Аппаратное шифрование ssd linux

Как начать использовать аппаратное шифрование SSD-диска на примере Samsung EVO 850 и программы sedutil

Это просто короткая подсказка, которую, я надеюсь, можно использовать и для других дисков со встроенным шифрованием (SED, self encrypting drives). Здесь нет глубокого разъяснения принципов и терминов.

Samsung EVO или PRO всегда хранит данные в зашифрованном (AES) виде, даже если вы ничего для этого не предпринимали. Просто, пока вы не включили защиту, он всегда эти данные возвращает расшифрованными. А когда включите защиту, потребует пароль для расшифровки. Это означает, что установка пароля не приведёт к тому, что скорость работы диска упадёт, всё шифровалось и без него. А также означает, что не придётся диск шифровать от начала до конца – он уже зашифрован.

Однако, нет никаких сведений о том, какой ключ шифрования используется. Возможно, он один и тот же для всех дисков модели, или, например, для тех, что поставляются к нам. И при серьёзных усилиях (например, перепаять кусок от диска-донора, в котором пароль не установлен) можно будет данные прочитать.

Но если вам просто, как и мне, неприятно, что кто-то может бесстыдно покопаться в данных украденного у вас или потерянного ноутбука, то предлагаемого метода вполне достаточно.
Закрыть данные на дисках Samsung EVO можно одним из трёх способов (не нужно пытаться их комбинировать, только сломаете всё):

1. установить пароль диска ATA в BIOS

Это самый простой способ, но, практически бесполезный. Кроме user-пароля, BIOS, как правило, прописывает ещё и master-пароль, который известен сервисной службе компании-производителя компьютера, и потом добрые люди могут помочь расшифровать данные любому обратившемуся за помощью. См., например, конференции iXBT, “Снять пароль с биоса (BIOS)”.

В сети описаны примеры некрасивой работы BIOS при установке пароля ATA, кеширования пароля в BIOS и чтения его оттуда, использования hdparm вместо BIOS для установки пароля, чтения диска с установленным паролем на компьютере той же модели и т.д. При желании можете сами почитать и оценить, но меня этот способ разочаровал.

2. включить функционал eDrive и использовать BitLocker

Неплохо, но годится только для дорогих версий Windows, и не годится для linux, если что.

3. использовать функции TCG OPAL через утилиту sedutil

Крупными мазками: идея этого метода в том, что при активизации защиты, после включения питания диск, вместо своего настоящего содержимого, показывает маленький служебный раздел. Туда можно записать что угодно, но обычно это утилита, которая спросит у вас пароль и попытается скормить его диску, чтобы он заработал по-настоящему.

Плюс этого метода в том, что пароль вводится до загрузки операционной системы, то есть ничего в операционной системе менять не нужно, и некому этот пароль перехватить.

• Компьютер нельзя переводить в состояние standby. После возобновления подачи питания на диск он будет в заблокированном состоянии. Операционная система, проснувшаяся в оперативной памяти, резко свалится.
• Лишняя перезагрузка — после ввода пароля, когда диск открыл своё истинное содержимое, машина перезагружается, чтобы BIOS заново определил, что это за диск.

Прежде, чем продолжить, зададимся вопросом, а можно ли в результате неправильных действий превратить диск в кирпич, то есть в массо-габаритную модель диска, не отвечающего на внешние раздражители?

Ну, данные потерять можно запросто, если неправильно задать пароль при закрытии диска, или тут же его забыть, например. Поэтому ОБЯЗАТЕЛЬНО выполнить резервное копирование перед всеми последующими действиями.

В случае же, когда диск не поддаётся расшифровке, его обычно можно сбросить в исходное (фабричное) состояние, правда, ценой полной потери данных.

Итого: кирпич можно вернуть к жизни, но данных можно лишиться.

Вернёмся к дискам Samsung.

Готовой утилиты на служебном разделе у дисков Samsung нет. Есть коммерческие программы, которые могут туда себя прописывать, но мы воспользуемся бесплатной утилитой с открытым исходным кодом – sedutil (в девичестве — msed).

Качаем файлы из раздела executable distributions (не забудьте раскрыть архивы .gz. ):

Архив sedutil_WIN.zip – то, чем мы будем оживлять шифрование на диске, если мы работаем под Windows. Далее идёт описание работы именно под Windows. Работа c linux-версией практически не отличается. Разве что названия дисков разные, например, вместо \\.\PhysicalDrive0 будет /dev/sda.

Архивы LINUXPBARelease.img.gz или UEFI64_Release.img.gz – содержат то, что будет загружаться с маленького раздела диска, когда основное его содержимое станет заблокировано после выключения питания. Разные варианты для машин с BIOS и UEFI.

Архив Rescue.img.gz – содержит образ утилиты восстановления – если что-то пойдёт не так и захочется всё вернуть назад, а компьютер не грузится.

Записываем на флешку утилиту восстановления на всякий случай (предложенной программой Win32DiskImager) и проверяем, что можем с неё загрузиться. Заодно увидим, что работает она из командной строки linux, и убедимся, что мы его не боимся.

Также на сайте рекомендуется записать на другую флешку LINUXPBARelease.img и проверить, что при загрузке и вводе любого пароля мы увидим список дисков. Но это не так, на сайте устаревшее описание, которое забыли поменять (по состоянию на 01.01.2017). Если диск ещё не зашифрован, мы получим только сообщения об ошибках и уйдём в перезагрузку. Не расстраивайтесь, это нормально (описано в Issues на github).

Итак, из командной строки посмотрим, кто из дисков у нас способен к самошифрованию:

Закроем оба диска, но пароль для них будет один. Поскольку мы будем вводить его в командной строке, нужно, чтобы в нём не было символов, которые в командной строке имеют специальное значение, вроде всяких пробелов-слешей-кавычек-меньше-больше. Кроме того, символы, которые вы будете использовать, должны быть доступны при вводе с клавиатуры при загрузке компьютера (читай, символы QWERTY-клавиатуры). Наконец, забейте пароль в текстовый файл, сохраните его на флешку, и вставляйте его при помощи Copy-Paste в последующие команды.

Допустим, загрузочный диск у нас — PhysicalDrive1.

Пусть пароль у нас будет MyPassword.

Загружаем в служебный раздел образ загрузчика (здесь вы должны определить, какой вариант загрузчика вам нужен: BIOS или UEFI )

Тот самый момент, после которого диск начинает вести себя по-другому после выключения питания:

Зашифруем заодно и второй диск (не загрузочный). Всё то же самое, только загрузчик можно на него не записывать.

После выключения питания и включения вновь, увидим запрос пароля. Если ввели его неправильно – перезагрузка и повторный запрос. Если правильно – перезагрузка и запуск операционной системы с открывшегося раздела диска.

В случае успеха можете наблюдать, как в Windows изменились значки диcков – у них появились открытые жёлтые замочки:

В случае неудачи… Хм… Выходные длинные нынче. Начните с более подробного изучения утилиты sedutil, руководствуясь приведённой выше ссылкой.

Прежде всего, в разделе «Remove OPAL» говорится о том, как восстановить обычное поведение диска, чтобы он опять работал без подмены разделов при включении и без запроса пароля.

В разделе «PSID Revert» приводятся крайние меры, когда вы забыли/не знаете пароль, но хотите оживить диск ценой потери данных. При этом потребуется узнать уникальный номер диска (PSID), обычно написанный где-то у него на корпусе.

Источник

Как включить шифрование SSD?

Я только что купил samsung evo 840, который поддерживает шифрование AES-256.

Прочитав очень небольшую документацию, которую я смог найти о шифровании SSD, я обнаружил, что мне нужно зайти в свой BIOS, перейти на вкладку безопасности, выбрать шифрование HDD и установить пароль. Проблема в моем bios medion ms-7728, на вкладке «Безопасность» есть только две опции: пароль администратора, пароль пользователя.

Я не смог найти какие-либо спецификации этого BIOS, где я мог бы прочитать, если он не поддерживает шифрование жесткого диска, или если это так, и мне просто нужно обновить контроллер.

Нужно ли обновлять контроллер, чтобы BIOS распознал шифрование жесткого диска? И если нет, то какие альтернативы я должен установить пароль для моего SSD?

1 ответ 1

Я не думаю, что ваша материнская плата Medion /BIOS поддерживает это. Я думаю, вам понадобится более новый BIOS или материнская плата, и ноутбук, скорее всего, его поддержит.

Информацию об этом невероятно сложно найти

В некоторых случаях производитель использует пароль жесткого диска или пароль ATA (настраивается через многие BIOS ноутбуков, очень мало настольных BIOS или расширение BIOS ATASX) для шифрования ключей AES.

Эта последняя ссылка звучит как решение, по крайней мере для AMI-BIOS. Я не думаю, что это то, что у вас есть, поэтому я не думаю, что вы можете включить это. Или , возможно , он уже включен, но вы не можете изменить пароль , так что всегда «разблокирован» 🙁

Вот некоторая информация о красной сельди, которую я выкопал на пути к заключению выше.

Я подумал, что это функция, которая может использоваться программными программами шифрования, такими как dm-crypt/cryptsetup/BitLocker/FileVault/truecrypt и т.д. . после прочтения об этом, он звучит почти идентично тому LUKS, где «случайный» «ключ используется для шифрования всего диска, а пароль пользователя и мастер-пароль могут быть установлены для разблокировки диска, а стирание» случайного «ключа делает диск эффективно заблокированным» навсегда «.

Но, читая брошюру Security Encryption (она довольно толстая с «marketingspeak») по вашей ссылке, я не думал, что она имеет какое-либо отношение к каким-либо настройкам BIOS или действительно любым настройкам на вашем компьютере. Я даже не уверен, что если вы введете пароль при его включении, он больше похож на систему с дистанционным управлением, где ключи устанавливаются и проверяются удаленным сервером, поэтому дешифровать могут только «безопасные» диски. и работают, и любые, которые пытаются включить в неправильное время или место, остаются заблокированными.

В брошюре говорится:

Samsung предлагает диски с самошифрованием (SED), которые зашифрованы аппаратно и автоматически шифруют или дешифруют все данные, передаваемые на и с SSD.

Так что не похоже, что это имеет какое-либо отношение к какому-либо работающему программному обеспечению. Но это не имело бы большого смысла, если бы вы не использовали реальный физический ключ для разблокировки диска, и это было бы не очень удобно. Читать дальше:

Незаметное для пользователя аппаратное шифрование, встроенное непосредственно в электронику привода, максимизирует производительность. Напротив, программное шифрование обременяет центральный процессор (ЦП) и снижает производительность. Аппаратное шифрование SED включает в себя встроенную схему в микросхеме контроллера, которая автоматически шифрует все данные, передаваемые на запоминающее устройство. Благодаря аппаратному шифрованию контроллер дисковода шифрует и дешифрует все данные.

Аппаратное шифрование выполняется на реальном оборудовании, а аутентификация пользователя выполняется накопителем до его разблокировки, независимо от операционной системы (ОС).

В сотрудничестве с независимыми поставщиками программного обеспечения (ISV), которые предоставляют инструменты управления безопасностью для SED, Samsung предоставляет SED, которые соответствуют спецификации TCG Opal, разработанной Trusted Computing Group, и стандартам IEEE 1667, которые поддерживаются (например, Microsoft) BitLocker в Windows 8.

Защитите доступ к данным с помощью Wave Cloud и сервера удаленного администрирования Wave Embassy (ERAS)

Wave Systems — это независимый поставщик программного обеспечения, который предлагает безопасный контроль доступа к данным на мобильных платформах, доступ к облаку и безопасный вход в сеть с персональных устройств пользователей. Решения Wave System дополняют технологию безопасности Samsung SED, управляя доступом авторизованных пользователей к дискам и данным.

Несмотря на то, что они поддерживают технологию SED, твердотельные накопители 840 и 840 Pro Series не поддерживают интерфейс управления спецификациями хранения OPAL. Диски OPAL предназначены для предприятий, которым необходимо управлять протоколами безопасности и которые хотят иметь расширенный контроль над аутентификацией. При поддержке стороннего программного обеспечения ИТ-менеджеры могут установить подробные положения безопасности, чтобы ограничить доступ по разделам, физическому расположению ноутбука и т.д. Всем, кто заинтересован в этом уровне управления безопасностью, следует изучить варианты корпоративного класса TCG/OPAL SED.

Однако тот, кто хочет управлять персональным компьютером или SMB, который зависит от своих сотрудников, чтобы справиться с большей частью собственной ИТ-поддержки, обнаружит, что функция SED твердотельных накопителей Samsung 840 и 840 Pro Series хорошо соответствует их потребностям. Эти твердотельные накопители обеспечивают базовую, но надежную защиту с минимальными усилиями и затратами.

Включение шифрования AES

Шифрование AES всегда активно на SSD 840 или 840 Pro Series. Однако, чтобы воспользоваться преимуществами функции шифрования, пользователь должен включить пароль ATA, чтобы ограничить доступ к данным. В противном случае AES-шифрование становится неэффективным — похоже на наличие сейфа, но при этом дверь остается открытой. Чтобы установить пароль ATA, просто войдите в BIOS, перейдите в меню «Безопасность», включите «Пароль при загрузке» и установите «Пароль HDD». Администраторы также имеют возможность установить «Мастер-пароль», который позволяет восстановить утерянный пароль пользователя («Пароль HDD»). «Мастер-пароль» также может быть использован для разблокировки и / или удаления диска (в зависимости от настроек), эффективного уничтожения и, следовательно, защиты данных, но позволяющего использовать диск повторно. Процедура настройки может немного отличаться в зависимости от версии BIOS, установленной на конкретном компьютере. В случае путаницы лучше обратиться к руководству пользователя .

Источник

Полное шифрование SSD диска

Привет. Искал в поиске, но свежей/актуальной информации не нашел. Подскажите, пожалуйста, стоит ли использовать полное шифрование диска на SSD с помощью LUKS, например? Файловая система xfs. Не снижает ли его ресурс. Дистр. debian 9. Спасибо.

Да. Неважно, какой диск и какая ФС. Если ФС или диск не подходят для шифрования, надо менять.

Ничего не поменялось, инструкции за 2012-2015 годы будут актуальными.

Разве что обрати внимание на опцию trim — насколько для тебя это критично.

Смотри сам. allow-discards может снизить безопасность (теоретически, можно определить, что там за ФС у тебя в криптоконтейнере, например), но продлит жизнь твоему SSD. Инструкции? cryptsetup luksFormat -c aes-xts-plain64 -s 256 -h sha256 /dev/[твой диск].

Ничего не поменялось, инструкции за 2012-2015 годы будут актуальными.

Сейчас даже дисковое шифрование через гребанный systemd настраивается.

Т.е. типа не стоит париться по этому поводу можно спокойно использовать на SSD то шифрование которое предлагается при установке OS?

В смысле? Crypttab на месте. В initramfs своя кухня.

Источник