Czy na komputerze Mac możliwe jest sprzętowe szyfrowanie całego dysku?

21

Czy możliwe jest zastosowanie sprzętowego szyfrowania całego dysku (być może na dysku Samsung 840 Pro SSD) na komputerze Mac, a konkretnie Macbook Pro 8,2? Jeśli tak to jak?

Rozumiem, że będzie to obsługiwane w systemie BIOS lub EFI, ale myślę, że EFI firmy Apple jest ogólnie dość zablokowane.

Nie szukam żadnych rozwiązań opartych na oprogramowaniu, takich jak FileVault 2 lub TrueCrypt. I podwójny rozruch i sprawy będą prostsze, jeśli będzie obsługiwane sprzętowo.

Eric Marsh
źródło
3
Rozumiem, że szyfrowanie sprzętowe jest w miarę możliwości preferowane, ale chcę zakwestionować twoją motywację: szyfrowanie dysku różnych dostawców sprzętu wydaje się słabo udokumentowane. Podano niewiele informacji, ale są one niezbędne do zachowania poufności wdrożenia. Z drugiej strony FileVault 2 przechodzi obecnie certyfikację FIPS 140-2 [1 ] - standard NIST dla modułów kryptograficznych.
gentmatt
1
Z mojego osobistego doświadczenia, szyfrowanie całego dysku oparte na oprogramowaniu w konfiguracji podwójnego rozruchu w systemie Windows 7 nie stanowi problemu, jeśli szyfruję tylko wolumin startowy OS X za pomocą FileVault 2 (to jest moja obecna konfiguracja). Jeśli chcesz również zaszyfrować wolumin systemu Windows lub Linux, robi się bałagan - więc słyszałem, ale nie testowałem dla siebie.
gentmatt
Właściwie używam Ubuntu głównie z OSX na boku. Mam także partycję współdzieloną, choć być może można ją obsłużyć za pomocą TrueCrypt. To po prostu wydaje się mniej kłopotów i będzie wymagało mniej oprogramowania, jeśli mogę mieć tylko jedno hasło podczas uruchamiania.
Eric Marsh
Czy używałeś Filevault 2 wraz z pełnym szyfrowaniem dysku Ubuntu? Czy to działało dobrze? Jestem tylko ciekawy, ponieważ chcę porzucić moją partycję Windows dla Ubuntu 12.04.
gentmatt
Nie, przepraszam, że tego nie próbowałem. Nie sądzę, aby byłby to problem, o ile nie chcesz czytać jednej partycji podczas rozruchu na drugiej. Spodziewałbym się, że może uda ci się to obejść, używając TrueCrypt dla obu. Użyłem trochę TrueCrypt, ale nie jestem ekspertem
Eric Marsh

Odpowiedzi:

3

Zadałem sobie dokładnie to samo, ponieważ mam również Samsung 840 Pro dla mojego MacBooka Pro. Po kilku badaniach znalazłem ten post wskazujący, że szyfrowanie sprzętowe 840 Pro wymaga obsługi TPM, i to tylko w BIOSach komputerów PC, a nie w EFI Mac (U). Dla pewności zapytałem Samsunga, które standardy „ATA-Security”, „Seagate DriveTrust” i „TCG OPAL” są obsługiwane przez 840 Pro, a ich odpowiedź brzmiała:

Drogi Kliencie,

Dziękujemy za skontaktowanie się z obsługą klienta Samsung SSD w sprawie zapytania. W odpowiedzi na twoje zapytanie jedyną z 3 obsługiwanych przez urządzenie jest funkcja ATA Security. Jeśli chodzi o szyfrowanie, dysk SSD 840 Pro Series obsługuje tylko 256-bitowe szyfrowanie sprzętowe AES, ale wymaga włączenia systemu BIOS w module TPM.

Dlatego nie ma sposobu, aby włączyć szyfrowanie sprzętowe 840 Pro na komputerze Mac.

Istnieje jednak Crucial M500, który obsługuje Opal firmy TCG . W połączeniu ze specjalnym oprogramowaniem do zarządzania Opal, takim jak SecureDoc WinMagic dla komputerów Mac , brzmi to tak, jakby szyfrowanie sprzętowe działało na komputerze Mac.

BTW, zauważ, że zgodnie ze wsparciem Sophos ich SafeGuard obsługuje Opal tylko w systemie Windows, a nie w systemie Mac OS. Również ogólne pytania i odpowiedzi McAfee dotyczące stanów Opal

P: Czy dyski Opal będą obsługiwane w systemie Mac OS X?

Odp .: Nie. Obecnie Apple nie dostarcza swoich urządzeń z napędami Opal, więc Opal nie jest obsługiwany w Endpoint Encryption dla komputerów Mac.

Ale oczywiście nic nie mówi o tym, jeśli sam po prostu włożysz dysk Opal do komputera Mac.

sschuberth
źródło
TPM nie jest wymagany. W mojej instalacji Windows 8.1 mogłem aktywować samoszyfrowanie tego dysku bez użycia TPM - wystarczy zmienić ustawienia BitLocker w gpedit.msc. Teoretycznie jest to możliwe również w systemie OS X, jeśli system operacyjny to obsługuje.
Sarge Barszcz
Czy mógłbyś udostępnić ustawienia, które dokładnie zmieniałeś w gpedit.msc?
sschuberth
Ten artykuł bardzo przypomina, że ​​BitLocker używałby w tym przypadku szyfrowania programowego, tzn. Szyfrowanie / deszyfrowanie jest wykonywane przez procesor zamiast samego dysku twardego. Zwłaszcza, że ​​polecają TrueCrypt jako alternatywę.
sschuberth
nie powiedziałem, że pozostałe części są poprawne. btw, najbardziej kompletny przewodnik jest tutaj: superuser.com/a/700251/161593
Sarge Borsch
2

Rozszerzając odpowiedź sschuberth, od grudnia 2013 roku, Samsung 840 EVO (ale nie PRO) ma również oprogramowanie wewnętrzne, które bezpośrednio obsługuje TCG OPAL. To dobry zakład, że aktualizacja oprogramowania układowego 840 Pro, aby zrobić to samo, już niedługo.

Potrzebujesz oprogramowania do zarządzania dyskiem SED, w przeciwnym razie wbudowane zabezpieczenia nie przyniosą żadnych korzyści.

WinMagic SecureDoc będzie zarządzał dyskiem, ale nie dla każdej wersji OS X (anegdotyczne dowody sugerują 10.8.1: ok, 10.8.2: nie ok).

Uważam, że będziesz musiał także uruchomić oprogramowanie dla przedsiębiorstw WinMagic. Chociaż mają one samodzielną wersję SecureDoc do obsługi dysków SED, wydaje się, że jest ona dostępna tylko dla systemu Windows.

UWAGA: SecureDoc nie wymaga TPM dla SED, podobnie jak 840 EVO działający w trybie TCG Opal. SecureDoc może obsługiwać moduł TPM, jeśli go masz, i włącz tę funkcję (tylko system Windows).

Larry
źródło
1

To dobre pytanie i - tak - znalezienie odpowiedzi na to pytanie jest prawie niemożliwe. Samsung wysyła do wsparcia Apple. Spodziewałbym się usłyszeć od Apple, że nie jest to możliwe.

Pełne szyfrowanie dysku HW vs FileVault - zauważalna różnica w wydajności. Jeśli nie jesteś użytkownikiem biznesowym, który wymaga ścisłego szyfrowania, musimy poszukać rozwiązania Samsung opartego na HW. Ale jak włączyć to na Macu - ból, aby się dowiedzieć.

żal
źródło
1
W przypadku najnowszych procesorów FileVault2 korzysta ze sprzętowego AES i ma niewielki wpływ na wydajność, według niektórych raportów: osxdaily.com/2011/08/10/…
Alan Shutko
Nie jesteśmy przecież przeciętnymi użytkownikami. Wolę używać HW FDE, ponieważ jest to eleganckie i „poprawne” rozwiązanie, szczególnie przy podwójnym uruchamianiu ze wspólną partycją.
Eric Marsh
1

Tak, gama produktów Viasat Eclypt współpracuje z komputerami Mac (EFI) i zapewnia szyfrowanie całego dysku, zgodne z FIPS, sprzętowe.

Zobacz: Wewnętrzny samoszyfrujący dysk twardy Eclypt Core

Arkusze danych dla asortymentu produktów Eclypt nie są jeszcze aktualne (ale obsługiwany jest system Mac OS X 10.5+, podobnie jak Apple UEFI). Możesz zobaczyć konkretny produkt na http://www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4 . Możesz również przejrzeć ten blog http://robert-palmer.net/category/eclypt-protects/ jako dowód. Lub skontaktuj się bezpośrednio z Viasat UK.

Denzil Dexter
źródło
Hmm, jego arkusz danych nie wspomina nic o EFI lub Macu, tylko o Windowsie.
sschuberth