我最近购买了 Crucial MX300 用作启动驱动器,我想利用它的自加密功能。我一直在研究 SED,我了解到它们使用数据加密密钥或 DEK(有时称为媒体加密密钥)和加密 DEK 的授权密钥。
来自TCG Opal 关于 SED 的常见问题解答(强调添加):
答:加密密钥是在驱动器上生成的,永远不会离开驱动器。制造商不会保留密钥,甚至无法访问密钥。此外,您不必信任它。将 SED 投入使用时首先指示 SED 重新生成其加密密钥被认为是一种很好的做法。在驱动器上加载任何软件之前执行此操作可以消除驱动器制造商或任何可能在当前所有者之前有机会访问驱动器的人员获取任何可能在以后用于侵入用户数据的秘密(如加密密钥)的可能性。
我的问题是,如何指示 SED 重新生成其加密密钥?我知道的唯一一个用于处理 SED 的免费工具是sedutil。我查看了该工具的所有文档,但没有找到有关再生 DEK 的任何信息。
有人知道如何指示 SED 重新生成加密密钥吗?
答案1
注意:我没有 SED 驱动器,也没有尝试过以下操作。请自行承担风险
从:
在部分安全磁盘擦除:
只需传递加密磁盘擦除(或加密擦除)命令(在提供正确的身份验证凭据后),驱动器就会在内部自行生成新的随机加密密钥 (DEK)。这将永久丢弃旧密钥,从而使加密数据不可撤销地无法解密。
由此:
使用 PSID 执行恢复出厂设置会导致所有磁盘参数重置为出厂原始设置,其中包括:
- 用于加密和解密媒体上数据的加密密钥被更改为未知值。
由此:
- https://github.com/Drive-Trust-Alliance/sedutil/blob/master/linux/PSIDRevert_LINUX.txt(Linux)
- https://github.com/Drive-Trust-Alliance/sedutil/wiki/PSID-Revert(视窗)
你有这个:
警告:此功能将清除您的所有数据...
Linux:
setutil-cli --yesIreallywanttoERASEALLmydatausingthePSID <PSIDALLCAPSNODASHES> /dev/sd?
视窗:
sedutil-cli -–yesIreallywanttoERASEALLmydatausingthePSID <YOURPSID> \\.\PhysicalDrive?
您应该会看到 INFO:revertTper 已成功完成。
如果您收到一条显示 NOT_AUTHORIZED 的消息,则表示您输入的 PSID 错误。
希望这可以帮助。