Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 2 Следующий »

Аппаратное защитное преобразование данных на дисках (FDE, Full-Drive Encriptipon) предоставляется сейчас многими производителями накопителей данных, и особо позиционируется как общее решение для защиты данных, хранящихся на твердотельных накопителях. Термин "самошифрующийся накопитель" (Self-Encrypting Drive, SED) применяется для HDD/SSD с встроенным механизмом защитного преобразования данных FDE. Основным стандартом для таких устройств является спецификация OPAL, разрабатываемая .

Описанные в данной статье решения не являются сертифицированными решениями для защиты конфиденциальных данных, подвержены уязвимостям и могут обладать недокументированными возможностями, позволяющими получать несанкционированный доступ к данным.

Данная технология несовместима с режимами пониженного энергопотребления компьютеров, при которых обесточиваются подключенные периферийные устройства (S3 («Suspend to RAM» (STR) в BIOS, «Ждущий режим» («Standby») ).

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6


Начало работы: установка ПО и проверка оборудования

Программное обеспечение для реализации режима защиты данных FDE не является сертифицированным решением, и не входит в репозитории и дистрибутивы ОС Astra Linux.

Для работы, поддерживающего этот режим,  требуется разрешить использование специальных служебных команд  ATA (TPM) в параметрах ядра (точнее, в параметрах входящей в ядро библиотеки libata).
По умолчанию использование этих команд запрещено, и, как указано в документации к библиотеке libata, разрешение этих команд

"... обеспечивает по сути неконтролируемый зашифрованный "черный ход" между приложениями и диском. Устанавливайте libata.allow_tpm = 1, только если вы имеете для этого реальную причину...".

Использование ПО требует привилегий суперпользователя.

Для того, чтобы проверить, поддерживает ли имеющееся оборудование технологию защиты данных FDE, нужно скачать и установить ПО sedutil.

ПО sedutil свободно доступно по ссылке https://github.com/Drive-Trust-Alliance/exec/blob/master/sedutil_LINUX.tgz?raw=true и скачать его можно командой:

wget https://github.com/Drive-Trust-Alliance/exec/blob/master/sedutil_LINUX.tgz?raw=true -O sedutil_LINUX.tgz
После загрузки в текущем каталоге будет создан архив sedutil_LINUX.tgz, который нужно распаковать:
tar xzf sedutil_LINUX.tgz
После распаковки в текущем каталоге будет создан подкаталог sedutil, содержащий описания программы и инструменты командной строки для разных аппаратных платформ.

Так как ОС Astra Linux является 64-х битной, нужно будет использовать вариант инструмента

sedutil/Release_x86_64/GNU-Linux/sedutil-cli.

Для проверки возможностей накопителя (накопителей) следует:

  1. Разрешить использование служебных команд ATA. Для этого:

    1. добавить в файл /etc/default/grub в строку параметров загрузчика параметр libata.allow_tpm=1, например:

      GRUB_CMDLINE_LINUX_DEFAULT="quiet net.ifnames=0 libata.allow_tpm=1"

    2. Выполнить команду обновления загрузчика:

      sudo update-grub

    3. Перезагрузить компьютер

      Способ временно (до перезагрузки) разрешить использование служебных команд ATA  без перезагрузки компьютера, указанный в документации на ПО использовать не удалось:

      sudo -i
      chmod 0744 /sys/module/libata/parameters/allow_tpm
      echo "1" > /sys/module/libata/parameters/allow_tpm
      exit

  2. Подключить накопитель (накопители) к компьютеру;

  3. Выполнить команду сканирования

    sudo sedutil-cli --scan

    Примерный вывод команды:

Включение защиты


Уязвимости













  • Нет меток