newへ交換を試みたとしてしても、いずれの場合においても、HDD1内のユーザ領域132のユーザデータを読み出すことができない。
以上のように、本実施形態のHDD1では、CPU111が実装されたSoC11と、CPU111の実行動作に必要な、SoC11に実装されたクロック信号線CLまたは電源線PL等に設置されたe-fuse123と、SoC11に対応する乱数値が書き換え不能に記憶され、SoC11に実装されたOTP122と、ディスク13の駆動に必要な制御パラメータCP1に対して乱数値を用いた暗号化を行うことにより、再び乱数値を用いて使用できるような状態にして制御パラメータCP1を記憶するFROM12と、ユーザデータを記憶するユーザ領域132と、ユーザ領域132からのユーザデータの読み出しに必要な制御パラメータCP2に対して乱数値を用いた暗号化を行うことにより、再び乱数値を用いて使用できるような状態にして制御パラメータCP2を記憶したシステム領域131と、を有するディスク13と、を備え、CPU111は、外部から破壊指令を受信した場合、e-fuse123を切断するものとしている。これによって、HDD1が起動できないようにe-fuse123の切断という破壊をしているため、リユース品またはネットオークション品等として再び市場に流出されることをユーザ側で防ぐことができるので、HDD1を安全に廃棄することができる。また、特殊な破壊工具が不要で、ホスト端末等から破壊指令を送信するのみで、HDD1を破壊することができ、素子の損傷または発火等の危険性が低く安全性が高い。また、SoC11に電源が入力されているだけの、極めて単純な回路構成でe-fuse123の切断が可能なため、HDD1の実装電気部品不良等によるディスク13が回転できないような故障状態であっても、確実に修復不可能な破壊ができる。また、HDD1毎に異なる制御パラメータCP1、CP2をSoC11内の乱数値(HDD1ごとに異なる値)で暗号化しているため、SoC11を交換するとHDD1が起動できなくなるため、修復不可能な破壊を実現することができる。
なお、上述の第1の実施形態のHDD1では、システム領域131の制御パラメータCP2および暗号鍵EKの双方について、乱数値を用いて暗号化する構成としたが、これに限定されるものではなく、少なくともいずれか一方を暗号化しておく構成としてもよい。例えば、暗号鍵EKのみを暗号化した場合には、SoC11が交換されたとしても、暗号鍵EKを正常に復号することができないため、ユーザ領域132からユーザデータの読み取りを防ぐことができる。ただし、上述の図2に示したように、暗号鍵EKのみを消去して破棄処理業者に廃棄依頼をしたことと同様の状態となるため、好ましい状態とは言えない。一方、少なくとも制御パラメータCP2を暗号化した場合には、SoC11交換されたとしても、ユーザ領域132へのアクセス処理自体を防ぐことができるため、少なくとも制御パラメータCP2を暗号化することの方が望ましい。
(第2の実施形態)
第2の実施形態のHDD1について、第1の実施形態のHDD1と相違する点を中心に説明する。第1の実施形態では、HDD1が暗号HDDであるものとして、再度市場に流通することを防止し安全に廃棄することができる構成について説明した。本実施形態では、暗号機能を有さないHDD(以下、「非暗号HDD」と称する場合がある)についての、再度市場に流通することを防止し安全に廃棄することができる構成について説明する。なお、本実施形態のHDD1は、暗号機能を有さないため、図5に示した構成のうち、AES113を備えていない。
図10は、第2の実施形態の記憶装置における制御パラメータの格納の態様の一例を示す図である。図10を参照しながら、本実施形態のHDD1における制御パラメータCP1、CP2の格納の態様について説明する。なお、後述するHMAC(Hash-based Message Authentication Code)を付加する前の制御パラメータCP1、CP2を、便宜上制御パラメータCP1’、CP2’と称して説明する。
HDD1のメーカは、HDD1の出荷前に、制御パラメータCP1’に、OTP122に記憶された乱数値および当該制御パラメータCP1’に基づいて算出されるHMAC等の検証値(第1検証値)の付加(第1処理の一例)をした上で、制御パラメータCP1(第1制御パラメータ)として、FROM12に記憶させる。すなわち、上述の検証値の付加は、後に再び乱数値を用いて制御パラメータCP1を使用できるような状態にしている、ということができる。また、HDD1のメーカは、HDD1の出荷前に、制御パラメータCP2’に、OTP122に記憶された乱数値および当該制御パラメータCP2’に基づいて算出されるHMAC等の検証値(第2検証値)の付加(第2処理の一例)をした上で、制御パラメータCP2(第2制御パラメータ)として、ディスク13のシステム領域131に記憶させる。すなわち、上述の検証値の付加は、後に再び乱数値を用いて制御パラメータCP2を使用できるような状態にしている、ということができる。
なお、HDD1が内部で乱数値を生成してOTP122へ書き込む場合、ファームウェアFW2に、乱数のOTP122への書き込み時に、FROM12に記憶された制御パラメータCP1’、およびシステム領域131に記憶されたCP2’を、それぞれHMACを付加した上で、FROM12およびシステム領域131にそれぞれ再格納する機能を含めるものとすればよい。
また、制御パラメータCP1、CP2に付加する検証値はHMACではなく、例えばRSA等を使用したデジタル署名であってもよい。この場合、OTP122に記憶された乱数値を公開鍵とし、秘密鍵はデジタル署名の付加後に直ちに消去するものとすればよい。
図11は、第2の実施形態の記憶装置の取り扱いおよび処理の流れの一例を示すフローチャートである。図11を参照しながら、本実施形態のHDD1の取り扱いおよび処理の流れについて説明する。
<ステップS31>
HDD1のユーザは、非暗号HDDであるHDD1を廃棄する場合に、I/Fポート17に接続したホスト端末に対する操作により、当該ホスト端末から破壊コマンドを発行させる。そして、CPU111は、I/Fポート17を介して破壊コマンドを受信する。そして、ステップS32へ移行する。
<ステップS32>
CPU111は、破壊コマンドを受信するとファームウェアFW0を起動する。ファームウェアFW0は、CPU111による実行により、e-fuse123を切断するための切断指令を、e-fuse123に対して出力する。これによって、e-fuse123が切断される。そして、ステップS33へ移行する。
<ステップS33>
e-fuse123が切断されると、クロック信号線CLが切断され、CPU111へクロック信号が供給されなくなるため、SoC11(CPU111)の動作が不能となる。これによって、ファームウェアFW0、FW1、FW2のすべてが実行できなくなり、HDD1は起動不能となる。そして、ステップS34へ移行する。
<ステップS34>
ユーザは、e-fuse123の切断により物理的に破壊されたHDD1を、廃棄処理業者へ引き渡し、廃棄依頼する。そして、ステップS35へ移行する。
<ステップS35>
HDD1の廃棄依頼を受けた廃棄処理業者は、以下、不正な処理としてHDD1をリユース品またはネットオークション品等として再度市場に流通させるように図ろうとした場合について説明する。廃棄処理業者は、不正な処理として、上述の図9に示すように、物理的に破壊されたHDD1と同じモデルのHDD1_NewからSoC11_Newを取り出して、当該HDD1のSoC11との交換を試みる場合(ステップS35:SoCのみ)、ステップS36へ移行する。一方、廃棄処理業者は、不正な処理として、上述の図9に示すように、物理的に破壊されたHDD1と同じモデルのHDD1_NewからSoC11_NewおよびFROM12_Newを取り出して、当該HDD1のSoC11およびFROM12との交換を試みる場合(ステップS35:SoC+FROM)、ステップS39へ移行する。
<ステップS36>
廃棄処理業者により、不正な処理として、物理的に破壊されたHDD1と同じモデルのHDD1_NewからSoC11_Newが取り出され、当該HDD1のSoC11との交換が試みられた場合を考える。HDD1において交換されたSoC11_Newのe-fuse123は切断されていないため、HDD1の電源が投入されると、Mask ROM112に記憶されたファームウェアFW0がCPU111により実行(起動)され、FROM12に記憶されたファームウェアFW1も起動される。そして、ステップS37へ移行する。
<ステップS37>
この場合、ファームウェアFW1は、CPU111による実行より、OTP122に記憶された乱数値および制御パラメータCP1のHMACを用いて、当該制御パラメータCP1の検証を行う。そして、ステップS38へ移行する。
<ステップS38>
制御パラメータCP1の検証に用いられた乱数値は、交換前のSoC11のOTP122に記憶された乱数値とは異なる値であるため、検証NGとなる。したがって、ファームウェアFW1は、CPU111による実行より、処理を停止する。以上のように、非暗号HDDであるHDD1を起動することができないため、HDD1内のユーザ領域132のユーザデータを読み出すことができなくなる。
なお、上述のように制御パラメータCP1の検証に失敗した場合は、使用した乱数値が異なっていること、すなわちSoC11がSoC11_Newに不正に交換されていることがわかるため、この時点で、ファームウェアFW0またはファームウェアFW1が、CPU111による実行により、SoC11_New内のe-fuse123を切断するものとしてもよい。
<ステップS39>
廃棄処理業者により、不正な処理として、物理的に破壊されたHDD1と同じモデルのHDD1_NewからSoC11_NewおよびFROM12_Newが取り出され、当該HDD1のSoC11およびFROM12との交換が試みられた場合を考える。HDD1において交換されたSoC11_Newのe-fuse123は切断されていないため、HDD1の電源が投入されると、Mask ROM112に記憶されたファームウェアFW0がCPU111により実行(起動)され、交換されたFROM12_Newに記憶されたファームウェアFW1も起動される。そして、ステップS40へ移行する。
<ステップS40>
この場合、ファームウェアFW1は、CPU111による実行より、OTP122に記憶された乱数値および制御パラメータCP1のHMACを用いて、当該制御パラメータCP1の検証を行う。FROM12_New内の制御パラメータCP1は、元々、交換されたSoC11_New内のOTP122に記憶された乱数値を用いたHMACが付加されたものであるため、検証が成功する(検証値が一致する)ことになる。
<ステップS41>
しかし、FROM12_New内の制御パラメータCP1は、交換元であるHDD1_New用のパラメータであるため、ファームウェアFW1は、CPU111による実行により、当該制御パラメータCP1を使用しても、ディスク13のシステム領域131からデータを読み出すことができない。仮に、万が一、部品交換用に用意したHDD1_Newの制御パラメータCP1が、物理的に破壊されたHDD1の制御パラメータCP1と似通っているために、ファームウェアFW1が、CPU111による実行により、制御パラメータCP1を使用して、システム領域131からデータを読み出すことできた場合(ステップS41:可)、ステップS43へ移行する。一方、通常の予測通り、ファームウェアFW1が、CPU111による実行により、制御パラメータCP1を使用して、システム領域131からデータを読み出すことできない場合(ステップS41:不可)、ステップS42へ移行する。
<ステップS42>
ファームウェアFW1は、CPU111による実行により、制御パラメータCP1を使用しても、システム領域131からデータを読み出すことができないため、ファームウェアFW2を起動することができない。以上のように、ファームウェアFW2を起動することができないため、HDD1内のユーザ領域132のユーザデータを読み出すことができなくなる。
<ステップS43>
ファームウェアFW1が、CPU111による実行により、制御パラメータCP1を使用して、システム領域131からデータを読み出すことできた場合、ファームウェアFW2を起動することができる。そして、ステップS44へ移行する。
<ステップS44>
この場合、ファームウェアFW2は、CPU111による実行より、OTP122に記憶された乱数値および制御パラメータCP2のHMACを用いて、当該制御パラメータCP2の検証を行う。そして、ステップS45へ移行する。
<ステップS45>
制御パラメータCP2の検証に用いられた乱数値は、交換前のSoC11のOTP122に記憶された乱数値とは異なる値であるため、検証NGとなる。したがって、ファームウェアFW2は、CPU111による実行より、処理を停止する。以上のように、非暗号HDDであるHDD1を起動することができないため、HDD1内のユーザ領域132のユーザデータを読み出すことができなくなる。
なお、上述のように制御パラメータCP2の検証に失敗した場合は、使用した乱数値が異なっていること、すなわちSoC11がSoC11_Newに不正に交換されていることがわかるため、この時点で、ファームウェアFW0またはファームウェアFW2が、CPU111による実行により、SoC11_New内のe-fuse123を切断するものとしてもよい。
以上のステップS31~S45の流れに示すように、廃棄処理業者が不正に、物理的に破壊されたHDD1と同じモデルのHDD1_Newから、SoC11_Newのみ、またSoC11_NewおよびFROM12_Newへ交換を試みたとしてしても、いずれの場合においても、HDD1内のユーザ領域132のユーザデータを読み出すことができない。
以上のような本実施形態のHDD1においても、HDD1が起動できないようにe-fuse123の切断という破壊をしているため、リユース品またはネットオークション品等として再び市場に流出されることをユーザ側で防ぐことができるので、HDD1を安全に廃棄することができる。また、暗号機能がない非暗号HDDにおいては、ユーザ側が情報流出を避けるためには、時間をかけてユーザデータを上書き消去するか、特別な工具による物理的な破壊しか手段がなかったが、本実施形態のHDD1は、一瞬で破壊することができ、HDD1廃却後のユーザデータの流出を防ぐことができる。
なお、上述の各実施形態は、例示したものであり、発明の範囲を限定することは意図していない。上述の各実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更および組み合わせを行うことができる。また、上述の各実施形態は、発明の範囲および要旨に含まれると共に、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
1、1_New HDD、11、11_New SoC、12、12_New FROM、13 ディスク、14 VCM、14a ヘッド、15 SVC、16 DRAM、17 I/Fポート、18 電源ポート、19 外部端子、19a 短絡部材、20 OSC、111 CPU、112 Mask ROM、113 AES、114 SRAM、115 SPI、116 SVL、117 HIF、118 BM、119 DM、120 RDC、121 バス、122 OTP、123 e-fuse、131 システム領域、132 ユーザ領域、500 HDD、CL クロック信号線、CP1、CP1’、CP2、CP2’ 制御パラメータ、EK、EK’、EK10 暗号鍵、FW0、FW1、FW2 ファームウェア。

Claims (8)

  1. 演算装置が実装されたSoCと、
    前記SoCを介して制御される記憶媒体と、
    出力装置が前記演算装置へクロック信号を出力するために前記出力装置と該演算装置とを接続し、かつ前記SoC内に実装された信号線、または、前記演算装置へ電力を供給し、かつ前記SoC内に実装された電源線に設置されており、前記演算装置への外部からの入力によりファームウェアによって切断されるフューズと、
    前記SoCに対応する固有の固有値が書き換え不能に記憶され、該SoCに実装された第1記憶部と、
    前記記憶媒体の駆動に必要な第1制御パラメータに対して前記固有値を用いた第1処理を行うことにより、再び該固有値を用いて使用できるような状態にして該第1制御パラメータを記憶する第2記憶部と、
    を備えた記憶装置。
  2. 前記記憶媒体は、ユーザデータを記憶する第1領域と、前記第1領域からの前記ユーザデータの読み出しに必要な第2制御パラメータに対して前記固有値を用いた第2処理を行うことにより、再び該固有値を用いて使用できるような状態にして該第2制御パラメータを記憶した第2領域と、を有する請求項に記載の記憶装置。
  3. 前記固有値を用いてデータを暗号化する暗号化部を、さらに備え、
    前記第2記憶部は、前記第1処理として前記暗号化部により前記固有値を用いて暗号化処理がされた前記第1制御パラメータを記憶し、
    前記記憶媒体は、前記第2領域に、前記第2処理として前記暗号化部により前記固有値を用いて暗号化処理がされた前記第2制御パラメータを記憶した請求項に記載の記憶装置。
  4. 前記第2記憶部は、前記第1処理として前記暗号化部により前記固有値を用いて暗号化処理がされた、前記第1制御パラメータおよび該第1制御パラメータを検証するための第1検証値を記憶し、
    前記記憶媒体は、前記第2領域に、前記第2処理として前記暗号化部により前記固有値を用いて暗号化処理がされた、前記第2制御パラメータおよび該第2制御パラメータを検証するための第2検証値を記憶した請求項に記載の記憶装置。
  5. 前記記憶媒体は、前記第2領域に、前記暗号化部により前記固有値を用いて暗号化された、前記第1領域に記憶されたユーザデータを暗号化および復号するための暗号鍵を記憶した請求項またはに記載の記憶装置。
  6. 前記第2記憶部は、前記第1処理として、前記第1制御パラメータから前記固有値を用いて生成された第1検証値と共に前記第1制御パラメータを記憶し、
    前記記憶媒体は、前記第2領域に、前記第2処理として、前記第2制御パラメータから前記固有値を用いて生成された第2検証値と共に前記第2制御パラメータを記憶する請求項に記載の記憶装置。
  7. 前記演算装置は、前記第1検証値を用いた前記第1制御パラメータの検証に失敗した場合、または前記第2検証値を用いた前記第2制御パラメータの検証に失敗した場合、動作を停止する請求項またはに記載の記憶装置。
  8. 前記演算装置は、前記第1検証値を用いた前記第1制御パラメータの検証に失敗した場合、または前記第2検証値を用いた前記第2制御パラメータの検証に失敗した場合、前記フューズを切断する請求項またはに記載の記憶装置。
JP2021041646A 2021-03-15 2021-03-15 記憶装置 Active JP7413300B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021041646A JP7413300B2 (ja) 2021-03-15 2021-03-15 記憶装置
US17/410,861 US20220292227A1 (en) 2021-03-15 2021-08-24 Storage device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021041646A JP7413300B2 (ja) 2021-03-15 2021-03-15 記憶装置

Publications (2)

Publication Number Publication Date
JP2022141379A JP2022141379A (ja) 2022-09-29
JP7413300B2 true JP7413300B2 (ja) 2024-01-15

Family

ID=83194836

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021041646A Active JP7413300B2 (ja) 2021-03-15 2021-03-15 記憶装置

Country Status (2)

Country Link
US (1) US20220292227A1 (ja)
JP (1) JP7413300B2 (ja)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001156255A (ja) 1999-11-25 2001-06-08 Oki Electric Ind Co Ltd 半導体集積回路
US20050060595A1 (en) 2003-09-15 2005-03-17 Tsvika Kurts Over-clocking detection
JP2012069565A (ja) 2010-09-21 2012-04-05 Renesas Electronics Corp 半導体集積回路及び制御方法
WO2012070635A1 (ja) 2010-11-26 2012-05-31 ソニー株式会社 二次電池セル、電池パック及び電力消費機器
JP2015036847A (ja) 2013-08-12 2015-02-23 株式会社東芝 半導体装置
US20150067368A1 (en) 2013-08-28 2015-03-05 Via Technologies, Inc. Core synchronization mechanism in a multi-die multi-core microprocessor
JP2017163030A (ja) 2016-03-10 2017-09-14 富士通株式会社 半導体装置、電子機器、情報保護システム及び情報保護方法

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6292898B1 (en) * 1998-02-04 2001-09-18 Spyrus, Inc. Active erasure of electronically stored data upon tamper detection
US8176296B2 (en) * 2000-10-26 2012-05-08 Cypress Semiconductor Corporation Programmable microcontroller architecture
US7020019B2 (en) * 2004-05-21 2006-03-28 Simpletech, Inc. System and method for destructive purge of memory device
US7502256B2 (en) * 2004-11-30 2009-03-10 Siliconsystems, Inc. Systems and methods for reducing unauthorized data recovery from solid-state storage devices
US7442583B2 (en) * 2004-12-17 2008-10-28 International Business Machines Corporation Using electrically programmable fuses to hide architecture, prevent reverse engineering, and make a device inoperable
WO2007041834A1 (en) * 2005-10-07 2007-04-19 Memory Experts International Inc. Method and apparatus for secure credential entry without physical entry
US20070165456A1 (en) * 2006-01-17 2007-07-19 Simpletech, Inc. System and method for purge of flash memory
US7884464B2 (en) * 2006-06-27 2011-02-08 Advanced Chip Engineering Technologies Inc. 3D electronic packaging structure having a conductive support substrate
US7945792B2 (en) * 2007-10-17 2011-05-17 Spansion Llc Tamper reactive memory device to secure data from tamper attacks
US20090119744A1 (en) * 2007-11-01 2009-05-07 Microsoft Corporation Device component roll back protection scheme
US7761714B2 (en) * 2008-10-02 2010-07-20 Infineon Technologies Ag Integrated circuit and method for preventing an unauthorized access to a digital value
CN101916233B (zh) * 2010-09-14 2013-04-10 湖南源科高新技术有限公司 计算机的数据清除方法和计算机
US20120194564A1 (en) * 2011-01-31 2012-08-02 White Christopher J Display with secure decompression of image signals
US9172380B2 (en) * 2013-07-04 2015-10-27 Samsung Electronics Co., Ltd. Method and apparatus for supporting self-destruction function in baseband modem
WO2016070382A1 (zh) * 2014-11-06 2016-05-12 华为技术有限公司 一种安全信息配制方法、安全验证方法以及相关芯片
US10044514B1 (en) * 2015-09-25 2018-08-07 Xilinx, Inc. Secure external key storage for programmable ICS
US10496811B2 (en) * 2016-08-04 2019-12-03 Data I/O Corporation Counterfeit prevention
US9720700B1 (en) * 2016-10-05 2017-08-01 Apricorn Secure storage devices, with physical input device, for secure configuration in a configuration-ready mode
US10484371B2 (en) * 2017-05-22 2019-11-19 Seagate Technology Llc Device controller security system
US10747295B1 (en) * 2017-06-02 2020-08-18 Apple Inc. Control of a computer system in a power-down state
US10824367B2 (en) * 2017-10-19 2020-11-03 Seagate Technology Llc Adaptive intrusion detection based on monitored data transfer commands
US10984093B2 (en) * 2018-04-30 2021-04-20 Western Digital Technologies, Inc. Memory and controller mutual secure channel association
US10839108B2 (en) * 2018-05-29 2020-11-17 Seagate Technology Llc Storage device and verification thereof
JP2020030527A (ja) * 2018-08-21 2020-02-27 キオクシア株式会社 記憶装置及びプログラム
TWI734314B (zh) * 2018-12-31 2021-07-21 美商美光科技公司 用於將數位指紋提供至主機裝置之系統、方法及非暫時性電腦可讀媒體
TWI708257B (zh) * 2019-05-24 2020-10-21 宜鼎國際股份有限公司 具有自我銷毀功能的資料儲存裝置
US10608819B1 (en) * 2019-09-24 2020-03-31 Apricorn Portable storage device with internal secure controller that performs self-verification and self-generates encryption key(s) without using host or memory controller and that securely sends encryption key(s) via side channel
US10997297B1 (en) * 2019-12-06 2021-05-04 Western Digital Technologies, Inc. Validating firmware for data storage devices
KR20210077839A (ko) * 2019-12-17 2021-06-28 삼성전자주식회사 메모리 장치 및 이를 포함하는 메모리 시스템
KR20210090505A (ko) * 2020-01-10 2021-07-20 삼성전자주식회사 메모리 컨트롤러, 및 이를 포함하는 스토리지 장치
JP2021118370A (ja) * 2020-01-22 2021-08-10 キオクシア株式会社 メモリシステム、情報処理装置、および情報処理システム
US11743058B2 (en) * 2020-03-05 2023-08-29 International Business Machines Corporation NVDIMM security with physically unclonable functions
JP2021149239A (ja) * 2020-03-17 2021-09-27 キオクシア株式会社 メモリシステム
US11150842B1 (en) * 2020-04-20 2021-10-19 Western Digital Technologies, Inc. Dynamic memory controller and method for use therewith
KR20210133087A (ko) * 2020-04-28 2021-11-05 삼성전자주식회사 데이터의 안전한 폐기 기능을 제공하는 스토리지 장치 및 그 동작방법
US11977662B2 (en) * 2020-04-30 2024-05-07 Dell Products, L.P. One-time programmable features for storage devices
US11568095B2 (en) * 2020-05-11 2023-01-31 Micron Technology, Inc. Device deactivation based on behavior patterns
US11449264B2 (en) * 2020-05-13 2022-09-20 Micron Technology, Inc. Securely arming a memory device for self-destruction by implementing a self-destruction countdown timer using a battery backed real-time clock
KR20210143613A (ko) * 2020-05-20 2021-11-29 삼성전자주식회사 Otp 메모리 및 이를 포함하는 스토리지 장치
US11152052B1 (en) * 2020-06-03 2021-10-19 Micron Technology, Inc. Apparatuses, systems, and methods for fuse array based device identification
US11616767B2 (en) * 2020-12-17 2023-03-28 Western Digital Technologies, Inc. Storage system with encrypted data storage device telemetry data
KR20220091955A (ko) * 2020-12-24 2022-07-01 에스케이하이닉스 주식회사 메모리 시스템 폐기 방법 및 그 메모리 시스템
US20230306141A1 (en) * 2022-03-25 2023-09-28 Dell Products, L.P. Real-time management of delta inventory certificates for component validation using eventing and cloud infrastructures

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001156255A (ja) 1999-11-25 2001-06-08 Oki Electric Ind Co Ltd 半導体集積回路
US20050060595A1 (en) 2003-09-15 2005-03-17 Tsvika Kurts Over-clocking detection
JP2012069565A (ja) 2010-09-21 2012-04-05 Renesas Electronics Corp 半導体集積回路及び制御方法
WO2012070635A1 (ja) 2010-11-26 2012-05-31 ソニー株式会社 二次電池セル、電池パック及び電力消費機器
JP2015036847A (ja) 2013-08-12 2015-02-23 株式会社東芝 半導体装置
US20150067368A1 (en) 2013-08-28 2015-03-05 Via Technologies, Inc. Core synchronization mechanism in a multi-die multi-core microprocessor
JP2017163030A (ja) 2016-03-10 2017-09-14 富士通株式会社 半導体装置、電子機器、情報保護システム及び情報保護方法

Also Published As

Publication number Publication date
JP2022141379A (ja) 2022-09-29
US20220292227A1 (en) 2022-09-15

Similar Documents

Publication Publication Date Title
JP5362114B2 (ja) 保安usb記憶媒体生成及び復号化方法、並びに保安usb記憶媒体生成のためのプログラムが記録された媒体
US9594698B2 (en) Local keying for self-encrypting drives (SED)
US7461268B2 (en) E-fuses for storing security version data
US9443111B2 (en) Device security using an encrypted keystore data structure
US20040172538A1 (en) Information processing with data storage
JP4903071B2 (ja) 情報処理装置、ソフトウェア更新方法及び画像処理装置
US20100058066A1 (en) Method and system for protecting data
JP2008072717A (ja) 埋込認証を有するハードディスク・ストリーミング暗号操作
US11803366B2 (en) Firmware updating system and method
CN102262721B (zh) 用于独立代理的数据加密转换
US20090024784A1 (en) Method for writing data into storage on chip and system thereof
US11222144B2 (en) Self-encrypting storage device and protection method
CN102549594A (zh) 临时秘密的安全存储
WO2007091492A1 (ja) セキュア処理装置、方法、プログラム
WO2015087426A1 (ja) ストレージ装置及びストレージ装置の制御方法
JP4888935B2 (ja) ストレージシステム
JP7341784B2 (ja) ストレージ装置
JP2021118370A (ja) メモリシステム、情報処理装置、および情報処理システム
WO2022127464A1 (en) Crypto-erasure of data stored in key per io-enabled device via internal action
CN114785503B (zh) 密码卡及其根密钥保护方法、计算机可读存储介质
US10698838B2 (en) Data storage apparatus
US8090978B2 (en) Protection of data on failing storage devices
JP5532198B2 (ja) 電子デバイスにおけるセキュリティ・フィーチャー
JP7413300B2 (ja) 記憶装置
JP5304366B2 (ja) 記憶媒体ユニット,及び、記憶媒体自動消去システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230125

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230908

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230919

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231128

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231227

R150 Certificate of patent or registration of utility model

Ref document number: 7413300

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150