Як зашифрувати SSD Samsung Evo 840?

Я придбав ноутбук HP Envy 15-j005ea, який я оновив до Windows 8.1 Pro. Я також видалив жорсткий диск і замінив його на 1TB Samsung Evo 840 SSD. Тепер я хочу зашифрувати накопичувач, щоб захистити вихідний код моєї компанії та мої особисті документи, але я не можу розробити, як це зробити, або якщо це навіть можливо.

Я вважаю, що не рекомендується використовувати Truecrypt на SSD, але, будь ласка, виправте мене, якщо я помиляюся. Я також розумію, що 840 Evo має вбудоване 256-бітове шифрування AES, тому рекомендується використовувати це.

Evo оновлено до останнього вбудованого програмного забезпечення EXT0BB6Q, і у мене є остання програма Samsung Magician. Я не знаю, який у мене рівень UEFI, але я знаю, що машина була побудована в грудні 2013 року і має BIOS F.35, виготовлений компанією Insyde.

Це те, що я спробував:

• Бітлокер. Остання ніби прошивка Samsung, мабуть, сумісна з Windows 8.1 eDrive, тому я дотримувався інструкцій, знайдених у статті Anandtech . Перш за все, здавалося б, у ноутбука немає чіпа TPM, тому мені довелося дозволити Bitlocker працювати без TPM. Як тільки я зробив це, я спробував увімкнути Bitlocker. Anandtech кажуть, що "Якщо все сумісне з eDrive, вас не запитають, чи ви хочете зашифрувати весь або частину накопичувача, після того, як ви перейдете до початкової установки, BitLocker буде просто включений. Немає додаткового етапу шифрування (оскільки дані вже зашифровано на вашому SSD). Якщо ви зробили щось не так, або якась частина вашої системи не сумісна з eDrive, ви отримаєте індикатор прогресу та дещо тривалий процес шифрування програмного забезпечення. " На жаль, я був запитав, чи хочу я зашифрувати весь або частину диска, тому я це скасував.

• Встановлення пароля ATA в BIOS. У мене, схоже, немає такої опції в BIOS, лише пароль адміністратора та пароль для завантаження.

• Використання фокусника. На ньому є вкладка "Безпека даних", але я не повністю розумію варіанти та підозрюю, що жоден не застосовується.

Інформація в цьому запитанні та відповіді допомогла, але не відповіла на моє запитання.

Зрозуміло, що я хотів би знати, як я зашифрувати свій твердотільний накопичувач у HP Envy 15 чи мені насправді не пощастило? Чи є альтернативні варіанти чи мені потрібно жити без шифрування або повертати ноутбук?

Існує аналогічне питання щодо Anandtech, але воно залишається без відповіді.

Пароль потрібно встановити в BIOS під розширенням безпеки ATA. Зазвичай в меню BIOS є вкладка "Безпека". Аутентифікація відбуватиметься на рівні BIOS, тому жодне програмне забезпечення "майстра" не має жодного стосунку до налаштування автентифікації. Навряд чи оновлення BIOS включить пароль жорсткого диска, якщо він раніше не підтримувався.

Сказати, що ви налаштовуєте шифрування, вводить в оману. Вся справа в тому, що накопичувач ЗАВЖДИ шифрує кожен біт, який він записує в чіпи. Дисковий контролер робить це автоматично. Встановлення пароля (-ів) жорсткого диска на привід - це те, що ваш рівень безпеки від нуля до майже непорушного. Лише злісно насаджений апаратний кейлоггер або вивільнений в експлуатацію BIOS BIOS може отримати пароль для автентифікації ;-) <- Я здогадуюсь. Я не впевнений, що вони ще можуть зробити для BIOS. Справа в тому, що це не зовсім непереборно, але залежно від того, як ключ зберігається на диску, це найбезпечніший метод шифрування жорсткого диска на даний момент. Однак це загальний перебір. Напевно, BitLocker достатньо для більшості потреб споживчої безпеки.

Що стосується безпеки, я думаю, що питання: скільки ви хочете?

Повноцінне шифрування на основі апаратних засобів на кілька порядків захищеніше, ніж шифрування повного диска на рівні програмного забезпечення, як TrueCrypt. Це також має додаткову перевагу в тому, що не перешкоджати роботі вашого SSD. Те, як SSD зберігає свої біти, іноді може призвести до проблем із програмними рішеннями. На базі апаратних засобів FDE просто менш брудно, елегантніше та безпечніше, але він не «зачепився» навіть серед тих, хто достатньо дбає про шифрування своїх цінних даних. Це зовсім не складно, але, на жаль, багато BIOS просто не підтримують функцію "пароль жорсткого диска" (НЕ плутати з простим паролем BIOS, який можна обійти любителями). Я майже гарантую вам, навіть не дивлячись у вашій BIOS, що якщо ви ще не знайшли варіант, ваш BIOS не буде ' не підтримайте це, і вам не пощастить. Це проблема з вбудованим програмним забезпеченням, і ви нічого не можете зробити, щоб додати функцію, коли миготіти ваш BIOS чимось на зразок hdparm, який є настільки безвідповідальним, що навіть я б цього не намагався. Це не має нічого спільного з приводом або програмним забезпеченням, що входить до нього. Це специфічна проблема материнської плати.

ATA - це не що інше, як набір інструкцій для BIOS. Ви намагаєтеся встановити пароль користувача HDD та Master HDD, який використовуватиметься для автентифікації унікального ключа, що надійно зберігається на диску. "Користувацький" пароль дозволить розблокувати диск і завантажувати його як завжди. Те саме і з "Майстром". Різниця полягає в тому, що для зміни паролів у BIOS або стирання ключа шифрування на диску, потрібен "Master" пароль, який робить усі його дані недоступними та неповоротними миттєво. Це називається функцією "Безпечне стирання". За протоколом підтримується 32-бітний рядок символів, що означає 32-символьний пароль. З небагатьох виробників ноутбуків, які підтримують встановлення пароля жорсткого диска в BIOS, більшість символів обмежують 7 або 8. Чому кожна компанія BIOS не робить ' t підтримую це поза мною. Можливо, Столлман мав рацію щодо фірмового BIOS.

Єдиний ноутбук (майже жоден настільний BIOS не підтримує пароль жорсткого диска), який я знаю, дозволить вам встановити 32-розрядний пароль користувача та Master жорсткого диска на повну довжину - це Lenovo ThinkPad T- або W- серії. Востаннє я чув, що деякі ноутбуки ASUS мають таку опцію у своїх BIOS. Dell обмежує пароль жорсткого диска слабкими 8 символами.

Я набагато більше знайомий із збереженням ключів у SSD Intel від Samsung. Я вважаю, що Intel першим запропонував FDE на своїх чіпах, серіях 320 та ін. Хоча це був 128-розрядний AES. Я не розглядав детально, як ця серія Samsung реалізує сховище ключів, і ніхто насправді цього не знає. Очевидно, що обслуговування клієнтів вам не допомогло. У мене склалося враження, що в будь-якій технічній компанії п'ять-шість людей насправді знають щось про обладнання, яке вони продають. Intel, здавалося, неохоче розкриває конкретику, але врешті решта компанії відповіла десь на форумі. Майте на увазі, що для виробників приводів ця функція - це загальна думка. Вони нічого про це не знають і не цікавлять, а також 99,9% своїх клієнтів. Це просто чергова точка рекламної кулі на звороті коробки.

Сподіваюся, це допомагає!

Нарешті я сьогодні це почав працювати, і як ви, я вважаю, що в мене також не встановлено пароль ATA в BIOS (принаймні, не те, що я бачу). Я ввімкнув паролі користувача BIOS для користувачів / адміністратора, і на моєму ПК є чіп TPM, але BitLocker повинен працювати без одного (ключ USB). Як і ви, я також застряг у тому самому місці в запиті BitLocker, чи хочу я зашифрувати лише дані або весь диск.

Моя проблема полягала в тому, що моя установка Windows не була UEFI, хоча моя материнська плата підтримує UEFI. Ви можете перевірити свою установку, ввівши msinfo32команду run та перевіривши Bios Mode. Якщо він читає щось інше, UEFIто вам потрібно перевстановити вікна з нуля.

Дивіться цю покрокову інструкцію по шифруванню посібника з SSD Samsung у відповідній публікації на цьому форумі.

Шифрування програмного забезпечення

TrueCrypt 7.1a просто чудовий для використання на SSD-дисках, але зауважте, що це, швидше за все, знизить продуктивність IOP на значну кількість, хоча накопичувач все одно буде працювати в 10 разів кращим IOP, ніж HDD. Отже, якщо ви не можете скористатися переліченими в Magician параметрами, TrueCrypt - це варіант шифрування накопичувача, але, як повідомляється, він не дуже добре працює з файловими системами Windows 8 та пізнішими. З цієї причини БітЛокер з повним шифруванням диска є кращим варіантом для цих операційних систем.

TCG Opal

TCG Opal - це в основному стандарт, який дозволяє встановити якусь міні-операційну систему на зарезервовану частину диска, яка призначена лише для того, щоб дозволити завантажувати диск і представити користувачеві пароль для надання доступу до накопичувача . Для встановлення цієї функції доступні різні інструменти, в тому числі деякі стабільні проекти з відкритим кодом, але Windows 8 і пізніші BitLocker повинні підтримувати цю функцію.

У мене немає Windows 8 або пізнішої версії, тому я не можу надати інструкції, як це налаштувати, але моє читання вказує, що це доступно лише під час встановлення Windows, а не після його встановлення. Досвідчені користувачі можуть мене виправити.

Пароль ATA

Блокування пароля ATA - необов'язкова функція стандарту ATA, що підтримується приводами Samsung 840 та новіших версій, а також тисячами інших. Цей стандарт не пов'язаний з BIOS і до нього можна отримати будь-яку кількість методів. Я не рекомендую використовувати BIOS для встановлення або керування паролем ATA, оскільки BIOS може не відповідати стандарту ATA. У мене є досвід роботи з власним обладнанням для підтримки функції, але насправді це не відповідає.

Зауважте, що пошук за цією функцією породжує багато дискусій, стверджуючи, що функція блокування ATA не повинна вважатися безпечною для захисту даних. Зазвичай це правильно лише для жорстких дисків, які також не є самокодируючими накопичувачами (SED). Оскільки накопичувачі Samsung 840 та пізніших версій є SSD та SED, ці дискусії просто не застосовуються. Пароль ATA заблокований Samsung 840 серії та пізніших версій повинен бути достатньо захищеним для вашого використання, як описано в цьому запитанні.

Найкращий спосіб бути впевненим, що ваш BIOS може підтримувати розблокування накопичувача, що блокується паролем ATA, - заблокувати диск, встановити його в комп'ютер, потім завантажити комп'ютер і побачити, чи запитує він пароль і чи введений пароль може розблокувати диск.

Цей тест не слід проводити на диску з даними, які ви не хочете втрачати.

На щастя, тестовий диск не повинен бути накопичувачем Samsung, оскільки це може бути будь-який накопичувач, який підтримує стандартний набір безпеки ATA і може бути встановлений у цільовому комп'ютері.

Найкращий спосіб, який я знайшов для доступу до особливостей ATA накопичувача, - це утиліта командного рядка Linux hdparm. Навіть якщо у вас немає комп'ютера з Linux, існує безліч дистрибутивів, для яких встановлення образу диска також підтримує операційну операційну систему з живого носія. Наприклад, Ubuntu 16.04 LTS повинен легко і швидко встановлюватися на переважну більшість комп'ютерів, і те ж зображення можна також записати на флеш-носії для роботи в системах без оптичних приводів.

Детальні інструкції щодо ввімкнення захисту пароля ATA виходять за рамки цього питання, але я вважаю, що цей підручник є одним з найкращих для цього завдання.

Увімкнення безпеки ATA на SSD, що само шифрується

Зауважте, що максимальна довжина пароля - 32 символи. Я рекомендую зробити тест із 32-символьним паролем, щоб переконатися, що BIOS правильно підтримує стандарт.

Якщо вимкнено цільовий комп'ютер та заблоковано пароль ATA накопичувача, встановіть накопичувач та завантажте систему. Якщо BIOS не запитує пароль для розблокування накопичувача, то BIOS не підтримує розблокування пароля ATA. Крім того, якщо вам здається, що ви вводите пароль повністю правильно, але він не розблоковує накопичувач, можливо, BIOS не підтримує належним чином стандарт ATA, і тому не слід довіряти йому.

Можливо, є гарна ідея, щоб переконатися, що система правильно читає розблокований диск, наприклад, встановивши операційну систему та завантаживши її належним чином, або встановивши уздовж бічного диска ОС, що завантажує і зможе встановити тестовий диск і читати та записувати файли без проблем.

Якщо тест пройшов успішно, і ви впевнені в повторенні кроків, включення пароля ATA на накопичувач, включно з паролем із встановленою ОС, нічого не змінить у частині даних накопичувача, тому він повинен завантажуватися нормально після введення в пароль в BIOS.

Я не знаю, чи ви це ще бачили чи виправили, але ось посилання спеціально від Samsung на вашому EVO 840. http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/ про / whitepaper06.html

По суті, те, що вони говорять для включення апаратного шифру AES, вбудованого в ssd, - це встановлення пароля жорсткого диска в системній BIOS. Паролі "Користувач / Адміністратор / Установка" - це саме те. Однак встановлення пароля жорсткого диска має перейти до SSD. Це вимагатиме, щоб ви вручну вводили пароль щоразу, коли ви вмикаєте комп'ютер, і це не працює з чіпами TPM або іншими PassKeys. Крім того, я не можу підкреслити достатньо, БУДЬ-хто, хто використовує шифрування, повинен переконатися, що резервні копії даних. Відновлення даних з несправного / пошкодженого зашифрованого накопичувача майже неможливе без проходження спеціалізованої служби.

"Мені не потрібні рівні безпеки, що підтверджуються NSA"

Ну чому б не використати його все одно, оскільки це безкоштовно?

Після занять у школі з комп’ютерної безпеки та комп’ютерної криміналістики я вирішив зашифрувати свій диск. Я переглянув багато варіантів і ДУЖЕ щасливий, що вибрав DiskCrypt. Це простий в установці, простий у використанні, відкритий код із наданими підписами PGP, інструкції, як скласти його самостійно, щоб переконатися, що exe відповідає джерелу, він автоматично монтує диски, ви можете встановити підказку PW перед завантаженням і неправильно -pw дія, і він використовуватиме AES-256.

Будь-який сучасний процесор здійснить цикл шифрування AES в машинній інструкції SINGLE (шифрування даних, що вартують сектора, займає пару десятків раундів). За моїми власними орієнтирами, AES працює в одинадцять разів швидше, ніж програмні шифри, такі як метелики. DiskCryptor може шифрувати дані в багато разів швидше, ніж ПК може читати і записувати їх з диска. НЕ МОЖЛИВО виміряти накладні витрати.

Я працюю на машині з охолодженою TEC, швидкістю частоти 5 ГГц, тому ваш пробіг буде відрізнятися, але не набагато. Час процесора, необхідний для шифрування / дешифрування, був занадто низьким для вимірювання (тобто, менше 1%).

Після налаштування ви можете повністю забути його. Єдиний помітний ефект полягає в тому, що вам потрібно набрати свій PW під час завантаження, що я радий зробити.

Щодо того, як не використовувати шифрування на SSD, це чутка, яку я раніше не чув. Це також невиправдано. Зашифровані дані записуються і читаються з диска точно так, як звичайні дані. Зашифровуються лише біти в буфері даних. Ви можете chkdsk / f та запустити будь-яку іншу утиліту диска на зашифрованому диску.

І BTW, на відміну від інших програм, диспетчер не зберігає вашу пам'ять у пам'яті. Він використовує односторонній хешований ключ для шифрування, перезаписує ваші помилкові файли pwds в пам’яті і намагається зробити все, щоб переконатися, що він не вийде на файл підкачки під час введення та перевірки PW.

https://diskcryptor.net/wiki/Main_Page

Я писав про це в іншому місці в Super User, але оскільки це була тема, яку я використовував для навчання, я хотів торкнутися і бази тут.

ATA Password vs шифрування програмного забезпечення для повного шифрування диска в Samsung 840/850 EVO та Intel SSD

Плюси: простий, без ефективності, надзвичайно безпечний: диски не читаються на інших машинах без пароля ATA

Мінуси: Вам потрібен BIOS, у якого є параметр ATA Password (начебто, у ноутбуків HP та Lenovo це є, але більшість мобільних настільних комп'ютерів цього не роблять. Виняток: нещодавно ASRock написав BIOS 1.07B для своєї серії Extreme, і він працює). Крім того, він настільки безпечний, що якщо ви втратите пароль, дані не можна відновити. Хто завгодно, здається. Нарешті, все залежить від однієї мікросхеми контролера на SSD, і якщо ця мікросхема погана, дані робляться. Назавжди.

Сподіваюсь, це додасть дискусії.

Встановлення пароля ATA в BIOS. У мене, схоже, немає такої опції в BIOS, лише пароль адміністратора та пароль для завантаження. Шкода, це найпростіший варіант у вас.

По-друге, це виграш 8,1 + бітлокер, але вся перевстановлення справа дратує

Мені не відомий жоден фосс tcg opal sw, і платні версії, ймовірно, коштують багато

truecrypt працює, але якщо на вашому процесорі немає AES-NI, потрапляння в Spees може бути помітним

і не забувайте створити резервну копію ваших файлів, зашифровані дані набагато складніше відновити

Під час встановлення багатьох дистрибутивів Linux вам надається можливість шифрувати папку / home. У той час, коли ви вирішите зашифрувати папку / home (також місце монтажу), вас попросять (обов'язково) ввести пароль двічі.

По суті одна заповнена, ваша / домашня папка зашифрована.

Samsung повинен був бути "зашифрований" на заводі.

Зазвичай це означає, що без доступу до інформації на жорсткому диску не можна обійтися без пароля.

Вище сказане - те, що я зробив. Якщо мені пощастить, шифрування Samsung із іншим шаром шифрування програмного забезпечення Linux повинно зробити мене відносно безпечним від більшості недобрих людей, компаній та урядів.

Я не відчував необхідності паролювати жорсткий диск через BIOS.

Досить важко запам'ятати вже кілька паролів. KeepassX може бути корисним у цьому відношенні.

Для дійсно параноїдального ви можете паролювати Samsung EVO в BIOS, використовувати Linux після встановлення програмного забезпечення для шифрування диска, а потім використовувати програму шифрування з відкритим кодом (не truecrypt через підозру на задні двері та вразливості).

Ви можете використовувати KeepassX, щоб запам'ятати довгі складні паролі та навіть захистити паролем цю флешку.

Якщо ви не якийсь злочинець або не маєте чогось такого цінного, що вам потрібно стільки безпеки, більшість - це марна трата часу.

Можливо, буде простіше зберігати вихідний код на зашифрованому флеш-накопичувачі, як IronKey, щоб ви не приймали жодних показів продуктивності або не мали проблем із диском. Особисті документи також можуть туди зайти.