Szyfrowanie SandForce SSD - bezpieczeństwo i wsparcie

12

Obecnie zastanawiam się nad zakupem ThinkPada X201 i wyposażenia go w dysk SSD. Teraz, aby chronić swoje dane, zawsze korzystałem z Linuksa z pełnym szyfrowaniem dysków LUKS na moich laptopach. Jednak, jak stwierdzono w innym poście SuperUser, spowoduje to wyłączenie obsługi TRIM - więc nie wydaje się to dobrym pomysłem w przypadku dysku SSD.

Przeczytałem, że dyski SSD oparte na SandForce-1200 oferują zintegrowane szyfrowanie AES powiązane z hasłem BIOS. Nie mogę jednak znaleźć odpowiedniej dokumentacji na ten temat. Pytania:

  • Jakieś ogólne wady tego podejścia?
  • Podejrzewam, że wymagałoby to wsparcia BIOS tej funkcji - jak sprawdzić, czy działa na X201?
  • Stare wersje BIOS-u obsługiwały tylko krótkie (jak 6 lub 8 znaków) hasła. Czy ta sytuacja uległa poprawie, aby zapewnić wystarczające bezpieczeństwo szyfrowania dysku?

Aktualizacja: to źródło mówi, że nie możesz nawet ustawić żadnego hasła na tych dyskach. Co? To nie ma sensu, dlaczego miałbyś w ogóle robić skomplikowane operacje AES, skoro nie pozwalasz na użycie klucza?

Dziękujemy za wszelkie porady ekspertów w tej sprawie :)

c089
źródło

Odpowiedzi:

11

Odpowiadając na moje pytanie, oto, czego dowiedziałem się po kilku godzinach wyszukiwania w sieci:

  • Urządzenia SandForce mają domyślnie włączone szyfrowanie AES, ale są z tym problemy (patrz poniżej)
  • Jeśli wyzerujesz dysk za pomocą Bezpiecznego usuwania ATA, klucz zostanie wyczyszczony, a następnie ponownie wygenerowany, a tym samym stare dane nie będą już dostępne - co czyni to akceptowalnym rozwiązaniem, gdy masz zamiar sprzedać lub wyrzucić swój dysk SSD
  • Nie można jednak ustawić hasła użytkownika, które uniemożliwiłoby odczytanie danych przez osobę, która kradnie Twój laptop za pomocą dysku SandForce SSD
  • Klucz szyfrowania nie jest powiązany z bezpieczeństwem ATA i / lub BIOS
  • Ustawienie hasła użytkownika byłoby możliwe, gdyby było do tego narzędzie. OCZ obiecał program o nazwie „zestaw narzędzi”, który bardzo często pozwalałby na to na forach pomocy technicznej, ale kiedy został ostatecznie wydany w październiku 2010 r., Nadal nie miał funkcjonalności (i wciąż nie dzisiaj)
  • Sądzę, że nawet gdybyś mógł ustawić hasło za pomocą przybornika, nie byłoby już możliwe używanie urządzenia jako urządzenia rozruchowego, ponieważ nie można go odblokować z systemu BIOS.
  • Używanie oprogramowania do szyfrowania całego dysku na dysku SSD poważnie wpływa na wydajność napędu - do tego stopnia, że ​​może być wolniejszy niż zwykły dysk twardy.

Źródło niektórych informacji.

Aktualizacja: Jeśli jesteś zainteresowany, napisałem trochę więcej na ten temat w dedykowanym poście na blogu .

c089
źródło
Spowolnienie szyfrowania całego dysku dotyczy tylko kontrolerów Sandforce, które ze względu na swoją szybkość polegają na kompresji.
Zan Lynx
Przechodzę teraz te same badania, gdy zastanawiam się, co zrobić z moim nowym dyskiem SSD HP Folio 13. Naprawdę uważam twój post na blogu za pomocny - +1 od opublikowanej odpowiedzi. Dzięki!
TARehman
Blokowanie wymaga hasła. Czy ma sens reklamowanie go tutaj?
maaartinus
Ups, przepraszam za to, jakoś udało mi się ustawić złe konto WordPress na prywatne, pracując nad innym;)
c089
0

Szyfrowanie dysku jest dla Sandforce, a nie dla ciebie. Jeśli dysk ulegnie awarii, musisz użyć jednego z jego „zatwierdzonych” dostawców, którym dostarczają klucze, którzy pobierają 5-6 000 USD za odzyskanie danych. Znany również jako trzymanie zakładnika danych, aby zarobić pieniądze.

Jimbo Jones
źródło
Możesz także włączyć TRIM z poziomu kontenera LUKS. Zobacz instrukcje: blog.christophersmart.com/2013/06/05/trim-on-lvm-on-luks-on-ssd
Jimbo Jones