Как мне сказать SED восстановить ключ шифрования?

Question

Как мне сказать SED восстановить ключ шифрования?

Недавно я купил Crucial MX300 для использования в качестве загрузочного диска, и я хочу воспользоваться его функцией самошифрования. Я читал о SED, и я понимаю, что они используют ключ шифрования данных или DEK (иногда называемый ключом медиа-шифрования) и ключ авторизации, который шифрует DEK.

Из TCG Opal FAQ по SEDs (выделение добавлено):

A: Ключ шифрования генерируется на борту накопителя, и НИКОГДА НЕ ОСТАВЛЯЕТ ПРИВОД. Производитель НЕ сохраняет или даже не имеет доступа к ключу. Более того, вам не нужно доверять этому. При вводе в эксплуатацию SED считается хорошей практикой начинать с того, что SED регенерирует его ключ шифрования. Выполнение этого перед загрузкой любого программного обеспечения на диск исключает возможность производителя диска или кого-либо еще, кто мог иметь доступ к диску до текущего владельца, приобретая любой секрет, такой как ключ шифрования, который впоследствии мог бы использоваться для взломать пользовательские данные.

У меня вопрос, как я могу направить SED для восстановления своего ключа шифрования? Единственный бесплатный инструмент для работы с SED - это sedutil. Я изучил всю документацию по этому инструменту и не могу найти ничего о восстановлении DEK.

Кто-нибудь знает, как дать команду SED восстановить ключ шифрования?

3

security disk-encryption self-encrypting-drive opal sedutil

Источник

Dominic P 23 сен '16 в 16:52

1 ответ

Решение

Другие вопросы по тегам security disk-encryption self-encrypting-drive opal sedutil

levant pied 23 сен '16 в 18:13 2016-09-23 18:13 · Accepted Answer · 2016-09-23 18:13

Примечание: у меня нет диска SED, и я не пробовал ниже. Пожалуйста используйте на свой страх и риск

От:

https://wiki.archlinux.org/index.php/Self-Encrypting_Drives

в разделе Безопасное удаление диска:

Простая передача команды криптографического удаления диска (или crypto erase) (после предоставления правильных учетных данных аутентификации) заставит накопитель самостоятельно генерировать новый случайный ключ шифрования (DEK) внутри. Это навсегда отбросит старый ключ, что сделает зашифрованные данные безвозвратно недопустимыми.

Из этого:

https://library.netapp.com/ecmdocs/ECMP1636022/html/GUID-68D4D72F-8884-4AAE-B8C6-CCF0A8D6129B.html

Использование PSID для восстановления заводских настроек приводит к сбросу всех параметров диска до заводских настроек, включая следующие:
Ключ шифрования, используемый для шифрования и дешифрования данных на носителе, изменяется на неизвестное значение.

Из этого:

у вас есть это:

Предупреждение: эта функция удалит все ваши данные...

Linux:

setutil-cli --yesIreallywanttoERASEALLmydatausingthePSID <PSIDALLCAPSNODASHES> /dev/sd?

Окна:

sedutil-cli -–yesIreallywanttoERASEALLmydatausingthePSID <YOURPSID> \\.\PhysicalDrive?

Вы должны увидеть INFO: revertTper успешно завершен.
Если вы получили сообщение NOT_AUTHORIZED, вы ввели неверный PSID.

Надеюсь это поможет.