È possibile crittografare un disco completo basato su hardware su un Mac?


21

È possibile utilizzare la crittografia del disco completo basata su hardware (forse su un SSD Samsung 840 Pro) su un Mac, in particolare un Macbook Pro 8,2? Se é cosi, come?

La mia comprensione è che questo verrà gestito nel BIOS o eventualmente EFI, tuttavia penso che l'EFI di Apple sia generalmente piuttosto bloccato.

Non sto cercando soluzioni basate su software come FileVault 2 o TrueCrypt. Doppio avvio e le cose saranno più semplici se gestite nell'hardware.


3
Mentre capisco che una crittografia basata su hardware è preferibile, se possibile, voglio mettere in discussione la tua motivazione: la crittografia del disco dei vari fornitori di hardware sembra scarsamente documentata. Poche informazioni sono fornite ma necessarie per puntare alla riservatezza dell'attuazione. D'altra parte FileVault 2 è attualmente in fase di certificazione FIPS 140-2 [1 ], uno standard NIST per i moduli crittografici.
gentmatt,

1
Nella mia esperienza personale, la crittografia del disco completo basata su software in una configurazione a doppio avvio con Windows 7 non è un problema se crittogravo solo il volume di avvio di OS X con FileVault 2 (questa è la mia configurazione corrente). Se vuoi anche crittografare il tuo volume di Windows o Linux, le cose si fanno confuse, quindi ho sentito ma non ho testato da solo.
gentmatt,

Bene, in realtà sto usando Ubuntu principalmente con OSX sul lato. Inoltre ho una partizione condivisa, anche se forse quella potrebbe essere gestita con TrueCrypt. Sembra solo meno problemi e richiederà meno software se posso solo avere una sola password all'avvio.
Eric Marsh,

Hai usato Filevault 2 insieme alla crittografia del disco completo di Ubuntu? Ha funzionato bene? Sono solo curioso perché voglio abbandonare la mia partizione di Windows per Ubuntu 12.04.
gentmatt,

No, scusa se non l'ho provato. Non penso che sarebbe un problema purché non si desideri leggere una partizione durante l'avvio nell'altra. Mi sarei aspettato che potresti aggirarlo usando TrueCrypt per entrambi. Ho usato TrueCrypt un po ', non un esperto però
Eric Marsh,

Risposte:


3

Mi sono chiesto esattamente la stessa cosa che ho anche comprato un Samsung 840 Pro per il mio MacBook Pro. Dopo alcune ricerche ho trovato questo post che indica che la crittografia hardware dell'840 Pro richiede il supporto TPM e che si trova solo nei BIOS del PC, non nell'EFI di Mac (U). A dire il vero, ho chiesto al supporto Samsung quali standard "ATA-Security", "Seagate DriveTrust" e "TCG OPAL" sono supportati da 840 Pro e la loro risposta è stata:

Caro cliente,

Grazie per aver contattato il supporto Samsung SSD in merito alla sua richiesta. In risposta alla tua richiesta, l'unico dei 3 supportati dall'unità è la funzionalità ATA Security. Per quanto riguarda la crittografia, l'SSD 840 Pro Series supporta solo la crittografia AES a 256 bit a livello hardware ma richiede che il BIOS sia abilitato per TPM.

Quindi non c'è modo di abilitare la crittografia hardware di 840 Pro su un Mac.

Tuttavia, c'è anche il Crucial M500 che supporta Opal TCG . In combinazione con uno speciale software di gestione degli opali come WinMagic SecureDoc per Mac , sembra che sia possibile far funzionare la crittografia hardware su un Mac.

A proposito, notate che secondo il supporto di Sophos il loro SafeGuard supporta Opal solo su Windows, non su Mac OS. Inoltre, le Domande e risposte generali di McAfee per gli stati Opal

D: Le unità Opal saranno supportate su Mac OS X?

R: No. Al momento Apple non spedisce i propri dispositivi con unità Opal, quindi Opal non è supportato su Endpoint Encryption per Mac.

Ma ovviamente questo non dice nulla di ciò che accade se si inserisce un'unità Opal in un Mac da soli.


TPM non è richiesto. Nella mia installazione di Windows 8.1 sono stato in grado di attivare la crittografia automatica di questa unità senza usare TPM - devi solo modificare le impostazioni di BitLocker in gpedit.msc. Quindi teoricamente questo è possibile anche su OS X, se il sistema operativo lo supporta.
Sarge Borsch,

Ti dispiacerebbe condividere quali impostazioni esattamente stavi cambiando in gpedit.msc?
sschuberth


Quell'articolo sembra molto che BitLocker userebbe la crittografia del software in quel caso, cioè l'en / decrittografia viene eseguita dalla CPU anziché dal disco rigido stesso. Soprattutto perché raccomandano TrueCrypt come alternativa.
sschuberth

non ho detto che le altre parti sono corrette. tra l'altro, la guida più completa è qui: superuser.com/a/700251/161593
Sarge Borsch,

2

Espandendo la risposta di sschuberth, a dicembre 2013, il Samsung 840 EVO (ma non PRO) ha anche un firmware che supporta direttamente TCG OPAL. È una buona scommessa che un aggiornamento del firmware 840 Pro per fare la stessa cosa arriverà presto.

È necessario un software per gestire l'unità SED, altrimenti si ottiene poco o nessun vantaggio dalla sicurezza integrata.

WinMagic SecureDoc gestirà l'unità, ma non per ogni versione di OS X disponibile (prove aneddotiche suggeriscono 10.8.1: ok, 10.8.2: non ok).

Dovrai eseguire anche il software aziendale WinMagic, credo. Sebbene abbiano un'edizione standalone di SecureDoc per supportare i SED, sembra che sia disponibile solo per Windows.

NOTA: SecureDoc non richiede un TPM per i SED, né l'840 EVO funziona in modalità TCG Opal. SecureDoc può supportare l'uso di un TPM se ne hai uno e abilitare la funzione (solo Windows).


1

Questa è una buona domanda e - sì - trovare una risposta è quasi impossibile. Samsung invia al supporto Apple. Mi aspetterei di sentire da Apple che non è possibile.

Crittografia completa del disco HW vs FileVault - la differenza nelle prestazioni è evidente. Se non sei un utente aziendale con requisiti di crittografia rigorosi, dobbiamo cercare una soluzione Samsung basata su HW. Ma come abilitarlo su Mac: è difficile scoprirlo.


1
Con CPU recenti, FileVault2 utilizza hardware AES e ha un impatto trascurabile sulle prestazioni secondo alcuni rapporti: osxdaily.com/2011/08/10/…
Alan Shutko,

Non siamo davvero utenti medi. Preferisco usare HW FDE perché è la soluzione elegante e "corretta", in particolare quando si esegue il dual boot con una partizione condivisa.
Eric Marsh,

1

Sì, la gamma di prodotti Eclypt di Viasat funziona con Mac (EFI) e fornisce disco completo, approvazione FIPS, crittografia hardware.

Vedere: Disco rigido interno con crittografia automatica Eclypt Core

I fogli dati per la gamma di prodotti Eclypt non sono ancora aggiornati (ma Mac OS X 10.5+ è supportato come Apple UEFI). Puoi vedere il prodotto specifico su http://www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4 . Inoltre puoi guardare questo blog http://robert-palmer.net/category/eclypt-protects/ per la prova. In alternativa, contatta direttamente Viasat UK.


Hmm, la sua scheda tecnica non menziona nulla su EFI o Mac, ma solo su Windows.
sschuberth,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.