Kupiłem HP Envy 15-j005ea laptopa które uaktualnieniu do Windows 8.1 Pro. Usunąłem również dysk twardy i zastąpiłem go dyskiem SSD Samsung Evo 840 o pojemności 1 TB. Chcę teraz zaszyfrować dysk w celu ochrony kodu źródłowego mojej firmy i moich dokumentów osobistych, ale nie jestem w stanie ustalić, jak to zrobić, a nawet jeśli jest to możliwe.
Rozumiem, że nie jest zalecane używanie Truecrypt na dysku SSD, ale popraw mnie, jeśli się mylę. Rozumiem również, że 840 Evo ma wbudowane 256-bitowe szyfrowanie AES, dlatego zaleca się korzystanie z niego.
Evo zostało zaktualizowane do najnowszego oprogramowania układowego EXT0BB6Q, a ja mam najnowszego Samsunga Magician. Nie wiem, jaki mam poziom UEFI, ale wiem, że maszyna została zbudowana w grudniu 2013 roku i ma BIOS F.35 firmy Insyde.
Oto, co próbowałem:
Bitlocker. Najnowsze oprogramowanie Samsung podobno jest kompatybilne z Windows 8.1 eDrive, więc postępowałem zgodnie z instrukcjami, które znalazłem w artykule Anandtech . Przede wszystkim wydaje się, że laptop nie ma układu TPM, więc musiałem pozwolić Bitlockerowi pracować bez TPM. Kiedy to zrobiłem, próbowałem włączyć Bitlocker. Anandtech mówi, że „Jeśli wszystko jest zgodne z eDrive, nie zostaniesz zapytany, czy chcesz zaszyfrować cały dysk lub jego część, po przejściu przez konfigurację początkową funkcja BitLocker zostanie po prostu włączona. Nie ma dodatkowego etapu szyfrowania (ponieważ dane jest już zaszyfrowany na dysku SSD). Jeśli zrobiłeś coś złego lub część systemu nie jest zgodna z eDrive, otrzymasz wskaźnik postępu i nieco długi proces szyfrowania oprogramowania ”. Niestety nie było zapytałem, czy chcę zaszyfrować cały dysk lub jego część, więc to anulowałem.
Ustawianie hasła ATA w systemie BIOS. Wydaje się, że nie mam takiej opcji w BIOS-ie, tylko hasło administratora i hasło startowe.
Korzystanie z Maga. Ma zakładkę „Ochrona danych”, ale nie w pełni rozumiem opcje i podejrzewam, że żadna nie ma zastosowania.
Informacje zawarte w tym pytaniu i odpowiedzi pomogły, ale nie odpowiedziały na moje pytanie.
Najwyraźniej chciałbym wiedzieć, jak zaszyfrować dysk SSD w HP Envy 15, czy faktycznie nie mam szczęścia? Czy są jakieś alternatywne opcje, czy muszę żyć bez szyfrowania lub zwrócić laptopa?
Jest to podobne pytanie na Anandtech ale pozostaje bez odpowiedzi.
źródło
Odpowiedzi:
Hasło należy ustawić w BIOSie w ramach rozszerzenia bezpieczeństwa ATA. Zwykle w menu BIOS znajduje się zakładka „Bezpieczeństwo”. Uwierzytelnianie nastąpi na poziomie systemu BIOS, więc nic, co ten „kreator” oprogramowania nie ma wpływu na konfigurację uwierzytelnienia. Jest mało prawdopodobne, że aktualizacja systemu BIOS włączy hasło dysku twardego, jeśli nie było wcześniej obsługiwane.
Powiedzenie, że konfigurujesz szyfrowanie, jest mylące. Chodzi o to, że dysk ZAWSZE szyfruje każdy zapis, który zapisuje na chipie. Kontroler dysku robi to automatycznie. Ustawienie hasła dysku twardego do napędu podnosi poziom bezpieczeństwa od zera do praktycznie niezłomnego. Tylko złośliwie zainstalowany keylogger sprzętowy lub zdalny exploit BIOS-u uruchamiany przez NSA mógł odzyskać hasło do uwierzytelnienia ;-) <- Chyba. Nie jestem jeszcze pewien, co mogą zrobić z BIOS-em. Chodzi o to, że nie jest to całkowicie niemożliwe do pokonania, ale w zależności od sposobu przechowywania klucza na dysku, jest to najbezpieczniejsza obecnie dostępna metoda szyfrowania dysku twardego. To powiedziawszy, to całkowita przesada. Funkcja BitLocker jest prawdopodobnie wystarczająca dla większości potrzeb bezpieczeństwa konsumentów.
Jeśli chodzi o bezpieczeństwo, myślę, że pytanie brzmi: ile chcesz?
Sprzętowe szyfrowanie całego dysku jest o kilka rzędów wielkości bezpieczniejsze niż szyfrowanie całego dysku na poziomie oprogramowania, takie jak TrueCrypt. Ma również tę dodatkową zaletę, że nie wpływa na wydajność dysku SSD. Sposób, w jaki dyski SSD chowają bity, może czasem prowadzić do problemów z rozwiązaniami programowymi. Oparte na sprzęcie FDE jest po prostu mniej niechlujne, bardziej eleganckie i bezpieczne dla opcji, ale nie „złapało” nawet tych, którym zależy na szyfrowaniu ich cennych danych. Nie jest to wcale trudne, ale niestety wiele BIOS-ów po prostu nie obsługuje funkcji „hasła dysku twardego” (NIE mylić z prostym hasłem BIOS-u, które amatorzy mogą obejść). Mogę ci prawie zagwarantować, nawet nie zaglądając do twojego BIOS-u, że jeśli jeszcze nie znalazłeś opcji, twój BIOS nie t wspierać go i nie masz szczęścia. Jest to problem z oprogramowaniem układowym i nic nie możesz zrobić, aby dodać tę funkcję oprócz flashowania systemu BIOS za pomocą czegoś takiego jak hdparm, co jest tak nieodpowiedzialne, że nawet ja bym tego nie próbował. Nie ma to nic wspólnego z dyskiem ani dołączonym oprogramowaniem. Jest to problem specyficzny dla płyty głównej.
ATA to tylko zestaw instrukcji dla BIOS-u. To, co próbujesz ustawić, to hasło użytkownika HDD i hasło główne, które zostaną użyte do uwierzytelnienia unikatowego klucza bezpiecznie zapisanego na dysku. Hasło „Użytkownik” pozwoli odblokować dysk i uruchomić go normalnie. To samo z „Master”. Różnica polega na tym, że hasło „Master” jest potrzebne do zmiany haseł w systemie BIOS lub usunięcia klucza szyfrowania na dysku, co powoduje, że wszystkie jego dane stają się natychmiast niedostępne i niemożliwe do odzyskania. Nazywa się to funkcją „Bezpiecznego wymazywania”. W ramach protokołu obsługiwany jest 32-bitowy ciąg znaków, co oznacza 32-znakowe hasło. Spośród niewielu producentów laptopów, którzy obsługują ustawianie hasła dysku twardego w systemie BIOS, większość ogranicza znaki do 7 lub 8. Dlaczego każda firma BIOS nie robi tego wspieraj, to jest poza mną. Może Stallman miał rację co do zastrzeżonego systemu BIOS.
Jedyny laptop (prawie żaden BIOS na pulpicie nie obsługuje hasła dysku twardego) Wiem, że pozwala ustawić 32-bitowego użytkownika dysku twardego i hasło główne to Lenovo ThinkPad z serii T lub W. Ostatnio słyszałem, że niektóre notebooki ASUS mają taką opcję w BIOSie. Dell ogranicza hasło dysku twardego do słabych 8 znaków.
Znacznie lepiej znam pamięć na dyskach SSD firmy Intel niż Samsung. Uważam, że Intel jako pierwszy zaoferował wbudowane FDE w swoich dyskach, w serii 320 i więcej. Chociaż był to 128-bitowy AES. Nie przyjrzałem się dokładnie temu, jak ta seria Samsung implementuje przechowywanie kluczy, i nikt tak naprawdę nie wie w tym momencie. Oczywiście obsługa klienta nie była dla ciebie pomocna. Odnoszę wrażenie, że tylko pięć lub sześć osób w każdej firmie technologicznej faktycznie wie cokolwiek na temat sprzedawanego sprzętu. Intel wydawał się niechętny kaszląc szczegółami, ale w końcu przedstawiciel firmy odpowiedział gdzieś na forum. Należy pamiętać, że dla producentów napędów ta funkcja jest całkowicie przemyślana. Nic o tym nie wiedzą i nie obchodzi ich, a także 99,9% swoich klientów. To po prostu kolejny punkt reklamowy z tyłu pudełka.
Mam nadzieję że to pomoże!
źródło
W końcu udało mi się to dzisiaj zadziałać i podobnie jak Ty uważam, że nie mam w systemie BIOS również konfiguracji hasła ATA (przynajmniej nie, że widzę). Włączyłem hasła użytkownika / administratora systemu BIOS, a mój komputer ma układ TPM, ale funkcja BitLocker powinna działać bez niego (klucz USB). Podobnie jak ty, utknąłem również w tym samym miejscu, gdy pojawi się monit BitLocker, czy chcę zaszyfrować tylko dane lub cały dysk.
Mój problem polegał na tym, że moja instalacja systemu Windows nie była UEFI, chociaż moja płyta główna obsługuje UEFI. Możesz sprawdzić instalację, wpisując
msinfo32
komendę run i zaznaczając Tryb Bios. Jeśli czyta coś innego niżUEFI
wtedy, musisz ponownie zainstalować system Windows od zera.Zobacz instrukcje Steb-by-Step dotyczące szyfrowania przewodnika Samsung SSD w powiązanym postu na tym forum.
źródło
hdparm
narzędzie wiersza polecenia systemu Linux może służyć do zarządzania funkcjami zabezpieczeń przy użyciu standardu ATA, a także innymi funkcjami zarządzanymi w tym standardzie. Należy zauważyć, że wielu programistów BIOS nie zezwala na pełne wykorzystanie funkcji hasła ATA. Na przykład mam Dell, który pozwala na umieszczenie w haśle tylko 15 znaków, mimo że standard pozwala na 32.Szyfrowanie oprogramowania
TrueCrypt 7.1a jest w porządku do użytku na dyskach SSD, ale należy pamiętać, że prawdopodobnie zmniejszy wydajność IOP o znaczną ilość, chociaż dysk nadal będzie działał ponad 10 razy lepiej IOP niż HDD. Jeśli więc nie możesz skorzystać z opcji wymienionych w Magician, TrueCrypt jest opcją szyfrowania dysku, ale podobno nie działa zbyt dobrze w systemach plików Windows 8 i nowszych. Z tego powodu funkcja BitLocker z pełnym szyfrowaniem dysku jest lepszą opcją dla tych systemów operacyjnych.
TCG Opal
TCG Opal jest w zasadzie standardem, który pozwala na zainstalowanie pewnego rodzaju mini-systemu operacyjnego w zarezerwowanej części dysku, który służy wyłącznie do umożliwienia rozruchu dysku i przedstawienia użytkownikowi hasła umożliwiającego dostęp do dysku . Dostępne są różne narzędzia do instalowania tej funkcji, w tym niektóre podobno stabilne projekty open source, ale Windows 8 i nowsze funkcje BitLocker powinny obsługiwać tę funkcję.
Nie mam systemu Windows 8 lub nowszego, więc nie mogę podać instrukcji, jak to skonfigurować, ale mój odczyt wskazuje, że jest on dostępny tylko podczas instalowania systemu Windows, a nie po jego zainstalowaniu. Doświadczeni użytkownicy mogą mnie poprawić.
Hasło ATA
Blokowanie hasła ATA jest opcjonalną funkcją standardu ATA obsługiwanego przez dyski Samsung 840 i nowsze, a także tysiące innych. Ten standard nie jest powiązany z systemem BIOS i można uzyskać do niego dostęp za pomocą dowolnej liczby metod. Nie polecam używania systemu BIOS do ustawiania hasła ATA lub zarządzania nim, ponieważ system BIOS może nie być odpowiednio zgodny ze standardem ATA. Mam doświadczenie z własnym sprzętem, który wydaje się obsługiwać tę funkcję, ale w rzeczywistości nie jest zgodny.
Pamiętaj, że wyszukiwanie tej funkcji spowoduje wiele dyskusji, w których twierdzi się, że funkcja blokady ATA nie powinna być uważana za bezpieczną dla ochrony danych. Zasadniczo dotyczy to tylko dysków twardych, które nie są również dyskami samoszyfrującymi (SED). Ponieważ dyski Samsung 840 i nowsze to dyski SSD i SED, te dyskusje po prostu nie mają zastosowania. Hasło ATA zablokowane Samsung 840 series i nowsze powinny być wystarczająco bezpieczne dla twojego użytkowania, jak opisano w tym pytaniu.
Najlepszym sposobem, aby upewnić się, że BIOS może obsługiwać odblokowanie dysku ATA z zablokowanym hasłem, jest zablokowanie dysku, zainstalowanie go w komputerze, a następnie uruchomienie komputera i sprawdzenie, czy prosi o hasło i czy wprowadzone hasło może odblokować dysk.
Tego testu nie należy wykonywać na dysku z danymi, których nie chcesz utracić.
Na szczęście dysk testowy nie musi być dyskiem Samsung, ponieważ może to być dowolny dysk obsługujący standardowy zestaw zabezpieczeń ATA i może zostać zainstalowany na komputerze docelowym.
Najlepszym sposobem na uzyskanie dostępu do funkcji ATA napędu jest narzędzie wiersza poleceń systemu Linux
hdparm
. Nawet jeśli nie masz komputera z systemem Linux, istnieje wiele dystrybucji, których obraz dysku instalacyjnego obsługuje również uruchamianie systemu operacyjnego „na żywo” z nośnika instalacyjnego. Na przykład Ubuntu 16.04 LTS powinien łatwo i szybko zainstalować się na zdecydowanej większości komputerów, a ten sam obraz można również zapisać na nośniku flash w celu uruchomienia w systemach bez napędów optycznych.Szczegółowe instrukcje dotyczące włączania ochrony hasła ATA są poza zakresem tego pytania, ale uważam, że ten samouczek jest jednym z najlepszych do tego zadania.
Włączanie zabezpieczeń ATA na samoszyfrującym dysku SSD
Pamiętaj, że maksymalna długość hasła wynosi 32 znaki. Zalecam wykonanie testu przy użyciu 32-znakowego hasła, aby upewnić się, że BIOS poprawnie obsługuje standard.
Po wyłączeniu komputera docelowego i zablokowaniu hasła ATA napędu zainstaluj napęd i uruchom system. Jeśli system BIOS nie prosi o hasło do odblokowania napędu, system BIOS nie obsługuje odblokowywania hasła ATA. Ponadto, jeśli wydaje się, że wprowadzasz hasło całkowicie poprawnie, ale nie odblokowuje ono napędu, być może system BIOS nie obsługuje poprawnie standardu ATA, a zatem nie należy mu ufać.
Dobrym pomysłem może być sprawdzenie, czy system prawidłowo odczytuje odblokowany dysk, na przykład poprzez prawidłowe zainstalowanie i załadowanie systemu operacyjnego lub instalację obok dysku OS, który ładuje się i może zamontować dysk testowy oraz odczyt i zapis plików bez problemu.
Jeśli test się powiedzie i masz pewność, że powtórzysz kroki, włączenie hasła ATA na dysku, w tym na tym z zainstalowanym systemem operacyjnym, nie zmieni niczego w części danych na dysku, więc powinno się uruchamiać normalnie po wejściu do hasło w systemie BIOS.
źródło
TrueCrypt 7.1a is just fine for use on SSDs
-> Nie! Nie należy go wymieniać jako opcji. TrueCrypt nie jest bezpieczny i nie jest już obsługiwany, edytuj odpowiednio swój post. Zobacz TrueCryptNie wiem, czy to widziałeś, czy już to naprawiłeś, ale tutaj jest link konkretnie od Samsunga na EVO 840. http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/ about / whitepaper06.html
Zasadniczo to, co mówią, aby włączyć sprzętowy szyfrator AES wbudowany w ssd, to ustawienie hasła dysku twardego w BIOS systemu. Hasła „Użytkownik / Administrator / Konfiguracja” są właśnie takie. Jednak ustawienie hasła dysku twardego powinno przejść na dysk SSD. Będzie to wymagało ręcznego wprowadzania hasła przy każdym włączeniu komputera i nie działa z układami TPM ani innymi kluczami PassKeys. Nie mogę też wystarczająco stresować, KAŻDY, kto korzysta z szyfrowania, musi upewnić się, że utworzono kopię zapasową ich danych. Odzyskiwanie danych z uszkodzonego / uszkodzonego zaszyfrowanego dysku jest prawie niemożliwe bez korzystania ze specjalistycznej usługi.
źródło
Dlaczego by tego nie użyć, skoro jest bezpłatny?
Po zajęciach szkolnych z zakresu bezpieczeństwa komputerowego i kryminalistyki komputerowej postanowiłem zaszyfrować dysk. Przejrzałem wiele opcji i jestem bardzo zadowolony, że wybrałem DiskCrypt. Jest łatwy w instalacji, łatwy w użyciu, open source z dostarczonymi podpisami PGP, instrukcjami, jak samodzielnie go skompilować, aby upewnić się, że exe pasuje do źródła, automatycznie montuje dyski, możesz ustawić monit PW przed uruchomieniem i źle -pw akcja, a użyje AES-256.
Każdy nowoczesny procesor wykona rundę szyfrowania AES w SINGLE instrukcji maszynowej (szyfrowanie danych sektora wymaga kilkudziesięciu rund). Według moich własnych testów AES działa jedenaście razy szybciej niż szyfrowane za pomocą oprogramowania szyfrowanie, takie jak blowfish. DiskCryptor może szyfrować dane wiele razy szybciej niż komputer może odczytać i zapisać z dysku. Nie ma ŻADNEGO mierzalnego obciążenia.
Korzystam z chłodzonej TEC, podskakującej, prędkości freq 5 GHz, więc twój przebieg będzie się różnić, ale niewiele. Czas procesora wymagany do zaszyfrowania / odszyfrowania był zbyt krótki do zmierzenia (tj. Poniżej 1%).
Po skonfigurowaniu możesz go całkowicie zapomnieć. Jedynym zauważalnym efektem jest to, że musisz wpisać swój PW podczas rozruchu, co jestem zachwycony.
Jeśli chodzi o nieużywanie szyfrowania na dyskach SSD, to plotka, której wcześniej nie słyszałem. Jest to również nieuzasadnione. Zaszyfrowane dane są zapisywane i odczytywane z dysku dokładnie tak, jak normalne dane. Tylko bity w buforze danych są kodowane. Możesz chkdsk / f i uruchomić dowolne inne narzędzie dyskowe na zaszyfrowanym dysku.
A BTW, w przeciwieństwie do innych programów, diskkeeper nie utrzymuje twojego pw w pamięci. Używa jednokierunkowego klucza szyfrującego do szyfrowania, zastępuje błędnie wpisane pwds w pamięci i dokłada wszelkich starań, aby upewnić się, że nie wyłączy się on na pliku stronicowania podczas wprowadzania PW i sprawdzania poprawności.
https://diskcryptor.net/wiki/Main_Page
źródło
Napisałem o tym w innym miejscu w Super User, ale ponieważ był to wątek, którego sam się uczyłem, chciałem również dotknąć bazy tutaj.
Hasło ATA kontra szyfrowanie programowe dla pełnego szyfrowania dysku w dyskach Samsung 840/850 EVO i Intel SSD
Zalety: Prosty, bez wydajności, wyjątkowo bezpieczny: płyty są nieczytelne na innych komputerach bez hasła ATA
Minusy: potrzebujesz BIOS-u z opcją hasła ATA (wydaje się, że laptopy HP i Lenovo go mają, ale większość komputerów stacjonarnych tego nie robi. Wyjątek: ASRock niedawno napisał BIOS 1.07B dla swoich serii Extreme i działa). Ponadto jest tak bezpieczny, że w przypadku utraty hasła danych nie można odzyskać. Wydaje się, że przez każdego. Na koniec wszystko zależy od jednego układu kontrolera na dysku SSD, a jeśli ten układ się zepsuje, dane są gotowe. Na zawsze.
Mam nadzieję, że to dodaje do dyskusji.
źródło
Drugi to wygrana w wersji 8.1 + bitlocker, ale cała reinstalacja jest denerwująca
nie znam żadnego foss tcg opal sw, a płatne wersje prawdopodobnie dużo kosztują
truecrypt działa, ale jeśli twój procesor nie ma AES-NI, trafione spee mogą być zauważalne
i nie zapomnij wykonać kopii zapasowej danych, zaszyfrowane dane są znacznie trudniejsze do odzyskania
źródło
Podczas instalowania wielu dystrybucji Linuksa masz możliwość zaszyfrowania folderu / home. W tym momencie, gdy zdecydujesz się zaszyfrować folder / home (inaczej punkt montowania), zostaniesz poproszony (wymagane) o dwukrotne wprowadzenie hasła.
Zasadniczo jeden zakończony, folder / home jest zaszyfrowany.
Samsung miał być fabrycznie „wstępnie zaszyfrowany”.
Zazwyczaj oznacza to, że bez hasła nie można uzyskać dostępu do informacji o dysku twardym.
Powyżej jest to, co zrobiłem. Jeśli mam szczęście, szyfrowanie Samsunga kolejną warstwą szyfrowania oprogramowania Linux powinno uczynić mnie względnie bezpiecznym dla najbardziej nikczemnych osób, firm i rządów.
Nie czułem potrzeby hasła dysku twardego przez BIOS.
Trudno jest zapamiętać już wiele haseł. KeepassX może być w tym zakresie użyteczny.
Dla prawdziwie paranoika możesz podać hasło do Samsung EVO w BIOS-ie, użyć Linuksa podczas instalacji, aby zaszyfrować dysk, a następnie użyć programu szyfrującego Open Source (nie truecrypt z powodu podejrzeń o tylne drzwi i podatności).
Możesz użyć KeepassX do zapamiętania długich skomplikowanych haseł, a nawet hasła, aby chronić również ten dysk flash.
O ile nie jesteś przestępcą lub nie masz czegoś tak cennego, że potrzebujesz tak dużego bezpieczeństwa, większość to strata czasu.
Może być łatwiej przechowywać kod źródłowy na zaszyfrowanym dysku flash, takim jak IronKey, aby nie narażać się na problemy z wydajnością ani problemy z dyskiem. Dokumenty osobiste również mogą się tam znaleźć.
źródło