home *** CD-ROM | disk | FTP | other *** search
/ ftp.cse.unsw.edu.au / 2014.06.ftp.cse.unsw.edu.au.tar / ftp.cse.unsw.edu.au / pub / doc / misc / apollo / Declassifying Discs etc next >
Encoding:
Internet Message Format  |  1992-10-18  |  12.5 KB
  1. Path: usage.csd.unsw.oz.au!metro!munnari.oz.au!samsung!zaphod.mps.ohio-state.edu!cis.ohio-state.edu!pacific.mps.ohio-state.edu!linac!att!ucbvax!APOLLO.COM!griffith_j
  2. From: griffith_j@APOLLO.COM (John G. Griffith)
  3. Newsgroups: comp.sys.apollo
  4. Subject: Re: more on that disk in the SECRET safe (wishing it were in an Apollo!)
  5. Message-ID: <9105211726.AA03448@xuucp.ch.apollo.hp.com>
  6. Date: 21 May 91 17:22:14 GMT
  7. Sender: daemon@ucbvax.BERKELEY.EDU
  8. Lines: 305
  9.  
  10.  
  11. Esther:
  12.     Here is the entire text of the declassification procedure.
  13. I hope it is helpful.
  14.  
  15.     As a side note, Ray Moran of the DIS (San Francisco Office)
  16. is looking at this procedure with the goal of certifying it under a DIS
  17. program. I understand that once he certifies it, it will be accepted for use
  18. throughout the US.
  19.  
  20.  
  21. DECLASSIFICATION OF APOLLO EQUIPMENT 
  22.  
  23.     Apollo does provide users who use Apollo equipment with the capability to
  24. perform device and memory declassification procedures. Users who wish to
  25. declassify subsystems on Apollo equipment can use the facilities of the
  26. Diagnostics Executive (DEX) product to perform declassification of all device
  27. types. At sites where declassification occurs often, users can create DEX
  28. command files to automatically perform the procedures outlined below, or specify
  29. any other procedure deemed necessary and approved by the Accrediting Authority.
  30.  
  31.  
  32.      RANDOM ACCESS MEMORY
  33.  
  34.      The standard requirement to declassify random access memory in systems
  35. processing up to and including TOP SECRET data is to cycle the power to it twice
  36. (turn off, wait 1 minute, turn on, wait for startup-diagnostics to complete,
  37. turn off). There is no backup memory power for RAM in Apollo systems, so this
  38. method will cause randomization and initialization of all random-access memory 
  39. locations.
  40.  
  41.  
  42.      In the event that more sensitive information is being processed, or if the
  43. accrediting agency is more stringent, other methods may be required. One
  44. requirement in existance for sensitive information is that every physical memory
  45. location be over-written 1000 times with random or unclassified bit patterns.
  46. This requirement, or variations on it, can be satisfied using the Diagnostic
  47. Executive (DEX) program. The memory diagnostic module will support
  48. declassification by permitting the user to overwrite every location in memory a
  49. user-specified number of times. The procedure is provided below:
  50.  
  51.  
  52. 1.   Obtain the Mnemonic Debugger (MD) prompt. This can be done by issuing the
  53. 'SHUT' display manager or boot shell command or by powering the node up while in
  54. Service mode.
  55.  
  56. 2.   > EX DEX
  57.  
  58.      the computer will respond with identification information, then the
  59.      DEX prompt; DEX>
  60.  
  61. 3.   Declassify the area of memory above the DEX software: 
  62.  
  63.     DEX> RUN MEM 100 -PASS 100 -PAT $FFFFFFFF 0 $AAAAAAAA $55555555 @
  64.      { DEX will insert some identification information here }
  65.     _> $00FF00FF $FF00FF00 $FFFFFFFF 0 $AAAAAAAA $55555555
  66.  
  67. 4.   DEX will then list the memory configuration of the system and ask if you
  68.      want to restrict the address range to be tested. Enter 'N' for no. 
  69.  
  70. 5.   DEX will then warn you that it cannot test certain ranges of memory, then
  71.      starts the test on the remainder of memory available. This is because those
  72.      parts of memory are occupied by DEX and the memory test programs:
  73.  
  74.      ENTERING "MEM.DEX.1"
  75.      %WARNING: CANNOT TEST RANGE $01000000 TO $010007FF - (MEM.DEX/MCR)
  76.      %WARNING: CANNOT TEST RANGE $01000800 TO $010447FF - (MEM.DEX/MCR)
  77.      ...
  78.  
  79.      Note the lowest and the highest address in this list (in this case, $01000000 and
  80.      $010447FF).
  81.  
  82. 6.   When the test completes, relocate the DEX system to the highest available
  83.      memory locations:
  84.  
  85.      DEX> RELOC -HIGH
  86.  
  87. 7.   Repeat step 3.
  88.  
  89. 8.   In response to the query regarding restricting the address range,
  90.      either answer 'N' as before, or save some time by restricting the memory to 
  91.      be tested to just those areas previously occupied by DEX:
  92.  
  93.      RESTRICT ADDRESS RANGE (Y, N) <N>: Y
  94.      RESTRICTION BY BOARD # OR ADDRESS RANGE (B, R, N) <B>: R
  95.      LOW RANGE ADDRESS TO TEST <$0>: $01000000    { using above data }
  96.      HIGH RANGE ADDRESS TO TEST <$0>: $010447FF   { using above data }
  97.      LOW RANGE ADDRESS TO TEST <$0> :
  98.      ..
  99.      ..
  100.  
  101.      Note that the address range $01000000 TO $010007FF cannot be cleared using
  102.      this method. This area of physical memory is reserved for the mnemonic
  103.      debugger work space, and therefore is not available for use by either the
  104.      operating system or any user. Because of its' restricted use, there is
  105.      little or no risk that classified information will be stored in that memory
  106.      page. The MD command TE will cause this area to be overwritten, and
  107.      powering the node down will cause this page of memory to be 'randomized'.
  108.  
  109.  
  110.      MAGNETIC REMOVABLE MEDIA
  111.  
  112.      It is recommended that media in this category, including 1/2" magnetic
  113. tape, floppy diskettes, and cartridge tapes, be either declassified using an
  114. NSA-approved degaussing device, or be destroyed in accordance with the
  115. appropriate service and/or DoD regulation(s). The use of a approved degaussing
  116. device is much more economic, saves wear and tear on the system peripherals, and
  117. is considered to present less of a security risk than using program-driven
  118. declassification tools. The procedure below outlines a DEX procedure to
  119. declassify floppy diskettes. Similar procedures can be performed on 1/2"
  120. tape magnetic tape and cartridge tape media, if necessary.
  121.  
  122.     The Diagnostic Executive (DEX) can be used to declassify floppy diskettes in
  123. accordance with Department of Defense Directive 5200.28. The procedure to
  124. accomplish this is consists of Four phases: Declassification, Verification,
  125. Formatting, and Re-Involing. The Declassification phase is accomplished as follows:
  126.  
  127.  
  128. 1.   Obtain the Memnomic Debugger (MD) prompt. This can be done by issuing the
  129. 'SHUT' display manager or boot shell command or by powering the node up while in
  130. Service mode.
  131.  
  132. 2.   > EX DEX
  133.  
  134.      the computer will respond with identification information, then the
  135.      DEX prompt; DEX>
  136.  
  137. 3.   DEX> RUN FLP 10 -ENTIRE -NOBADSPOTS -WRITE -PAT $FFFF
  138.  
  139. 4.   DEX will warn you that the operation will destroy the contents of the disk,
  140.      and ask you if you want to continue. Enter 'Y'. DEX will then execute the
  141.      diagnostic. Ignore any bad spot errors reported. When complete, DEX will
  142.      issue the DEX prompt.
  143.  
  144. 5.   Repeat steps 3 and 4, changing the pattern written to 0:
  145.  
  146.      DEX> RUN FLP 10 -ENTIRE -NOBADSPOTS -WRITE -PAT $0
  147.  
  148. 6.   Repeat steps 3 and 4, changing the pattern argument to any random value:
  149.  
  150.      DEX> RUN FLP 10 -ENTIRE -NOBADSPOTS -WRITE -RANDOM
  151.  
  152.     The diskette has now been declassified. The verification phase is described
  153. after the declassification instructions for winchesters and storage devices.
  154.  
  155.  
  156.     WINCHESTER AND STORAGE MODULE DEVICES
  157.  
  158.     Like memory and floppy diskettes, Winchester and Storage Module Devices can
  159. be declassified using the Diagnostic Executive (DEX) utility if the procedure is
  160. approved by the Accrediting Authority. The procedure below meets the
  161. requirements of DoD Directive 5200.28. The user should be warned that some
  162. Accrediting Authorities WILL NOT accept any form of declassification and require
  163. that the device be destroyed. 
  164.  
  165.     The procedure for declassification of a winchester disk or storage
  166. module follows:
  167.  
  168. 1.   Obtain the Mnemonic Debugger (MD) prompt. This can be done by issuing the
  169. 'SHUT' display manager or boot shell command or by powering the node up while in
  170. Service mode.
  171.  
  172. 2.   > EX DEX
  173.  
  174.      the computer will respond with identification information, then the
  175.      DEX prompt; DEX>
  176.  
  177. 3.   Start the DEX write/read/verify test. For information on how to specify
  178.      different disk devices on a multi-disk system, read the DEX manual, or use the
  179.      DEX help facility to determine the arguments required.
  180.  
  181.      DEX> RUN WIN 10 -ENTIRE -NOBADSPOTS -WRITE -PAT $FFFF {-controller x -drive y}
  182.  
  183. 4.   DEX will warn you that the operation will destroy the contents of the disk,
  184.      and ask you if you want to continue. Enter 'Y'. DEX will then execute the
  185.      diagnostic. Ignore any bad spot errors reported. DEX will also provide
  186.      warnings that the test is skipping bad block tracks. These can be
  187.      ignored, since they are not writable by users. When complete, DEX will     
  188.      reissue the DEX prompt.
  189.  
  190. 5.   Repeat steps 3 and 4, changing the pattern written to 0:
  191.  
  192.      DEX> RUN WIN 10 -ENTIRE -NOBADSPOTS -WRITE -PAT $0
  193.  
  194. 6.   Repeat steps 3 and 4, changing the pattern argument to any random value:
  195.  
  196.      DEX> RUN WIN 10 -ENTIRE -NOBADSPOTS -WRITE -RANDOM
  197.  
  198.     The disk has now been declassified.
  199.  
  200.     ( Note that this test writes the full sector address in the first
  201.       6 bytes of each sector each pass. )
  202.  
  203. VERIFICATION OF DECLASSIFICATION
  204.  
  205. Every Apollo-supported disk supports an exercisor test which accepts manual
  206. commands for certain common operations. This test can be used to randomly
  207. read and display sectors or tracks from a declassified disk. In addition, 
  208. a compare function is supported to aid in detecting disk sectors that contain
  209. unknown values.
  210.  
  211. The test number to execute varies from machine type to machine type. The
  212. following table provides the test number for each of the machine types currently
  213. supported:
  214.  
  215.             Node Type           Sau         Test #
  216.             DN560T, DN570T,
  217.             DN580T,DN590T       /sau6        502
  218.             DN3500/4000/4500    /sau7        108
  219.             DN3000/3010/3050    /sau8        108
  220.             DN10000             /sau10       502
  221.  
  222. To verify the contents of any track on the disk, execute the following
  223. command at the DEX prompt:
  224.  
  225. {For a Sau7/8 machine:}
  226. DEX> RUN WIN 108 -ENTIRE -NOBADSPOTS -WRITE -PAT $0 {-controller x -drive y}
  227. DEX will load the test and display some identification, then ask the
  228. following questions:
  229. **************************** WARNING! WARNING! ****************************
  230. THE PARAMETERS YOU HAVE CHOSEN WILL DESTROY DATA ON THE DISK.
  231. DO YOU WISH TO CONTINUE?  (Y, N) <N>: Y(CR)
  232.  
  233. As indicated above, answer with a 'Y' and a return. DEX will then execute the
  234. exerciser test. This test first displays the current disk parameter set and 
  235. explains how to get help. In general, to view a disk sector, the command sequence
  236. follows:
  237. COMMAND [GO]: clear (cr)
  238.      CLEARED THE COMMAND TABLE
  239. COMMAND [GO]: seek (cylinder) (head) (cr)
  240.      COMMAND ACCEPTED
  241. COMMAND [GO]: read s (start sector) (# of sectors) (cr)
  242.      COMMAND ACCEPTED
  243. COMMAND [GO]: print i (# of bytes per sector to print) (# of sectors) (cr)
  244.      COMMAND ACCEPTED
  245. COMMAND [GO]: (cr)
  246.  
  247. This sequence will permit you to examine any sector or sectors on the disk.
  248.  
  249. RE-FORMATTING AND RE_INVOLING THE DISK
  250.  
  251. At this point, the disk is useless as all information and programs on it have been
  252. written over. In order to continue, the system must be booted off another boot
  253. source (i.e., another disk, cartridge tape, floppy disk, or another node on the 
  254. network). Boot the node from the alternate boot source in accordance with the
  255. operations manual, and then execute the INVOL stand-alone utility. The operations
  256. required include:
  257.  
  258. Option 1: Initialize a virgin physical volume.
  259.  
  260.   For verification options, choose option 3 - Write and reread all blocks on the volume.
  261.  
  262.   This Option re-formats and re-initializes the disk so that it can be used in Apollo
  263.   file systems.
  264.  
  265. Option 8: Initialize OS Paging Area.
  266.   Required if this is to be a bootable disk.
  267.  
  268. INVOL will complete each option with a request for more to do. After the desired options
  269. have been executed, enter 'n' in response to this question.
  270.  
  271. Software can now be installed on the disk in accordance with the installation instructions
  272. that accompany the software.
  273.  
  274.  
  275.  
  276. ---------------------------------------------------------------------------------
  277. Command File Examples: (based on DEX Memory Test version 4.0, October 21, 1987 )
  278.  
  279. create file /sau_sys/dmem.cmd:
  280. ONERR -CONT
  281. RELOC -LO -CMD 'DO /sau_sys/dmemlo'
  282. DO /sau_sys/dmemlo
  283.  
  284. create file /sau_sys/dmemlo.cmd:
  285. ONERR -CONT
  286. INPUT -CMD
  287. TYPE 'START UPPER MEMORY DECLASSIFICATION'
  288. RUN MEM 100 -PASS 3 -PAT $FFFFFFFF 0 $AAAAAAAA $55555555 
  289. N
  290. TYPE 'UPPER MEMORY DECLASSIFICATION COMPLETE'
  291. RELOC -HIGH -CMD 'DO /sau_sys/dmemhi'
  292.  
  293. create file /sau_sys/dmemhi.cmd:
  294. ONERR -CONT
  295. INPUT -CMD
  296. TYPE 'START LOWER MEMORY DECLASSIFICATION'
  297. RUN MEM 100 -PASS 3 -BOARD 0 -PAT $FFFFFFFF 0 $AAAAAAAA $55555555 
  298. TYPE 'LOWER MEMORY DECLASSIFICATION COMPLETE'
  299. TYPE
  300. TYPE 'MEMORY DECLASSIFICATION COMPLETE'
  301.  
  302. ---
  303.  
  304. Memory declassification can now be accomplished by entering the
  305. following command at the DEX prompt:
  306.  
  307. DEX> DO /sau_sys/dmem
  308.  
  309.  
  310.  
  311. --------
  312. John G. Griffith            EMAIL:    griffith_j@apollo.hp.com
  313. Operating Systems Technology Lab, OSSD        mit-eddie!apollo!griffith_j
  314. Hewlett-Packard, Inc.
  315.