Как зашифровать твердотельный накопитель Samsung Evo 840?


14

Я купил ноутбук HP Envy 15-j005ea, который я обновил до Windows 8.1 Pro. Я также удалил жесткий диск и заменил его твердотельным накопителем Samsung Evo 840 емкостью 1 ТБ. Теперь я хочу зашифровать диск, чтобы защитить исходный код моей компании и мои личные документы, но я не могу понять, как это сделать или, если это вообще возможно.

Я понимаю, что не рекомендуется использовать Truecrypt на SSD, но, пожалуйста, исправьте меня, если я ошибаюсь. Я также понимаю, что 840 Evo имеет встроенное 256-битное шифрование AES, поэтому рекомендуется использовать его.

Evo был обновлен до последней версии прошивки EXT0BB6Q, и у меня установлена последняя версия Samsung Magician. Я не знаю, какой у меня уровень UEFI, но я знаю, что машина была построена в декабре 2013 года и имеет BIOS F.35, созданный Insyde.

Вот что я попробовал:

  • Bitlocker. Последняя версия прошивки Samsung предположительно совместима с Windows 8.1 eDrive, поэтому я следовал инструкциям, найденным в статье Anandtech . Прежде всего, казалось бы, у ноутбука нет микросхемы TPM, поэтому мне пришлось разрешить Bitlocker работать без TPM. Как только я это сделал, я попытался включить Bitlocker. Anandtech говорит, что «если все совместимо с eDrive, вас не спросят, хотите ли вы зашифровать весь или часть диска, после того, как вы пройдете первоначальную настройку, BitLocker будет просто включен. Никакой дополнительной стадии шифрования (так как данные уже зашифрован на вашем SSD). Если вы сделали что-то не так или какая-то часть вашей системы не совместима с eDrive, вы получите индикатор прогресса и довольно длительный процесс шифрования программного обеспечения ». К сожалению я был спросил, хочу ли я зашифровать весь или часть диска, поэтому я отменил это.

  • Установка пароля ATA в BIOS. У меня нет такой опции в BIOS, только пароль администратора и пароль при загрузке.

  • Используя Волшебника. У него есть вкладка «Безопасность данных», но я не до конца понимаю параметры и подозреваю, что ни один из них не применим.

введите описание изображения здесь

Информация в этом вопросе и ответе помогла, но не ответила на мой вопрос.

Очевидно, что я хотел бы знать, как мне зашифровать мой твердотельный накопитель в HP Envy 15 или мне действительно не повезло? Есть ли альтернативные варианты или мне нужно либо жить без шифрования, либо вернуть ноутбук?

Есть аналогичный вопрос по Anandtech, но он остается без ответа.


Шифрование SSD проблематично из-за выравнивания износа . Я не знаю всех особенностей этого, но вы могли бы найти связанный вопрос в Security.SE полезным. (Обратите внимание, что это скорее с точки зрения безопасности, чем реализации.)
Джонатан Гарбер

Пожалуйста, прочитайте комментарии к моему посту о шифровании SSD: vxlabs.com/2012/12/22/… - он стал дискуссионной площадкой для людей, заинтересованных в SSD FDE. Я думаю, что TCG Opal, который вы показываете, может быть интересным.
Чарл Бота

Это хорошая дискуссия, Чарл, я буду следить за этим. Похоже, никто из ваших посетителей еще не взломал это. Упоминается WinMagic SecureDoc Standalone для Windows, что является новым для меня ... но я не уверен, что хочу заплатить 100 долларов только за привилегию установить пароль!
Стивен Кеннеди

Ответы:


8

Пароль должен быть установлен в BIOS под расширением ATA-security. Обычно в меню BIOS есть вкладка «Безопасность». Аутентификация будет происходить на уровне BIOS, так что этот «мастер» программного обеспечения не имеет никакого отношения к настройке аутентификации. Маловероятно, что при обновлении BIOS будет активирован пароль жесткого диска, если он ранее не поддерживался.

Сказать, что вы настраиваете шифрование, вводит в заблуждение. Дело в том, что диск ВСЕГДА шифрует каждый бит, который записывает в микросхемы. Контроллер диска делает это автоматически. Установка пароля (ов) для жесткого диска - это то, что поднимает уровень безопасности с нуля до практически небьющегося уровня. Только злонамеренный аппаратный кейлоггер или созданный NSA удаленный эксплойт BIOS может восстановить пароль для аутентификации ;-) <- Я полагаю. Я еще не уверен, что они могут сделать с BIOS. Дело в том, что он не является полностью непреодолимым, но в зависимости от того, как ключ хранится на диске, это самый безопасный метод шифрования жесткого диска, доступный в настоящее время. Тем не менее, это полное излишество. BitLocker, вероятно, достаточно для большинства потребностей пользователей в безопасности.

Когда дело доходит до безопасности, я думаю, что вопрос: сколько вы хотите?

Аппаратное полное шифрование диска на несколько порядков более безопасно, чем полное шифрование диска на программном уровне, такое как TrueCrypt. Он также имеет дополнительное преимущество, заключающееся в том, что он не мешает работе вашего SSD. То, как SSD убирает свои биты, может иногда приводить к проблемам с программными решениями. Аппаратное FDE является менее беспорядочным, более элегантным и безопасным вариантом, но оно не «завоевало популярность» даже среди тех, кто заботится о шифровании своих ценных данных. Это совсем не сложно, но, к сожалению, многие BIOS просто не поддерживают функцию «пароль жесткого диска» (НЕ путать с простым паролем BIOS, который могут обойти любители). Я могу в значительной степени гарантировать вам, даже не заглядывая в свой BIOS, что, если вы еще не нашли опцию, ваш BIOS не ' не поддерживает, и вам не повезло. Это проблема прошивки, и вы ничего не можете сделать, чтобы добавить функцию, кроме перепрограммирования BIOS, чем-то вроде hdparm, что настолько безответственно, что даже я бы не стал пытаться. Это не имеет ничего общего с приводом или прилагаемым программным обеспечением. Это специфическая проблема материнской платы.

ATA - не более чем набор инструкций для BIOS. То, что вы пытаетесь установить, это пользовательский и главный пароль жесткого диска, который будет использоваться для аутентификации на уникальном ключе, надежно хранящемся на диске. «Пользовательский» пароль позволит разблокировать накопитель и продолжить загрузку в обычном режиме. То же самое с «Мастером». Разница заключается в том, что для смены паролей в BIOS или удаления ключа шифрования в накопителе необходим «главный» пароль, что делает все его данные недоступными и мгновенно восстанавливаемыми. Это называется функцией «Безопасное стирание». Согласно протоколу поддерживается 32-битная строка символов, что означает 32-символьный пароль. Из немногих производителей ноутбуков, которые поддерживают установку пароля жесткого диска в BIOS, большинство символов ограничиваются 7 или 8. Почему каждая компания BIOS не ' Не могу поддержать это. Возможно, Столлман был прав насчет проприетарного BIOS.

Я знаю, что единственный ноутбук (в большинстве случаев настольный BIOS не поддерживает пароль жесткого диска) позволит вам установить полноразмерный 32-битный пользовательский жесткий диск, а главный пароль - Lenovo ThinkPad T- или W-серии. Последнее, что я слышал, у некоторых ноутбуков ASUS есть такая опция в их BIOS. Dell ограничивает пароль жесткого диска 8 слабыми символами.

Я гораздо лучше знаком с хранилищем ключей в твердотельных накопителях Intel, чем Samsung. Я полагаю, что Intel первой предложила встроенные FDE в свои накопители серии 320 и выше. Хотя это был AES 128-битный. Я не очень подробно изучал, как в этой серии Samsung реализовано хранилище ключей, и на данный момент никто не знает. Очевидно, что обслуживание клиентов не помогло вам. У меня сложилось впечатление, что только пять или шесть человек в любой технологической компании знают что-либо об оборудовании, которое они продают. Похоже, Intel неохотно кашлял в деталях, но в конце концов представитель компании ответил где-то на форуме. Имейте в виду, что для производителей приводов эта функция является запоздалой. Они ничего не знают или не заботятся об этом, равно как и 99,9% процентов своих клиентов. Это просто еще одна точка рекламы на задней части коробки.

Надеюсь это поможет!


Это прекрасный ответ "Мистер Тинфил"; много-много информации, некоторые из которых я знал, а некоторые я точно не знал :) Я уже пришел к выводу, что мне не повезло по отношению к BIOS и его такой позор, как диск, как вы указываете вне, уже шифрование данных! Я не нуждаюсь в уровнях безопасности, проверяемых АНБ - достаточно, чтобы убедить себя и своего работодателя в том, что наш исходный код (и мои личные файлы), вероятно, будут в безопасности, если я потеряю ноутбук. Я уже в пути и в настоящее время перешел на Bitkeeper (шифрование на уровне программного обеспечения). Еще раз спасибо.
Стивен Кеннеди

6
«Аппаратное полное шифрование диска на несколько порядков более безопасно, чем полное шифрование диска на уровне программного обеспечения, такое как TrueCrypt». Нужна цитата.
Абдул

Утверждение о том, что аппаратное шифрование является более безопасным, чем программное шифрование, не может быть сфальсифицировано, поскольку мы не можем точно знать, что делает оборудование. Программное обеспечение с открытым исходным кодом, такое как TrueCrypt, может и прошло несколько аудитов, поэтому пользователи могут точно знать, что они используют. Эта проблема с аппаратной безопасностью не нова и является стандартной критикой TPM.
Пол

@Paul - возможно, TrueCrypt - не лучший пример, так как это программное обеспечение имеет недостатки безопасности и больше не поддерживается из-за него.
Игорь

1
@Igor TrueCrypt пережил несколько проверок, и никаких серьезных недостатков обнаружено не было. schneier.com/blog/archives/2015/04/truecrypt_secur.html
Пол

8

Я наконец-то заставил это работать сегодня, и, как и вы, я полагаю, что у меня нет настройки пароля ATA в BIOS (по крайней мере, я не вижу). Я включил пароли BIOS / user / admin, и на моем компьютере есть чип TPM, но BitLocker должен работать без него (USB-ключ). Как и вы, я также застрял в том же месте в приглашении BitLocker: хочу ли я зашифровать только данные или весь диск.

Моя проблема заключалась в том, что моя установка Windows не была UEFI, хотя моя материнская плата поддерживает UEFI. Вы можете проверить свою установку, введя msinfo32команду run и выбрав Bios Mode. Если он читает что-то другое, UEFIто вам нужно переустановить Windows с нуля.


См. Пошаговые инструкции по шифрованию Samsung SSD в соответствующем сообщении на этом форуме.


Похоже, отличный ответ! Я тоже проверю, когда получу такой SSD.
Отображаемое имя

только что проверил, это действительно работает так
Отображаемое имя

1
Пароль ATA не связан с BIOS. Некоторые системы могут поддерживать установку пароля ATA из интерфейса BIOS, но сам пароль ATA не имеет ничего общего с BIOS. Например, hdparmутилита командной строки Linux может использоваться для управления функциями безопасности с использованием стандарта ATA, а также других управляемых функций в стандарте. Важно отметить, что многие разработчики BIOS не позволяют полностью использовать функцию пароля ATA. Например, у меня есть Dell, которая позволяет включать в пароль только до 15 символов, хотя стандарт позволяет использовать до 32.
Пол

2

Шифрование программного обеспечения

TrueCrypt 7.1a прекрасно подходит для использования на твердотельных накопителях, но имейте в виду, что он, вероятно, значительно снизит производительность операций IOP, хотя накопитель по-прежнему будет выполнять IOP более чем в 10 раз лучше, чем HDD. Поэтому, если вы не можете использовать опции, перечисленные в Magician, TrueCrypt является опцией для шифрования диска, но, как сообщается, он не очень хорошо работает с файловыми системами Windows 8 и более поздними версиями. По этой причине BitLocker с полным шифрованием диска является лучшим вариантом для этих операционных систем.

TCG Opal

TCG Opal - это стандарт, который позволяет устанавливать своего рода мини-операционную систему на зарезервированную часть диска, которая предназначена только для загрузки диска и предоставления пользователю пароля для предоставления доступа к диску. , Для установки этой функции доступны различные инструменты, включая некоторые стабильные проекты с открытым исходным кодом, но Windows 8 и более поздние версии BitLocker должны поддерживать эту функцию.

У меня нет Windows 8 или более поздней версии, поэтому я не могу предоставить инструкции о том, как это настроить, но мои показания показывают, что это доступно только при установке Windows, а не после ее установки. Опытные пользователи могут поправить меня.

Пароль ATA

Блокировка паролем ATA является дополнительной функцией стандарта ATA, поддерживаемой накопителями Samsung 840 и более поздних серий, а также тысячами других. Этот стандарт не имеет отношения к BIOS и может быть доступен любым количеством способов. Я не рекомендую использовать BIOS для установки или управления паролем ATA, поскольку BIOS может не соответствовать стандарту ATA. У меня есть опыт работы с собственным оборудованием, которое поддерживает эту функцию, но на самом деле не соответствует требованиям.

Обратите внимание, что поиск по этой функции вызовет много дискуссий, утверждая, что функция блокировки ATA не должна считаться безопасной для защиты данных. Как правило, это верно только для жестких дисков, которые также не являются самошифрующимися дисками (SED). Поскольку накопители Samsung 840 и более поздних серий представляют собой твердотельные накопители и SED-диски, эти обсуждения просто неприменимы. Пароль ATA для Samsung серии 840 и более поздних версий должен быть достаточно безопасным для использования, как описано в этом вопросе.

Лучший способ убедиться, что ваш BIOS может поддерживать разблокировку диска, заблокированного паролем ATA, - это заблокировать диск, установить его в компьютер, затем загрузить компьютер и посмотреть, запрашивает ли он пароль и может ли введенный пароль разблокировать диск.

Этот тест не должен выполняться на диске с данными, которые вы не хотите потерять.

К счастью, тестовый диск не обязательно должен быть диском Samsung, так как это может быть любой диск, который поддерживает стандартный набор безопасности ATA и может быть установлен на целевом компьютере.

Лучший способ найти доступ к функциям привода ATA - использовать утилиту командной строки Linux hdparm. Даже если у вас нет компьютера с Linux, существует много дистрибутивов, чей образ установочного диска также поддерживает запуск операционной системы «вживую» с установочного носителя. Например, Ubuntu 16.04 LTS следует легко и быстро установить на подавляющее большинство компьютеров, и этот же образ можно также записать на флэш-носитель для работы в системах без оптических приводов.

Подробные инструкции о том, как включить защиту паролем ATA, выходят за рамки этого вопроса, но я считаю, что это руководство является одним из лучших для этой задачи.

Включение ATA Security на SSD с самошифрованием

Обратите внимание, что максимальная длина пароля составляет 32 символа. Я рекомендую выполнить тест с 32-символьным паролем, чтобы убедиться, что BIOS правильно поддерживает стандарт.

Когда целевой компьютер выключен и пароль ATA диска заблокирован, установите диск и загрузите систему. Если BIOS не запрашивает пароль для разблокировки диска, то BIOS не поддерживает разблокировку пароля ATA. Кроме того, если вам кажется, что вы вводите пароль полностью правильно, но он не разблокирует диск, возможно, BIOS неправильно поддерживает стандарт ATA и поэтому ему нельзя доверять.

Это может быть хорошей идеей иметь способ проверить, правильно ли система считывает разблокированный диск, например, установив и загрузив операционную систему должным образом, или установив рядом с диском ОС, который загружает и может монтировать тестовый диск и читать и писать файлы без проблем.

Если тест пройден успешно и вы уверены, что повторите шаги, включение пароля ATA на диске, в том числе с установленной ОС, ничего не изменит в части данных на диске, поэтому он должен нормально загружаться после ввода пароль в биосе.


TrueCrypt 7.1a is just fine for use on SSDs-> Нет! Он не должен быть указан как не вариант. TrueCrypt не является безопасным и больше не поддерживается, пожалуйста, отредактируйте свое сообщение соответствующим образом. См. TrueCrypt
Игорь

Кстати, в этом нет ничего нового, поддержка была прекращена в мае 2014 года ( более 2 лет назад ).
Игорь

Прекращение «поддержки» TrueCrypt также произошло, поскольку проекту потребовались существенные изменения для работы с более новыми (Windows 8) файловыми системами. TrueCrypt 7.1a прошел очень глубокий аудит, который обнаружил только незначительные проблемы с кодом, которые не повлияли на качество криптографии. Открыть криптографический проект TrueCypt Cryptographic Review . Это подтверждение того, что криптография известна как хорошая. Я не знаю ни одного другого проекта, который мог бы похвастаться таким же уровнем проверки.
Пол

TrueCrypt был проектом с открытым исходным кодом, поэтому утверждение, что он «больше не поддерживается», на самом деле вводит в заблуждение - его никогда не «поддерживали». То, что изменилось, - то, что это больше не активно развивается.
Пол

@Igor Если вы не предоставите какие-либо доказательства того, что криптография, предоставленная TrueCrypt 7.1a, является неприемлемой, я не буду редактировать свой ответ по этому аспекту.
Пол

1

Я не знаю, видели ли вы это или исправили это, но вот ссылка специально от Samsung на ваш EVO 840. http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/ о / whitepaper06.html

По сути, они говорят, что для включения аппаратного шифратора AES, встроенного в ssd, является установка пароля жесткого диска в системной BIOS. Пароли «Пользователь / Администратор / Настройка» - это всего лишь пароли. Однако установка пароля жесткого диска должна пройти через SSD. Для этого вам потребуется вводить пароль каждый раз при включении компьютера, и он не работает с микросхемами TPM или другими PassKeys. Кроме того, я не могу не подчеркнуть, что ЛЮБОЙ, кто использует шифрование, должен убедиться, что их данные сохранены. Восстановление данных с неисправного / поврежденного зашифрованного диска практически невозможно без прохождения специализированной службы.


1

«Мне не нужны NSA-доказательные уровни безопасности»

Ну почему бы не использовать его в любом случае, так как это бесплатно?

После окончания уроков по компьютерной безопасности и компьютерной экспертизе я решил зашифровать свой диск. Я посмотрел на многие варианты и очень рад, что выбрал DiskCrypt. Он прост в установке, прост в использовании, с открытым исходным кодом с предоставленными сигнатурами PGP, инструкциями о том, как скомпилировать его самостоятельно, чтобы убедиться, что исполняемый файл совпадает с исходным кодом, он автоматически монтирует диски, вы можете установить предзагрузочную подсказку PW и неправильно -pw, и он будет использовать AES-256.

Любой современный процессор будет выполнять шифрование AES в одной машинной инструкции (шифрование данных сектора занимает пару десятков раундов). По моим собственным оценкам, AES работает в одиннадцать раз быстрее, чем программно-реализованные шифры, такие как Blowfish. DiskCryptor может зашифровать данные во много раз быстрее, чем ПК может читать и записывать их с диска. Нет НИКАКИХ измеримых накладных расходов.

Я работаю на оборудовании с частотой вращения 5 ГГц и охлаждением TEC, поэтому ваш пробег будет отличаться, но не намного. Время ЦП, необходимое для шифрования / дешифрования, было слишком низким для измерения (т. Е. Менее 1%).

Как только вы это настроите, вы можете полностью забыть об этом. Единственным заметным эффектом является то, что вы должны печатать свой PW при загрузке, что я рад сделать.

Что касается неиспользования шифрования на SSD, это слух, который я не слышал раньше. Это также необоснованно. Зашифрованные данные записываются и читаются с диска точно так же, как обычные данные. Только биты в буфере данных скремблируются. Вы можете запустить chkdsk / f и запустить любую другую утилиту на зашифрованном диске.

И кстати, в отличие от других программ, diskkeeper не хранит ваш pw в памяти. Он использует односторонний хешированный ключ для шифрования, перезаписывает ваши неправильно напечатанные pwds в памяти и делает все возможное, чтобы не допустить потери файла подкачки во время ввода и проверки PW.

https://diskcryptor.net/wiki/Main_Page


Ну, тогда все в порядке. Удалить мой пост, даже если это явно относится к шифрованию твердотельных накопителей, предлагает программное обеспечение сделать это, отвечает на предположение, что шифрование повредит твердотельный накопитель, и что я, очевидно, знаю, о чем я говорю (даже если я не был аспирант по компьютерной безопасности). Посмотрим, вернусь ли я и помогу кому-нибудь еще.
Фэй Кэйн, девушка, мозг,

Причина, по которой шифрование несколько плохое, связана с дедупликацией. Я не знаю, делают ли ssd это, но если они используют его как метод снижения количества записей, шифрование действительно приводит к сокращению срока службы, потому что одна и та же вещь, записываемая на диск, должна быть полностью записана, а не дедуплицирована. Так что дело не в том, что это просто биты. да, однажды зашифрованный выглядит так же, но на самом чипе это другая история.
birdman3131

@ birdman3131 Я думаю, что твердотельные накопители уже давно прошли через тот момент, когда нужно беспокоиться о сроке службы твердотельных накопителей при записи в подавляющем большинстве случаев использования. Если на SSD нет функции сжатия / дедупликации, предлагаемой в качестве функции, я думаю, можно смело предположить, что в ней ее нет. Если это функция уровня файловой системы, то не имеет значения, зашифрован ли нижний уровень или нет.
Фазы

0

Я писал об этом в другом месте в Super User, но так как это была тема, которую я использовал для самообразования, я также хотел коснуться основы здесь.

Пароль ATA против программного шифрования для полного шифрования диска в Samsung 840/850 EVO и твердотельных накопителях Intel

Плюсы: просто, без потери производительности, чрезвычайно безопасно: диски не читаются на других машинах без пароля ATA

Минусы: вам нужен BIOS с опцией ATA Password (похоже, что у ноутбуков HP и Lenovo это есть, но у большинства настольных мобов нет. Исключение: ASRock недавно написал свой 1.07B BIOS для своей серии Extreme, и он работает). Кроме того, это настолько безопасно, что если вы потеряете пароль, данные не подлежат восстановлению. Всем кажется. Наконец, все зависит от одного чипа контроллера на SSD, и, если этот чип выйдет из строя, данные будут готовы. Навсегда.

Надеюсь, что это добавляет к обсуждению.


-1

Установка пароля ATA в BIOS. У меня нет такой опции в BIOS, только пароль администратора и пароль при загрузке. Жаль, это самый простой вариант, который у вас есть.

Во-вторых, Win 8.1 + BitLocker, но вся переустановка раздражает

я не знаю ни о каком foss tcg opal sw и платные версии, вероятно, стоят дорого

truecrypt работает, но если в вашем процессоре нет AES-NI, попадание в спи может быть заметным

и не забудьте создать резервную копию, зашифрованные данные гораздо сложнее восстановить


Поиски в Интернете по запросу «ПО FOSS TCG Opal» предоставляют результаты со ссылками и учебными пособиями для проектов FOSS TCG. Подавляющее большинство пользователей не будет ощущать очень незначительный удар по производительности от использования TrueCrypt без аппаратных ускорителей (в прошлом я установил TrueCrypt на старый ноутбук Dule-Core с жестким диском, и я не мог ощутить никакого снижения производительности). Резервное копирование зашифрованных данных должно осуществляться на устройство с по крайней мере таким же уровнем безопасности, в противном случае это противоречит цели шифрования.
Пол

-1

При установке многих дистрибутивов Linux вам предоставляется возможность зашифровать папку / home. В то время, когда вы решаете зашифровать папку / home (она же точка монтирования), вас попросят (обязательно) ввести пароль дважды.

По сути одна завершена, ваша / домашняя папка зашифрована.

Samsung должен был быть «предварительно зашифрован» на заводе.

Обычно это означает, что доступ к информации на жестком диске невозможен без пароля.

Выше, что я сделал. Если мне повезет, шифрование Samsung с другим уровнем программного обеспечения Linux должно сделать меня относительно безопасным для большинства гнусных людей, компаний и правительств.

Я не чувствовал необходимости пароли жесткого диска через BIOS.

Уже достаточно сложно запомнить несколько паролей. KeepassX может быть полезным в этом отношении.

Для истинного параноика, вы можете ввести пароль Samsung EVO в BIOS, использовать Linux после установки, чтобы зашифровать диск с помощью программного обеспечения, а затем использовать программу шифрования с открытым исходным кодом (не truecrypt из-за подозрений в закулисности и уязвимости).

Вы можете использовать KeepassX, чтобы запомнить длинные сложные пароли и даже защитить паролем эту флешку.

Если вы не являетесь каким-то преступником или имеете что-то настолько ценное, что вам нужна такая большая безопасность, большинство из них - пустая трата времени.

Возможно, будет проще сохранить исходный код на зашифрованной флешке, такой как IronKey, чтобы не было проблем с производительностью или проблем с диском. Личные документы также могут быть там.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.