Справочный центр

Дерево страниц

Сравнение версий

Старая версия 3

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 4

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Информация

Аппаратное защитное преобразование данных на дисках (FDE, Full-Drive Encriptipon) предоставляется сейчас многими производителями накопителей данных, и особо позиционируется как общее решение для защиты данных, хранящихся на твердотельных накопителях. Термин "самошифрующийся накопитель" (Self-Encrypting Drive, SED) применяется для HDD/SSD с встроенным механизмом защитного преобразования данных FDE. Основным стандартом для таких устройств является спецификация OPAL, разрабатываемая .



Предупреждение
Описанные в данной статье решения не являются сертифицированными решениями для защиты конфиденциальных данных, подвержены уязвимостям и могут обладать недокументированными возможностями, позволяющими получать несанкционированный доступ к данным.


Предупреждение

Данная технология несовместима с режимами пониженного энергопотребления компьютеров, при которых обесточиваются подключенные периферийные устройства (S3 («Suspend to RAM» (STR) в BIOS, «Ждущий режим» («Standby») ).



Информация

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6



Начало работы: установка ПО и проверка оборудования


Предупреждение

Программное обеспечение для реализации режима защиты данных FDE не является сертифицированным решением, и не входит в репозитории и дистрибутивы ОС Astra Linux.

Для работы, поддерживающего этот режим,  требуется разрешить использование специальных служебных команд  ATA (TPM) в параметрах ядра (точнее, в параметрах входящей в ядро библиотеки libata).
По умолчанию использование этих команд запрещено, и, как указано в документации к библиотеке libata, разрешение этих команд

Предупреждение
"... обеспечивает по сути неконтролируемый зашифрованный "черный ход" между приложениями и диском. Устанавливайте libata.allow_tpm = 1, только если вы имеете для этого реальную причину...".

Использование ПО требует привилегий суперпользователя.

Для того, чтобы проверить, поддерживает ли имеющееся оборудование технологию защиты данных FDE, нужно скачать и установить ПО sedutil.

ПО sedutil свободно доступно по ссылке https://github.com/Drive-Trust-Alliance/exec/blob/master/sedutil_LINUX.tgz?raw=true и скачать его можно командой:

Command
wget https://github.com/Drive-Trust-Alliance/exec/blob/master/sedutil_LINUX.tgz?raw=true -O sedutil_LINUX.tgz

После загрузки в текущем каталоге будет создан архив sedutil_LINUX.tgz, который нужно распаковать:

Command
tar xzf sedutil_LINUX.tgz

После распаковки в текущем каталоге будет создан подкаталог sedutil, содержащий описания программы и инструменты командной строки для разных аппаратных платформ.

Так как ОС Astra Linux является 64-х битной, нужно будет использовать вариант инструмента

Информация
sedutil/Release_x86_64/GNU-Linux/sedutil-cli.


Для проверки возможностей накопителя (накопителей) следует:

  1. Разрешить использование служебных команд ATA. Для этого:

    1. добавить в файл /etc/default/grub в строку параметров загрузчика параметр libata.allow_tpm=1, например:

      Информация
      GRUB_CMDLINE_LINUX_DEFAULT="quiet net.ifnames=0 libata.allow_tpm=1"


    2. Выполнить команду обновления загрузчика:

      Command
      sudo update-grub


    3. Перезагрузить компьютер

      Примечание

      Способ временно (до перезагрузки) разрешить использование служебных команд ATA  без перезагрузки компьютера, указанный в документации на ПО, использовать не удалось:

      Command

      sudo -i
      chmod 0744 /sys/module/libata/parameters/allow_tpm
      echo "1" > /sys/module/libata/parameters/allow_tpm
      exit



  2. Подключить накопитель (накопители) к компьютеру;

  3. Выполнить команду сканирования

    Command
    sudo sedutil-cli --scan


    Примерный вывод команды:



Информация

Накопители, про которые найдены упоминания, что они поддерживают встроенное защитное преобразование данных:

  • Crucial MX100
  • Crucial MX200
  • Crucial MX300
  • Intel 320
  • Intel 520
  • Samsung 840 EVO
  • Samsung 850 EVO
  • Samsung xxx PRO
  • Samsung T3
  • Samsung T5


Включение защиты


Уязвимости

Уязвимость "сохранение питания"

Типичный самозащищенный накопитель, будучи однажды разблокированным, остаётся разблокированным пока на него подается электропитание. Таким образом, при условии сохранении питания,  накопитель может быть перенесен куда угодно, оставаясь в разблокированном состоянии. Например, было показано, что при некоторых условиях компьютер может быть перезагружен с запуском другой операционной системы, также демонстрировался перенос накопителя на другой компьютер без отключения питания.

Скомпроментированное

Скомпрометированное встроенное ПО

Встроенное программное обеспечение накопителя может иметь недокументированные возможности, позволяющие получать несанкционированный доступ к данным, а применяемые алгоритмы защитного преобразования остаются на усмотрение производителей.
См. например исследование уязвимостей накопителей.