| Оглавление |
|---|
| Информация |
|---|
Аппаратное защитное преобразование данных на дисках (FDE, Full-Drive Encriptipon) предоставляется сейчас многими производителями накопителей данных, и особо позиционируется как общее решение для защиты данных, хранящихся на твердотельных накопителях. Термин "самошифрующийся накопитель" (Self-Encrypting Drive, SED) применяется для HDD/SSD с встроенным механизмом защитного преобразования данных FDE. Основным стандартом для таких устройств является спецификация OPAL, разрабатываемая . |
| Предупреждение |
|---|
| Описанные в данной статье решения не являются сертифицированными решениями для защиты конфиденциальных данных, подвержены уязвимостям и могут обладать недокументированными возможностями, позволяющими получать несанкционированный доступ к данным. |
| Предупреждение |
|---|
Данная технология несовместима с режимами пониженного энергопотребления компьютеров, при которых обесточиваются подключенные периферийные устройства (S3 («Suspend to RAM» (STR) в BIOS, «Ждущий режим» («Standby») ). |
| Информация |
|---|
Данная статья применима к:
|
Начало работы: установка ПО и проверка оборудования
| Предупреждение | ||
|---|---|---|
Программное обеспечение для реализации режима защиты данных FDE не является сертифицированным решением, и не входит в репозитории и дистрибутивы ОС Astra Linux. Для работы, поддерживающего этот режим, требуется разрешить использование специальных служебных команд команд ATA (allow TMPTPM) в параметрах ядра (точнее, в параметрах входящей в ядро библиотеки libata).
Использование ПО требует привилегий суперпользователя. |
Для того, чтобы проверить, поддерживает ли имеющееся оборудование технологию защиты данных FDE, нужно скачать и установить ПО sedutil.
ПО sedutil свободно доступно по ссылке https://github.com/Drive-Trust-Alliance/exec/blob/master/sedutil_LINUX.tgz?raw=true и скачать его можно командой:
| Command |
|---|
| wget https://github.com/Drive-Trust-Alliance/exec/blob/master/sedutil_LINUX.tgz?raw=true -O sedutil_LINUX.tgz |
После загрузки в текущем каталоге будет создан архив sedutil_LINUX.tgz, который нужно распаковать:
| Command |
|---|
| tar xzf sedutil_LINUX.tgz |
После распаковки в текущем каталоге будет создан подкаталог sedutil, содержащий описания программы и исполнимые файлы инструменты командной строки для разных аппаратных платформ.
Так как ОС Astra Linux является 64-х битной, нужно будет использовать вариант инструмента
| Информация |
|---|
| sedutil/Release_x86_64/GNU-Linux/sedutil-cli. |
Для проверки возможностей накопителя (накопителей) следует:
Разрешить использование служебных команд ATA. Для этого:
добавить в файл /etc/default/grub в строку параметров загрузчика параметр libata.allow_tpm=1, например:
Информация GRUB_CMDLINE_LINUX_DEFAULT="quiet net.ifnames=0 libata.allow_tpm=1" Выполнить команду обновления загрузчика:
Command sudo update-grub Перезагрузить компьютер
Примечание Способ временно (до перезагрузки) разрешить использование служебных команд ATA без перезагрузки компьютера, указанный в документации на ПО использовать не удалось:
Command sudo -i
chmod 0744 /sys/module/libata/parameters/allow_tpm
echo "1" > /sys/module/libata/parameters/allow_tpm
exit
- Подключить накопитель (накопители) к компьютеру;
Выполнить команду сканирования
Command sudo sedutil-cli --scan
Примерный вывод команды: