Как я устанавливаю Опал самошифрования 2,0 SSD?

У меня есть новая установка Ubuntu 18.04.1 на Lenovo ThinkPad L480 с Опалом 2.0 совместимых SSD NVMe внутри. Насколько я понимаю, диск всегда шифруется, но я должен установить пароль так, чтобы сам encrytion ключ был также защищен.

Вопросы:

  1. Корректно мое предположение о шифровании?
  2. Если так, как я могу установить тот пароль?
4
задан 15 February 2019 в 11:17

2 ответа

Вы корректны в этом, шифрование всегда включено. Данные будут автоматически дешифрованы, после того как система загружается. Ключи, которые выполняют шифрование и дешифрование для диска, встраиваются в микросхему в самих аппаратных средствах. Вторичный пароль ATA обеспечивает дополнительный уровень безопасности. Знайте, что, если тот вторичный пароль потерян, восстановление данных будет невозможно.

Многие производители диска самошифрования обеспечивают программные инструменты, чтобы позволить пользователям создать этот дополнительный пароль.

Если Вам интересно, спецификация здесь

Источники:

https://trustedcomputinggroup.org/wp-content/uploads/TCG_Storage-Opal_SSC_v2.01_rev1.00.pdf

https://www.ontrack.com/uk/blog/concepts-explained/what-is-the-tcg-opal/

https://www.esecurityplanet.com/network-security/The-Pros-and-Cons-of-Opal-Compliant-Drives-3939016.htm

3
ответ дан 1 December 2019 в 09:29

The Lenovo ThinkPad L480 with an Opal supported SSD uses a Samsung "MZ-V6E500BW SSD 960 EVO NVMe M.2 500GB", 256GB, or an Intel "180GB Solid State Drive SATA3.2" OPAL2.0 M.2 drive depending on chosen options. Apparently the Intel SSDs have some management capabilities related to vPro that the non-Intel drives don't, such as remote wiping and the ability to enable/disable certain encryption modes.

It also seems that sometimes other drives, such as the Seagate 1200 Pro SSD, are used; so it's important when using Windows to know which drive is being used so you can visit the manufacturer's website.

Once you install a custom operating system you need to use the tools available for that OS. The two main ones for Linux are hdparm and sedutil, see my answer on UNIX and Linux Stack Exchange.

Additional information:

Samsung SSDs have software available to setup their operation, this only works for certain SSDs and operating systems, otherwise the default is no password and encryption is enabled.

For "Ubuntu 12.04 LTS and later" (source: user manual, DC Toolkit .PDF, page 10) the Samsung SSD DC Toolkit is designed to work with Samsung SSD products including PM863, PM863a, SM863, SM863a, PM963 non-customized, 860 DCT, 883 DCT, 983 DCT, 983 DCT M.2, and 983 ZET.

This software is not compatible with other manufacturers' SSDs, nor is it certain to work with other Samsung SSDs. It also has limited support for Windows Server 2012 R2, Widows Server 2016 RS1 (Версия 10.0.14393), RHEL 5.7 до 6.4 (6.4 и более поздние версии имеют полную поддержку) и CentOS.

Для твердотельных накопителей Windows и Samsung используется следующее программное обеспечение: « Samsung SSD Magician DC 2.0 ». Использование загрузочного USB-накопителя с Windows и программным обеспечением Samsung от Windows - еще один, хотя и неудобный, вариант настройки SSD для использования с другой операционной системой.

В руководстве пользователя для Enterprise edition программного обеспечения Magician заявлено, что оно поддерживает только Samsung SSD SM863 и PM863. В потребительской версии заявлено , что утилита управления твердотельными накопителями Magician предназначена для работы со всеми продуктами Samsung SSD, включая серии 470, серии 750, 830, серии 840, серии 850, серии 860, серии 950, 960 Серия и серия 970.

В ваших обстоятельствах вам, вероятно, лучше всего использовать hdparm или настроить sedutil.

Не забудьте установить заставку на короткое время, и спящий режим также должен быть коротким, если вы хотите, чтобы зашифрованный диск оставался защищенным, см. Мой другой ответ, связанный с выше, с включенным зашифрованным диском разблокируется после успешной загрузки

. В полезной статье для Arch Linux объясняется пароли BIOS ATA и в разделе sedutil с дисками , поддерживающими Opal под Linux , объясняется необходимость установки libata.allow_tpm . См. Также вопросы и ответы по переполнению стека: « Доверенные команды ATA - как установить libata allow_tpm » и особенно Статья Dell : « Шифрование операционной системы Ubuntu с использованием жесткого диска SED »

2
ответ дан 1 December 2019 в 09:29

Другие вопросы по тегам:

Похожие вопросы: