AbcLinuxu:/ Poradna / Linuxová poradna / FDE Self-Encrypting Drive

Štítky: bezpečnost, CPU, data, Dell, disk, encryption, FDE, hardware, heslo, notebook, RAM, rozšíření, sed, standard, str, Suspend, šifrování, Windows

Dotaz: FDE Self-Encrypting Drive

21.5.2014 14:25 blondak | skóre: 36 | blog: Blondak | Čáslav
FDE Self-Encrypting Drive

Přečteno: 1050×

Odpovědět | Admin

Dneska jsem si všiml "nové" ankety ohledně šifrování disků.

Používám sice šifrování, ale chtěl jsem přenést šifrování na z CPU disk, pořídil jsem si do notebooku (Dell Latitude E6430) FDE SED disk (OPAL standard, konkrétně Dellem dodávaný LITEONIT LCT-256M3S-41 7mm 256GB FDE), ale nenašel jsem žádný schopý nástroj, který by mi umožnil používání tohoto rozšíření. Nemáte někdo tip na nějaké (i komerční) řešení, které by fungovalo, aby notebook při startu požádal o heslo a tím "odemknul" disk a zamikání fungovalo i při Suspend to RAM. Když jsem to testoval pod Windows, tak tam fungoval nějaký ten Dell Data Protection | Encryption. Jako systém používám Fedoru.

Předem díky za tipy.

PS: Teoreticky prý stačí nastavit heslo pro disk v BIOSU (nemám ověřeno) to sice pak funguje při startu / rebootu (podle nastavení) ale ne při STR...

Každý problém ma své logické, snadno pochopitelné nesprávné řešení.

Nástroje: Začni sledovat (1) ?

Odpovědi

21.5.2014 14:42 R
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Heslo pre HDD by si mal BIOS vypytat aj pri zobudeni zo suspend to RAM.

21.5.2014 20:07 mca | skóre: 17 | blog: keep_walking | Lévis, Québec City
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

A proc by mel mit? Rozdil mezi SED a FDE neni maly, on je docela velky a SED SSD jsou mnohem komplexnejsi a predevsim zacilene reseni, ktere musi splnovat minimalne XTS-AES-256 CBM/EME/CMC- 14 rund a dalsi prvky deklarovane pro ziskani certifikace, ktere FDE nemaji. FDE proste neni o nicem jinem, nez-li ATA Password s AES-128/256-CBC - 10 rund (zalezi jak ktery SSD) a nemaji zadne standardy. SED museji splnovat FIPS 140-2 minimalne v Level 2 = tamper notice, obykle primo L3 = tamper proof, tedy nejen TCG/Opal 2.0 standard platformy.

Typickou ukazkou SED disku jsou Micron RealSSD C400 SED (neplect s obycejnym C400) a jehoz firmware si upravuji vyrobci pro sve integrace biosu/software. Zadne takove reseni, ktery te zajimalo (pokud do toho nezatahnes Embassy apod.) proste neni. Princip SED znamena, ze jsou naprosto nezavisle SSD disky, kde nic nejde dovnitr ani ven se schopnosti se natvrdo sparovat s konkretnim HW a znemoznit libovolnou manipulaci.

To lze nastavit v Secure Core biosu, ktere bys mel u Dellu mit. Mas FDE disk, tak se k nemu nemuzes chovat jako k SED.

"Hloupe dotazy posiluji kolektiv... ostatnim v tu chvili stoupne sebevedomi"

22.5.2014 13:13 blondak | skóre: 36 | blog: Blondak | Čáslav
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Tak popravdě, teď v tom mám ještě větší guláš než dříve, podle specifikace mám Hard Drive : 256GB Self Encrypting Mobility Solid State Drive Opal Standard Compliant co to tedy pro mě znamená?

Já jsem chtěl pod linuxem zrovoznit to co mi umožňuje ten Dell Data Protection, po instalaci a odpojení disku windows se při zapnutí systém ptal na heslo, případně na přihlášení čipovou kartou nebo otiskem, to funguje dobře (i bez windows). Problém ovšem byl s uspáváním a probouzením systému.

Každý problém ma své logické, snadno pochopitelné nesprávné řešení.

26.5.2014 19:29 mca | skóre: 17 | blog: keep_walking | Lévis, Québec City
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Opal se oznacuje nekorporatni uziti = na doma/pro jednotilivce.

"Hloupe dotazy posiluji kolektiv... ostatnim v tu chvili stoupne sebevedomi"

22.5.2014 14:06 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Pri uspani do pameti heslo na disk nepotrebujes, staci kdyz se screensaver zepta na uzivatelsky heslo. Jinac bys musel naucit kernel aby pri uspani disk flushnul a resetnul, zapatchovat screensaver aby umel poslat potrebny ATA prikaz na odemknuti, dat mu suid aby ten prikaz vubec poslat smel, zamknout ho se vsim vsudy do pameti aby se neodswapoval… a pak se tise modlit aby nic nesahnulo na disk driv nez to odemknes. Nebo celej "screensaver" (tj. dialog ptani na heslo) zrealizovat v kernelu pres framebuffer, za zady a navzdory X serveru. V kazdym pripade si docela maknes a k nicemu to valne nebude :-)

"2^24 comments ought to be enough for anyone" -- CmdrTaco

23.5.2014 08:00 blondak | skóre: 36 | blog: Blondak | Čáslav
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Proto jsem si myslel, že by to odemknutí měl zajistit "disk sám", tedy v součinnosti s (CPU|EFI|nebo čím vlastně), stejně jako když se počítač zapíná...

Každý problém ma své logické, snadno pochopitelné nesprávné řešení.

23.5.2014 08:50 R
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

To by si mal zariadit BIOS. Nefunguje to? Ako to funguje vo Windows?

23.5.2014 15:33 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Disk sám neudělá nic. Pokud to má být bezpečný, tak ani nesmí. Při zapnutí ho odmekne BIOS protože je první kdo se dostane k lizu, pak předá žezlo kernelu a skončí. Ale mašina uspaná do RAM není vypnutá, kernel sice dřímá ale žezlo drží pevně. Pokud by se měl dostat k lizu zase BIOS tak to znamená kernel úplně vypnout, přepnout zpátky do reálnýho režimu a znova se prokousat bootovací sekvencí – v podstatě normální soft reset. To už můžeš rovnou uspávat na disk, STR je právě od toho aby se takový opičárny nemusely dělat.

"2^24 comments ought to be enough for anyone" -- CmdrTaco

23.5.2014 15:43 blondak | skóre: 36 | blog: Blondak | Čáslav
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

A proto to odemčení podle mě musí zařídit kernel...

Každý problém ma své logické, snadno pochopitelné nesprávné řešení.

23.5.2014 16:18 R
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

V suspende je procesor vypnuty a po zapnuti startuje, samozrejme, v realnom mode. Spusti sa BIOS a zisti, ze ide o zobudenie - nasledne urobi potrebne veci a nakoniec sa vrati do kernelu.

23.5.2014 08:49 R
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Pri suspende sa disku vypne napajanie a tym padom disk vyzaduje zadanie hesla. Takze nieco si MUSI vypytat heslo, inak to nebude fungovat.

Pokial viem, tak doteraz to vzdy robil BIOS notebooku.

26.5.2014 12:19 pantera | skóre: 17 | blog: Bl0g
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Ahoj, používali jsme řešení od Dellu a používali PBA - tj. preboot authentication. Na malé partition na disku je kus SW, který komunikuje s diskem a odemče ho - v podtstatě nedělá nic jiného, než že povolí přístup na disk a toto drží dokud má disk napájení. Sleep nám nikdy korektně nefungoval, pouze hibernace. pokud chceš, aby ti toto fungovalo, doporučuju instalovat SW Dellu ve windows, inicializovat disk a zamknout ho (klidně na jiném stroji) pak při startu bude chtít odemčení a bez něj se na disk nedostaneš. Mělo by dokonce snad fungovat i připojení disku přes USB adaptér ke stanici, která SW má a následně uzamčít. Netestoval jsem ale standalone klienta.. Nástroje pro linux jsou podle mě trochu sci-fi - byli jsme rádi, že jsme to rozchodili ve windows (používali jsme ERAS od Wave jako korporátní řešení) nakonec od tohoto řešení odcházíme - začali jsme využívat bitlocker, který máme v rámci licence OS k dispozici, osobně jsem si hrál s TrueCryptem, který umí totéž a spoustu věcí navíc (minimálně umí whole disc encryption a PBA) Rychlost s SSD diskem je velmi slušná - nepoznám, že mám šifrovaný disk...

26.5.2014 12:42 R
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Nechapem, ako sa moze nacitat nieco zo zamknuteho disku, aby ho potom mohlo odomknut. Jedine, ze by sa dala zamknut len cast disku - a to uz je podozrive.

26.5.2014 13:07 blondak | skóre: 36 | blog: Blondak | Čáslav
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Ono to musí splňovat nějaké požadavky, tak je možné, že ta část, kde je ten PBA nainstalována je mimo uzamčenou oblast...

z TCG spacifikací The way it works instead is that when the computer boots up, the only thing that is visible to the host is the shadow MBR/partition (which is a 128 MB read-only storage space). That shadow MBR contains the PBA software, which is executed by the computer. The PBA software prompts the user for credentials (and/or checks e.g. any TPM if present). Based on that it authenticates the user to the drive using security commands according to the Opal specification. If authentication succeeds, the PBA software can send commands to the drive to make the real MBR visible, and to unlock the Read/Write blocking for sectors on the drive. The computer can then boot from the real MBR as normal, and also read/write to any blocks on the drive as normal.

Každý problém ma své logické, snadno pochopitelné nesprávné řešení.

26.5.2014 13:14 pantera | skóre: 17 | blog: Bl0g
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

krásně shrnuté a popsané :-)

26.5.2014 18:35 R
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Tak toto skutocne nemoze fungovat so suspend-to-RAM...

26.5.2014 13:03 blondak | skóre: 36 | blog: Blondak | Čáslav
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Tak nějak mi to (ne)fungovalo (pomocí toho Dell Data Protection | Encryption), ale zavrhl jsem to právě kvůli nefunkčnosti Suspend To Ram v případě Suspend To Disk to fungovalo dobře.

Stačilo připojit externí disk s windows a tam ten SW nainstalovat a zamknout, pak už vše fungovalo.

Teď koukám a našel jsem msed - Manage Self Encrypting Drives zkusím a uvidím, zda to bude fungovat.

Každý problém ma své logické, snadno pochopitelné nesprávné řešení.

26.5.2014 15:42 blondak | skóre: 36 | blog: Blondak | Čáslav
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Tak msed nic, podle wave.com má ten disk "pouze" opal 1.0...

Každý problém ma své logické, snadno pochopitelné nesprávné řešení.

23.5.2014 23:15 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Nikdy, nikdy nevěř šifrování, které se odehrává magicky kdesi v hardware a nelze auditovat. Byly v něm objeveny neuvěřitelné chyby. Například mnoho „šifrovaných“ flashdisků funguje tak, že se na počítači porovná (!), jestli je heslo správné, a podle toho se pak dešifruje klíčem, který je pro všechny flashdisky v dané výrobní sérii stejný (!!!).

26.5.2014 12:45 R
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Tie lacne "sifrovane" USB flash disky su casto uplne rovnake ako nesifrovane. Akurat je k tomu nejaky otrasny SW pre Windows, ktory to v lepsom pripade naozaj nejako (pochybne) sifruje.

26.5.2014 13:11 blondak | skóre: 36 | blog: Blondak | Čáslav
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Ano, to je jasné, ale na druhou stranu, proč tedy nepoužívat obojí, pak můžete třeba provést secure erese disku v řádu milisekund, pouhou změnou klíče... A já šifrování používám hlavně, kdyby mi někdo ukradl notebook, a na to stačí i toto řešení, pokud budou chtít získat data nějaké třípísmenné organizace, tak je stejně získají, protože nevím, jak dlouho bych třeba vydržel trhání nehtů atp...

Každý problém ma své logické, snadno pochopitelné nesprávné řešení.

26.5.2014 17:19 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Ano, to je jasné, ale na druhou stranu, proč tedy nepoužívat obojí, pak můžete třeba provést secure erese disku v řádu milisekund, pouhou změnou klíče...

To samozřejmě třeba takový LUKS umí taky.

29.5.2014 09:42 blondak | skóre: 36 | blog: Blondak | Čáslav
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues tak nevím...

Každý problém ma své logické, snadno pochopitelné nesprávné řešení.

29.5.2014 17:27 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

To bych sem radeji netahal dokud nebudeme vedet co to doopravdy znamena. Podle toho co se zatim vi to klidne muze znamenat ze truecrypt je bezpecny az moc a byl proto radeji lavabitnut.

"2^24 comments ought to be enough for anyone" -- CmdrTaco

26.5.2014 16:04 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

+1. Nicméně, jak vidím podle jeho reakce, komu není rady, tomu není pomoci.

26.5.2014 17:53 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

HW šiforvání lze auditovat – otevřít futrál a přečíst plotny je operace která se běžně dělá při záchraně dat po hardwarové poruše. Jak dlouho by asi trvalo než by se na to přišlo? A velký firmy který tohle dodávají firemnímu segmentu si nemůžou dovolit takovou ostudu jako nějaký taiwanský bastlič pěticentových flashdisků.

Největší riziko jsou klíče třetích stran (čti: třípísmenkové agentury) které nepochybně existují. Pokud se nenacházíš na "pracovním konci" takových organizací, tak ti to může být veskrze jedno, jelikož se dá celkem jistě předpokládat že se o něj postarají lépe než ty o svoje heslo. Ale těžko ho z hardwaru vyšroubuješ a kdyby někdy takový klíč přecijen leaknul, byla by to docela prča.

"2^24 comments ought to be enough for anyone" -- CmdrTaco

26.5.2014 18:33 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

HW šiforvání lze auditovat – otevřít futrál a přečíst plotny je operace která se běžně dělá při záchraně dat po hardwarové poruše.

Ve skutečnosti musíš reverznout jak firmware, tak obslužný software (pokud ho to má), protože po přečtení ploten nezjistíš, jestli to šifruje konstantním klíčem a bez důkladnější kryptoanalýzy nepřijdeš třeba na kvalitu inicializačních vektorů nebo tak něco.

Jak dlouho by asi trvalo než by se na to přišlo?

U těch flashdisků to trvalo pár let. A třeba u mobilních telefonů to trvalo od roku 1987 do roku 2003 (akademický útok) nebo 2009 (zveřejněna praktická implementace).

A velký firmy který tohle dodávají firemnímu segmentu si nemůžou dovolit takovou ostudu jako nějaký taiwanský bastlič pěticentových flashdisků.

Verbatim, SanDisk nebo Kingston jsou bastliči? Pak nějak nevím, od koho kupovat hardware, aby to nebylo od bastliče…

A velký firmy který tohle dodávají firemnímu segmentu si nemůžou dovolit takovou ostudu jako nějaký taiwanský bastlič pěticentových flashdisků.

To je pravda, velké firmy jako například HP, Cisco, SuperMicro, RuggedCom nebo NXP si nic takového nemůžou dovolit.

26.5.2014 18:53 mca | skóre: 17 | blog: keep_walking | Lévis, Québec City
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Ani za zlate prase si nevybavim nazev one aliance, ale jsou v ni zastoupeny vsichni vyrobci jako Dell, HP, IBM, Microsoft, Intel a jsou zavazni umoznit vladnim slozkam pristup, pokud zrovna potrebuji bojovat proti terorismu, hledat mp3 nebo pomahat s mravni vychovou mladeze.

Cisco? Cisco, stejne jako kazdy ostatni musi od roku 2011 vyrabet pod narizenim znamem jako CIPAV. Nemaji na vyber, oni proste musi.

"Hloupe dotazy posiluji kolektiv... ostatnim v tu chvili stoupne sebevedomi"

26.5.2014 18:54 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Ani za zlate prase si nevybavim nazev one aliance

NSA?

26.5.2014 19:20 mca | skóre: 17 | blog: keep_walking | Lévis, Québec City
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

NSA slouzi vyssimu zajmu a statu, tam bych to jeste pochopil a dost bych se divil, kdyby to nedelala zadna dalsi rozvedka (treba i my sdilime Echelon, stejne jako NZ, Aus atd) - nakonec, maji to v popisu prace. "Sdileni" zacina vadit u organizaci jako Darpa, ktere v zajimu USA zrovna moc ohledu k patentum a tehcnologiim nemaji. Absolutni nastvanost pak plyne z pouziti pro buzeracne-sikanovaci letistni gestapo a dalsi pucfleky, kteri si oduvodnuji cimkoliv, co zrovna frci. Tam to vadi a fest. Prave temhle podradnym zmetkum aliance ochotne slouzi.

Sakra, kdybych si to poradne otagoval a zalohoval bookmarks, mohl bys tu mit i usneseni s paragrafy.

"Hloupe dotazy posiluji kolektiv... ostatnim v tu chvili stoupne sebevedomi"

26.5.2014 19:31 mca | skóre: 17 | blog: keep_walking | Lévis, Québec City
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Snad neprijdes o iluze :)

"Hloupe dotazy posiluji kolektiv... ostatnim v tu chvili stoupne sebevedomi"

27.5.2014 00:59 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: FDE Self-Encrypting Drive

Ne, proč? :)

Ale díky za vysvětlení, jak to vlastně funguje.

Založit nové vlákno • Nahoru

Tiskni Sdílej: