Logiciel gratuit / libre pour gérer les disques à auto-cryptage (SED) compatibles TCG OPAL 2.0?
Je suis à la recherche d'un logiciel gratuit/libre capable de gérer les SED compatibles OPAL (2.0) (c'est-à-dire gérer le paramétrage de l'environnement d'authentification de pré-démarrage (PBA), les clés de chiffrement ...).
Il peut s'agir d'un utilitaire qui fonctionne comme une image en direct (donc indépendante du système d'exploitation), ou d'un logiciel client qui fonctionnerait sur les distributions GNU/Linux . Cela permettrait à un utilisateur final (ne recherchant pas des trucs d'entreprise fantaisistes) de gérer la clé de verrouillage (définir, modifier et supprimer le mot de passe utilisé pour crypter la clé de cryptage) et créer le PBA.
hdparm est presque ce que je recherche, mais ne fonctionne qu'avec les fonctionnalités de sécurité ATA (pas de considération OPAL, pas de PBA ...), ce qui peut être gênant avec un BIOS lâche (cf ce billet de blog pour comprendre comment le BIOS peut bousiller la fonction de mot de passe ATA sur les SED).
Le Trusted Computing Group (qui édite la norme OPAL) mentionne quelques "éditeurs de logiciels indépendants" qui gèrent les SED OPAL, mais la plupart sinon tous nécessitent une copie de Windows pour être configurés, ou sont destinés aux grandes entreprises. J'ai été référé à l'édition WinMagic Enterprise de SecureDoc pour sa compatibilité GNU/Linux et sa conformité OPAL, mais je n'ai pas pu entrer en contact avec leur service commercial car je n'ai pas d'adresse "non libre"/d'entreprise (bien sûr, pourquoi pas).
Plus important encore, Je ne fais pas confiance aux logiciels fermés ("propriétaires") pour tout ce qui concerne la sécurité. En ces temps de scandale PRISM et d'autres atteintes à grande échelle à la vie privée, il serait complètement absurde de s'appuyer sur la technologie de cryptage opaque proposée par une entreprise américaine. D'où la recherche d'un logiciel libre qui agit "en clair" et dont le code source peut être revu et compilé pour soi.
Si vous ne connaissez pas un tel logiciel, avez-vous des conseils sur la façon dont il pourrait être produit? Lancer une campagne de crowdfunding, faire une demande lors d'une DefCon ...? Je suis juste un utilisateur final normal sans compétences en développement, mais cela ne me dérangerait pas de participer au financement d'un tel projet.
Autre ressource intéressante: SSD avec chiffrement intégral du disque intégré et utilisable , un article de blog avec les informations les plus complètes que j'ai pu trouver sur le sujet des SED et des FDE;
Un développeur a commencé à travailler sur un outil de ligne de commande sous GPL pour prendre en charge les lecteurs TCG Opal 1.0/Opal 2.0/Enterprise sous Linux et Windows. C'est au tout début du développement (v0.02alpha), mais j'aime ce que je vois jusqu'à présent et j'ai fait quelques tests pour le développeur.
Source: https://github.com/r0m30/msed
Binaires: http://www.r0m30.com/msed/files
La dernière version de msed avait été poussée sur github avec des exécutables sur www.r0m30.com/msed. La version 0.20beta a un PBA pour les machines bios et la possibilité de le charger après avoir activé le SP de verrouillage. Je suis toujours en train de développer une vraie documentation mais l'annonce contient des instructions rapides et sales pour activer le FDE matériel OPAL 2.0 en utilisant Windows ou Linux.
Vous êtes intelligent de ne pas faire confiance à la sécurité de la boîte noire, mais cela laisse la sécurité des logiciels. LUKS fonctionne, est bien considéré et prend en charge TRIM sur les SSD.
Oui, vous devez entrer votre mot de passe lorsque vous démarrez la machine (quand il démarre votre/boot, en fait). La connaissance de votre mot de passe par votre BIOS est plus proche du côté "pratique" du spectre que du côté "sécurisé". Cela dépend de vos objectifs finaux.