Твердотельный накопитель без sed, что это такое

Обновлено: 04.07.2024

Аппаратное полнодисковое шифрование (FDE) теперь доступно у многих поставщиков жестких дисков (HDD) и становится все более распространенным, особенно для твердотельных накопителей. Термин «диск с самошифрованием» (SED) теперь используется для обозначения жестких дисков или твердотельных накопителей со встроенным полнодисковым шифрованием. OPAL — это набор спецификаций для дисков с самошифрованием, разработанный Trusted Computing Group.

Содержание

Обзор

Многие доступные сегодня диски с самошифрованием поддерживают стандарты OPAL 2.0 и Enterprise, разработанные Trusted Computing Group (TCG). Корпоративные версии SAS стандарта TCG называются дисками «TCG Enterprise». Оборудование, изготовленное в соответствии со стандартами, маркируется соответствующим образом.

Техническая реализация управления ключами

Совет. Этот раздел важен для понимания основных концепций эффективного управления ключами и безопасного удаления данных с диска.

Управление ключами происходит внутри контроллера диска, а ключи шифрования обычно представляют собой 128- или 256-битные усовершенствованные стандарты шифрования (AES).

Эту статью или раздел необходимо расширить.

Причина: стандарты Opal полны аббревиатур. Sedutil ссылается на них в FAQ и синтаксисе команд. Было бы полезно назвать важные акронимы (например, SID, MSID, блокирующий SP, административный SP) в этом разделе, потому что они являются неотъемлемой частью управления ключами, определенного в соответствии со стандартом. (См. также w:Условное депонирование ключей). (Обсудить в Talk:Диски с самошифрованием)

Диски с самошифрованием, соответствующие стандартной спецификации TCG OPAL 2.0 (почти все современные диски с самошифрованием), реализуют управление ключами с помощью ключа аутентификации и ключа шифрования данных 2-го уровня. Ключ шифрования данных — это ключ, с помощью которого фактически шифруются данные на диске. Ключ аутентификации — это доступная пользователю парольная фраза 1-го уровня, которая расшифровывает ключ шифрования данных (который, в свою очередь, расшифровывает данные). Этот подход имеет определенные преимущества:

  • Позволяет пользователю изменить парольную фразу без потери существующих зашифрованных данных на диске
    • Это повышает безопасность, так как позволяет быстро и легко реагировать на угрозы безопасности и отзывать скомпрометированную кодовую фразу.

    Для тех, кто знаком, эта концепция похожа на уровень управления ключами LUKS, который часто используется в развертывании dm-crypt. Используя LUKS, пользователь может иметь несколько разных ключей (парольных фраз или ключевых файлов) для расшифровки главного ключа, который, в свою очередь, расшифровывает базовые данные. Этот подход позволяет пользователю изменять или отзывать эти ключи по мере необходимости, без повторного шифрования данных, поскольку главный ключ шифрования 2-го уровня неизменен (сам повторно -зашифровано новой парольной фразой).

    Фактически, на дисках с полнодисковым шифрованием данные всегда шифруются с помощью ключа шифрования данных при сохранении на диск, даже если пароль не установлен (например, новый диск). Производители делают это, чтобы упростить пользователям, которые не хотят включать функции безопасности диска с самошифрованием. Эти диски с самошифрованием можно рассматривать как имеющие пароль нулевой длины по умолчанию, который всегда прозрачно шифрует данные (аналогично тому, как ключи SSH без пароля могут обеспечить безопасный доступ без вмешательства пользователя).

    Если пользователь хочет "включить" шифрование на более позднем этапе, он может настроить ключ аутентификации (например, парольную фразу), который шифрует существующий ключ шифрования данных. Затем пользователю будет предложено ввести парольную фразу при расшифровке ключа шифрования данных в будущем. Важно отметить, что поскольку существующий ключ шифрования данных не создается повторно, установка парольной фразы позволяет заблокировать диск, сохраняя существующие зашифрованные данные на диске, избегая необходимости повторного шифрования диска.

    Преимущества

    Недостатки

    • Эксплойты с постоянной мощностью
    • Эксплойты с использованием ключа в памяти
    • Скомпрометированная прошивка

    Поддержка Linux

    Эту статью или раздел необходимо расширить.

    Причина: в ядре 4.11 появилась поддержка дисков с самошифрованием BLK_SED_OPAL.[4] (Обсудить в Talk:Диски с самошифрованием)

    msed и OpalTool, две известные базы кода с открытым исходным кодом, доступные для поддержки дисков с самошифрованием в Linux, были упразднены, и их усилия по разработке официально объединены в сформируйте sedutil под эгидой The Drive Trust Alliance (DTA). sedutil — это «попытка с открытым исходным кодом (GPLv3) сделать технологию Self Encrypting Drive бесплатной для всех.»

    Установите пакет sedutil AUR, который содержит инструмент sedutil-cli и вспомогательные сценарии для создания пользовательского образа предзагрузочной авторизации (PBA) на основе < i>текущая используемая ОС (например, для настройки пользовательской раскладки клавиатуры консоли).Кроме того, вы можете установить sedutil исключительно для приобретения набора инструментов sedutil-cli, но загрузить и использовать предварительно скомпилированный образ PBA (для BIOS или UEFI), предоставленный Drive Trust Alliance.

    Для использования sedutil необходимо задать для libata.allow_tpm значение 1 (true). Либо добавьте libata.allow_tpm=1 к параметрам ядра, либо задайте для /sys/module/libata/parameters/allow_tpm значение 1 в работающей системе.

    Шифрование корневого (загрузочного) диска

    Эта статья или раздел устарели.

    Причина: часть информации в этом разделе изменилась и может некорректно работать с sedutil v1.15 (Обсудить в разговоре: Диски с самошифрованием)

    Эти инструкции предполагают, что у вас установлен инструмент sedutil-cli (через AUR или другими способами)

    Проверьте, поддерживает ли ваш диск OPAL

    Если вы получите что-то вроде

    тогда ваш диск не поддерживает OPAL. Напротив, следующие выходные данные означают, что поддерживаются стандарты OPAL 1.0 и 2.0:

    Версия вывода sedutils для Windows:

    Загрузить (или создать) образ предзагрузочной авторизации (PBA)

    Загрузите образ предзагрузочной авторизации (PBA) для компьютера с BIOS или UEFI, предоставленный Drive Trust Alliance.

    Фактическая точность этой статьи или раздела оспаривается.

    Причина: этих команд в настоящее время нет в пакете AUR. Более свежие инструкции можно найти в официальной документации. (Обсудить в Talk:Диски с самошифрованием)

    Кроме того, вы можете создать свой собственный образ PBA, используя предоставленные помощники:

    для создания образа EFI (/boot/linuxpba-efi.diskimg) и

    для создания образа BIOS (/boot/linuxpba.diskimg).

    Протестируйте PBA на своем компьютере (необязательно)

    Не рассчитывайте получить список ваших дисков OPAL. Если вы попробуете выполнить PBA с USB-накопителя, а ваш SSD-диск все еще не активирован для блокировки OPAL (как это рекомендуется делать до успешного тестирования PBA), вы получите сообщение об ошибке, в том числе «INVALID PARAMETER» (см. этот вопрос). Но это показывает, что PBA действительно работает и находит ваш диск. Wiki устарела в этом отношении.

    Подготовить и протестировать спасательный образ (необязательно)

    Настроить диск

    Распаковать PBA (при необходимости):

    Используйте вывод lsblk --fs, чтобы определить правильный диск.

    Включить блокировку

    Выключите компьютер, чтобы заблокировать диск.

    При следующем включении компьютера PBA запросит ваш пароль; затем разблокируйте диск и последовательно загрузите расшифрованную ОС.

    Доступ к диску из раздачи

    Проще всего сначала загрузить зашифрованный SSD, чтобы запустить теневую MBR. Затем нажмите клавишу, которая вызывает меню загрузки, и загрузите любое устройство, которое вы предпочитаете. Таким образом, SED будет полностью прозрачным.

    Еще один способ – напрямую загрузиться с дистрибутива и использовать sedutil для разблокировки SSD:

    Для использования sedutil необходимо задать для libata.allow_tpm значение 1 (true). Либо добавьте libata.allow_tpm=1 к параметрам ядра, либо задайте для /sys/module/libata/parameters/allow_tpm значение 1 в работающей системе.

    Отключить блокировку

    Если вы хотите отключить блокировку и PBA:

    Повторно включить блокировку и PBA

    Вы можете позже снова включить блокировку и PBA, используя эту последовательность команд

    Шифрование диска без полномочий root

    Эта статья или раздел нуждается в улучшении языка, синтаксиса вики или стиля. См. Help:Style для справки.

    Диск без полномочий root не требует загрузки PBA. Итак, активировать шифрование так же просто, как запустить:

    Изменение парольной фразы

    Изменение парольной фразы не приводит к потере существующих данных на диске и не требует повторного шифрования данных.

    Выход из приостановки

    Приостановка работы системы по умолчанию приводит к сбою, поскольку питание диска отключается, что приводит к его блокировке. Чтобы выйти из режима ожидания, ядро ​​должно знать хешированный пароль для диска. Эта функция встроена в ядро ​​с версии 4.11, но доступна только через ответвление sedutil, sedutil-sleep-git AUR .

    Сгенерируйте хешированный пароль для блочного устройства, указанного как /dev/device :

    Затем создайте службу systemd, вставив хэши для каждого устройства:

    Безопасное удаление данных с диска

    Стирание всего диска выполняется очень быстро и удивительно просто для самошифрующегося диска. Простая передача команды криптографического стирания диска (или криптографического стирания) (после предоставления правильных учетных данных для аутентификации) приведет к тому, что накопитель самостоятельно сгенерирует новый ключ случайного шифрования данных внутри себя. Это приведет к постоянному отбрасыванию старого ключа, что сделает зашифрованные данные безвозвратно недешифруемыми. Теперь диск будет в состоянии «новый диск».

    ATA-пароль на основе BIOS

    До отраслевого стандарта TCG OPAL 2.0, соответствующий стандарт ATA определил «набор функций безопасности ATA» для полного шифрования диска с использованием дисков с самошифрованием. Это зависит от BIOS ПК, а не от накопителя, чтобы иметь механизм разблокировки, использующий BIOS для установки парольной фразы шифрования пользователя. Этот устаревший метод на основе BIOS (ATA) считался более ненадежным в настройке и подверженным ошибкам в отношении совместимости между поставщиками ПК. Типичные ошибки включают, например, невозможность разблокировать устройство, если оно подключено к системе другого поставщика оборудования. Следовательно, доступность поддержки BIOS для устаревшего механизма паролей снижается, особенно для потребительского оборудования.

    Нынешняя эра защищенных периферийных вычислений и Интернета вещей (IoT) открывает невероятные возможности для инноваций. Однако присущие периферийным вычислительным средам проблемы безопасности могут задушить инновации. Вот почему решения Exascend для дисков с самошифрованием (SED) предоставляют уникальную возможность удвоить инновации, не ставя под угрозу безопасность данных.

    Более того, незначительное влияние SED на производительность системы означает, что шифрование и безопасность данных больше не сопряжены с какими-либо заметными компромиссами. Наоборот, с дисками с самошифрованием пришло время для защиты данных — даже в приложениях с ограниченным профилем риска.

    Благодаря надежному шифрованию AES-256, мощным протоколам, таким как TCG Opal 2.0, и интеллектуальным функциям, таким как пользовательские диапазоны блокировки, SED позволяют серьезно относиться к безопасности.


    Преимущества SED

    Идеально подходит для краев

    Устройства Edge и IoT однозначно подвержены внешним угрозам безопасности. Защищенные твердотельные накопители Exascend гарантируют сохранность данных даже в случае кражи устройства.

    Подходит для любой среды

    TCG Opal 2.0 обеспечивает совместимость между устройствами и операционными системами, гарантируя, что усиленная безопасность возможна в любой системе и операционной среде.

    Непревзойденная безопасность

    Сочетание непробиваемого шифра AES и аппаратного шифрования обеспечивает безопасность данных, неуязвимую для взломов на уровне программного обеспечения и операционной системы.

    Мощная производительность

    Аппаратное шифрование гарантирует, что задача шифрования и расшифровки данных возлагается на устройство хранения, а не напрасно расходуются ценные системные ресурсы.

    Понятие SED

    Абстрактное изображение представляющее полное шифрование диска (FDE) с помощью Exascend

    Полное шифрование диска (FDE)

    При полном шифровании диска, также известном как шифрование всего диска, все данные, хранящиеся на устройстве хранения, шифруются. Это означает, что если устройство хранения попадет в чужие руки, злоумышленник не сможет получить доступ ни к каким данным.

    Преимущества FDE

    • Незначительное влияние на производительность системы при аппаратных реализациях.
    • Шифрование не ограничивается отдельными разделами, папками или файлами.

    Абстрактное изображение представляет Exascend

    Диск с самошифрованием (SED)

    Распространенной реализацией полного шифрования диска является SED. Диски с самошифрованием обеспечивают полное шифрование диска за счет использования специально разработанных устройств хранения, реализующих шифрование на аппаратном уровне. При использовании SED устройство хранения автоматически шифрует данные перед сохранением на нем, поэтому все данные остаются незашифрованными.

    Преимущества SED

    • Незначительное влияние на производительность системы, так как устройство хранения обрабатывает шифрование/дешифрование с помощью встроенного механизма шифрования, а не хост-устройство.
    • Доступно множество различных реализаций, обеспечивающих высокую степень гибкости.

    Изображение, иллюстрирующее безопасную систему с замок, встроенный в интегральную схему». ширина=

    AES-256 (256-битное шифрование AES)

    Шифрование AES-256, или 256-битное усовершенствованное стандартное шифрование (AES), обеспечивает практически нерушимое шифрование с незначительным влиянием на производительность хранилища. В приложениях, где вероятность попадания устройства хранения в чужие руки мала, AES-256 является отличным выбором, гарантирующим, что данные останутся полностью неразборчивыми даже перед лицом самого компетентного и преданного преступника.

    Реализация Exascend AES-256 использует выделенный криптопроцессор внутри флэш-накопителя, что позволяет шифровать и расшифровывать данные, хранящиеся на устройстве, независимо от хоста. Результатом является независимое от программного обеспечения шифрование военного уровня, которому вы можете доверять как данные, так и не замедляющее работу вашей системы.

    Преимущества AES-256

    • Использует невзламываемый 256-битный шифр, также известный как шифр Rijndael.
    • Одобрено США для самого высокого уровня секретности информации, т. е. совершенно секретно.
    • Хорошо поддерживаемый отраслевой стандарт, используемый в широком диапазоне категорий продуктов и отраслей.

    Абстрактное изображение, изображающее цифровой ключ, представляющий твердотельные накопители SED, совместимые с TCG Opal 2.0, от Exascend

    TCG Опал 2.0

    TCG Opal 2.0 – это набор спецификаций для дисков с самошифрованием, созданный Trusted Computing Group (TCG), консорциумом ведущих технологических компаний. Соответствие спецификациям TCG Opal 2.0 защищает пользовательские данные от несанкционированного доступа и гарантирует совместимость устройств в масштабах всей отрасли.

    Соответствие Exascend спецификациям TCG Opal 2.0 означает, что наши диски с самошифрованием защищают пользовательские данные от несанкционированного доступа с помощью таких функций, как аппаратное шифрование и разрешения на чтение/запись на основе LBA.

    Соответствие стандарту TCG Opal 2.0 также гарантирует совместимость устройств в масштабах всей отрасли, что делает его независимым от платформы способом реализации функций безопасности, которые накопитель с самошифрованием предоставляет пользователям и приложениям.

    Преимущества TCG Opal

    • Предоставляет инновационные функции, такие как диапазоны блокировки для конкретных пользователей, что упрощает разделение данных устройства для каждого пользователя.
    • Позволяет почти мгновенно стирать криптографические данные за счет уничтожения ключа шифрования мультимедиа (MEK).
    • Хорошо поддерживаемый отраслевой стандарт, используемый в широком диапазоне категорий продуктов и отраслей.

    Изображение, иллюстрирующее концепцию аутентификации устройств в Exascend SED

    IEEE 1667

    Универсальный стандарт аутентификации устройств хранения, поддерживаемый Институтом инженеров по электротехнике и электронике (IEEE) и поддерживаемый Exascend SED.

    Преимущества IEEE 1667

    Абстрактное изображение, изображающее цифровой щит, представляющий совместимые с Microsoft Bitlocker твердотельные накопители с самошифрованием от Exascend

    БитЛокер

    Функция защиты данных, разработанная Microsoft и поддерживаемая Exascend SED, обеспечивает полное шифрование диска для устройств хранения, используемых с операционными системами Windows.

    < бр />

    Данные — это сердце организации. Сразу после записи данных на жестком диске необходима их полная безопасность. Жесткие диски с шифрованием Seagate Secure™ используют ваши данные, даже если диски будут утеряны, украдены или установлены в другой системе. 1

    • Функция извлечения безопасного удаления, разработанная компанией Seagate, менее чем за секунду преобразовывает все содержимое жесткого диска в нечитаемый формат пути криптографического стирания ключа шифрования данных. после чего диск может быть благополучно утилизирован, перепрофилирован либо возвращен.
    • Функция автоблокировки автоматически блокирует и охватывает покрытие жесткого диска в момент изъятия его из системы или при отключении самого диска или системы. 1
    • Диски с самошифрованием по стандарту FIPS 140-2 Validated™ сертифицированы стандартами США и Канады для защиты данных класса Sensitive but Unclassified (конфиденциальные, но не секретные) и Protected (защищенные). 1,2

    Выберите подходящее семейство жестких дисков с самошифрованием Seagate Secure™.

    <р>1. Технология самошифрования, в том числе по стандарту FIPS, и функция автоблокировки не отличается от всех моделей и стран. Для некоторых моделей может потребоваться компьютер или контроллер, соответствующий характеристикам TCG. Для моделей с повышенной автоблокировкой и самошифрованием по стандарту FIPS требуется компьютер или контроллер, соответствующий характеристикам TCG. TM: Логотип FIPS является сертификационным интерфейсом устройства и технологий (NIST) США. Он не признает одобрения продукта Институтом NIST, либо признает США или Канады.

    <р>2.Жесткие диски с самошифрованием по FIPS 140-2 сертифицированы Национальным институтом оборудования и технологий США (NIST) и Канадским управлением защитой связи (CSE) как соответствующий уровень 2 к модулям шифрования в соответствии с федеральным стандартом обработки информации (FIPS) 140-2. Технология самошифрования по стандарту FIPS доступна не во всех моделях и странах.


    < /p>

    SED, или диск с самошифрованием, – это тип жесткого диска, который автоматически и непрерывно шифрует содержащиеся на нем данные без какого-либо вмешательства пользователя. Что может удивить многих, так это то, что приличная часть накопителей, представленных в настоящее время на рынке, включая популярную серию твердотельных накопителей Samsung 840 Pro, на самом деле являются SED. Но поскольку производители не рекламируют это как основную функцию, она часто теряется в большом количестве, как правило, более важных характеристик.

    Даже после того, как вы купите, установите и начнете использовать один из этих дисков с самошифрованием, шифрование будет настолько прозрачным для пользователя, что маловероятно, что он когда-нибудь поймет, что это диск с самошифрованием.


    Этот процесс шифрования выполняется с использованием уникального и случайного ключа шифрования данных (DEK), который накопитель использует как для шифрования, так и для расшифровки данных. Всякий раз, когда данные записываются на диск, они сначала шифруются в соответствии с DEK. Точно так же всякий раз, когда данные считываются с диска, они сначала расшифровываются тем же DEK, а затем отправляются в остальную часть системы.

    Примечание редактора:
    Приглашенный автор Мэтт Бах является главой Puget Labs и сотрудником Puget Systems, производителя игровых и рабочих станций, с самого начала работая над различными видами производства. Эта статья изначально была опубликована в блоге Puget.

    Это означает, что все данные на диске всегда зашифрованы. Один изящный трюк, который можно сделать на основе этого, — почти мгновенно и полностью стереть жесткий диск. Все, что вам нужно сделать, это приказать SED сгенерировать новый DEK, и все данные на диске немедленно станут тарабарщиной (поскольку ключ, необходимый для расшифровки данных, больше не существует) и их невозможно восстановить. Так что, если вам нужно быстро и безопасно очистить диск перед повторным развертыванием или утилизацией, SED предлагают быстрый и очень безопасный способ сделать это.

    Это действие называется по-разному в зависимости от производителя, хотя чаще всего его называют "безопасным удалением".

    Что такое шифрование SED?

    Хотя автоматическое шифрование и дешифрование данных на жестком диске удобно, само по себе это не так уж полезно, поскольку жесткий диск автоматически расшифровывает данные по запросу. Однако SED также позволяют вам установить так называемый ключ аутентификации (AK), который действует как пароль, блокирующий диск до тех пор, пока ключ не будет введен. Если настроен ключ аутентификации, система запросит ключ при первом включении. Хотя количество попыток зависит от материнской платы, если вы введете неправильный пароль после трех или четырех попыток, система просто заблокирует диск и продолжит процесс загрузки. В этом случае диск становится полностью непригодным для использования до тех пор, пока компьютер не будет выключен и не будет введен правильный ключ.


    Пароль запрашивается во время процесса POST. Если вы введете неправильный пароль 3 или 4 раза подряд, диск останется заблокированным.

    На самом деле, даже если вы удалите его с исходного компьютера и подключите к другому компьютеру, для разблокировки диска все равно потребуется ввести AK. Однако, если вы подключите его к системе, которая не поддерживает шифрование SED, диск будет непригоден для использования. Поскольку материнская плата не имеет возможности ввести ключ аутентификации, привод никогда не узнает, что его можно разблокировать. В результате диск останется заблокированным, и разблокировать его будет невозможно. Если вы не переместите диск в систему, поддерживающую шифрование SED, получить данные на этом диске невозможно.

    По данным Seagate, этот метод шифрования был сертифицирован NIST и CSE как отвечающий требованиям безопасности уровня 2 для криптографических модулей.

    Недостатки SED-шифрования

    Когда безопасность данных является целью, важно знать ограничения и недостатки определенной технологии. SED — отличная технология, но она ничем не отличается от других тем, что у нее, безусловно, есть недостатки. В случае SED основным недостатком является то, что после того, как диск был разблокирован, он остается разблокированным до тех пор, пока питание диска не будет отключено. Другими словами, если вы просто перезагрузите компьютер или усыпите его, диск останется разблокированным.Только после того, как вы полностью выключите компьютер, он снова потребует ввода ключа аутентификации.

    Другими словами, если ваш ноутбук был украден и находился только в спящем режиме, данные на диске полностью раскрыты. Если у вас есть пароль пользователя, установленный в ОС, вор все равно может просто перезагрузить машину, загрузиться в живую среду и получить почти полный доступ к вашим данным. На самом деле, даже если у вас установлены пароль ОС и пароль BIOS, доступ к данным можно получить, переместив диск на другой компьютер без отключения питания. На ноутбуках это было бы сложно (но не невозможно), но на настольном компьютере это довольно просто при правильной настройке.

    Поэтому, если вы все же решите использовать шифрование SED, наш самый главный совет — выработать привычку выключать систему, когда она не используется, а не просто переводить ее в спящий режим.

    Второй недостаток шифрования SED заключается в том, что оно работает только в простых конфигурациях дисков. Вы можете иметь несколько дисков в одной системе с включенным шифрованием SED и даже использовать программный RAID, но делать что-то вроде аппаратного RAID просто не поддерживается.

    Что необходимо для работы шифрования SED?

    Мы обнаружили, что полная поддержка SED на самом деле очень плохая. Существует множество моделей жестких дисков и твердотельных накопителей, поддерживающих шифрование SED (хотя найти их может быть сложно), но для полной поддержки SED также требуется совместимая материнская плата.

    Некоторые функции SED (например, автоматическое шифрование и дешифрование данных и безопасное стирание) будут работать независимо от системной платы. Но если вы хотите использовать шифрование SED, установив ключ аутентификации, вам потребуется материнская плата, поддерживающая это.

    Многие ноутбуки имеют возможность использовать ключ аутентификации без необходимости в специальной настройке BIOS. Однако у них часто отсутствует возможность настроить AK через BIOS. Конечно, это не означает, что каждый ноутбук будет поддерживать шифрование SED, но, по нашему опыту, ноутбуки в целом поддерживают его гораздо чаще, чем системные платы для настольных компьютеров или серверов.

    Общаясь с Asus, Super Micro и Samsung, мы обнаружили, что большинство материнских плат для настольных ПК и серверов полностью поддерживают SED, но возможность использования ключа аутентификации явно отключена. Причина этого, по-видимому, в том, что производители опасаются, что пользователь может случайно заблокировать свой жесткий диск и не вспомнить, что он использовал для ключа аутентификации. Таким образом, вместо того, чтобы рисковать тем, что разгневанный клиент случайно заблокирует свои диски, они оставляют эту специфическую функцию SED отключенной. Тем не менее, нам удалось получить пользовательские файлы BIOS от производителя, которые открыли возможность использования ключей аутентификации.

    Управление паролями шифрования SED

    На материнской плате, которая полностью поддерживает шифрование SED, есть вероятность, что в настройках BIOS есть возможность установить, изменить или удалить ключ аутентификации SED на диске SED. Однако мы обнаружили, что многие материнские платы, поддерживающие SED, не имеют встроенной в BIOS этой возможности. В этих случаях вы можете использовать программное обеспечение, такое как Winmagic, для управления ключом шифрования SED, или вы можете выполнить ряд шагов, используя живую среду Linux, чтобы управлять ключом аутентификации SED без необходимости в платном программном обеспечении.

    Вы можете следовать указаниям Ubuntu о том, как создать LiveCD, который должен включать все, что вам нужно. После того, как ваша система загрузится в живую среду Linux, вы должны выполнить три комбинации шагов, чтобы установить, удалить или изменить пароль шифрования SED.

    • Независимо от того, что вы хотите сделать, вы должны сначала найти диск, на котором вы хотите управлять паролем шифрования SED, и разблокировать его.
    • Далее, если вы хотите изменить пароль шифрования SED или полностью удалить шифрование SED, вам необходимо отключить шифрование SED.
    • Наконец, вам необходимо включить шифрование SED с новым паролем, если вы меняете пароль шифрования SED или устанавливаете новый пароль шифрования SED.

    Обнаружение и размораживание диска

    Откройте терминал с панели инструментов Unity или с помощью комбинации горячих клавиш "ctrl+T"


    Включите привилегии суперпользователя, введя команду ' su '. Вам будет предложено ввести пароль.


    Введите команду " lsblk ", которая выведет список дисков, находящихся в системе. Найдите имя диска (sda, sdb и т. д.), для которого вы хотите изменить пароль шифрования или отключить шифрование SED.


    Введите команду « hdparm -I /dev/X », где X — имя диска (sda, sdb и т. д.).), чтобы проверить текущее состояние диска. Обязательно используйте «-I», который является прописной буквой i, а не единицей или строчной буквой L. Убедитесь, что есть строка с надписью «включено». Если вместо этого в этой строке указано «не включено», то шифрование SED в данный момент не включено на этом диске. Либо шифрование SED никогда не настраивалось, либо вы используете неверное имя жесткого диска (sda, sdb и т. д.)


    Обычно диск помечается как замороженный (обозначается строкой "заморожен"), и перед продолжением его необходимо разморозить. Чтобы разморозить диск, переведите систему в спящий режим, щелкнув значок шестеренки в правом верхнем углу экрана и выбрав «Приостановить». Примерно через 10 секунд нажмите кнопку питания, чтобы вывести систему из спящего режима.


    Повторите команду " hdparm -I /dev/X ", чтобы убедиться, что диск теперь помечен как "не замороженный". Если он все еще завис, вам нужно будет физически отключить диск на несколько секунд, пока система находится в рабочей среде, а затем повторить команду.


    Отключить текущее шифрование SED

    После выполнения действий по поиску и размораживанию диска выполните команду " hdparm --security-disable PASSWORD /dev/X ", где PASSWORD – текущий пароль SED, а X – имя диска (sda, sdb и т. д.) чтобы удалить текущее шифрование SED. Если вы хотите оставить SED отключенным, процесс завершен. Если вы хотите сбросить SED с новым паролем, читайте дальше.


    Включить шифрование SED с новым паролем

    После выполнения действий по поиску и размораживанию диска, а затем отключению шифрования SED, затем введите команду " hdparm --user-master u --security-set-pass PASSWORD /dev/X ", где PASSWORD – это пароль, который вы хотите использовать, а X — это имя диска (sda, sdb и т. д.), чтобы повторно включить шифрование SED с новым паролем.


    Введите команду « hdparm -I /dev/X » еще раз и найдите строку «включено» (вместо «не включено»), чтобы убедиться, что SED включен. На этом этапе вы должны полностью отключить питание системы (не стандартная перезагрузка), чтобы убедиться, что пароль SED установлен правильно.


    Заключение

    Поработав с шифрованием SED и увидев, насколько хорошо оно работает, мы на самом деле очень удивлены тем, как мало оно поддерживается на современных материнских платах. На самом деле, многие производители материнских плат активно отключают шифрование SED и требуют специального BIOS, чтобы сделать его активным. Однако другие материнские платы поддерживают шифрование SED, хотя возможность управления паролем недоступна в BIOS. В этих случаях вы по-прежнему можете использовать шифрование SED, но вам нужно пройти через громоздкий процесс, связанный с живой средой Linux.

    В целом, мы пришли к выводу, что шифрование SED отлично работает, если вы делаете домашнее задание и знаете, что оно будет работать в вашей системе. Диски с самошифрованием имеют свои недостатки (в основном это требует ввода пароля только при первом включении компьютера), но они просты в использовании и эффективны для очень широкого круга приложений.

    Если вы заинтересованы в шифровании своих данных, мы настоятельно рекомендуем проверить шифрование SED, прежде чем рассматривать такие варианты, как Bitlocker или другое программное шифрование.

    Используете ли вы шифрование жесткого диска на своем компьютере, либо шифрование SED, либо что-то еще? Сообщите нам о своем опыте в комментариях ниже!

    Читайте также: