Crittografia SSD SandForce: sicurezza e supporto


12

Attualmente sto pensando di acquistare un ThinkPad X201 e dotarlo di un'unità SSD. Ora, per proteggere i miei dati ho sempre usato Linux con la crittografia del disco completo LUKS sui miei laptop. Tuttavia, come affermato in un altro post di SuperUser, questo disabiliterebbe il supporto per TRIM, quindi non sembra essere una buona idea con un'unità SSD.

Ho letto che gli SSD basati su SandForce-1200 offrono una crittografia AES integrata legata alla password del BIOS. Tuttavia non riesco a trovare la documentazione adeguata su questo. Domande:

  • Qualche inconveniente generale di questo approccio?
  • Suppongo che ciò richiederebbe il supporto del BIOS per la funzione: come scoprire se funziona su un X201?
  • Le vecchie versioni del BIOS supportavano solo password brevi (come 6 o 8 caratteri), questa situazione è migliorata per fornire una sicurezza sufficiente per una crittografia del disco?

Aggiornamento: questa fonte dice che non è nemmeno possibile impostare alcuna password su queste unità. Eh? Non ha senso, perché dovresti persino fare le complicate operazioni AES quando non ti permetti di usare una chiave?

Grazie per qualsiasi consiglio esperto in materia :)

Risposte:


11

Rispondendo alla mia domanda, questo è quello che ho scoperto dopo aver cercato in rete per un paio d'ore:

  • I dispositivi SandForce hanno la crittografia AES attivata per impostazione predefinita, ma ci sono problemi con questo (vedi sotto)
  • Se si azzera l'unità utilizzando ATA Secure Delete, la chiave verrà cancellata e successivamente rigenerata e quindi i vecchi dati non saranno più accessibili - rendendola una soluzione accettabile quando stai per vendere o eliminare il tuo SSD
  • Tuttavia, non è possibile impostare una password utente che impedirebbe a chi ruba il laptop con un SSD SandForce di leggere i tuoi dati
  • La chiave di crittografia non è collegata alla sicurezza ATA e / o al BIOS
  • L'impostazione di una password utente sarebbe possibile se esistesse uno strumento per questo. OCZ ha promesso un programma chiamato "toolbox" che lo avrebbe consentito molto spesso nei loro forum di supporto, ma quando è stato finalmente rilasciato nell'ottobre 2010, non aveva ancora la funzionalità (e ancora non oggi)
  • Immagino che anche se si potesse impostare la password utilizzando la casella degli strumenti, non sarebbe più possibile utilizzare il dispositivo come dispositivo di avvio perché non è possibile sbloccarlo dal BIOS.
  • L'uso del software di crittografia dell'intero disco su un SSD influisce gravemente sulle prestazioni dell'unità, fino a un punto in cui può essere più lento di un normale disco rigido.

Fonte di alcune di queste informazioni.

Aggiornamento: se sei interessato, ho scritto un po 'di più sui problemi in un post sul blog dedicato .


Il rallentamento della crittografia dell'intero disco si applica solo ai controller Sandforce che si affidano alla compressione per la loro velocità.
Zan Lynx,

Sto attraversando la stessa ricerca ora come ho capito cosa fare con il mio nuovo SSD integrato HP Folio 13. Ho davvero trovato utile il tuo post sul blog: +1 sulla risposta che hai pubblicato. Grazie!
TARehman,

Il blocco richiede una password. Ha quindi senso pubblicizzarlo qui?
maaartinus,

oops mi dispiace, in qualche modo sono riuscito a impostare l'account wordpress sbagliato su privato mentre lavoravo su un altro;)
c089

0

La crittografia del disco è per Sandforce, non per te. Se l'unità non funziona, è necessario utilizzare uno dei loro fornitori "approvati" a cui forniscono le chiavi a chi addebita $ 5-6k per il recupero dei dati. Conosciuto anche come tenere in ostaggio i tuoi dati per fare soldi.


Inoltre, è possibile abilitare TRIM dal contenitore LUKS. Vedi qui per istruzioni: blog.christophersmart.com/2013/06/05/trim-on-lvm-on-luks-on-ssd
Jimbo Jones
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.