web-dev-qa-db-fra.com

Comment configurer un SSD Opal 2.0 à chiffrement automatique?

J'ai une nouvelle installation d'Ubuntu 18.04.1 sur un Lenovo ThinkPad L480 avec un SSD NVMe compatible Opal 2.0 à l'intérieur. Pour autant que je comprends, le lecteur est toujours crypté, mais je dois définir un mot de passe afin que la clé de cryptage elle-même soit également protégée.

Des questions:

  1. Mon hypothèse sur le cryptage est-elle correcte?
  2. Si oui, comment puis-je définir ce mot de passe?
18.04encryptionthinkpadnvmeopal-2.0
9
hielsnoppe

Le Lenovo ThinkPad L480 avec un SSD pris en charge Opal utilise un Samsung "" MZ-V6E500BW SSD 960 EVO NVMe M.2 500 Go " , 256 Go ou un Intel" 180GB Solid State Drive SATA3.2 "OPAL2.0 Lecteur M.2 en fonction des options choisies. Apparemment les SSD Intel ont des capacités de gestion liées à vPro que les disques non Intel n'ont pas, comme le nettoyage à distance et la possibilité d'activer/désactiver certains modes de cryptage.

Il semble également que d'autres disques, comme le SSD Seagate 1200 Pro, soient parfois utilisés; il est donc important lors de l'utilisation de Windows de savoir quel lecteur est utilisé afin que vous puissiez visiter le site Web du fabricant.

Une fois que vous avez installé un système d'exploitation personnalisé , vous devez utiliser les outils disponibles pour ce système d'exploitation. Les deux principaux pour Linux sont hdparm et sedutil , voir ma réponse sous UNIX et Linux Stack Exchange.

Information additionnelle:

Les SSD Samsung ont un logiciel disponible pour configurer leur fonctionnement, cela ne fonctionne que pour certains SSD et systèmes d'exploitation, sinon la valeur par défaut est pas de mot de passe et le cryptage est activé .

Pour "Ubuntu 12.04 LTS et versions ultérieures" (source: manuel d'utilisation, DC Toolkit .PDF , page 10), le SSD Samsung DC Toolkit est conçu pour fonctionner avec les produits SSD Samsung, y compris PM863, PM863a, SM863, SM863a, PM963 non personnalisé, 860 DCT, 883 DCT, 983 DCT, 983 DCT M.2 et 983 ZET.

Ce logiciel n'est pas compatible avec les SSD d'autres fabricants, et il n'est pas certain de fonctionner avec d'autres SSD Samsung. Il a également une prise en charge limitée de Windows Server 2012 R2, Widows Server 2016 RS1 (version 10.0.14393), RHEL 5.7 jusqu'à 6.4 (6.4 et versions ultérieures ont une prise en charge complète) et CentOS.

Pour les SSD Windows et Samsung, le logiciel utilisé est appelé: " Samsung SSD Magician DC 2. ". L'utilisation d'un lecteur USB amorçable avec Windows et le logiciel Windows de Samsung en est un autre, bien que gênant, option pour configurer votre SSD pour une utilisation avec un autre système d'exploitation.

Le manuel d'utilisation de l'édition Enterprise du logiciel Magician prétend prendre uniquement en charge les SSD Samsung SM863 et PM863. La version grand public affirme que l'utilitaire de gestion SSD Magician est conçu pour fonctionner avec tous les produits SSD Samsung, y compris les séries 470, 750, 830, 840, 850 Série, Série 860, Série 950, Série 960 et Série 970.

Dans vos circonstances, il vaut probablement mieux utiliser hdparm ou obtenir une configuration sedutil.

N'oubliez pas de régler votre économiseur d'écran sur une courte durée et l'hibernation devrait également être brève si vous voulez que le lecteur crypté reste sécurisé, voir mon autre réponse liée ci-dessus, un sous tension le lecteur chiffré est déverrouillé une fois qu'il a démarré avec succès

Un article utile pour Arch Linux explique Mots de passe du BIOS ATA et sedutil avec les lecteurs prenant en charge Opal sous Linux , il explique la nécessité de définir libata.allow_tpm. Voir aussi le Q&A sur le débordement de pile: " Commandes de confiance ATA - Comment définir la libata allow_tpm " et surtout l'article de Dell : "Cryptage de votre système d'exploitation Ubuntu à l'aide d'un disque dur SED "où ils expliquent une longue procédure (dernière modification: 01/02/2019 13h05).

4
Rob

Vous avez raison, le cryptage est toujours activé. Les données seront automatiquement décryptées une fois le système démarré. Les clés qui effectuent le chiffrement et le déchiffrement du lecteur sont intégrées sur une puce dans le matériel lui-même. Le mot de passe ATA secondaire offre un niveau de sécurité supplémentaire. Sachez que si ce mot de passe secondaire est perdu, la récupération des données sera impossible.

De nombreux producteurs de disques à chiffrement automatique fournissent des outils logiciels pour permettre aux utilisateurs de créer ce mot de passe supplémentaire.

Si vous êtes intéressé, la spécification est ici

Sources:

https://trustedcomputinggroup.org/wp-content/uploads/TCG_Storage-Opal_SSC_v2.01_rev1.00.pdf

https://www.ontrack.com/uk/blog/concepts-explained/what-is-the-tcg-opal/

https://www.esecurityplanet.com/network-security/The-Pros-and-Cons-of-Opal-Compliant-Drives-3939016.htm

4
Elder Geek