Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 4 Следующий »

Аппаратное защитное преобразование данных на дисках (FDE, Full-Drive Encriptipon) предоставляется сейчас многими производителями накопителей данных, и особо позиционируется как общее решение для защиты данных, хранящихся на твердотельных накопителях. Термин "самошифрующийся накопитель" (Self-Encrypting Drive, SED) применяется для HDD/SSD с встроенным механизмом защитного преобразования данных FDE. Основным стандартом для таких устройств является спецификация OPAL, разрабатываемая .

Описанные в данной статье решения не являются сертифицированными решениями для защиты конфиденциальных данных, подвержены уязвимостям и могут обладать недокументированными возможностями, позволяющими получать несанкционированный доступ к данным.

Данная технология несовместима с режимами пониженного энергопотребления компьютеров, при которых обесточиваются подключенные периферийные устройства (S3 («Suspend to RAM» (STR) в BIOS, «Ждущий режим» («Standby») ).

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6


Начало работы: установка ПО и проверка оборудования

Программное обеспечение для реализации режима защиты данных FDE не является сертифицированным решением, и не входит в репозитории и дистрибутивы ОС Astra Linux.

Для работы, поддерживающего этот режим,  требуется разрешить использование специальных служебных команд  ATA (TPM) в параметрах ядра (точнее, в параметрах входящей в ядро библиотеки libata).
По умолчанию использование этих команд запрещено, и, как указано в документации к библиотеке libata, разрешение этих команд

"... обеспечивает по сути неконтролируемый зашифрованный "черный ход" между приложениями и диском. Устанавливайте libata.allow_tpm = 1, только если вы имеете для этого реальную причину...".

Использование ПО требует привилегий суперпользователя.

Для того, чтобы проверить, поддерживает ли имеющееся оборудование технологию защиты данных FDE, нужно скачать и установить ПО sedutil.

ПО sedutil свободно доступно по ссылке https://github.com/Drive-Trust-Alliance/exec/blob/master/sedutil_LINUX.tgz?raw=true и скачать его можно командой:

wget https://github.com/Drive-Trust-Alliance/exec/blob/master/sedutil_LINUX.tgz?raw=true -O sedutil_LINUX.tgz
После загрузки в текущем каталоге будет создан архив sedutil_LINUX.tgz, который нужно распаковать:
tar xzf sedutil_LINUX.tgz
После распаковки в текущем каталоге будет создан подкаталог sedutil, содержащий описания программы и инструменты командной строки для разных аппаратных платформ.

Так как ОС Astra Linux является 64-х битной, нужно будет использовать вариант инструмента

sedutil/Release_x86_64/GNU-Linux/sedutil-cli.

Для проверки возможностей накопителя (накопителей) следует:

  1. Разрешить использование служебных команд ATA. Для этого:

    1. добавить в файл /etc/default/grub в строку параметров загрузчика параметр libata.allow_tpm=1, например:

      GRUB_CMDLINE_LINUX_DEFAULT="quiet net.ifnames=0 libata.allow_tpm=1"

    2. Выполнить команду обновления загрузчика:

      sudo update-grub

    3. Перезагрузить компьютер

      Способ временно (до перезагрузки) разрешить использование служебных команд ATA  без перезагрузки компьютера, указанный в документации на ПО, использовать не удалось:

      sudo -i
      chmod 0744 /sys/module/libata/parameters/allow_tpm
      echo "1" > /sys/module/libata/parameters/allow_tpm
      exit

  2. Подключить накопитель (накопители) к компьютеру;

  3. Выполнить команду сканирования

    sudo sedutil-cli --scan

    Примерный вывод команды:


Накопители, про которые найдены упоминания, что они поддерживают встроенное защитное преобразование данных:

  • Crucial MX100
  • Crucial MX200
  • Crucial MX300
  • Intel 320
  • Intel 520
  • Samsung 840 EVO
  • Samsung 850 EVO
  • Samsung xxx PRO
  • Samsung T3
  • Samsung T5

Включение защиты


Уязвимости

Уязвимость "сохранение питания"

Типичный самозащищенный накопитель, будучи однажды разблокированным, остаётся разблокированным пока на него подается электропитание. Таким образом, при условии сохранении питания,  накопитель может быть перенесен куда угодно, оставаясь в разблокированном состоянии. Например, было показано, что при некоторых условиях компьютер может быть перезагружен с запуском другой операционной системы, также демонстрировался перенос накопителя на другой компьютер без отключения питания.

Скомпрометированное встроенное ПО

Встроенное программное обеспечение накопителя может иметь недокументированные возможности, позволяющие получать несанкционированный доступ к данным, а применяемые алгоритмы защитного преобразования остаются на усмотрение производителей.
См. например исследование уязвимостей накопителей.


  • Нет меток