Apakah Linux mendukung Disk API Terenkripsi sendiri?

8

Dalam hal ini artikel itu menunjukkan bagaimana mudahnya untuk memotong BIOS ATA passphrase, dan berakhir dengan itu menggunakan self-Encryption Disk (SED) API disk dari dalam OS tidak akan memberikan kinerja hit. Pada Windows, API ini disebut Microsoft eDrive. Lihat di sini dan di sini .

Adakah yang tahu kalau Linux bisa berkomunikasi langsung dengan lapisan SED, jadi Linux menangani kata sandi?

Sandra
sumber

Jawaban:

4

Saya menemukan sedutil GPL yang memungkinkan mengelola SED di "SED layer":

msed - Kelola Drive Pengodean Mandiri

Program ini dan disertai gambar Otorisasi Pra-Boot memungkinkan Anda untuk mengaktifkan penguncian di SED yang mematuhi standar TCG OPAL 2.00 pada mesin bios.

The penulis MSEd bekerja sama dengan Drive Trust Alliance untuk menciptakan solusi enterprise lisensi GPL:

Saya bergabung dengan Drive Trust Alliance (Drive-Trust-Alliance on GitHub) untuk menghadirkan alat SED open source terbaik kepada masyarakat.

adam
sumber
-1

Saya tidak tahu apakah ini benar-benar menjawab pertanyaan yang Anda inginkan. Namun saya telah menggunakan informasi di halaman ini: https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase

Saya memiliki SSD yang mengenkripsi sendiri. Saya menggunakan perintah hdparm untuk mengatur kata sandi pengguna, kata sandi master, dan untuk mengatur kemampuan kata sandi utama menjadi "maksimum" sehingga kata sandi master tidak dapat membuka atau menonaktifkan, cukup hapus. (BIOS saya tidak membiarkan saya menetapkan kata sandi master atau mode master. Ini memang tidak aman karena pabriknya (Dell) memiliki kata sandi utama dan mungkin semua staf layanan dapat mendapatkannya.)

BIOS / UEFI yang baik harus membuka kunci driver dan membekukannya sehingga kata sandi tidak dapat dinonaktifkan oleh OS. Jika firmware membuat drive tidak beku saya dapat melihat bagaimana kata sandi dapat dinonaktifkan.

Namun semua ini mengasumsikan Anda memercayai drive firmware untuk tidak memiliki backdoor atau lubang keamanan. Artikel yang Anda kutip tampaknya menyiratkan ini biasa. Saya mempertanyakan bagaimana "mudahnya" tingkat bios dikalahkan karena artikel tersebut menyatakan bahwa drive harus sudah dibuka. Artikel itu tidak mengatakan apakah keamanan drive dibekukan atau tidak.

Jika Anda tidak mempercayai firmware drive maka saya tidak melihat bagaimana fungsi kata sandi ATA dapat membantu Anda. Untuk tetap mendapatkan manfaat dari drive HW Anda akan memerlukan akses ke mesin AES itu sendiri dan dapat memprogram sendiri kunci AES.

adalah: {Saya tidak tahu API tingkat HW seperti itu. Saya akan tertarik jika seseorang memiliki referensi.}

Maaf saya harus membaca semua referensi Anda sebelum saya menjawab. Standar yang dimaksud adalah TCG Opal 2.0 dan IEEE-1667. Tampaknya 1667 pindah ke protokol respons challange melalui pertukaran kata sandi teks ATA yang jelas. Namun bagi saya tampaknya kata sandi masih tersimpan di drive dan Anda masih harus mempercayai firmware drive.

kincir angin
sumber