Как настроить самошифрующийся SSD Opal 2.0?

Question

Как настроить самошифрующийся SSD Opal 2.0?

У меня свежая установка Ubuntu 18.04.1 на Lenovo ThinkPad L480 с Opal 2.0 совместимым твердотельным накопителем NVMe внутри. Насколько я понимаю, диск всегда зашифрован, но мне нужно установить пароль, чтобы сам ключ шифрования также был защищен.

Вопросы:

Правильно ли мое предположение о шифровании?
Если так, как я могу установить этот пароль?

17

18.04 encryption thinkpad nvme opal-2.0

Источник

hielsnoppe 14 фев '19 в 21:27

2 ответа

Другие вопросы по тегам 18.04 encryption thinkpad nvme opal-2.0

30 авг '20 в 01:06 2020-08-30 01:06 · Answer 1 · 2020-08-30 01:06

Самошифрующиеся диски (SED), совместимые с Opal 2

Первоначальное понимание ОП верное:

Содержимое диска Opal 2 всегда шифруется с помощью установленного на заводе ключа шифрования носителя (MEK, также известного как DEK).
Изначально ключ шифрования носителя не защищен (иначе вы не смогли бы получить доступ к диску).
Для защиты диска необходимо установить пароль. (Пароль фактически шифрует MEK.)

Чтобы исправить и / или изменить другие сообщения по этой теме:

Защита отсутствует до тех пор, пока привод Opal 2 не будет настроен и не будет установлен пароль.
Диски Opel 2 не работают с паролями ATA. Они используют собственную предзагрузочную систему (PBA) для разблокировки (см. Ниже).
Уязвимости были обнаружены в некоторых ранних моделях SSD (например, Crucial MX100/MX200/MX300, Samsung EVO 840/850, Samsung T3/T5), поэтому эти модели не следует использовать с аппаратным шифрованием Opal 2.

Низкоуровневые требования для настройки диска Opal 2 в Linux

Перед использованием твердотельного накопителя Opal 2 для безопасного шифрования всего диска его необходимо настроить:

В целях безопасности должен быть назначен новый ключ шифрования носителя (MEK). (Заводская установка MEK может быть уязвимой, например зависеть от серийного номера.)
Пароль должен быть назначен.
Необходимо указать диапазоны шифрования.
Для разблокировки диска должен быть предоставлен специальный загрузочный код, PBA (система предзагрузочной аутентификации).

В дистрибутивах Linux утилита низкого уровня (sedutil-cli) доступен для подготовки и администрирования дисков Opal 2. Однако напрямую использовать его довольно сложно. PBA предоставляется вместе с sedutil-cli не поддерживают международные раскладки клавиатуры или безопасную загрузку.

Как настроить диски Opal 2 в Ubuntu (и других системах Linux)

Relax and Recover (ReaR), инструмент аварийного восстановления, включенный в репозитории многих дистрибутивов, может создать загрузочную USB-флешку для установки дисков Opal 2. Он поддерживает международные клавиатуры, безопасную загрузку, загрузку через BIOS и UEFI, а также графический экран для ввода пароля в Ubuntu.

ReaR можно установить из репозитория пакетов (apt install rear) или в каталоге пользователя, загрузив его с GitHub. (Версия GitHub более актуальна.) Руководство пользователя ReaR содержит раздел " Быстрый старт: настройка самошифрующихся дисков ", в котором процесс состоит из 5 шагов.

Rob 16 фев '19 в 15:19 2019-02-16 15:19 · Answer 2 · 2019-02-16 15:19

В Lenovo ThinkPad L480 с SSD с поддержкой Opal используется накопитель Samsung "MZ-V6E500BW SSD 960 EVO NVMe M.2 500 ГБ", 256 ГБ или твердотельный накопитель Intel "180 ГБ SATA3.2" OPAL2.0 M.2 в зависимости от выбранного опции. Очевидно, что твердотельные накопители Intel имеют некоторые возможности управления, связанные с vPro, которых нет у дисков других производителей, например удаленное стирание и возможность включения / отключения определенных режимов шифрования.

Также кажется, что иногда используются другие накопители, такие как Seagate 1200 Pro SSD; поэтому при использовании Windows важно знать, какой диск используется, чтобы вы могли посетить веб-сайт производителя.

После установки пользовательской операционной системы вам необходимо использовать инструменты, доступные для этой ОС. Два основных из них для Linux - это hdparm и sedutil, см. Мой ответ по UNIX и Linux Stack Exchange.

Дополнительная информация:

На твердотельных накопителях Samsung имеется программное обеспечение для настройки их работы, оно работает только для определенных твердотельных накопителей и операционных систем, в противном случае по умолчанию пароль отсутствует и шифрование включено.

Для "Ubuntu 12.04 LTS и более поздних версий" (источник: руководство пользователя, DC Toolkit.PDF, стр. 10) Samsung SSD DC Toolkit предназначен для работы с продуктами Samsung SSD, включая PM863, PM863a, SM863, SM863a, PM963 без индивидуальных настроек, 860 DCT, 883 DCT, 983 DCT, 983 DCT M.2 и 983 ZET.

Это программное обеспечение не совместимо с твердотельными накопителями других производителей, а также не обязательно будет работать с другими твердотельными накопителями Samsung. Он также имеет ограниченную поддержку Windows Server 2012 R2, Widows Server 2016 RS1 (версия 10.0.14393), RHEL 5.7 до 6.4 (6.4 и более поздние версии имеют полную поддержку) и CentOS.

Для твердотельных накопителей Windows и Samsung используемое программное обеспечение называется: " Samsung SSD Magician DC 2.0". Использование загрузочного USB-накопителя с Windows и программным обеспечением Samsung от Windows - еще один, хотя и неудобный, вариант настройки SSD для использования с другой операционной системой.

В руководстве пользователя корпоративной версии программного обеспечения Magician утверждается, что поддерживаются только Samsung SSD SM863 и PM863. В версии для потребителей утверждается, что утилита управления твердотельными накопителями Magician предназначена для работы со всеми продуктами Samsung SSD, включая серии 470, серии 750, 830, 840, 850, 860, 950, 960 и 970.

В ваших обстоятельствах вам, вероятно, лучше всего использовать hdparm или настроить sedutil.

Не забудьте установить заставку на короткое время, и спящий режим также должен быть кратким, если вы хотите, чтобы зашифрованный диск оставался безопасным, см. Мой другой ответ, связанный с выше, включенный зашифрованный диск разблокируется после его успешной загрузки.

Полезная статья для Arch Linux объясняет пароли BIOS ATA и sedutil с дисками, поддерживающими Opal под Linux, объясняет необходимость установки libata.allow_tpm, См. Также вопросы и ответы по переполнению стека: " Команды ATA Trusted - Как установить libata allow_tpm" и особенно статью Dell: " Шифрование операционной системы Ubuntu с помощью жесткого диска SED", где объясняется длительная процедура (последнее изменение: 02.02.2009 01:05)

Elder Geek 14 фев '19 в 22:08 2019-02-14 22:08 · Answer 3 · 2019-02-14 22:08

Вы правы в том, что шифрование всегда включено. Данные будут автоматически расшифрованы после загрузки системы. Ключи, которые выполняют шифрование и дешифрование диска, встроены в микросхему самого аппаратного обеспечения. Вторичный пароль ATA обеспечивает дополнительный уровень безопасности. Имейте в виду, что если этот дополнительный пароль будет утерян, восстановление данных будет невозможно.

Многие производители дисков с самошифрованием предоставляют программные средства, позволяющие пользователям создавать этот дополнительный пароль.

Если вы заинтересованы, спецификация здесь

Источники:

https://trustedcomputinggroup.org/wp-content/uploads/TCG_Storage-Opal_SSC_v2.01_rev1.00.pdf

https://www.ontrack.com/uk/blog/concepts-explained/what-is-the-tcg-opal/

https://www.esecurityplanet.com/network-security/The-Pros-and-Cons-of-Opal-Compliant-Drives-3939016.htm