Linuxは自己暗号化ディスクAPIをサポートしていますか?


8

、この記事では、それはBIOS ATAは、パスフレーズバイパスすることがいかに簡単であるかを示しており、それはOS内からディスク自己暗号化ディスク(SED)APIを使用すると、パフォーマンスヒットを与えないということで終わります。Windowsでは、このAPIはMicrosoft eDriveと呼ばれます。こちらこちらをご覧ください。

LinuxがSEDレイヤーと直接通信できるようになっていて、Linuxがパスフレーズを処理できるかどうか誰かが知っていますか?

回答:


4

「SEDレイヤー」でSEDを管理できるGPLのsedutilを見つけました。

msed-自己暗号化ドライブの管理

このプログラムとそれに付属する起動前認証イメージを使用すると、BIOSマシンのTCG OPAL 2.00標準に準拠するSEDのロックを有効にできます。

msed作者は、Drive Trust Allianceと協力してGPLのエンタープライズソリューションを作成しました。

私はDrive Trust Alliance(GitHubのDrive-Trust-Alliance)と力を合わせて、可能な限り最高のオープンソースSEDツールをコミュニティに提供しています。


-1

これが本当にあなたが望んでいた質問に答えているのかどうかはわかりません。しかし、私はこのページの情報を使用しました:https : //ata.wiki.kernel.org/index.php/ATA_Secure_Erase

自己暗号化SSDがありました。hdparmコマンドを使用して、ユーザーパスワードとマスターパスワードを設定し、マスターパスワード機能を「最大」に設定して、マスターパスワードのロックを解除したり無効にしたりできないようにしました。(私のBIOSでは、マスターパスワードまたはマスターモードを設定できませんでした。これは、製造元(Dell)がマスターパスワードを持っているため、実際には安全ではなく、おそらくすべてのサービス担当者が取得できます。)

適切なBIOS / UEFIは、ドライバーをロック解除してフリーズし、OSがパスワードを無効にできないようにする必要があります。ファームウェアがドライブをフリーズしないままにしておくと、パスワードを無効にする方法を確認できました。

ただし、これはすべて、ドライブのファームウェアにバックドアやセキュリティホールがないと信頼していることを前提としています。あなたが引用した記事はこれが一般的であることを暗示しているようです。ドライブが既にロック解除されている必要があるとの記事が述べているように、BIOSのレベルがどれほど「簡単」であるかは疑問です。この記事では、ドライブのセキュリティが凍結されているかどうかについては触れられていません。

ドライブのファームウェアを信頼していない場合は、ATAパスワード機能がどのように役立つかわかりません。ドライブHWを引き続き利用するには、AESエンジン自体にアクセスし、AESキーを自分でプログラムできる必要があります。

だった:{私はそのようなHWレベルのAPIを知りません。誰かに参考文献があれば、私は興味があります。}

申し訳ありませんが、答える前にすべての参照を読んでおくべきでした。問題の標準はTCG Opal 2.0とIEEE-1667です。1667年は、ATAのクリアテキストパスワード交換を介して、challange応答プロトコルに移行するようです。ただし、パスワードはまだドライブに保存されており、ドライブのファームウェアを信頼する必要があるように見えます。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.