最近、ブート ドライブとして使用するために Crucial MX300 を購入し、その自己暗号化機能を利用したいと考えています。SED について調べているうちに、SED ではデータ暗号化キー (DEK) (メディア暗号化キーと呼ばれることもあります) と、DEK を暗号化する認証キーが使用されることがわかりました。
からTCG オパール SED に関する FAQ(強調追加):
A: 暗号化キーはドライブ上で生成され、ドライブから外に出ることはありません。製造元はキーを保持したり、アクセスしたりすることはありません。さらに、それを信頼する必要はありません。SED をサービスに投入する場合まず、SED に暗号化キーの再生成を指示するのが良い方法だと考えられています。ドライブにソフトウェアをロードする前にこれを行うと、ドライブの製造元や、現在の所有者より前にドライブにアクセスする機会があった可能性のある他の誰かが、後でユーザー データに侵入するために使用される可能性のある暗号化キーなどの秘密を取得する可能性がなくなります。
私の質問は、SEDに暗号化キーを再生成させるにはどうすればよいかということです。私が知っているSEDを操作するための唯一の無料ツールはセドユルそのツールのドキュメントをすべて調べましたが、DEK の再生成に関する情報は見つかりませんでした。
SED に暗号化キーを再生成するように指示する方法を知っている人はいますか?
答え1
注: 私はSEDドライブを持っておらず、以下のものを試したこともありません。自己責任で使用してください。
から:
セクション安全なディスク消去:
暗号化ディスク消去 (または暗号消去) コマンドを渡すだけで (正しい認証資格情報を提供した後)、ドライブは内部で新しいランダム暗号化キー (DEK) を自動生成します。これにより、古いキーは永久に破棄され、暗号化されたデータは取り消し不能な状態になります。
これから:
PSID を使用して工場出荷時設定にリセットすると、次の内容を含むすべてのディスク パラメータが工場出荷時の設定にリセットされます。
- メディア上のデータの暗号化と復号化に使用される暗号化キーが不明な値に変更されます。
これから:
- https://github.com/Drive-Trust-Alliance/sedutil/blob/master/linux/PSIDRevert_LINUX.txt(リナックス)
- https://github.com/Drive-Trust-Alliance/sedutil/wiki/PSID-Revert(ウィンドウズ)
これがあります:
警告: この機能によりすべてのデータが消去されます...
リナックス:
setutil-cli --yesIreallywanttoERASEALLmydatausingthePSID <PSIDALLCAPSNODASHES> /dev/sd?
ウィンドウズ:
sedutil-cli -–yesIreallywanttoERASEALLmydatausingthePSID <YOURPSID> \\.\PhysicalDrive?
「INFO: revertTper が正常に完了しました」と表示されます。
NOT_AUTHORIZED というメッセージが表示された場合は、PSID を間違って入力しています。
お役に立てれば。