Comprei recentemente um Crucial MX300 para usar como unidade de inicialização e quero aproveitar sua funcionalidade de autocriptografia. Tenho lido sobre SEDs e entendo que eles usam uma chave de criptografia de dados ou DEK (às vezes chamada de chave de criptografia de mídia) e uma chave de autorização que criptografa a DEK.
DePerguntas frequentes do TCG Opal sobre SEDs(enfase adicionada):
R: A chave de criptografia é gerada na unidade e NUNCA SAI DA UNIDADE. O fabricante NÃO retém nem tem acesso à chave. Além disso, você não precisa confiar nisso. Ao colocar um SED em serviçoé considerada uma boa prática começar orientando o SED para regenerar sua chave de criptografia.Fazer isso antes de carregar qualquer software na unidade elimina a possibilidade do fabricante da unidade, ou qualquer outra pessoa que possa ter tido a chance de acessar a unidade antes do proprietário atual, adquirir qualquer segredo, como a chave de criptografia, que poderia ser usada posteriormente para invadir os dados do usuário.
Minha pergunta é: como direciono o SED para regenerar sua chave de criptografia? A única ferramenta gratuita que conheço para trabalhar com SEDs ésedutil. Examinei toda a documentação dessa ferramenta e não consigo encontrar nada sobre como regenerar a DEK.
Alguém sabe como instruir o SED para regenerar a chave de criptografia?
Responder1
Nota: não tenho unidade SED nem tentei o procedimento abaixo. Por favor, use a seu próprio risco
De:
na seçãoApagamento seguro do disco:
Basta passar um comando de apagamento de disco criptográfico (ou apagamento de criptografia) (após fornecer as credenciais de autenticação corretas) para que a unidade gere automaticamente uma nova chave de criptografia aleatória (DEK) internamente. Isso descartará permanentemente a chave antiga, tornando os dados criptografados irrevogavelmente indescriptografáveis.
A partir disso:
Usar o PSID para realizar uma redefinição de fábrica faz com que todos os parâmetros do disco sejam redefinidos para as configurações originais de fábrica, incluindo o seguinte:
- A chave de criptografia usada para criptografar e descriptografar os dados na mídia é alterada para um valor desconhecido.
A partir disso:
- https://github.com/Drive-Trust-Alliance/sedutil/blob/master/linux/PSIDRevert_LINUX.txt(Linux)
- https://github.com/Drive-Trust-Alliance/sedutil/wiki/PSID-Revert(Janelas)
Você tem isto:
Aviso: Esta função apagará todos os seus dados ...
Linux:
setutil-cli --yesIreallywanttoERASEALLmydatausingthePSID <PSIDALLCAPSNODASHES> /dev/sd?
Janelas:
sedutil-cli -–yesIreallywanttoERASEALLmydatausingthePSID <YOURPSID> \\.\PhysicalDrive?
Você deverá ver INFO: revertTper concluído com sucesso.
Se você receber uma mensagem dizendo NOT_AUTHORIZED, você digitou o PSID errado.
Espero que isto ajude.