Команды возврата sedutil-cli также сбрасывают заданный SID?

Question

Команды возврата sedutil-cli также сбрасывают заданный SID?

В sedutil-cli a

sedutil-cli --PSIDrevert <password> <device>

"Сброс устройства до заводских настроек по умолчанию с использованием пароля SID. Если SP блокировки активен, эта команда УДАЛЯЕТ ВСЕ ДАННЫЕ, требует пароль SID". Я предполагаю, что он возвращает все SID в MSID (производитель по умолчанию, запрашиваемый из интерфейса) и создает новый DEK, если использовалась система блокировки. Это легко.

Мой вопрос: другие команды возврата возвращают указанный пароль в MSID? Например:

sedutil-cli --reverttper <password> <device>

Говорит, что "Сброс (ы) устройства к заводским настройкам по умолчанию с использованием пароля SID. Если SP блокировки активен, эта команда УДАЛЯЕТ ВСЕ ДАННЫЕ, требует пароль SID: "Возвращает ли SID LockingSP и AdminSP обратно к MSID, или они сохраняют свои текущие значения. Точно так же:

sedutil-cli --revertLockingSP <password> <device>

просто деактивировать систему блокировки (и криптографически стереть все заблокированные данные), или она также стирает SID/ пароль для блокирующего SP? Это сделало бы жаргон более логичным (возврат системы в исходное состояние), но это не делает его правдой. Возможность возврата к стертому разблокированному состоянию с одним или двумя шагами при наличии пароля значительно упростит повторную инициализацию.

1

linux disk-encryption opal sedutil opal-ssc

Источник

davolfman 27 ноя '18 в 00:55

1 ответ

Другие вопросы по тегам linux disk-encryption opal sedutil opal-ssc

davolfman 28 ноя '18 в 18:14 2018-11-28 18:14 · Answer 1 · 2018-11-28 18:14

Экспериментально, если я использую установщик в качестве работающей системы и запускаю:

sedutil-cli --revertnoerase oldpassword /dev/sda
sedutil-cli --reverttper oldpassword /dev/sda

Это приводит диск в состояние, в котором я могу бежать

sedutil-cli --initialsetup newpassword /dev/sda

Так как initialsetup не давал старый пароль, единственный способ, которым это сработало бы, - это если бы SID были сброшены до MSID, который он мог извлечь из интерфейса.

Однако при запуске:

sedutil-cli --revertnoerase newpassword /dev/sda
sedutil-cli --activateLockingSP oldpassword /dev/sda
sedutil-cli --activateLockingSP newpassword /dev/sda

Работает только вторая активация. Поэтому --revertnoerase сохраняет SID LockingSP и просто деактивирует его, работая только в том случае, если вы знаете существующий пароль вместо установки нового.

Таким образом, в системе, где известен идентификатор SID AdminSP, но диск слишком глубоко встроен, чтобы получить легкий физический доступ, диск можно восстановить с помощью пароля.