如何设置自加密 Opal 2.0 SSD？

Question

我在带有 Opal 2.0 兼容 NVMe SSD 的 Lenovo ThinkPad L480 上全新安装了 Ubuntu 18.04.1。据我所知，驱动器总是加密的，但我需要设置一个密码，以便加密密钥本身也受到保护。

问题：

1. 我对加密的假设是否正确？
2. 如果是这样，我该如何设置该密码？

Answer 1

符合 Opal 2 标准的自加密磁盘驱动器 (SED)

OP的初步理解是正确的：

• Opal 2 驱动器的内容始终通过工厂设置的媒体加密密钥（MEK，也称为 DEK）进行加密。
• 最初，媒体加密密钥不受保护（否则您无法访问驱动器）。
• 必须设置密码来保护驱动器。（密码实际上对 MEK 进行了加密。）

要更正和/或修改有关此主题的其他帖子：

• 在设置 Opal 2 驱动器并设置密码之前，根本没有任何保护。
• Opal 2 驱动器不支持 ATA 密码。他们使用自己的预启动系统（PBA）进行解锁（见下文）。
• 在一些早期的 SSD 型号（例如 Crucial MX100/MX200/MX300、Samsung EVO 840/850、Samsung T3/T5）中发现了漏洞，因此这些型号不应与 Opal 2 硬件加密一起使用。

在 Linux 上设置 Opal 2 驱动器的低级要求

在使用 Opal 2 SSD 进行安全全盘加密之前，必须进行设置：

• 为了安全起见，应分配新的媒体加密密钥 (MEK)。（工厂设置的 MEK 可能容易受到攻击，例如依赖于序列号。）
• 必须指定密码。
• 必须指定加密范围。
• 必须提供特殊的启动代码、PBA（预启动身份验证系统）来解锁驱动器。

sedutil-cli在 Linux 发行版上，可以使用低级实用程序 ( ) 来配置和管理 Opal 2 驱动器。但直接使用比较困难。随附的 PBAsedutil-cli不支持国际键盘布局或安全启动。

如何在 Ubuntu（和其他 Linux 系统）上设置 Opal 2 驱动器

Relax and Recover (ReaR)是许多发行版存储库中包含的灾难恢复工具，可以创建可启动 USB 记忆棒来设置 Opal 2 驱动器。它支持国际键盘、安全启动、通过 BIOS 和 UEFI 启动，以及在 Ubuntu 上输入密码的图形屏幕。

ReaR 可以从包存储库 () 安装，也可以从 GitHubapt install rear下载到用户目录中。（GitHub 版本更新。）ReaR 用户指南包含“快速入门：设置自加密磁盘”部分，分 5 个步骤解释了该过程。

Answer 2

配备 Opal 支持的 SSD 的联想 ThinkPad L480 使用三星“MZ-V6E500BW SSD 960 EVO NVMe M.2 500GB”、256GB 或英特尔“180GB 固态硬盘 SATA3.2”OPAL2.0 M.2 硬盘，具体取决于所选硬盘选项。显然，英特尔固态硬盘具有一些非英特尔驱动器所没有的与博锐相关的管理功能，例如远程擦除和启用/禁用某些加密模式的能力。

似乎有时还会使用其他驱动器，例如希捷 1200 Pro SSD；因此，在使用 Windows时了解正在使用的驱动器非常重要，这样您就可以访问制造商的网站。

安装自定义操作系统后，您需要使用可用于该操作系统的工具。Linux 的两个主要是hdparm和sedutil，请参阅我在 UNIX 和 Linux Stack Exchange上的回答。

附加信息：

三星 SSD 有可用于设置其操作的软件，这仅适用于某些 SSD 和操作系统，否则默认为无密码并启用加密。

对于“Ubuntu 12.04 LTS 及更高版本”（来源：用户手册，DC 工具包 .PDF，第 10 页），三星 SSD DC 工具包旨在与三星 SSD 产品配合使用，包括 PM863、PM863a、SM863、SM863a、PM963 非定制、860 DCT、883 DCT、983 DCT、983 DCT M.2 和 983 ZET。

该软件与其他制造商的 SSD 不兼容，也不一定适用于其他三星 SSD。它还对 Windows Server 2012 R2、Widows Server 2016 RS1（版本 10.0.14393）、RHEL 5.7 到 6.4（6.4 及更高版本具有完全支持）和 CentOS 提供有限支持。

对于 Windows 和三星 SSD，使用的软件称为：“ Samsung SSD Magician DC 2.0 ”。将可启动 USB 驱动器与 Windows 和三星的 Windows 软件一起使用是另一种设置 SSD 以用于其他操作系统的选项，尽管不方便。

Magician软件企业版的用户手册声称仅支持三星SSD SM863和PM863。消费者版本声称Magician SSD 管理实用程序旨在与所有三星 SSD 产品配合使用，包括 470 系列、750 系列、830 系列、840 系列、850 系列、860 系列、950 系列、960 系列和 970 系列。

在您的情况下，您可能最好使用 hdparm 或获取 sedutil 设置。

不要忘记将屏幕保护程序设置为较短的时间，如果您希望加密驱动器保持安全，休眠也应该简短，请参阅上面链接的我的其他答案，一旦成功启动，通电的加密驱动器就会解锁

Arch Linux 的一篇有用的文章解释了ATA BIOS 密码和 sedutil 以及在 Linux 下支持 Opal 的驱动器，它解释了需要设置libata.allow_tpm. 另请参阅堆栈溢出问答：“ ATA 可信命令 - 如何设置 libata allow_tpm ”，尤其是戴尔的文章：“使用 SED 硬盘加密您的 Ubuntu 操作系统”，其中解释了一个冗长的过程（最后修改时间：2019 年 1 月 2 日） 01:05 PM）。

Answer 3

您是对的，加密始终处于开启状态。系统启动后，数据将自动解密。为驱动器执行加密和解密的密钥嵌入在硬件本身的芯片上。辅助 ATA 密码提供了额外的安全级别。请注意，如果二级密码丢失，数据将无法恢复。

许多自加密驱动器生产商提供软件工具来使用户能够创建此附加密码。

如果您有兴趣，请参阅此处的规格

资料来源：

https://trustedcomputinggroup.org/wp-content/uploads/TCG_Storage-Opal_SSC_v2.01_rev1.00.pdf

https://www.ontrack.com/uk/blog/concepts-explained/what-is-the-tcg-opal/

https://www.esecurityplanet.com/network-security/The-Pros-and-Cons-of-Opal-Compliant-Drives-3939016.htm