Недавно я приобрел Crucial MX300 для использования в качестве загрузочного диска и хочу воспользоваться его функцией самошифрования. Я читал о SED и понял, что они используют ключ шифрования данных или DEK (иногда называемый ключом шифрования носителя) и ключ авторизации, который шифрует DEK.
ИзЧасто задаваемые вопросы TCG Opal по SED(выделено мной):
A: Ключ шифрования генерируется на плате накопителя и НИКОГДА НЕ ПОКИДАЕТ ДИСК. Производитель НЕ сохраняет и даже не имеет доступа к ключу. Более того, вам не обязательно доверять ему. При вводе SED в эксплуатациюХорошей практикой считается начать с указания SED повторно сгенерировать свой ключ шифрования.Выполнение этого действия до загрузки какого-либо программного обеспечения на диск исключает возможность того, что производитель диска или кто-либо другой, имевший возможность получить доступ к диску до его текущего владельца, получит доступ к какой-либо секретной информации, например, ключу шифрования, который впоследствии можно будет использовать для взлома пользовательских данных.
Мой вопрос: как мне заставить SED регенерировать свой ключ шифрования? Единственный известный мне бесплатный инструмент для работы с SED — этоседутил. Я просмотрел всю документацию по этому инструменту, но не смог найти ничего о восстановлении DEK.
Кто-нибудь знает, как дать команду SED регенерировать ключ шифрования?
решение1
Примечание: у меня нет SED-диска, и я не пробовал следующее. Пожалуйста, используйте на свой страх и риск
От:
в разделеБезопасное стирание диска:
Простая передача команды криптографического стирания диска (или крипто-стирания) (после предоставления правильных учетных данных аутентификации) заставит диск самостоятельно сгенерировать новый случайный ключ шифрования (DEK) внутри. Это навсегда отменит старый ключ, тем самым сделав зашифрованные данные безвозвратно не поддающимися расшифровке.
Из этого:
Использование PSID для выполнения сброса настроек к заводским приведет к сбросу всех параметров диска до заводских настроек, включая следующие:
- Ключ шифрования, используемый для шифрования и дешифрования данных на носителе, изменен на неизвестное значение.
Из этого:
- https://github.com/Drive-Trust-Alliance/sedutil/blob/master/linux/PSIDRevert_LINUX.txt(Линукс)
- https://github.com/Drive-Trust-Alliance/sedutil/wiki/PSID-Revert(Окна)
у вас есть это:
Предупреждение: эта функция удалит все ваши данные...
Линукс:
setutil-cli --yesIreallywanttoERASEALLmydatausingthePSID <PSIDALLCAPSNODASHES> /dev/sd?
Окна:
sedutil-cli -–yesIreallywanttoERASEALLmydatausingthePSID <YOURPSID> \\.\PhysicalDrive?
Вы должны увидеть ИНФОРМАЦИЮ: revertTper завершен успешно.
Если вы получили сообщение NOT_AUTHORIZED, вы ввели PSID неправильно.
Надеюсь это поможет.