Команды возврата sedutil-cli также сбрасывают заданный SID?

389
davolfman

В sedutil-cli a

sedutil-cli --PSIDrevert <password> <device>

«Сброс устройства до заводских настроек по умолчанию с использованием пароля SID. Если блокирующий SP активен, эта команда удаляет все данные, требует пароль SID». Я предполагаю, что он возвращает все идентификаторы безопасности в MSID (производитель по умолчанию, запрашиваемый из интерфейса) и создает новый DEK, если использовалась система блокировки. Это легко.

Мой вопрос: другие команды возврата возвращают указанный пароль в MSID? Например:

sedutil-cli --reverttper <password> <device>

Говорит, что «Сброс (ы) устройства к заводским настройкам по умолчанию с использованием пароля SID. Если SP блокировки активен, эта команда УДАЛЯЕТ ВСЕ ДАННЫЕ, требует пароль SID: «Возвращает ли SID LockingSP и AdminSP обратно к MSID, или они сохраняют свои текущие значения. Точно так же:

sedutil-cli --revertLockingSP <password> <device>

просто деактивировать систему блокировки (и криптографически стереть все заблокированные данные), или она также стирает SID / пароль для блокирующего SP? Это сделало бы жаргон более понятным (возвращение системы в исходное состояние), но это не делает его правдой. Возможность возврата к стертому разблокированному состоянию с одним или двумя шагами при наличии пароля значительно упростит повторную инициализацию.

1
Кроме того, https://github.com/Drive-Trust-Alliance/sedutil/wiki/Remove-OPAL предоставляет процедуру удаления опала, выполняя возврат без стирания блокирующего SP с последующим возвратом. и говорит: «Когда это будет завершено, накопитель будет находиться в не опаловом состоянии». Кажется, это доказательство того, что это правда. Я все еще пытаюсь приобрести запасной диск для тестирования. davolfman 5 лет назад 0

1 ответ на вопрос

0
davolfman

Экспериментально, если я использую установщик в качестве работающей системы и запускаю:

sedutil-cli --revertnoerase oldpassword /dev/sda sedutil-cli --reverttper oldpassword /dev/sda

Он переводит диск в состояние, в котором я могу

sedutil-cli --initialsetup newpassword /dev/sda

Так как initialsetup не давал старый пароль, единственный способ, которым это сработало бы, - это если бы SID были сброшены до MSID, который он мог извлечь из интерфейса.

Однако при запуске:

sedutil-cli --revertnoerase newpassword /dev/sda sedutil-cli --activateLockingSP oldpassword /dev/sda sedutil-cli --activateLockingSP newpassword /dev/sda

Работает только вторая активация. Поэтому --revertnoerase сохраняет SID LockingSP и просто деактивирует его, работая только в том случае, если вы знаете существующий пароль вместо того, чтобы устанавливать новый.

Таким образом, в системе, где известен идентификатор SID AdminSP, но диск слишком глубоко встроен, чтобы получить легкий физический доступ, диск можно восстановить с помощью пароля.

Похожие вопросы