Skip to content

ATAセキュリティ

はじめに

この文書は、wolfBootがATAセキュリティ機能を活用してATAドライブをロックまたはアンロックする方法の概要を提供します。 ATAドライブは、ハードコードされたパスワードを使用するか、TPMに封印された秘密を使用してロックできます。

目次

  • ハードコードされたパスワードでディスクをアンロックする
  • TPMに封印された秘密でディスクをアンロックする
  • パスワードを無効にする

ハードコードされたパスワードでディスクをアンロックする

ハードコードされたパスワードを使用してディスクをアンロックするには、.configファイルで次のオプションを使用します。

DISK_LOCK=1
DISK_LOCK_PASSWORD=hardcoded_password

ATAディスクにパスワードが設定されていない場合、最初の起動時に提供されたパスワードでディスクがロックされます。

TPMに封印された秘密でディスクをアンロックする

wolfBootは、特定の条件下でのみ解除できる方法でTPMに秘密を安全に封印できます。 詳細については、付録M付録Gを参照してください。 オプションWOLFBOOT_TPM_SEALDISK_LOCKが有効になっている場合、wolfBootはディスクのロック解除のためのパスワードとしてTPMに封印された秘密を使用します。 以下のオプションは、秘密の封印と解除を制御します。

オプション 説明
WOLFBOOT_TPM_SEAL_KEY_ID ポリシーに署名するために使用する鍵ID
ATA_UNLOCK_DISK_KEY_NV_INDEX 封印された秘密を保存するNVインデックス
WOLFBOOT_DEBUG_REMOVE_SEALED_ON_ERROR エラーの場合、秘密を削除しpanic()する

ATA_UNLOCK_DISK_KEY_NV_INDEXに封印された秘密がない場合、新しいランダムな秘密が作成され、そのインデックスに封印されます。 ATAドライブがロックされていない場合、最初の起動時にTPMに封印された秘密でロックされます。

パスワードを無効にする

パスワードを無効にする必要がある場合、デバイスにはすでにマスターパスワードが設定されている必要があります。 その後、次のオプションを使用してwolfBootをコンパイルすることで、ドライブからパスワードを無効にしてpanicさせることができます。

WOLFBOOT_ATA_DISABLE_USER_PASSWORD=1
ATA_MASTER_PASSWORD=the_master_password