無料/ libreソフトウェア OPAL(2.0)準拠のSED を処理できる(つまり、設定を管理できる)を探していますPre-Boot Authentification(PBA)環境、暗号化キー...).
これは、ライブイメージ(したがってOSに依存しない)として実行されるユーティリティ、またはGNU/Linuxディストリビューションで動作するのクライアントソフトウェアである可能性があります。これにより、1人のエンドユーザー(派手な企業のものを探していません)がロックキーを管理(暗号化キーの暗号化に使用されるパスワードを設定、変更、削除)し、PBAを作成できます。
hdparmは私が探しているものとほぼ同じですが、ATAのセキュリティ機能でのみ機能します(OPALの考慮なし、PBAなし...)。これは、BIOSの問題を引き起こす可能性があります(cf このブログ投稿 BIOSがSEDのATAパスワード機能を台無しにする方法)。
Trusted Computing Group(OPAL標準に準拠)は、OPAL SEDを処理するいくつかの「独立系ソフトウェアベンダー」について言及していますが、すべてではないにしてもほとんどの場合、Windowsコピーをセットアップする必要があるか、大企業を対象としています。 SecureDocのWinMagic Enterpriseエディションは、GNU/Linux互換性とOPAL準拠で紹介されましたが、「non-free」/コーポレートアドレスがないため、販売部門に連絡できませんでした(確かに、何故なの)。
さらに重要なことに、私は、セキュリティに関連する何かのために閉じた(「独占的な」)ソフトウェアを信頼していません。 PRISMスキャンダルやプライバシーに対するその他の大規模な影響があった時代には、米国に拠点を置く企業が提案した不透明な暗号化技術に依存するのはまったくおかしいでしょう。したがって、「平文で」動作し、自分のソースコードをレビューしてコンパイルできるlibreソフトウェアの検索。
そのようなソフトウェアを知らない場合、どのように作成できるかについてのヒントはありますか?クラウドファンディングキャンペーンを開始し、DefCon中にリクエストを送信します...?私は開発スキルのない通常のエンドユーザーですが、そのようなプロジェクトの資金調達に参加してもかまいません。
その他の興味深いリソース: 使用可能な組み込みハードウェアベースのフルディスク暗号化を備えたSSD 、SEDおよびFDEのトピックについて私が見つけた最も包括的な情報を含むブログ投稿。
開発者は、LinuxおよびWindowsでTCG Opal 1.0/Opal 2.0/EnterpriseドライブをサポートするためのGPLのコマンドラインツールの開発に着手しました。これは非常に初期の開発段階(v0.02alpha)ですが、これまでに確認したことが気に入っており、開発者のためにいくつかのテストを行っています。
Msedの最新バージョンは、www.r0m30.com/msedにある実行可能ファイルとともにgithubにプッシュされていました。 0.20betaリリースには、BIOSマシン用のPBAと、ロックSPをアクティブ化した後にそれをロードする機能があります。実際のドキュメントはまだ作成中ですが、発表には、WindowsまたはLinuxのいずれかを使用してOPAL 2.0ハードウェアFDEをアクティブ化するための簡単でわかりにくい説明が含まれています。
ブラックボックスセキュリティを信頼しないのは賢明ですが、ソフトウェアのセキュリティはそのままです。 LUKSは機能し、評価が高く、SSD上のTRIMをサポートしています。
はい、マシンを起動するときに(実際には/ bootを起動するときに)パスワードを入力する必要があります。 BIOSにパスワードを知らせることは、「安全な」パスワードよりも「便利な」側面に近いパスワードです。最終目標が何であるかに依存します。