Аппаратное защитное преобразование данных на дисках (FDE, Full-Drive Encriptipon) предоставляется сейчас многими производителями накопителей данных, и особо позиционируется как общее решение для защиты данных, хранящихся на твердотельных накопителях. Термин "самошифрующийся накопитель" (Self-Encrypting Drive, SED) применяется для HDD/SSD с встроенным механизмом защитного преобразования данных FDE. Основным стандартом для таких устройств является спецификация OPAL, разрабатываемая .
Данная технология несовместима с режимами пониженного энергопотребления компьютеров, при которых обесточиваются подключенные периферийные устройства (S3 («Suspend to RAM» (STR) в BIOS, «Ждущий режим» («Standby») ).
Данная статья применима к:
- ОС ОН Орёл 2.12
- ОС СН Смоленск 1.6
Начало работы: установка ПО и проверка оборудования
Программное обеспечение для реализации режима защиты данных FDE не является сертифицированным решением, и не входит в репозитории и дистрибутивы ОС Astra Linux.
Для работы, поддерживающего этот режим, требуется разрешить использование специальных служебных команд ATA (TPM) в параметрах ядра (точнее, в параметрах входящей в ядро библиотеки libata).
По умолчанию использование этих команд запрещено, и, как указано в документации к библиотеке libata, разрешение этих команд
Использование ПО требует привилегий суперпользователя.
Для того, чтобы проверить, поддерживает ли имеющееся оборудование технологию защиты данных FDE, нужно скачать и установить ПО sedutil.
ПО sedutil свободно доступно по ссылке https://github.com/Drive-Trust-Alliance/exec/blob/master/sedutil_LINUX.tgz?raw=true и скачать его можно командой:
Так как ОС Astra Linux является 64-х битной, нужно будет использовать вариант инструмента
Для проверки возможностей накопителя (накопителей) следует:
Разрешить использование служебных команд ATA. Для этого:
добавить в файл /etc/default/grub в строку параметров загрузчика параметр libata.allow_tpm=1, например:
GRUB_CMDLINE_LINUX_DEFAULT="quiet net.ifnames=0 libata.allow_tpm=1"Выполнить команду обновления загрузчика:
sudo update-grubПерезагрузить компьютер
Способ временно (до перезагрузки) разрешить использование служебных команд ATA без перезагрузки компьютера, указанный в документации на ПО использовать не удалось:
sudo -i
chmod 0744 /sys/module/libata/parameters/allow_tpm
echo "1" > /sys/module/libata/parameters/allow_tpm
exit
- Подключить накопитель (накопители) к компьютеру;
Выполнить команду сканирования
sudo sedutil-cli --scan
Примерный вывод команды: