自加密驱动器 (SED) 和 S3 挂起(睡眠)

自加密驱动器 (SED) 和 S3 挂起(睡眠)

由于我的笔记本电脑已经老化,但我喜欢它的 4:3 屏幕,我不喜欢依赖外部媒体(也没有 USB 3 端口),而且 SSD 对我的预算来说太小,但我想要完全加密(以前是 truecrypt,但 CPU 不支持 AES),我决定使用 Seagate ST1000LM015 1TB SSHD 自加密硬盘。

现在我读到如何设置它,我认为它相当简单。直到那时我才发现解锁不仅仅是一个简单的固件功能,而且有一个完整的未加密分区,它处理 PBA,并有足够的空间(我记得是 128 MB?)来运行一个小型操作系统来执行所有解锁工作。

但我想要的是 S3 挂起模式。我考虑过使用它来sedutil管理驱动器,因为它据称支持 Windows 和 Linux,并且符合 OPAL TCG 标准。但后来我发现它不支持 S3,如果你仔细想想,这似乎很合乎逻辑。然后我又发现了一些使用 SED 功能且仍然允许 S3 的软件(例如 WinMagic 的 SecureDoc)。所以显然有办法!我知道这个加密密钥必须以某种方式缓存在 RAM 中,但对我来说这是一个可以接受的风险。

现在我考虑只使用 ATA Security eXtensions。因为我可以在 BIOS 中为驱动器设置密码,所以它也会锁定驱动器。据我了解,ATA Security eXtensions 不会禁用 S3。但数据是否仍然加密?硬盘控制器如何处理这个问题?我知道,使用普通笔记本电脑驱动器(不具备 SED 功能),您可以在启用密码的情况下使硬盘驱动器变得无用,但任何专门从事取证的公司都可以非常轻松地恢复数据(!)。

关于这个主题的信息非常稀少。而且通常很难证明其正确或错误。据我目前的理解,存储在 SED 上的数据默认是加密数据,只有启用驱动器锁定时才需要密码。

有人能解答我的一些疑问吗?是否有可能让 PBA(无论是 BIOS 还是第三方工具)和加密工作?双启动时 Linux 和 Windows 都可以吗?但最重要的是,我想要暂停功能!

答案1

由于无法解锁 Opal SED,除非提供C_PIN_Admin1(俗称密码),它必须存储在某个地方。因此,问题的答案取决于您是否希望将其安全地存储。

S3 恢复期间可使用的安全存储需要固件中的特定支持。TianoCore EDK II实现安全存储(LockBoxSMRAM)和用于自动解锁 Opal 驱动器的接口(UnlockOpalPasswordDevices)– 请参阅EDK II 中的 TCG 可信启动链 / OPAL 密码

Linux有几个sedutil分支允许以不安全的方式存储密码(在内核内存/未加密的分区/开发人员可以管理的任何地方),从而可以从 S3 睡眠中恢复。

关于 S3 恢复/固件的一般信息以及具体的安全注意事项,请参阅超越 BIOS 之旅 使用 EDKII 实现 S3 恢复

相关内容