web-dev-qa-db-ja.com

自己暗号化Opal 2.0 SSDをセットアップするにはどうすればよいですか?

Opal 2.0互換NVMe SSDを内蔵したLenovo ThinkPad L480にUbuntu 18.04.1を新規インストールしました。私が理解している限り、ドライブは常に暗号化されていますが、暗号化キー自体も保護されるようにパスワードを設定する必要があります。

質問:

  1. 暗号化に関する私の仮定は正しいですか?
  2. もしそうなら、どうすればそのパスワードを設定できますか?
18.04encryptionthinkpadnvmeopal-2.0
9
hielsnoppe

Opal対応SSDを搭載したLenovo ThinkPad L480は、Samsungを使用しています "MZ-V6E500BW SSD 960 EVO NVMe M.2 500GB" 、256GB、またはIntel "180GBソリッドステートドライブSATA3.2" OPAL2.0選択したオプションに応じてM.2ドライブ。 どうやら Intel SSDには、リモートワイピングや特定の暗号化モードを有効/無効にする機能など、Intel以外のドライブにはないvProに関連するいくつかの管理機能があります。

Seagate 1200 Pro SSDなどの他のドライブが使用されることもあります。そのため、メーカーのWebサイトにアクセスできるように、どのドライブが使用されているかを知ることが重要ですWindowsを使用する場合

カスタムオペレーティングシステムをインストールしたら、そのOSで利用可能なツールを使用する必要があります。 Linuxの2つの主なものは hdparm および sedutil です。 NIXおよびLinuxでの私の回答 スタック交換を参照してください。

追加情報:

Samsung SSDには使用可能なソフトウェアがあります 動作を設定します。これは特定のSSDとオペレーティングシステムでのみ機能します。それ以外の場合はデフォルトではパスワードがなく、暗号化が有効です

「Ubuntu 12.04 LTS以降」の場合(ソース:ユーザーマニュアル、 DCツールキット.PDF 、10ページ)Samsung SSD DCツールキット は、Samsung SSD製品で動作するように設計されていますPM863、PM863a、SM863、SM863a、PM963非カスタマイズ、860 DCT、883 DCT、983 DCT、983 DCT M.2、および983 ZET。

このソフトウェアは他のメーカーのSSDと互換性がなく、他のSamsung SSDで動作することも確実ではありません。また、Windows Server 2012 R2、Widows Server 2016 RS1(バージョン10.0.14393)、6.4までのRHEL 5.7(6.4以降は完全サポート)、およびCentOSのサポートが制限されています。

WindowsおよびSamsung SSDの場合、使用されるソフトウェアは次のように呼ばれます: " Samsung SSD Magician DC 2. "。WindowsおよびSamsungのWindowsソフトウェアで起動可能なUSBドライブを使用することもできますSSDを別のオペレーティングシステムで使用するように設定するための不便なオプション。

MagicianソフトウェアのEnterpriseエディションのユーザーマニュアルは、Samsung SSD SM863およびPM863のみをサポートすることを主張しています。コンシューマーバージョンクレーム Magician SSD管理ユーティリティは、470シリーズ、750シリーズ、830シリーズ、840シリーズ、850シリーズ、860シリーズ、950シリーズを含むすべてのSamsung SSD製品で動作するように設計されています960シリーズおよび970シリーズ。

あなたの状況では、おそらくhdparmを使用するか、sedutilセットアップを取得するのが最善です。

暗号化されたドライブを安全に保つには、スクリーンセーバーを短い時間に設定することを忘れないでください。休止状態も短いはずです。上記の他の回答を参照してくださいpowered on暗号化されたドライブは- 正常に起動するとロックが解除されます

Arch Linuxの役立つ記事で ATA BIOS Passwords およびドライブ付きのsedutil LinuxでのOpalのサポート について説明しており、libata.allow_tpm。スタックオーバーフローに関するQ&A: " ATA Trusted commands-How to set libata allow_tpm " and特にDellの記事: "Encrypting Your Ubuntu Operating SEDハードドライブを使用するシステム "長い手順を説明している場所(最終変更日:01/02/2019 01:05 PM)。

4
Rob

暗号化は常にオンになっているという点で正しいです。システムが起動すると、データは自動的に復号化されます。ドライブの暗号化と復号化を実行するキーは、ハードウェア自体のチップに埋め込まれています。セカンダリATAパスワードは、追加のセキュリティレベルを提供します。そのセカンダリパスワードを紛失すると、データの回復が不可能になることに注意してください。

多くの自己暗号化ドライブプロデューサーは、ユーザーがこの追加のパスワードを作成できるようにするソフトウェアツールを提供しています。

もし興味があれば、仕様は here です。

出典:

https://trustedcomputinggroup.org/wp-content/uploads/TCG_Storage-Opal_SSC_v2.01_rev1.00.pdf

https://www.ontrack.com/uk/blog/concepts-explained/what-is-the-tcg-opal/

https://www.esecurityplanet.com/network-security/The-Pros-and-Cons-of-Opal-Compliant-Drives-3939016.htm

4
Elder Geek