一些制造商已经发布了在该磁盘上SSD
使用的自加密磁盘 (SED) 。hardware encryption
这是OS
不可知的,并且通常应该比基于软件的加密等LUKS-dmCrypt
更快Bitlocker
。
但是,我无法明确这样的磁盘和加密(如果使用的话)是否总是需要在重启时输入密码。
据我了解,这些 SED 的密码/密钥通常存储在ATA password
中的特殊字段内BIOS
。OS
启动时,磁盘会查找此密码/密钥并解密,只要处于OS
会话中,它就会保持解密状态。但我不确定它是否会提示用户输入密码并在重新启动时进行匹配,还是无需任何干预即可解密。
目前,我要求磁盘在系统启动时不需要任何密码提示,它应该从中获取BIOS
。我知道如果电脑被盗,那么数据就会暴露,但至少我想确保磁盘被盗不会导致数据暴露。
如果这是不可能的,那么在启动SED
时总是会要求输入密码,如果将其放置在其中,OS
是否会有帮助,假设这是可能的,但不确定是否会有所不同。key
TPM
答案1
这并不是要求 SED 在开机时输入密码。这仅取决于其安全设置。
请求设置和设置/重置密码的一种方法是使用hdparm
Linux 命令,并查看“安全”部分。请参阅hdparm 文档在尝试以下命令行之前:
hdparm -I /dev/sda
$P="YourOwnPassword"
hdparm --user-master u --security-set-pass "$P" /dev/sda
hdparm --security-unlock "$P" /dev/sda
hdparm --security-disable "$P" /dev/sda
据我所知,由于内部 AES 芯片的存在,无论磁盘是否配置为锁定以等待 ATA 密码,SED 内部的硬件加密始终处于活动状态。
即使使用密码锁定,SED 在提交密钥之前始终保持前 100 MiB 可访问。
这允许将任何密码管理作为 EFI 引导加载程序包含在内:以无需交互的自动化方式,或通过用户交互来验证凭据。
有一些实现可用于管理 SED 解锁:
- DELL EndPoint Security Suite 包括带有 TPM 存储的 PreBootAuthentication
- 开源SED实用程序
从技术上讲,磁盘与主板 TPM 芯片相关联,EFI 引导加载程序可能会要求最终用户密码来触发 TPM 磁盘密码检索来解锁磁盘。
SED 的好处还在于允许在一毫秒内进行内部 AES 密钥轮换,然后防止任何数据检索,而不会对 SSD 寿命产生任何副作用;例如使用hdparm
选项--security-erase-enhanced
。[请不要在 SSD 上使用随机写入,这效率低下]
如需了解更多详细信息,我建议ArchLinux wiki SED 页面。