Self encrypted drive

а как правильно-то делать?

LUKS’ом =D

Нет.

Да.

В отличии от десктопных плат, на business ноутбуках и ПК BIOS умел работать с ATA запароленными дисками. С этим так же, наверно. Если в твой uefi нельзя запихнуть разблокировщик, то грузись с флешки.

так там свое шифрование встроено и набор утилит, пускай тогда попробует зашифровать диск средствами UEFI если у него есть эта фича.

Я глянул. ТС пошел по пути TCG Opal, где в заблокированном состоянии показывает блочное устройство, куда залит образ разблокировщика, т.е. как предложенная флешка, только виртуальная.

А так, не сильно это отличается от ata паролей.

Сомневаюсь, что sedutil-cli добавит записи. Там загрузчик по пути по умолчанию лежит, наверно. Я бы загрузился с live и посмотрел переменные efi, да как диск видится.

sedutil-cli

Причём здесь sed(1)?

Я хочу чтобы в биосе можно было выбирать что-то, вводить пароль, а потом грузился бы GRUB

В идеале UEFI в ноуте должен уметь работать с OPAL. Если без суппорта UEFI, то надо клепать минимальный линакс, который будет рисовать UI, разблокировать и делать ребут.

я так понял, я просто затер раздел с PBA при установке Арча (сперва я сменил пароль, записал PBA, затем начал установку). Проверять особо времени нет, надо работать

Кое-кого ответ. Программное шифрование всегда будет гибче, чем вендорские поделки.

плюсы скорость и безопасность (при использовании dm-dcrypt твой пароль в оперативке где-то, а значит можно его от туда достать, а так же незашифрованный своп, другие разделы), минусы - отсутствие по (sedutil бажное говно)

при использовании dm-dcrypt твой пароль в оперативке где-то, а значит можно его от туда достать

В случае, когда у злоумышленника есть возможность достать память с сохранением питания, самошифрующийся диск это по факту полное отсутствие шифрования. Вроде где-то проскакивала информация об успешном перетыкании накопителя из одного компьютера в другой с сохранением питания на накопителе.

а так же незашифрованный своп, другие разделы

Что мешает использовать luks для swap и других разделов?

это на арчевики написано и это из области фантастики/

что мешает тебе пользоваться luks и дальше?

Там все хуже, в них находили мастер пароли от вендеров, находили отсутствие криптосвязи между паролем и ключем шифрования, типо диск просто делает валидацию пароля, если отключить валидацию то диск расшифруется сам. В общем лютое говно от маркетологов.

Советую перестать баловаться с пропиетарщиной. А то мало ли, вдруг вся эта байка о самошифрованных дисках – даже не байка, а легенда, а на самом деле оно нужно для стрижки купонов с бизнесменов. Корпорасты – они такие.

Предлагаю следующую схему:

• Диск 1 – системный:

  • EFI-раздел: FAT32, /efi.

  • Шифрованный (здесь и далее – LUKS1, ибо /boot не отдельно) раздел под корень и файл подкачки, либо же шифрованный LVM под отдельно "корень" и отдельно раздел подкачки.

• Диск 2 – данные:

  • Либо нужное количество шифрованных разделов, либо шифрованный LVM.

Всё это добро потом можно единовременно расшифровывать при загрузке с помощью файла-ключа, добавленного каждому шифрованному разделу и /etc/crypttab. Если при этом ещё и подписать EFI-загрузчик (или как там делается, тонкостей не ведаю, ибо подписыванием не пользуюсь), то машина становится куда менее доступной для взлома (при условии применения правила chmod 600 к initramfs-образам).

Ну так и перехват ключа из ОЗУ это тоже не особо вероятный сценарий. Намного более вероятен сценарий с разводным ключом за $5.

и безопасность

А, ну да, ну да, тебе написали «это безопасно» и ты, как умная Маша, это преподносишь как факт.

$5 дорого, с точки зрения утечки данных более вероятен сценарий с добровольным или полудобровольным выполнением произвольного кода.

рассуждения ниочем. есть диск в котором постоянно включено ширование (и его нельзя отключить). этот диск мы можем заблокировать, и тогда после выключения питания, потребуется ввести пароль для его разблокировки. он в разблокированном состоянии только пока включено питание (переход в режим сна приводит к блокировке). изначально нам неизвестны пароль администратора и пароль от SID (чтобы это не значило). чтобы установить свой пароль, нам нужно использовать PSID. после того как устройство будет сброшено, сгенерируется новый ключ шифрования из случайных символов, именно это и приводит к «стиранию» данных (они не стираются, они остаются на устройстве, но их уже расшифровать невозможно). далее этот ключ зашифрован (как? нужно читать спецификацию, но мне лень). это все что я понял. я нашел старую статью о взломе самошифрующихся устройств… с помощью брутофорса. это все что нужно знать об их уязвимости для взлома.

LUKS я использую. у меня есть флешка на 64 гигами со всякой дичью. вот там LUKS (и пароль который я не помню). использование LUKS га самошифрующемся устройстве я вижу как ОВЕРХЕД, потому как данные на нем УЖЕ шифруются, остается только сменить пароли и включить ввод этого пароля при загрузке.

Все, что нужно о них знать, это «как запилить LUKS». Эти твои self-encrypted drives есть защемление яичек дверью сопоставимое с raid средствами десктопной материнки.

у меня диски в софтверном рейде

$5 это стоимость разводного ключа, под угрозой которого ты и расскажешь все пароли.

https://xkcd.com/538/

среди мусоров есть и конченнеы мрази, но если ты им пригрозишь обратиться в СБ , те на очко сядут. а так обычно в СИЗО закрывают, и так называемые «суки» на пресс-хате показания выбивают

Я отсылку понял, но неуловимым Джо то опасней, что дешевле.

Самое страшное тут это предположение, что пароль из пользователя будут выбивать представители правоохранительных органов.

не работает эта херня, потому что ее писали криворукие пидо*асы, остается только гневные письма самсунгу писать чтобы они свою утилиту выпустили. для винды есть magican, который работает только с bitlocker. для linux есть только хрень от каких-то васянов, которая трет boot записи или хз что делает

https://github.com/Drive-Trust-Alliance/sedutil/issues/360 создал issue в своем фирменном отксичном стиле. Засейкайте время через сколько его удалят

Короче. Свою проблему я решил, тупо записав PBA на флешку. Гружусь с флешки, ввожу пароль. Материнка диск попросту не видит после того как включаешь этот mbrdone on. PBA образ у меня на SSD вроде как записывается, но когда я выполняю fdisk -l, то там нету новых разделов. Я даже не понимаю записывается ли он?

Попробуй выкинуть это говно, взять нормальный диск и сделать софт шифрование.

Ещё и гордый, пц.

Вытри за собой и того, LUKS сам себя не настроит.

LUKS работает намного медленее и процессор меньше грузится - для меня это достаточно. Луксом я флешку шифрую.

LUKS при правильном даёт безопасность, твоя фигнюшка — галочку для введения в заблуждение аудиторов.

Там если че можно выбирать алгоритм шифрования и даже утилита для бенчмарка есть. Просто выбираешь тот который быстрее чем скорость диска и все.

как по-твоему я пришел к выводу, что программное шифрование через luks медленее аппаратного?

интереснее как ты пришел к тому что бы купить диск с шифрованием которое может ломануть любой школьник начитавшись журнала хакер

и если тебе вдруг показалось что я тролю то нет https://xakep.ru/2018/11/06/ssd-flaws/

почитай, там описаны стратегии атаки на самсунг, твой диск новее чем в статье но это ничего не гарантирует

Ну во-первых, я прочитал оригинал той статьи. Она представляет собой лишь перепечатку более старых материалов (2014 и ранее). Во-вторых там представлены только SATA-носители (у меня NVME). Одним из методов взлома, является модификация DRAM (у моего носителя ее нет, она использует RAM хоста). Модификацию прошивки SSD с целью доступа к данным исключать однако нельзя.

судя по тому какие дырени сейчас в процессорах существуют - любое ваше софтварное шифрование не надежно.

дырки в процессорах закрывают, выпускают патчи, а в дисках закрывают?

железное шифрование - для домохозяек.

там может быть куча бэкдоров и багов, о которых у тебя не твозможности узнать, пока не станет поздно. люкс же есть, нет они всё проприетарщину тащат в рот.

когда с помощью PSID сбрасываешь пароль, стираются все данные (на самом деле нет, их просто становится невозможным расшифровать), далее ты выполняешь initialsetup с указанием пароля и устройства. во время этой операции генерируется случайный ключ, а потом с помощью заданного тобой пароля этот ключ шифруется и записывается на устройство…или нет? как вообще все работает, что ты можешь включать и отключать запрос пароля? когда ты отключаешь запрос пароля в память ключ шифрования в открытом виде пишется? а когда включаешь снова он зашифрованный в паямть записывается. инфы про взлом новых дисков нет, а старые те 2014 года выпуска и ранее - они вообще Opal 1.0 либо использовали Ata password

какие дырки в процессора? что за чушь вы несете? коллизий для aes ширования вроде не нашли. и такие коллизии являются следствием математических ошибок

по идее все это аппаратное шифрование должно быть реализовано точно так же как программное в luks. я не знаю как оно работает, но не думаю, что корейские инженеры глупее анонимных комментаторов с лора. мне смущает только момент с тем как реализована эта фича с запросом пароля. я думаю, что когда запрос пароля отключен, то ключ шифрования записан в открытом виде, а когда включен - он зашифрован этим самым паролем. при такой реализации в принципе взломать ничего нельзя.

Думаю bhfq говорил про Spectre и прочие

во время этой операции генерируется случайный ключ, а потом с помощью заданного тобой пароля этот ключ шифруется и записывается на устройство…или нет? как вообще все работает, что ты можешь включать и отключать запрос пароля?

Вот как раз не всегда, это то что называют в статье отсутствием криптографической связи между паролем и ключем шифрования. Пароль отдельно, а ключь отдельно. Либо существование мастер пароля, паролей же несколько может быть и вот один из них заводской.

по идее все это аппаратное шифрование должно быть реализовано точно так же как программное в luks.

Ну вот в дисках 2014 года по факту оказалось что совсем не так же.

а новые просто никто (кроме спецслужб, гы-гы) еще не посмотрел