LINUX.ORG.RU

Self encrypted drive

 


0

2

Дано: новый диск Samsung Evo 980 500 Gb.

Ясвою последовательность действий описал тут:

https://gist.github.com/tz4678/2d3576b02df66986c4d5e732b6f30fbe

На зашифрованном диске у меня GPT и Grub, три раздела: Fat32, Btrfs, Ext4 для данных, которые я еще не перенес.

Проблема: я сначала установил пароли, загрузил PBA, потом установил арч, решил залочить диск, чтобы тот пароль запрашивал.

$ sedutil-cli --enableLockingRange 0 pass /dev/nvme0n1
$ sedutil-cli --setMBREnable on pass /dev/nvme0n1  

Перегрузился.Система не грузится, в BIOS нет никаких записей (их sedutil должен добавить?). Взял разблокировал диск. Установил по новой Grub, добавил записи…

Собственно вопрос: а как правильно-то делать? Я хочу чтобы в биосе можно было выбирать что-то, вводить пароль, а потом грузился бы GRUB. В Арч вики ничего не написано.

★★

В отличии от десктопных плат, на business ноутбуках и ПК BIOS умел работать с ATA запароленными дисками. С этим так же, наверно. Если в твой uefi нельзя запихнуть разблокировщик, то грузись с флешки.

boowai ★★★★ ()
Последнее исправление: boowai (всего исправлений: 1)
Ответ на: комментарий от TDrive

Я глянул. ТС пошел по пути TCG Opal, где в заблокированном состоянии показывает блочное устройство, куда залит образ разблокировщика, т.е. как предложенная флешка, только виртуальная.

А так, не сильно это отличается от ata паролей.

Сомневаюсь, что sedutil-cli добавит записи. Там загрузчик по пути по умолчанию лежит, наверно. Я бы загрузился с live и посмотрел переменные efi, да как диск видится.

boowai ★★★★ ()
Последнее исправление: boowai (всего исправлений: 2)

Я хочу чтобы в биосе можно было выбирать что-то, вводить пароль, а потом грузился бы GRUB

В идеале UEFI в ноуте должен уметь работать с OPAL. Если без суппорта UEFI, то надо клепать минимальный линакс, который будет рисовать UI, разблокировать и делать ребут.

vasily_pupkin ★★★★★ ()
Ответ на: комментарий от vasily_pupkin

я так понял, я просто затер раздел с PBA при установке Арча (сперва я сменил пароль, записал PBA, затем начал установку). Проверять особо времени нет, надо работать

tz4678 ★★ ()
Ответ на: комментарий от zemidius

плюсы скорость и безопасность (при использовании dm-dcrypt твой пароль в оперативке где-то, а значит можно его от туда достать, а так же незашифрованный своп, другие разделы), минусы - отсутствие по (sedutil бажное говно)

tz4678 ★★ ()
Ответ на: комментарий от tz4678

при использовании dm-dcrypt твой пароль в оперативке где-то, а значит можно его от туда достать

В случае, когда у злоумышленника есть возможность достать память с сохранением питания, самошифрующийся диск это по факту полное отсутствие шифрования. Вроде где-то проскакивала информация об успешном перетыкании накопителя из одного компьютера в другой с сохранением питания на накопителе.

i-rinat ★★★★★ ()
Ответ на: комментарий от i-rinat

Там все хуже, в них находили мастер пароли от вендеров, находили отсутствие криптосвязи между паролем и ключем шифрования, типо диск просто делает валидацию пароля, если отключить валидацию то диск расшифруется сам. В общем лютое говно от маркетологов.

TDrive ★★★★★ ()
Последнее исправление: TDrive (всего исправлений: 1)

Советую перестать баловаться с пропиетарщиной. А то мало ли, вдруг вся эта байка о самошифрованных дисках – даже не байка, а легенда, а на самом деле оно нужно для стрижки купонов с бизнесменов. Корпорасты – они такие.

Предлагаю следующую схему:

  • Диск 1 – системный:

    • EFI-раздел: FAT32, /efi.

    • Шифрованный (здесь и далее – LUKS1, ибо /boot не отдельно) раздел под корень и файл подкачки, либо же шифрованный LVM под отдельно "корень" и отдельно раздел подкачки.

  • Диск 2 – данные:

    • Либо нужное количество шифрованных разделов, либо шифрованный LVM.

Всё это добро потом можно единовременно расшифровывать при загрузке с помощью файла-ключа, добавленного каждому шифрованному разделу и /etc/crypttab. Если при этом ещё и подписать EFI-загрузчик (или как там делается, тонкостей не ведаю, ибо подписыванием не пользуюсь), то машина становится куда менее доступной для взлома (при условии применения правила chmod 600 к initramfs-образам).

Korchevatel ★★★★★ ()
Последнее исправление: Korchevatel (всего исправлений: 1)
Ответ на: комментарий от t184256

рассуждения ниочем. есть диск в котором постоянно включено ширование (и его нельзя отключить). этот диск мы можем заблокировать, и тогда после выключения питания, потребуется ввести пароль для его разблокировки. он в разблокированном состоянии только пока включено питание (переход в режим сна приводит к блокировке). изначально нам неизвестны пароль администратора и пароль от SID (чтобы это не значило). чтобы установить свой пароль, нам нужно использовать PSID. после того как устройство будет сброшено, сгенерируется новый ключ шифрования из случайных символов, именно это и приводит к «стиранию» данных (они не стираются, они остаются на устройстве, но их уже расшифровать невозможно). далее этот ключ зашифрован (как? нужно читать спецификацию, но мне лень). это все что я понял. я нашел старую статью о взломе самошифрующихся устройств… с помощью брутофорса. это все что нужно знать об их уязвимости для взлома.

LUKS я использую. у меня есть флешка на 64 гигами со всякой дичью. вот там LUKS (и пароль который я не помню). использование LUKS га самошифрующемся устройстве я вижу как ОВЕРХЕД, потому как данные на нем УЖЕ шифруются, остается только сменить пароли и включить ввод этого пароля при загрузке.

tz4678 ★★ ()
Последнее исправление: tz4678 (всего исправлений: 1)
Ответ на: комментарий от i-rinat

среди мусоров есть и конченнеы мрази, но если ты им пригрозишь обратиться в СБ , те на очко сядут. а так обычно в СИЗО закрывают, и так называемые «суки» на пресс-хате показания выбивают

tz4678 ★★ ()
Ответ на: комментарий от i-rinat

не работает эта херня, потому что ее писали криворукие пидо*асы, остается только гневные письма самсунгу писать чтобы они свою утилиту выпустили. для винды есть magican, который работает только с bitlocker. для linux есть только хрень от каких-то васянов, которая трет boot записи или хз что делает

tz4678 ★★ ()
Последнее исправление: tz4678 (всего исправлений: 1)

Короче. Свою проблему я решил, тупо записав PBA на флешку. Гружусь с флешки, ввожу пароль. Материнка диск попросту не видит после того как включаешь этот mbrdone on. PBA образ у меня на SSD вроде как записывается, но когда я выполняю fdisk -l, то там нету новых разделов. Я даже не понимаю записывается ли он?

tz4678 ★★ ()
Ответ на: комментарий от tz4678

и если тебе вдруг показалось что я тролю то нет https://xakep.ru/2018/11/06/ssd-flaws/

почитай, там описаны стратегии атаки на самсунг, твой диск новее чем в статье но это ничего не гарантирует

TDrive ★★★★★ ()
Ответ на: комментарий от TDrive

Ну во-первых, я прочитал оригинал той статьи. Она представляет собой лишь перепечатку более старых материалов (2014 и ранее). Во-вторых там представлены только SATA-носители (у меня NVME). Одним из методов взлома, является модификация DRAM (у моего носителя ее нет, она использует RAM хоста). Модификацию прошивки SSD с целью доступа к данным исключать однако нельзя.

tz4678 ★★ ()

железное шифрование - для домохозяек.

там может быть куча бэкдоров и багов, о которых у тебя не твозможности узнать, пока не станет поздно. люкс же есть, нет они всё проприетарщину тащат в рот.

anonymous ()
Ответ на: комментарий от TDrive

когда с помощью PSID сбрасываешь пароль, стираются все данные (на самом деле нет, их просто становится невозможным расшифровать), далее ты выполняешь initialsetup с указанием пароля и устройства. во время этой операции генерируется случайный ключ, а потом с помощью заданного тобой пароля этот ключ шифруется и записывается на устройство…или нет? как вообще все работает, что ты можешь включать и отключать запрос пароля? когда ты отключаешь запрос пароля в память ключ шифрования в открытом виде пишется? а когда включаешь снова он зашифрованный в паямть записывается. инфы про взлом новых дисков нет, а старые те 2014 года выпуска и ранее - они вообще Opal 1.0 либо использовали Ata password

tz4678 ★★ ()
Ответ на: комментарий от tz4678

по идее все это аппаратное шифрование должно быть реализовано точно так же как программное в luks. я не знаю как оно работает, но не думаю, что корейские инженеры глупее анонимных комментаторов с лора. мне смущает только момент с тем как реализована эта фича с запросом пароля. я думаю, что когда запрос пароля отключен, то ключ шифрования записан в открытом виде, а когда включен - он зашифрован этим самым паролем. при такой реализации в принципе взломать ничего нельзя.

tz4678 ★★ ()
Ответ на: комментарий от tz4678

во время этой операции генерируется случайный ключ, а потом с помощью заданного тобой пароля этот ключ шифруется и записывается на устройство…или нет? как вообще все работает, что ты можешь включать и отключать запрос пароля?

Вот как раз не всегда, это то что называют в статье отсутствием криптографической связи между паролем и ключем шифрования. Пароль отдельно, а ключь отдельно. Либо существование мастер пароля, паролей же несколько может быть и вот один из них заводской.

по идее все это аппаратное шифрование должно быть реализовано точно так же как программное в luks.

Ну вот в дисках 2014 года по факту оказалось что совсем не так же.

TDrive ★★★★★ ()