Как зашифровать твердотельный накопитель Samsung Evo 840?

Я купил ноутбук HP Envy 15-j005ea, который я обновил до Windows 8.1 Pro. Я также удалил жесткий диск и заменил его твердотельным накопителем Samsung Evo 840 емкостью 1 ТБ. Теперь я хочу зашифровать диск, чтобы защитить исходный код моей компании и мои личные документы, но я не могу понять, как это сделать или, если это вообще возможно.

Я понимаю, что не рекомендуется использовать Truecrypt на SSD, но, пожалуйста, исправьте меня, если я ошибаюсь. Я также понимаю, что 840 Evo имеет встроенное 256-битное шифрование AES, поэтому рекомендуется использовать его.

Evo был обновлен до последней версии прошивки EXT0BB6Q, и у меня установлена последняя версия Samsung Magician. Я не знаю, какой у меня уровень UEFI, но я знаю, что машина была построена в декабре 2013 года и имеет BIOS F.35, созданный Insyde.

Вот что я попробовал:

• Bitlocker. Последняя версия прошивки Samsung предположительно совместима с Windows 8.1 eDrive, поэтому я следовал инструкциям, найденным в статье Anandtech . Прежде всего, казалось бы, у ноутбука нет микросхемы TPM, поэтому мне пришлось разрешить Bitlocker работать без TPM. Как только я это сделал, я попытался включить Bitlocker. Anandtech говорит, что «если все совместимо с eDrive, вас не спросят, хотите ли вы зашифровать весь или часть диска, после того, как вы пройдете первоначальную настройку, BitLocker будет просто включен. Никакой дополнительной стадии шифрования (так как данные уже зашифрован на вашем SSD). Если вы сделали что-то не так или какая-то часть вашей системы не совместима с eDrive, вы получите индикатор прогресса и довольно длительный процесс шифрования программного обеспечения ». К сожалению я был спросил, хочу ли я зашифровать весь или часть диска, поэтому я отменил это.

• Установка пароля ATA в BIOS. У меня нет такой опции в BIOS, только пароль администратора и пароль при загрузке.

• Используя Волшебника. У него есть вкладка «Безопасность данных», но я не до конца понимаю параметры и подозреваю, что ни один из них не применим.

Информация в этом вопросе и ответе помогла, но не ответила на мой вопрос.

Очевидно, что я хотел бы знать, как мне зашифровать мой твердотельный накопитель в HP Envy 15 или мне действительно не повезло? Есть ли альтернативные варианты или мне нужно либо жить без шифрования, либо вернуть ноутбук?

Есть аналогичный вопрос по Anandtech, но он остается без ответа.

Пароль должен быть установлен в BIOS под расширением ATA-security. Обычно в меню BIOS есть вкладка «Безопасность». Аутентификация будет происходить на уровне BIOS, так что этот «мастер» программного обеспечения не имеет никакого отношения к настройке аутентификации. Маловероятно, что при обновлении BIOS будет активирован пароль жесткого диска, если он ранее не поддерживался.

Сказать, что вы настраиваете шифрование, вводит в заблуждение. Дело в том, что диск ВСЕГДА шифрует каждый бит, который записывает в микросхемы. Контроллер диска делает это автоматически. Установка пароля (ов) для жесткого диска - это то, что поднимает уровень безопасности с нуля до практически небьющегося уровня. Только злонамеренный аппаратный кейлоггер или созданный NSA удаленный эксплойт BIOS может восстановить пароль для аутентификации ;-) <- Я полагаю. Я еще не уверен, что они могут сделать с BIOS. Дело в том, что он не является полностью непреодолимым, но в зависимости от того, как ключ хранится на диске, это самый безопасный метод шифрования жесткого диска, доступный в настоящее время. Тем не менее, это полное излишество. BitLocker, вероятно, достаточно для большинства потребностей пользователей в безопасности.

Когда дело доходит до безопасности, я думаю, что вопрос: сколько вы хотите?

Аппаратное полное шифрование диска на несколько порядков более безопасно, чем полное шифрование диска на программном уровне, такое как TrueCrypt. Он также имеет дополнительное преимущество, заключающееся в том, что он не мешает работе вашего SSD. То, как SSD убирает свои биты, может иногда приводить к проблемам с программными решениями. Аппаратное FDE является менее беспорядочным, более элегантным и безопасным вариантом, но оно не «завоевало популярность» даже среди тех, кто заботится о шифровании своих ценных данных. Это совсем не сложно, но, к сожалению, многие BIOS просто не поддерживают функцию «пароль жесткого диска» (НЕ путать с простым паролем BIOS, который могут обойти любители). Я могу в значительной степени гарантировать вам, даже не заглядывая в свой BIOS, что, если вы еще не нашли опцию, ваш BIOS не ' не поддерживает, и вам не повезло. Это проблема прошивки, и вы ничего не можете сделать, чтобы добавить функцию, кроме перепрограммирования BIOS, чем-то вроде hdparm, что настолько безответственно, что даже я бы не стал пытаться. Это не имеет ничего общего с приводом или прилагаемым программным обеспечением. Это специфическая проблема материнской платы.

ATA - не более чем набор инструкций для BIOS. То, что вы пытаетесь установить, это пользовательский и главный пароль жесткого диска, который будет использоваться для аутентификации на уникальном ключе, надежно хранящемся на диске. «Пользовательский» пароль позволит разблокировать накопитель и продолжить загрузку в обычном режиме. То же самое с «Мастером». Разница заключается в том, что для смены паролей в BIOS или удаления ключа шифрования в накопителе необходим «главный» пароль, что делает все его данные недоступными и мгновенно восстанавливаемыми. Это называется функцией «Безопасное стирание». Согласно протоколу поддерживается 32-битная строка символов, что означает 32-символьный пароль. Из немногих производителей ноутбуков, которые поддерживают установку пароля жесткого диска в BIOS, большинство символов ограничиваются 7 или 8. Почему каждая компания BIOS не ' Не могу поддержать это. Возможно, Столлман был прав насчет проприетарного BIOS.

Я знаю, что единственный ноутбук (в большинстве случаев настольный BIOS не поддерживает пароль жесткого диска) позволит вам установить полноразмерный 32-битный пользовательский жесткий диск, а главный пароль - Lenovo ThinkPad T- или W-серии. Последнее, что я слышал, у некоторых ноутбуков ASUS есть такая опция в их BIOS. Dell ограничивает пароль жесткого диска 8 слабыми символами.

Я гораздо лучше знаком с хранилищем ключей в твердотельных накопителях Intel, чем Samsung. Я полагаю, что Intel первой предложила встроенные FDE в свои накопители серии 320 и выше. Хотя это был AES 128-битный. Я не очень подробно изучал, как в этой серии Samsung реализовано хранилище ключей, и на данный момент никто не знает. Очевидно, что обслуживание клиентов не помогло вам. У меня сложилось впечатление, что только пять или шесть человек в любой технологической компании знают что-либо об оборудовании, которое они продают. Похоже, Intel неохотно кашлял в деталях, но в конце концов представитель компании ответил где-то на форуме. Имейте в виду, что для производителей приводов эта функция является запоздалой. Они ничего не знают или не заботятся об этом, равно как и 99,9% процентов своих клиентов. Это просто еще одна точка рекламы на задней части коробки.

Надеюсь это поможет!

Я наконец-то заставил это работать сегодня, и, как и вы, я полагаю, что у меня нет настройки пароля ATA в BIOS (по крайней мере, я не вижу). Я включил пароли BIOS / user / admin, и на моем компьютере есть чип TPM, но BitLocker должен работать без него (USB-ключ). Как и вы, я также застрял в том же месте в приглашении BitLocker: хочу ли я зашифровать только данные или весь диск.

Моя проблема заключалась в том, что моя установка Windows не была UEFI, хотя моя материнская плата поддерживает UEFI. Вы можете проверить свою установку, введя msinfo32команду run и выбрав Bios Mode. Если он читает что-то другое, UEFIто вам нужно переустановить Windows с нуля.

См. Пошаговые инструкции по шифрованию Samsung SSD в соответствующем сообщении на этом форуме.

Шифрование программного обеспечения

TrueCrypt 7.1a прекрасно подходит для использования на твердотельных накопителях, но имейте в виду, что он, вероятно, значительно снизит производительность операций IOP, хотя накопитель по-прежнему будет выполнять IOP более чем в 10 раз лучше, чем HDD. Поэтому, если вы не можете использовать опции, перечисленные в Magician, TrueCrypt является опцией для шифрования диска, но, как сообщается, он не очень хорошо работает с файловыми системами Windows 8 и более поздними версиями. По этой причине BitLocker с полным шифрованием диска является лучшим вариантом для этих операционных систем.

TCG Opal

TCG Opal - это стандарт, который позволяет устанавливать своего рода мини-операционную систему на зарезервированную часть диска, которая предназначена только для загрузки диска и предоставления пользователю пароля для предоставления доступа к диску. , Для установки этой функции доступны различные инструменты, включая некоторые стабильные проекты с открытым исходным кодом, но Windows 8 и более поздние версии BitLocker должны поддерживать эту функцию.

У меня нет Windows 8 или более поздней версии, поэтому я не могу предоставить инструкции о том, как это настроить, но мои показания показывают, что это доступно только при установке Windows, а не после ее установки. Опытные пользователи могут поправить меня.

Пароль ATA

Блокировка паролем ATA является дополнительной функцией стандарта ATA, поддерживаемой накопителями Samsung 840 и более поздних серий, а также тысячами других. Этот стандарт не имеет отношения к BIOS и может быть доступен любым количеством способов. Я не рекомендую использовать BIOS для установки или управления паролем ATA, поскольку BIOS может не соответствовать стандарту ATA. У меня есть опыт работы с собственным оборудованием, которое поддерживает эту функцию, но на самом деле не соответствует требованиям.

Обратите внимание, что поиск по этой функции вызовет много дискуссий, утверждая, что функция блокировки ATA не должна считаться безопасной для защиты данных. Как правило, это верно только для жестких дисков, которые также не являются самошифрующимися дисками (SED). Поскольку накопители Samsung 840 и более поздних серий представляют собой твердотельные накопители и SED-диски, эти обсуждения просто неприменимы. Пароль ATA для Samsung серии 840 и более поздних версий должен быть достаточно безопасным для использования, как описано в этом вопросе.

Лучший способ убедиться, что ваш BIOS может поддерживать разблокировку диска, заблокированного паролем ATA, - это заблокировать диск, установить его в компьютер, затем загрузить компьютер и посмотреть, запрашивает ли он пароль и может ли введенный пароль разблокировать диск.

Этот тест не должен выполняться на диске с данными, которые вы не хотите потерять.

К счастью, тестовый диск не обязательно должен быть диском Samsung, так как это может быть любой диск, который поддерживает стандартный набор безопасности ATA и может быть установлен на целевом компьютере.

Лучший способ найти доступ к функциям привода ATA - использовать утилиту командной строки Linux hdparm. Даже если у вас нет компьютера с Linux, существует много дистрибутивов, чей образ установочного диска также поддерживает запуск операционной системы «вживую» с установочного носителя. Например, Ubuntu 16.04 LTS следует легко и быстро установить на подавляющее большинство компьютеров, и этот же образ можно также записать на флэш-носитель для работы в системах без оптических приводов.

Подробные инструкции о том, как включить защиту паролем ATA, выходят за рамки этого вопроса, но я считаю, что это руководство является одним из лучших для этой задачи.

Включение ATA Security на SSD с самошифрованием

Обратите внимание, что максимальная длина пароля составляет 32 символа. Я рекомендую выполнить тест с 32-символьным паролем, чтобы убедиться, что BIOS правильно поддерживает стандарт.

Когда целевой компьютер выключен и пароль ATA диска заблокирован, установите диск и загрузите систему. Если BIOS не запрашивает пароль для разблокировки диска, то BIOS не поддерживает разблокировку пароля ATA. Кроме того, если вам кажется, что вы вводите пароль полностью правильно, но он не разблокирует диск, возможно, BIOS неправильно поддерживает стандарт ATA и поэтому ему нельзя доверять.

Это может быть хорошей идеей иметь способ проверить, правильно ли система считывает разблокированный диск, например, установив и загрузив операционную систему должным образом, или установив рядом с диском ОС, который загружает и может монтировать тестовый диск и читать и писать файлы без проблем.

Если тест пройден успешно и вы уверены, что повторите шаги, включение пароля ATA на диске, в том числе с установленной ОС, ничего не изменит в части данных на диске, поэтому он должен нормально загружаться после ввода пароль в биосе.

Я не знаю, видели ли вы это или исправили это, но вот ссылка специально от Samsung на ваш EVO 840. http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/ о / whitepaper06.html

По сути, они говорят, что для включения аппаратного шифратора AES, встроенного в ssd, является установка пароля жесткого диска в системной BIOS. Пароли «Пользователь / Администратор / Настройка» - это всего лишь пароли. Однако установка пароля жесткого диска должна пройти через SSD. Для этого вам потребуется вводить пароль каждый раз при включении компьютера, и он не работает с микросхемами TPM или другими PassKeys. Кроме того, я не могу не подчеркнуть, что ЛЮБОЙ, кто использует шифрование, должен убедиться, что их данные сохранены. Восстановление данных с неисправного / поврежденного зашифрованного диска практически невозможно без прохождения специализированной службы.

«Мне не нужны NSA-доказательные уровни безопасности»

Ну почему бы не использовать его в любом случае, так как это бесплатно?

После окончания уроков по компьютерной безопасности и компьютерной экспертизе я решил зашифровать свой диск. Я посмотрел на многие варианты и очень рад, что выбрал DiskCrypt. Он прост в установке, прост в использовании, с открытым исходным кодом с предоставленными сигнатурами PGP, инструкциями о том, как скомпилировать его самостоятельно, чтобы убедиться, что исполняемый файл совпадает с исходным кодом, он автоматически монтирует диски, вы можете установить предзагрузочную подсказку PW и неправильно -pw, и он будет использовать AES-256.

Любой современный процессор будет выполнять шифрование AES в одной машинной инструкции (шифрование данных сектора занимает пару десятков раундов). По моим собственным оценкам, AES работает в одиннадцать раз быстрее, чем программно-реализованные шифры, такие как Blowfish. DiskCryptor может зашифровать данные во много раз быстрее, чем ПК может читать и записывать их с диска. Нет НИКАКИХ измеримых накладных расходов.

Я работаю на оборудовании с частотой вращения 5 ГГц и охлаждением TEC, поэтому ваш пробег будет отличаться, но не намного. Время ЦП, необходимое для шифрования / дешифрования, было слишком низким для измерения (т. Е. Менее 1%).

Как только вы это настроите, вы можете полностью забыть об этом. Единственным заметным эффектом является то, что вы должны печатать свой PW при загрузке, что я рад сделать.

Что касается неиспользования шифрования на SSD, это слух, который я не слышал раньше. Это также необоснованно. Зашифрованные данные записываются и читаются с диска точно так же, как обычные данные. Только биты в буфере данных скремблируются. Вы можете запустить chkdsk / f и запустить любую другую утилиту на зашифрованном диске.

И кстати, в отличие от других программ, diskkeeper не хранит ваш pw в памяти. Он использует односторонний хешированный ключ для шифрования, перезаписывает ваши неправильно напечатанные pwds в памяти и делает все возможное, чтобы не допустить потери файла подкачки во время ввода и проверки PW.

https://diskcryptor.net/wiki/Main_Page

Я писал об этом в другом месте в Super User, но так как это была тема, которую я использовал для самообразования, я также хотел коснуться основы здесь.

Пароль ATA против программного шифрования для полного шифрования диска в Samsung 840/850 EVO и твердотельных накопителях Intel

Плюсы: просто, без потери производительности, чрезвычайно безопасно: диски не читаются на других машинах без пароля ATA

Минусы: вам нужен BIOS с опцией ATA Password (похоже, что у ноутбуков HP и Lenovo это есть, но у большинства настольных мобов нет. Исключение: ASRock недавно написал свой 1.07B BIOS для своей серии Extreme, и он работает). Кроме того, это настолько безопасно, что если вы потеряете пароль, данные не подлежат восстановлению. Всем кажется. Наконец, все зависит от одного чипа контроллера на SSD, и, если этот чип выйдет из строя, данные будут готовы. Навсегда.

Надеюсь, что это добавляет к обсуждению.

Установка пароля ATA в BIOS. У меня нет такой опции в BIOS, только пароль администратора и пароль при загрузке. Жаль, это самый простой вариант, который у вас есть.

Во-вторых, Win 8.1 + BitLocker, но вся переустановка раздражает

я не знаю ни о каком foss tcg opal sw и платные версии, вероятно, стоят дорого

truecrypt работает, но если в вашем процессоре нет AES-NI, попадание в спи может быть заметным

и не забудьте создать резервную копию, зашифрованные данные гораздо сложнее восстановить

При установке многих дистрибутивов Linux вам предоставляется возможность зашифровать папку / home. В то время, когда вы решаете зашифровать папку / home (она же точка монтирования), вас попросят (обязательно) ввести пароль дважды.

По сути одна завершена, ваша / домашняя папка зашифрована.

Samsung должен был быть «предварительно зашифрован» на заводе.

Обычно это означает, что доступ к информации на жестком диске невозможен без пароля.

Выше, что я сделал. Если мне повезет, шифрование Samsung с другим уровнем программного обеспечения Linux должно сделать меня относительно безопасным для большинства гнусных людей, компаний и правительств.

Я не чувствовал необходимости пароли жесткого диска через BIOS.

Уже достаточно сложно запомнить несколько паролей. KeepassX может быть полезным в этом отношении.

Для истинного параноика, вы можете ввести пароль Samsung EVO в BIOS, использовать Linux после установки, чтобы зашифровать диск с помощью программного обеспечения, а затем использовать программу шифрования с открытым исходным кодом (не truecrypt из-за подозрений в закулисности и уязвимости).

Вы можете использовать KeepassX, чтобы запомнить длинные сложные пароли и даже защитить паролем эту флешку.

Если вы не являетесь каким-то преступником или имеете что-то настолько ценное, что вам нужна такая большая безопасность, большинство из них - пустая трата времени.

Возможно, будет проще сохранить исходный код на зашифрованной флешке, такой как IronKey, чтобы не было проблем с производительностью или проблем с диском. Личные документы также могут быть там.