SEDutil TCG OPAL

Discussion in 'Безопасность и Анонимность' started by altblitz, 26 Dec 2019.

  1. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Имеем - Crucial SSD MX500.
    Задача - использовать hardware TCG enc/decryption на SSD всех данных.
    Исполнение - создаётся один раз PBA (Pre Boot Authorization) в скрытом разделе MBR, что должно при правильном вводе пассфразы/ворда в цепочке вызвать boot-loader - grub/systemd-boot/и т.д.

    PBA сделан, загружается и при вводе пассфразы показывает command line, из которого делается `мягкий ребут' и тогда загружается основной boot-loader.

    Проблема: Не происходит автоматической загрузки в цепочке.

    Нужно указывать в UEFI BIOS первой - скрытую партицию sedutil или непосредственно ту партицию, где /boot?
     
  2. drim

    drim Member

    Joined:
    27 Aug 2009
    Messages:
    347
    Likes Received:
    33
    Reputations:
    4
    Разумеется, ту, где PBA

    И делается это не из UEFI BIOS, а из sedutil, в качестве аргумента передаётся путь к диску:

    sedutil-cli –-setMBREnable on <password> <drive>
     
    altblitz likes this.
  3. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Благодарю тебя!

    С моментом до UEFI - освоено.
    Загружается из MBR sedutil и далее оставляет любоваться на коммандную строку.
    Дальше, можно загрузить OS.

    [​IMG]

    Не много ли хочется, чтобы запустить chain-load в связке?
    sedutil -> /boot/?

    [​IMG]
     
  4. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Interesting.
    sedutil, сам не маркирует PBA загрузочной партицией?

    Edit: нет, не может в такое.
     
    #4 altblitz, 31 Mar 2020
    Last edited: 31 Mar 2020
  5. drim

    drim Member

    Joined:
    27 Aug 2009
    Messages:
    347
    Likes Received:
    33
    Reputations:
    4
    ты по какой инструкции делаешь?
     
  6. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    За внимание - Благодарен Твоей!

    По мануалу, https://github.com/Drive-Trust-Alliance/sedutil делаю.

    И нашлась та ошибка, которую и подозревал: https://github.com/Drive-Trust-Alliance/sedutil/issues/261
    Всего-то, одна партиция (должна быть) при cold boot в UEFI.
    sedutil, делает их множество. Аскает пассворд и загружается сама.

    А дальше? Загружать OS. Вот на этом моменте и начались вопросы.
    Попробую по новой. Люблю GNU/Linux - иногда не выводит сообщения об ошибках, и продолжает работу.

    Надо глянуть dmesg | tail.
     
    drim likes this.