Portabilidad de SED compatible con TCG Opal 2.0

4

He pedido un Samsung SSD (850 PRO SATA) que es compatible con TCG Opal 2.0.

Al principio, estaba planeando configurar una contraseña de HDD (también conocida como contraseña ATA) a través de la BIOS. Pero los fabricantes de placas base no parecen especificar si esta funcionalidad es compatible con los mobos. Mi entendimiento es que con TCG Opal podemos omitir el BIOS por completo y configurar la contraseña del disco usando una herramienta como sedutil . El disco en sí tiene un sistema operativo alternativo que solicita la contraseña durante el inicio, independientemente del sistema operativo que esté en uso (en mi caso, Linux) y del BIOS.

Tengo dos preguntas sobre la portabilidad del disco y el soporte de hibernación.

  1. ¿Puedo tomar un disco cifrado, con la contraseña establecida (TCG Opal), y moverlo a una computadora diferente? Dado que la contraseña se almacena dentro del disco y es manejada por este sistema operativo de sombra, asumo que esto funcionará, pero no pude encontrar la confirmación en ningún lado.
  2. ¿Funcionará la hibernación como de costumbre? ¿Se solicita la contraseña para el disco después de iniciar el equipo desde la hibernación?
pregunta Daniel 20.02.2017 - 23:12
fuente

1 respuesta

3

Déjame dar algunos detalles extendidos. Marqué la respuesta a sus dos preguntas con negrita:

  1. La mayoría de las implementaciones de BIOS admiten el conjunto de características de seguridad ATA (también conocida como contraseña ATA o clase de seguridad ATA 0) para dispositivos SATA. Si todo lo que necesita de SED es cifrado y bloqueo de datos con una sola contraseña, considere primero esta opción.
  2. La función de sombreado de MBR permite que el host desbloquee dispositivos TCG Opal sin ningún soporte de BIOS. Después de encender el dispositivo, se muestra una partición PBA de sombra especial (Autenticación previa al inicio) en lugar del contenido del disco original. Esta partición contiene código para desbloquear el dispositivo y eliminar el sombreado. BIOS carga este código y lo ejecuta (pensando que este es el sistema operativo real). Solo entonces el contenido del disco original se vuelve visible y se ejecuta el cargador de arranque original. La portabilidad de tal solución es menor porque el código PBA no puede admitir todas las arquitecturas (el sedutil que mencionó proporciona una imagen PBA solo para PC y Mac compatibles con x86) y no puede desbloquear el dispositivo después de la suspensión (modo S3).
  3. Shadow PBA funciona para la hibernación pero no funciona para dormir. El dispositivo está apagado en ambos casos, pero el BIOS carga el sistema desde cero solo para el primer caso. El dispositivo permanece bloqueado después de despertarse de la suspensión y requiere el soporte TCG del sistema operativo o la aplicación de seguridad.
  4. El código de la partición PBA de la sombra no administra la contraseña de desbloqueo, solo proporciona una GUI para ingresarla y usarla para la autenticación. La contraseña (o generalmente su derivación) es administrada por el firmware del dispositivo de una manera específica del proveedor.
respondido por el Artem Zankovich 28.09.2017 - 01:59
fuente

Lea otras preguntas en las etiquetas