在金士顿KC的产品标签上，有一行PSID物理安全标识，代表着它能够支持全盘自加密功能。与使用软件进行的硬盘加密相比，开启硬件自加密不影响硬盘性能，并且具备良好的数据安全性。

为什么需要Opal自加密：

传统的ATA加密将密钥直接存储在硬盘当中，所以PC等一些底层硬盘工具有机会直接偷到密钥来解锁硬盘，这样的加密方式是不安全的。

为了保障密钥的安全，Opal自加密硬盘的密钥（MediaEncryptionKey，MEK媒体加密密钥）本身也以加密的形式进行存储。即便拆掉硬盘中闪存直接读取其中的信息，也无法获得真正的加密密钥，无法解密其中数据。MEK由硬盘主控自行随机生成，并且始终只在硬盘内使用、无法被外部操作系统直接读取。

用来加密MEK的是名为KeyEncryptionKey（KEK，密钥加密密钥）的另一组密码，它是由用户输入的密码经过处理产生的。开机时通过KEK解密MEK，得到的真实数据加密密钥，完成硬盘解锁。MEK只存储在易失性存储器（如DRAM缓存、SRAM缓存）当中，一旦电脑关机、硬盘断电，MEK也就随之消失。所以Opal加密后的硬盘会随着关机而重新进入锁定状态。

使用sedutil设置自加密系统盘：

在获得MEK解锁硬盘之前，整个硬盘的数据都处于被加密状态，所以开机时需要通过一个“影子MBR”来接受用户输入密码，再通过用户密码产生KEK，通过KEK解密出MEK，完成硬盘解锁。

接下来下载sedutil工具，选择RESCUE64img.gz，通过WinRAR等压缩软件将其中的img文件解压出来。

使用Win32DiskImager将img镜像文件写入到优盘当中。接下来的过程会比较繁琐，但是只要仔细认真，一切都会比较顺利。

使用这张制作好的管理U盘引导开机，在提示DriveTrustlogin:时，输入root并回车。

Startinglogging:OKInitializingrandomnumbergenerator…done.Startingnetwork:OK*****************************DTAsedutilrescueimageRESCUE64-1.15.1.img**Loginasroot,thereisnopassword*****************************DriveTrustlogin:root

输入并执行sedutil-cli–scan，会自动扫描电脑内安装的硬盘，在/dev/nvme0后方出现的2代表KC支持Opal2标准。如果硬盘不支持Opal加密，这里显示的结果为NO。

#sedutil-cli--scanScanningforOpal