SED支持TCGOpal2.0的可移植性
SED支持TCGOpal2.0的可移植性
提问于 2017-02-20 22:12:26
我已经订购了支持TCGOpal2.0的三星SSD (850 PRO SATA)。
起初,我计划通过BIOS设置HDD密码(又名ATA密码)。但是主板制造商似乎没有指定主板是否支持这种功能。我的理解是,使用TCG,我们可以完全跳过BIOS,并使用像皮脂糖这样的工具设置磁盘密码。然后,磁盘本身有一个影子操作系统,它在引导期间请求密码,而不依赖于正在使用的操作系统(在我的例子中是linux)和BIOS。
关于驱动可移植性和休眠支持,我有两个问题。
- 我是否可以使用密码集(TCG )加密的磁盘,并将其移动到另一台计算机上?由于密码存储在磁盘中,并由这个影子操作系统处理,所以我假设这是可行的,但我在任何地方都找不到确认。
- 冬眠是否会像往常一样正常工作,在从休眠启动计算机之后,磁盘的密码是否会被问到?
回答 1
Security用户
回答已采纳
发布于 2017-09-27 23:59:36
让我提供一些详细的细节。我用粗体标明了你的两个问题的答案:
- 大多数BIOS实现支持SATA设备的ATA安全功能集(也称为ATA密码或ATA Security 0)。如果您需要从SED获得数据加密和使用单个密码进行锁定,那么首先考虑这个选项。
- MBR阴影功能允许主机在没有任何BIOS支持的情况下解锁TCG Opal设备。开机后,设备显示托管一个特殊的阴影PBA分区(预启动身份验证),而不是原始磁盘内容。此分区包含解锁设备和删除阴影的代码。BIOS加载并执行这段代码(认为这是实际的操作系统)。只有这样,才能看到原始磁盘内容,并执行原始引导加载程序。这种解决方案的可移植性较低,因为PBA代码不能支持所有的体系结构(您提到的sedutil只为x86兼容的PC和Mac提供PBA映像),并且不能在睡眠后解锁设备(S3模式)。
- 影子PBA适用于冬眠,但不适用于睡眠。这两种情况下都关闭了设备,但是BIOS只从零开始加载系统。设备在从睡眠中醒来后仍然处于锁定状态,需要操作系统或安全应用程序提供TCG支持。
- 来自影子PBA分区的代码不管理解锁密码,它只是提供一个GUI来输入它并使用它进行身份验证。密码(通常是它的派生)由设备固件以特定供应商的方式管理。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/151835
复制相关文章
相似问题
腾讯云开发者
