Come abilitare la crittografia basata su hardware su Samsung 850 Pro

10

Ho un nuovo Samsung 850 pro che promuove la crittografia basata su hardware . Secondo quella pagina dovrei semplicemente andare nel mio BIOS e impostare una password del disco rigido (nessun problema giusto). L' unico thread rilevante che ho trovato sul problema dice anche qualcosa sulla stessa linea. Non ho tale opzione nel mio BIOS (ho una scheda Gigabyte con un chipset Z87, il numero del modello mi sta sfuggendo in questo momento). Se dovessi acquistare una nuova scheda madre per farlo funzionare, quali funzioni deve supportare la scheda?

ssd  bios  opal  self-encrypting-drive  opal-ssc 
ErlVolton
fonte

Risposte:

7

Dipende da cosa intendi per "farlo funzionare". Tale unità supporta OPAL 2.0, che consente a vari schemi di crittografia gestiti dal software di utilizzare la crittografia con accelerazione hardware. Consente inoltre l'autenticazione pre-boot (PBA) per la crittografia, come gli schemi BIOS / EFI. Se vuoi usare PBA (cioè una password / pin nel BIOS / EFI), dovrai passare a una scheda madre che lo supporta (non potrei dire quale, poiché non utilizzo PBA, utilizzo BitLocker, che consiglio vivamente in ambiente Windows).

TL; DR Se stai usando Windows, usa BitLocker, utilizzerà automaticamente l'accelerazione hardware.

Modifica :
da aprile 2014, OPAL non è supportato da Linux. C'era qualcuno che lavorava su "msed", ma non era finito o la produzione degna. Non conosco lo stato attuale o il futuro del supporto OPAL in Linux.

Modifica 2 :
Esistono anche vari prodotti UEFI in grado di gestire unità compatibili OPAL che consentono una varietà di PBA se il BIOS / EFI non lo supporta direttamente. L'unico con cui ho vagamente familiarità consente alle aziende di configurare un server di autenticazione per PBA su Internet. Potrebbe funzionare anche con credenziali locali, non ne sono sicuro. È anche molto costoso. Spunti di riflessione se non altro.

Chris S
fonte
Eccellente. Non sto usando Windows, è Ubuntu 14 con crittografia LVM abilitata tramite l'opzione di installazione. Quindi forse sta già sfruttando l'accelerazione hardware e la risposta è non fare nulla e trarre profitto?
ErlVolton,
Vedi modifica, non buone notizie per te.
Chris S,
9

Come "qualcuno" che lavora su "msed", ora ha la possibilità di abilitare il blocco OPAL, scrivere un PBA su un'unità OPAL 2.0 e caricare a catena il sistema operativo reale dopo aver sbloccato l'unità su schede madri basate su BIOS. Non è necessario alcun supporto speciale per la scheda madre. Sì, è ancora all'inizio del suo ciclo di sviluppo e attualmente non supporta sleep to ram in quanto richiede hook del sistema operativo.

Michele Romeo
fonte
3

TexasDex è corretto. Il BIOS della scheda madre deve supportare un'opzione Password ATA (questa è distinta e in aggiunta alla password del BIOS). Ora la parte interessante. . . nessuno menziona questa funzionalità. Non nelle recensioni, nei confronti di mobo, e certamente non nelle pubblicità e negli elenchi dei produttori di mobo. Perchè no? Milioni e milioni di SSD Samsung EVO e Intel sono pronti per abilitare la crittografia hardware ultraveloce e ultraprecisa, tutto ciò di cui hanno bisogno è un BIOS con supporto ATA Password.

L'unica risposta che ho trovato è che i produttori di Mobo hanno paura che alcuni utenti dimentichino le loro password e, dato che questa crittografia è così affidabile, nessuno sarà in grado di aiutare.

Avevo un mobo ASRock Extreme6 e pensando che fosse l'ultimo e il più grande, ovviamente avrebbe questa caratteristica. Non. Tuttavia, ho scritto ad ASRock a Taiwan e in una settimana mi hanno mandato per email la versione 1.70B del loro BIOS con un'opzione Password ATA. Tuttavia, non è ancora disponibile sul loro sito Web, devi CHIEDERLO (?!). Questo può essere il caso anche dei produttori di mobo.

Al Winston
fonte
Questo BIOS supporta la sospensione nella modalità di sospensione RAM? Sblocca l'unità durante la ripresa dalla modalità sospensione?
ZAB,
1

È possibile utilizzare il comando hdparm in Linux per abilitare le estensioni di sicurezza ATA, che imposteranno la password AT sull'unità, crittografandola in tal modo.

Sfortunatamente, se il BIOS non supporta le password del disco rigido, non è possibile eseguire l'avvio dopo averlo fatto, poiché non è possibile utilizzare il comando di sblocco hdparm fino a quando non si è avviato l'avvio e non è possibile sbloccare e riavviare l'unità fino a dopo averlo sbloccato. Una specie di problema con pollo / uova. Ecco perché a volte inseriscono il supporto per la password del disco nel BIOS, quindi può essere eseguito senza la necessità di un sistema operativo.

Se hai la partizione / boot o / su un dispositivo separato potresti essere in grado di impostare uno script che utilizza il comando hdparm da qualche parte nel processo di init. Questo non è facile e il tipo di sconfitte ha lo scopo di avere l'SSD per l'avvio veloce e così via.

La mia unica altra idea sarebbe quella di avere una chiavetta USB con una distro minimale di Linux che non fa altro che richiedere la password, eseguire il comando hdparm ata unlock e riavviare, consentendo al sistema operativo di caricarsi dalla tua unità sbloccata (credo i riavvii software in genere non bloccano nuovamente le unità). Questo non è l'ideale, ma è la migliore soluzione disponibile se la scheda madre non supporta le password ATA.

TexasDex
fonte
0
  • Il tipo di archiviazione deve essere ACHI.
  • Il computer deve sempre avviarsi in modo nativo da UEFI.
  • Il computer deve avere il Modulo di supporto compatibilità (CSM) disabilitato in UEFI.

  • Il computer deve essere basato su UEFI 2.3.1 e avere EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definito. (Questo protocollo viene utilizzato per consentire ai programmi in esecuzione nell'ambiente dei servizi di avvio EFI di inviare comandi del protocollo di sicurezza all'unità).

  • Il chip TPM è opzionale.

  • L'avvio sicuro è facoltativo.
  • GPT e MBR sono entrambi supportati.
  • Se sono presenti software / driver RST, deve essere almeno la versione 13.2.4.1000.

Questo può essere fatto con 2 dischi o uno.

Da un'installazione di Windows che soddisfa i criteri sopra indicati:

  • Impostare lo stato su pronto per l'attivazione tramite Samsung Magician.
  • Crea una USB di cancellazione sicura (per DOS).
  • Riavvia il PC, modifica la modalità di avvio all'avvio del BIOS (per la cancellazione sicura dell'USB)
  • Avvia in modalità cancellazione sicura, cancella
  • Riavviare il PC, modificare nuovamente le impostazioni di avvio del BIOS su EFI. (Non lasciare che il PC avvii l'avvio dall'unità o potresti iniziare il processo dall'inizio.)
  • Riavvia il disco di Windows e controlla tramite il mago Samsung o installa Windows sul tuo disco sicuro cancellato.
Shadowws Shadoww
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.