Як увімкнути апаратне шифрування на Samsung 850 Pro

У мене є новий Samsung 850 pro, який рекламує апаратне шифрування . Згідно з цією сторінкою, я просто повинен пройти біографію та встановити пароль жорсткого диска (немає проблем правильно). Тільки відповідна нитка я знайшов з цього питання також говорить що - то по тим же причинам . У мене в BIOS такої опції немає (у мене є плата Гігабайт з чіпсетом Z87, номер моделі, який покидає мене в даний момент). Якщо я купував би нову материнську плату, щоб ця робота працювала, яку функцію має підтримувати плата?

Залежить від того, що ви маєте на увазі під «підключити це до роботи». Цей диск підтримує OPAL 2.0, що дозволяє різним схемам шифрування керованого програмним забезпеченням використовувати апаратне прискорене шифрування. Він також дозволяє передзавантажити аутентифікацію (PBA) для шифрування, наприклад, схеми BIOS / EFI. Якщо ви хочете використовувати PBA (тобто пароль / PIN-код у BIOS / EFI), тоді вам доведеться перейти на материнську плату, яка підтримує її (я не міг сказати, що я не використовую PBA, я використовую BitLocker, що я дуже рекомендую в середовищах Windows).

TL; DR Якщо ви працюєте з Windows, використовуйте BitLocker, він автоматично використовувати апаратне прискорення.

Редагувати :
Станом на квітень 2014 року, OPAL не підтримується Linux. Хтось працював над "msed", але це не було закінчено чи виробництво гідне. Я не знаю поточного стану чи майбутньої підтримки OPAL в Linux.

Редагувати 2 :
Існують також різні продукти UEFI, які можуть керувати накопичувачами, сумісними з OPAL, дозволяючи отримати різноманітні PBA, якщо ваш BIOS / EFI не підтримує його безпосередньо. Єдиний, з яким я нечітко знайомий, дозволяє компаніям встановлювати сервери аутентифікації для PBA через Інтернет. Це може також працювати з місцевими обліковими даними, я не впевнений. Це також дуже дорого. Їжа для роздумів, якщо нічого іншого.

Оскільки "хтось" працює над "msed", він тепер має можливість увімкнути блокування OPAL, записати PBA на привід OPAL 2.0 і завантажувати ланцюг реальної ОС після розблокування накопичувача на материнських платах, що базуються на біосі. Не потрібна спеціальна підтримка материнської плати. Так, це ще досить рано в його циклі розвитку, і в даний час він не підтримує сон, щоб утрамбовувати, оскільки для цього потрібні гачки ОС.

TexasDex правильно. BIOS вашої материнської плати повинен підтримувати параметр ATA Password (це виразно і на додаток до пароля BIOS). Тепер цікавий біт. . . про цю особливість ніхто не згадує. Не в оглядах mobo, порівняннях і, звичайно, не в рекламі та списках виробників mobo. Чому ні? Мільйони мільйонів SSD дисків Samsung EVO та Intel готові увімкнути надшвидке і надто безпечне апаратне шифрування. Все, що їм потрібно, - це BIOS з підтримкою пароля ATA.

Єдина відповідь, яку я міг знайти, - це те, що виробники Mobo побоюються, що кілька ноубів забудуть свої паролі, і оскільки це шифрування настільки надійне, ніхто ВСІМ не зможе допомогти.

У мене було мобо ASRock Extreme6, і думав, що це останнє і найбільше, звичайно, він би мав цю особливість. Ні. Однак я написав до ASRock в Тайвані, і через тиждень вони надіслали мені електронну пошту версії 1.70B свого BIOS з параметром ATA Password. Однак він все ще не доступний на їхньому веб-сайті, ви повинні попросити його (?!). Це може бути і з вашими виробниками мобо.

Можна використовувати команду hdparm в Linux, щоб увімкнути розширення безпеки ATA, які встановлять пароль AT на диску, тим самим зашифрувавши його.

На жаль, якщо ваш BIOS не підтримує паролі жорсткого диска, після цього не існує можливості завантажуватися , оскільки ви не можете використовувати команду розблокування hdparm, поки не закінчите завантаження, і ви не можете розблокувати та завантажувати. диск, поки ви не розблокуєте його. Вид проблеми з куркою / яйцями. Ось чому вони іноді ставлять підтримку пароля для диска в BIOS, щоб він міг працювати без необхідності ОС.

Якщо у вас є / boot або / розділ на окремому пристрої, ви, можливо, зможете встановити сценарій, який використовує команду hdparm десь у процесі init. Це непросто, і свого роду перемагає мета створення SSD для швидкого завантаження тощо.

Єдиною моєю іншою ідеєю було б мати палець із надзвичайно мінімальним дистрибутивом Linux, який не робить нічого, окрім запиту пароля, запустити команду hdparm ata unlock та перезавантажити, що дозволяє ОС завантажуватися з вашого розблокованого диска (я вважаю м'які перезавантаження зазвичай не повторно блокують накопичувачі). Це не ідеально, але це найкраще доступне рішення, якщо ваша материнська плата не підтримує паролі ATA.

• Тип зберігання повинен бути ACHI.
• Комп'ютер повинен завжди завантажуватися з UEFI.
• На комп'ютері повинен бути відключений модуль підтримки сумісності (CSM) в UEFI.

• Комп'ютер повинен базуватися на UEFI 2.3.1 і мати значення EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Цей протокол використовується, щоб дозволити програмам, що працюють в середовищі служб завантаження EFI, надсилати команди накопичувачів протоколу безпеки).

• Чип TPM необов’язковий.

• Безпечне завантаження необов’язково.
• GPT та MBR підтримуються.
• Якщо є програмне забезпечення / драйвери RST, воно повинно бути принаймні версією 13.2.4.1000.

Це можна зробити за допомогою 2-х дисків або одного.

З інсталяції Windows, яка відповідає зазначеним вище критеріям:

• Встановіть стан готового для активації за допомогою Samsung Magician.
• Зробіть безпечне стирання USB (для DOS).
• Перезавантажте ПК, змініть режим завантаження на завантаження BIOS (для безпечного стирання USB)
• Завантажте в безпечне стирання, стерти
• Перезавантажте ПК, знову змініть настройки завантаження BIOS на EFI. (Не дозволяйте ПК починати завантажуватися з диска, інакше ви можете запустити процес з самого початку.)
• Завантажтеся на диск Windows і перевірте через фокусника Samsung або встановіть Windows на захищений стертий диск.