web-dev-qa-db-ja.com

暗号化キーを再生成するようにSEDに指示するにはどうすればよいですか?

最近、ブートドライブとして使用するCrucial MX300を購入しましたが、その自己暗号化機能を利用したいと思います。私はSEDを読んでいますが、SEDがデータ暗号化キーまたはDEK(メディア暗号化キーと呼ばれることもあります)と、DEKを暗号化する認証キーを使用していることを理解しています。

TCG Opal FAQ on SEDs (強調を追加)から:

A:暗号化キーはドライブに搭載されて生成され、ドライブから離れることはありません。製造元はキーを保持しておらず、キーにアクセスすることさえできません。さらに、あなたはそれを信頼する必要はありません。 SEDを稼働させる場合、暗号化キーを再生成するようにSEDに指示することから始めることをお勧めします。ドライブにソフトウェアをロードする前にこれを行うドライブの製造元、または現在の所有者の前にドライブにアクセスする機会があった可能性のある他の人が、後でユーザーデータに侵入するために使用される可能性のある暗号化キーなどの秘密を取得する可能性を排除します。

私の質問は、暗号化キーを再生成するようにSEDに指示するにはどうすればよいですか? SEDを操作するために私が知っている唯一の無料ツールは sedutil です。私はそのツールのドキュメントをすべて読んでいますが、DEKの再生成については何も見つかりません。

暗号化キーを再生成するようにSEDに指示する方法を知っている人はいますか?

1
Dominic P

注:私はSEDドライブを持っておらず、以下を試したことがありません。ご自身の責任でご利用ください

から:

セクション内セキュアディスクの消去

(正しい認証資格情報を提供した後)暗号化ディスク消去(または暗号消去)コマンドを渡すだけで、ドライブは内部で新しいランダム暗号化キー(DEK)を自己生成します。これにより、古いキーが完全に破棄されるため、暗号化されたデータは取り返しのつかないほど復号化できなくなります。

これから:

PSIDを使用して出荷時設定にリセットすると、次のようなすべてのディスクパラメータが出荷時設定にリセットされます。

  • メディア上のデータの暗号化と復号化に使用される暗号化キーが不明な値に変更されました。

これから:

あなたはこれを持っています:

警告:この関数はすべてのデータを消去します...

Linux:

setutil-cli --yesIreallywanttoERASEALLmydatausingthePSID <PSIDALLCAPSNODASHES> /dev/sd?

ウィンドウズ:

sedutil-cli -–yesIreallywanttoERASEALLmydatausingthePSID <YOURPSID> \\.\PhysicalDrive?

INFO:revertTperが正常に完了したことが表示されます。

NOT_AUTHORIZEDというメッセージが表示された場合は、PSIDを間違って入力しました。

お役に立てれば。

2
levant pied