Setzen die Befehle sedutil-cli revert auch die angegebene SID zurück?

399
davolfman

In sedutil-cli a

sedutil-cli --PSIDrevert <password> <device>

"Setzen Sie das Gerät mit Hilfe des SID-Passworts auf die werkseitigen Standardeinstellungen zurück. Wenn der Sperr-SP aktiviert ist, löscht dieser Befehl ALLE DATEN und erfordert das SID-Passwort." Dabei gehe ich davon aus, dass alle SIDs an die MSID zurückgegeben werden (Hersteller-Standard, abfragbar von der Schnittstelle)., und erstellt eine neue DEK, wenn das Schließsystem verwendet wurde. Das ist das einfache.

Meine Frage ist, ob die anderen Zurücksetzungsbefehle das angegebene Kennwort an die MSID zurückgeben. Zum Beispiel:

sedutil-cli --reverttper <password> <device>

Sagt, dass das Gerät mit dem SID-Passwort auf die Werkseinstellungen zurückgesetzt wird. Wenn der Sperr-SP aktiv ist, löscht dieser Befehl ALLE DATEN. Erfordert das SID-Kennwort. 'Setzt die LockingSP- und AdminSP-SIDs ebenfalls auf MSID zurück oder behalten sie ihre aktuellen Werte. Ähnlich gilt:

sedutil-cli --revertLockingSP <password> <device>

Deaktivieren Sie einfach das Schließsystem (und löschen Sie gesperrte Daten kryptografisch), oder löscht es auch die SID / das Kennwort für den Sperr-SP? Dies würde den Jargon sinnvoller machen (ein System in den Ausgangszustand zurückversetzen), aber das macht es nicht wahr. Die Möglichkeit, mit einem oder zwei Schritten in einem gelöschten, nicht gesperrten Zustand zurückkehren zu können, würde das erneute Bereitstellen erheblich vereinfachen.

1
Zusätzlich gibt https://github.com/Drive-Trust-Alliance/sedutil/wiki/Remove-OPAL ein Verfahren zum Entfernen von Opal an, indem der Sperr-SP ohne Löschen rückgängig gemacht wird, gefolgt von einem Reverttper. und sagt "Wenn dies abgeschlossen ist, befindet sich das Laufwerk in einem nicht-opal verwalteten Zustand." Das scheint ein Beweis dafür zu sein, dass dies wahr ist. Ich versuche immer noch, ein Ersatzlaufwerk zum Testen zu beschaffen. davolfman vor 5 Jahren 0

1 Antwort auf die Frage

0
davolfman

Experimentiere ich, wenn ich ein Installationsprogramm als Live-System verwende und:

sedutil-cli --revertnoerase oldpassword /dev/sda sedutil-cli --reverttper oldpassword /dev/sda

Dadurch wird das Laufwerk in einen Zustand versetzt, in dem ich laufen kann

sedutil-cli --initialsetup newpassword /dev/sda

Da das anfängliche Setup nicht das alte Kennwort erhielt, funktioniert dies nur, wenn die SIDs auf die MSID zurückgesetzt wurden, die von der Schnittstelle abgerufen werden konnte.

Beim Laufen jedoch:

sedutil-cli --revertnoerase newpassword /dev/sda sedutil-cli --activateLockingSP oldpassword /dev/sda sedutil-cli --activateLockingSP newpassword /dev/sda

Nur die zweite Aktivierung funktioniert. --Revertnoerase behält also die LockingSP-SID bei und deaktiviert sie nur. Sie funktioniert nur, wenn Sie das vorhandene Kennwort kennen, anstatt ein neues festzulegen.

Auf einem System, in dem die AdminSP-SID bekannt ist, das Laufwerk jedoch zu tief eingebettet ist, um einen einfachen physischen Zugriff zu erhalten, kann das Laufwerk mit dem Kennwort zurückgesetzt werden.

Verwandte Probleme