¿Software libre / libre para manejar unidades de autocifrado (SED) compatibles con TCG OPAL 2.0?

18

Estoy en busca de un software libre / libre que pueda manejar los SED compatibles con OPAL (2.0) (es decir, administrar la configuración de la autenticación previa al arranque (PBA) entorno, claves de cifrado ...).

Podría ser una utilidad que se ejecuta como una imagen en vivo (por lo tanto, independiente del sistema operativo), o un software cliente que funcionaría en las distribuciones de GNU / Linux . Permitiría a un usuario final (no buscar cosas empresariales de lujo) administrar la clave de bloqueo (configurar, modificar y eliminar la contraseña utilizada para cifrar la clave de cifrado) y crear el PBA.

hdparm es casi lo que estoy buscando, pero solo funciona con las características de seguridad ATA (sin consideración de OPAL, sin PBA ...), lo que puede ser problemático con BIOS flojo (cf esta publicación del blog para entender cómo el BIOS puede arruinar la función de contraseña ATA SEDs).

El Trusted Computing Group (que edita el estándar OPAL) menciona a un par de "Proveedores de software independientes" que manejan OPAL SED, pero la mayoría, si no todos, requieren una copia de Windows para configurar, o están dirigidos a grandes empresas . Me han referido a la edición WinMagic Enterprise de SecureDoc por su compatibilidad con GNU / Linux y el cumplimiento con OPAL, pero no pude comunicarme con su departamento de ventas porque no tengo una dirección corporativa "no libre" (seguro, por qué no).

Más importante aún, No confío en el software cerrado ("propietario") para cualquier cosa relacionada con la seguridad . En aquellos tiempos de escándalo de PRISM y otros impactos a gran escala en la privacidad, sería completamente absurdo confiar en la tecnología de encriptación opaca propuesta por una empresa con sede en Estados Unidos. De ahí la búsqueda de un software libre que actúe "de forma clara" y cuyo código fuente pueda revisarse y compilarse para uno mismo.

Si no conoce un software de este tipo, ¿hay algún consejo sobre cómo se podría producir uno? Iniciar una campaña de crowdfunding, hacer una solicitud durante un DefCon ...? Solo soy un usuario final normal sin habilidades de desarrollo, pero no me importaría participar en la financiación de este proyecto.

Otro recurso interesante: SSD con Cifrado de disco completo basado en hardware integrado utilizable , una publicación de blog con la información más completa que pude encontrar sobre el tema de SED y FDE;

    
pregunta neitsab 15.11.2013 - 18:57
fuente

3 respuestas

7

Un desarrollador ha comenzado a trabajar en una herramienta de línea de comandos GPL para admitir las unidades TCG Opal 1.0 / Opal 2.0 / Enterprise en Linux y Windows. Está en desarrollo muy temprano (v0.02alpha), pero me gusta lo que veo hasta ahora y he hecho algunas pruebas para el desarrollador.

Fuente: enlace

Binarios: enlace

    
respondido por el bhoar 29.04.2014 - 07:11
fuente
4

La última versión de msed se había enviado a github con ejecutables en www.r0m30.com/msed. La versión 0.20beta tiene un PBA para máquinas BIOS y la capacidad de cargarlo después de activar el SP de bloqueo. Todavía estoy desarrollando algo de documentación real, pero el anuncio contiene instrucciones rápidas y sucias para activar el FDE de hardware OPAL 2.0 con Windows o Linux.

    
respondido por el Michael Romeo 29.01.2015 - 06:35
fuente
1

Eres inteligente para no confiar en la seguridad de la caja negra, pero eso deja la seguridad del software. LUKS funciona, está bien considerado y es compatible con TRIM en SSD's.

Sí, debe ingresar su contraseña cuando arranque la máquina (cuando arranca su / boot, en realidad). Hacer que su BIOS sepa que su contraseña está más cerca del lado "conveniente" del espectro que del "seguro". Depende de cuáles sean tus metas finales.

    
respondido por el Bill McGonigle 30.03.2014 - 05:03
fuente

Lea otras preguntas en las etiquetas