Portabilità del SED suppportente TCG Opal 2.0

Naviga le tue risposte
4

Ho ordinato un Samsung SSD (850 PRO SATA) che supporta TCG Opal 2.0.

All'inizio pensavo di impostare una password HDD (ovvero una password ATA) tramite BIOS. Ma i produttori di schede madri non sembrano specificare se questa funzionalità è supportata dal mobos. La mia comprensione è che con TCG Opal possiamo saltare interamente il BIOS e impostare la password del disco usando uno strumento come sedutil . Il disco stesso ha quindi un sistema operativo shadow che richiede la password durante l'avvio, indipendentemente dal sistema operativo in uso (nel mio caso linux) e dal BIOS.

Ho due domande sulla portabilità dell'unità e il supporto per l'ibernazione.

  1. Posso prendere un disco crittografato, con la password impostata (TCG Opal), e spostarlo su un altro computer? Poiché la password è memorizzata all'interno del disco e gestita da questo sistema operativo ombra, presumo che funzioni, ma non ho trovato conferma da nessuna parte.
  2. La sospensione funzionerà come al solito, ed è la password per il disco richiesta dopo l'avvio del computer dalla modalità di sospensione?
posta Daniel 20.02.2017 - 23:12
fonte

1 risposta

3

Lascia che ti fornisca alcuni dettagli estesi. Ho segnato la risposta alle tue due domande in grassetto:

  1. La maggior parte delle implementazioni BIOS supporta il set di funzionalità di sicurezza ATA (indicato anche come password ATA o classe di protezione ATA 0) per i dispositivi SATA. Se tutto ciò di cui hai bisogno da SED è la crittografia dei dati e il blocco con una singola password, considera prima questa opzione.
  2. La funzione MBR Shadowing consente all'host di sbloccare i dispositivi TCG Opal senza alcun supporto BIOS. Dopo il dispositivo di accensione mostra di ospitare una partizione PBA shadow speciale (Autenticazione pre-avvio) anziché il contenuto del disco originale. Questa partizione contiene il codice per sbloccare il dispositivo e rimuovere lo shadowing. Il BIOS carica questo codice e lo esegue (pensando che questo sia il sistema operativo effettivo). Solo allora il contenuto del disco originale diventa visibile e viene eseguito il boot loader originale. La portabilità di tale soluzione è inferiore perché il codice PBA non supporta tutte le architetture (il sedutil che hai citato fornisce l'immagine PBA solo per PC e Mac compatibili con x86) e non può sbloccare il dispositivo dopo la sospensione (modalità S3).
  3. Shadow PBA funziona come ibernazione ma non funziona per Sleep. Il dispositivo è spento in entrambi i casi, ma il BIOS carica il sistema da zero solo per il primo caso. Il dispositivo rimane bloccato dopo il risveglio da Sleep e richiede il supporto TCG dal sistema operativo o dall'applicazione di sicurezza.
  4. Il codice dalla partizione PBA shadow non gestisce la password di sblocco, fornisce solo una GUI per l'immissione e l'utilizzo per l'autenticazione. La password (o di solito la sua derivazione) è gestita dal firmware del dispositivo in un modo specifico del fornitore.
risposta data 28.09.2017 - 01:59
fonte

Leggi altre domande sui tag

XSS e politica di sicurezza dei contenuti È possibile creare un certificato OpenSSL con valori di campo non inglesi?