Jak włączyć szyfrowanie sprzętowe w Samsung 850 Pro

10

Mam nowego Samsunga 850 pro, który reklamuje szyfrowanie sprzętowe . Według tej strony powinienem po prostu wejść w bios i ustawić hasło dysku twardego (nie ma problemu, prawda). Tylko istotne wątek znalazłem w tej sprawie mówi także coś wzdłuż tych samych linii. W BIOSie nie mam takiej opcji (mam płytę Gigabyte z chipsetem Z87, numer modelu mi w tej chwili ucieka). Jeśli miałbym kupić nową płytę główną, aby to zadziałało, jakie funkcje muszą być obsługiwane przez płytę?

ErlVolton
źródło

Odpowiedzi:

7

Zależy od tego, co rozumiesz przez „weź to do pracy”. Ten napęd obsługuje OPAL 2.0, który pozwala różnym programowym programom szyfrującym korzystać z szyfrowania przyspieszanego sprzętowo. Umożliwia także uwierzytelnianie przed uruchomieniem (PBA) w celu szyfrowania, takiego jak schematy BIOS / EFI. Jeśli chcesz użyć PBA (tj. Hasła / PINu w BIOS / EFI), musisz przełączyć się na płytę główną, która go obsługuje (nie mogłem powiedzieć, która, ponieważ nie używam PBA, używam BitLocker, które bardzo polecam w środowiskach Windows).

TL; DR Jeśli używasz systemu Windows, użyj funkcji BitLocker, automatycznie zastosuje przyspieszenie sprzętowe.

Edycja :
od kwietnia 2014 OPAL nie jest obsługiwany przez system Linux. Ktoś pracował nad „zmartwionym”, ale nie był skończony ani nie był wart produkcji. Nie znam obecnego stanu ani przyszłości obsługi OPAL w systemie Linux.

Edycja 2 :
Istnieją również różne produkty UEFI, które mogą zarządzać dyskami kompatybilnymi z OPAL, umożliwiając różne PBA, jeśli twój BIOS / EFI nie obsługuje go bezpośrednio. Jedyny, który niejasno znam, pozwala firmom skonfigurować serwery uwierzytelniające dla PBA przez Internet. Może to również działać z lokalnymi danymi uwierzytelniającymi, nie jestem pewien. Jest to również bardzo drogie. Jedzenie do namysłu, jeśli nic więcej.

Chris S.
źródło
Świetny. Nie używam systemu Windows, jest to Ubuntu 14 z szyfrowaniem LVM włączonym za pomocą opcji instalatora. Więc może to już wykorzystuje przyspieszenie sprzętowe, a odpowiedź brzmi: nic nie robić i zarabiać?
ErlVolton
Zobacz edycję, a nie dobre wieści dla ciebie.
Chris S
9

Jako „ktoś” pracujący na „msed”, ma teraz możliwość włączania blokowania OPAL, zapisywania PBA na dysku OPAL 2.0 i ładowania łańcucha rzeczywistego systemu operacyjnego po odblokowaniu dysku na płytach głównych opartych na biosie. Nie jest wymagane specjalne wsparcie płyty głównej. Tak, wciąż jest na wczesnym etapie cyklu programowania i obecnie nie obsługuje trybu uśpienia, ponieważ wymaga to przechwycenia systemu operacyjnego.

Michael Romeo
źródło
3

TexasDex jest poprawny. System BIOS płyty głównej musi obsługiwać opcję hasła ATA (jest to odrębne i oprócz hasła BIOS). Teraz interesujący kawałek. . . nikt nie wspomina o tej funkcji. Nie w recenzjach mobo, porównaniach, a na pewno nie w reklamach i wykazach producentów mobo. Dlaczego nie? Miliony dysków Samsung EVO i Intel SSD są gotowe do włączenia ultraszybkiego i bardzo bezpiecznego szyfrowania sprzętowego, wystarczy BIOS z obsługą hasła ATA.

Jedyną odpowiedzią, jaką mogłem znaleźć, jest to, że twórcy Mobo obawiają się, że kilku noobów zapomni swoje hasła, a ponieważ to szyfrowanie jest tak niezawodne, nikt w ogóle nie będzie w stanie pomóc.

Miałem mobo ASRock Extreme6 i myślę, że był to najnowszy i największy, oczywiście, że miałby tę funkcję. Nie. Napisałem jednak do ASRock na Tajwanie iw ciągu tygodnia przesłali mi e-mailem wersję BIOS 1.70B z opcją hasła ATA. Jednak nadal nie jest dostępny na ich stronie internetowej, musisz o to poprosić (?!). Może tak być również w przypadku twórców mobo.

Al Winston
źródło
Czy ta obsługa systemu BIOS zawiesza tryb uśpienia pamięci RAM? Czy odblokowuje dysk po wznowieniu ze stanu uśpienia?
ZAB
1

W Linuksie można użyć polecenia hdparm, aby włączyć rozszerzenia bezpieczeństwa ATA, które ustawią hasło AT na dysku, tym samym szyfrując je.

Niestety, jeśli system BIOS nie obsługuje haseł dysku twardego, nie ma sposobu na uruchomienie po wykonaniu tej czynności, ponieważ nie można użyć polecenia odblokowania hdparm do momentu zakończenia rozruchu, a także nie można odblokować i uruchomić systemu dysk, dopóki go nie odblokujesz. Rodzaj problemu z kurczakiem / jajkiem. Dlatego czasami włączają obsługę hasła dysku w systemie BIOS, aby mógł on działać bez konieczności posiadania systemu operacyjnego.

Jeśli masz partycję / boot lub / na oddzielnym urządzeniu, możesz być w stanie skonfigurować skrypt, który używa komendy hdparm gdzieś w procesie init. Nie jest to łatwe, i w pewnym sensie pokonuje cel posiadania dysku SSD do szybkiego rozruchu i tym podobne.

Moim jedynym pomysłem byłoby posiadanie napędu kciuka z super-minimalną dystrybucją Linuksa, która nie robi nic poza monitowaniem o hasło, uruchom polecenie hdparm ata unlock i uruchom ponownie, umożliwiając załadowanie systemu operacyjnego z odblokowanego napędu (wierzę, że miękkie ponowne uruchamianie zwykle nie powoduje ponownego blokowania dysków). Nie jest to idealne, ale jest to najlepsze dostępne rozwiązanie, jeśli Twoja płyta główna nie obsługuje haseł ATA.

TexasDex
źródło
0
  • Typem pamięci musi być ACHI.
  • Komputer musi zawsze uruchamiać się natywnie z UEFI.
  • Komputer musi mieć wyłączony moduł wsparcia zgodności (CSM) w UEFI.
  • Komputer musi być oparty na UEFI 2.3.1 i mieć zdefiniowaną EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Ten protokół umożliwia programom działającym w środowisku usług rozruchowych EFI wysyłanie poleceń protokołu bezpieczeństwa na dysk).

  • Układ TPM jest opcjonalny.

  • Bezpieczny rozruch jest opcjonalny.
  • Obsługiwane są zarówno GPT, jak i MBR.
  • Jeśli istnieje oprogramowanie / sterowniki RST, musi to być wersja co najmniej 13.2.4.1000.

Można to zrobić za pomocą 2 dysków lub jednego.

Z instalacji systemu Windows, która spełnia powyższe kryteria:

  • Ustaw stan na gotowy do włączenia przez Samsung Magician.
  • Wykonaj bezpieczne kasowanie USB (dla DOS).
  • Uruchom ponownie komputer, zmień tryb rozruchu na rozruch z systemu BIOS (w celu bezpiecznego usunięcia USB)
  • Uruchom w bezpieczny sposób, wymaż
  • Uruchom ponownie komputer, ponownie zmień ustawienia rozruchu systemu BIOS na EFI. (Nie pozwól, aby komputer zaczął uruchamiać się z dysku, ponieważ możesz rozpocząć proces od początku.)
  • Uruchom ponownie z dysku Windows i sprawdź za pomocą Samsung Magician lub zainstaluj system Windows na bezpiecznym skasowanym dysku.
Shadowws Shadoww
źródło