Làm cách nào để mã hóa SSD Samsung Evo 840?

Tôi đã mua một máy tính xách tay HP Envy 15-j005ea mà tôi đã nâng cấp lên Windows 8.1 Pro. Tôi cũng đã loại bỏ ổ cứng và thay thế bằng ổ SSD Samsung Evo 840 1TB. Bây giờ tôi muốn mã hóa ổ đĩa để bảo vệ mã nguồn của công ty tôi và các tài liệu cá nhân của tôi nhưng tôi không thể tìm ra cách thực hiện hoặc nếu có thể.

Tôi nhận thấy rằng không nên sử dụng Truecrypt trên SSD nhưng vui lòng sửa lại cho tôi nếu tôi sai. Tôi cũng hiểu rằng, Evo 840 có mã hóa AES 256 bit tích hợp nên được khuyến nghị sử dụng.

Evo đã được cập nhật lên firmware EXT0BB6Q mới nhất và tôi có Samsung Magician mới nhất. Tôi không biết mức UEFI tôi có nhưng tôi biết rằng máy được chế tạo vào tháng 12 năm 2013 và có BIOS F.35 do Insyde sản xuất.

Đây là những gì tôi đã thử:

• Bitlocker. Phần sụn mới nhất của Samsung được cho là tương thích Windows 8.1 eDrive, vì vậy tôi đã làm theo các hướng dẫn tôi tìm thấy trong một bài viết của Anandtech . Đầu tiên, có vẻ như máy tính xách tay không có chip TPM, vì vậy tôi đã phải cho phép Bitlocker hoạt động mà không có TPM. Khi tôi đã hoàn thành, tôi đã cố gắng bật Bitlocker. Anandtech nói rằng "Nếu mọi thứ đều tuân thủ eDrive, bạn sẽ không được hỏi liệu bạn có muốn mã hóa toàn bộ hoặc một phần ổ đĩa hay không, sau khi bạn trải qua thiết lập ban đầu, BitLocker sẽ chỉ được bật. Không có giai đoạn mã hóa bổ sung (vì dữ liệu đã được mã hóa trên ổ SSD của bạn). Nếu bạn đã làm gì đó sai hoặc một phần nào đó trong hệ thống của bạn không tuân thủ eDrive, bạn sẽ nhận được chỉ báo tiến trình và quy trình mã hóa phần mềm hơi dài. " Thật không may, tôi đã hỏi tôi có muốn mã hóa tất cả hoặc một phần của ổ đĩa không nên tôi đã hủy nó.

• Đặt mật khẩu ATA trong BIOS. Tôi dường như không có tùy chọn như vậy trong BIOS, chỉ có mật khẩu quản trị viên và mật khẩu khởi động.

• Sử dụng pháp sư. Nó có tab "Bảo mật dữ liệu", nhưng tôi không hiểu đầy đủ các tùy chọn và nghi ngờ rằng không có tùy chọn nào được áp dụng.

Thông tin trong câu hỏi và câu trả lời này đã giúp nhưng không trả lời câu hỏi của tôi.

Rõ ràng sau đó, điều tôi muốn biết là làm cách nào để mã hóa ổ đĩa trạng thái rắn của mình trong HP Envy 15 hay tôi thực sự không gặp may? Có bất kỳ lựa chọn thay thế nào hoặc tôi phải sống mà không cần mã hóa hoặc trả lại máy tính xách tay?

Có một câu hỏi tương tự trên Anandtech nhưng nó vẫn chưa được trả lời.

Mật khẩu phải được đặt trong BIOS theo phần mở rộng bảo mật ATA. Thông thường có một tab trong menu BIOS có tiêu đề "Bảo mật". Xác thực sẽ xảy ra ở cấp BIOS, do đó, "trình hướng dẫn" phần mềm này không có bất kỳ ảnh hưởng nào đến việc thiết lập xác thực. Không có khả năng bản cập nhật BIOS sẽ kích hoạt mật khẩu ổ cứng nếu nó không được hỗ trợ trước đó.

Để nói rằng bạn đang thiết lập mã hóa là sai lệch. Vấn đề là ổ đĩa LUÔN LUÔN mã hóa từng bit nó ghi vào chip. Bộ điều khiển đĩa thực hiện điều này tự động. Đặt mật khẩu ổ cứng vào ổ đĩa là điều giúp mức độ bảo mật của bạn từ 0 đến khá nhiều không thể phá vỡ. Chỉ có một keylogger phần cứng được trồng độc hại hoặc khai thác BIOS từ xa NSA mới có thể lấy lại mật khẩu để xác thực ;-) <- Tôi đoán vậy. Tôi không chắc họ có thể làm gì với BIOS. Vấn đề là nó không hoàn toàn không thể vượt qua, nhưng tùy thuộc vào cách lưu trữ khóa trên ổ đĩa, đây là phương pháp mã hóa ổ cứng an toàn nhất hiện có. Điều đó nói rằng, đó là tổng số quá mức cần thiết. BitLocker có lẽ là đủ cho hầu hết các nhu cầu bảo mật của người tiêu dùng.

Khi nói đến bảo mật, tôi đoán câu hỏi là: Bạn muốn bao nhiêu?

Mã hóa toàn bộ đĩa dựa trên phần cứng là một số đơn hàng có độ lớn an toàn hơn so với mã hóa toàn bộ đĩa cấp độ phần mềm như TrueCrypt. Nó cũng có thêm lợi thế là không cản trở hiệu năng của SSD. Cách thức lưu trữ của SSD đôi khi có thể dẫn đến các vấn đề với các giải pháp phần mềm. FDE dựa trên phần cứng chỉ là ít lộn xộn hơn, thanh lịch hơn và an toàn hơn về một tùy chọn nhưng nó không "bắt kịp" ngay cả trong số những người quan tâm đủ để mã hóa dữ liệu quý giá của họ. Hoàn toàn không khó để làm nhưng thật không may, nhiều BIOS chỉ đơn giản là không hỗ trợ chức năng "Mật khẩu ổ cứng" (KHÔNG bị nhầm lẫn với mật khẩu BIOS đơn giản, có thể bị kẻ nghiệp dư phá vỡ). Tôi có thể đảm bảo với bạn rất nhiều mà không cần nhìn vào BIOS của bạn rằng nếu bạn chưa tìm thấy tùy chọn này, BIOS của bạn không ' T ủng hộ nó và bạn không gặp may. Đó là một vấn đề về phần sụn và bạn không thể làm gì để thêm tính năng flash BIOS của mình bằng thứ gì đó như hdparm, một thứ vô trách nhiệm đến nỗi tôi thậm chí không thử. Không có gì để làm với ổ đĩa hoặc phần mềm đi kèm. Đây là một vấn đề cụ thể của bo mạch chủ.

ATA không gì khác hơn là một bộ hướng dẫn cho BIOS. Thứ bạn đang cố gắng đặt là mật khẩu Người dùng và Chính của HDD, mật khẩu này sẽ được sử dụng để xác thực khóa duy nhất được lưu trữ an toàn trên ổ đĩa. Mật khẩu "Người dùng" sẽ cho phép ổ đĩa được mở khóa và khởi động để tiếp tục như bình thường. Điều tương tự với "Master". Sự khác biệt là cần có mật khẩu "Chính" để thay đổi mật khẩu trong BIOS hoặc xóa khóa mã hóa trong ổ đĩa, khiến cho tất cả dữ liệu của nó không thể truy cập và không thể khôi phục được ngay lập tức. Đây được gọi là tính năng "Xóa an toàn". Theo giao thức, một chuỗi ký tự 32 bit được hỗ trợ, nghĩa là mật khẩu 32 ký tự. Trong số ít các nhà sản xuất máy tính xách tay hỗ trợ đặt mật khẩu ổ cứng trong BIOS, hầu hết giới hạn ký tự là 7 hoặc 8. Tại sao mọi công ty BIOS không ' T hỗ trợ nó là ngoài tôi. Có lẽ Stallman đã đúng về BIOS độc quyền.

Máy tính xách tay duy nhất (khá nhiều không có BIOS máy tính để bàn hỗ trợ mật khẩu ổ cứng) mà tôi biết sẽ cho phép bạn đặt mật khẩu Người dùng và Master 32 bit có độ dài đầy đủ là dòng Lenovo ThinkPad T- hoặc W-. Lần cuối tôi nghe một số máy tính xách tay ASUS có một tùy chọn như vậy trong BIOS của họ. Dell giới hạn mật khẩu ổ cứng chỉ còn 8 ký tự.

Tôi quen thuộc hơn nhiều với bộ lưu trữ khóa trong Intel SSD so với Samsung. Intel là tôi tin rằng người đầu tiên cung cấp FDE trên chip trong các ổ đĩa của họ, dòng 320 và trên. Mặc dù đó là AES 128-bit. Tôi đã không nhìn sâu vào cách thức dòng Samsung này thực hiện lưu trữ khóa và không ai thực sự biết vào thời điểm này. Rõ ràng dịch vụ khách hàng không giúp ích gì cho bạn. Tôi có ấn tượng chỉ năm hoặc sáu người trong bất kỳ công ty công nghệ nào thực sự biết bất cứ điều gì về phần cứng họ bán. Intel có vẻ miễn cưỡng ho lên các chi tiết cụ thể nhưng cuối cùng một đại diện của công ty đã trả lời ở đâu đó trong một diễn đàn. Hãy nhớ rằng đối với các nhà sản xuất ổ đĩa, tính năng này là một suy nghĩ tổng thể. Họ không biết hoặc quan tâm bất cứ điều gì về điều đó và cũng không làm 99,9% khách hàng của họ. Nó chỉ là một gạch đầu dòng quảng cáo ở mặt sau của hộp.

Hi vọng điêu nay co ich!

Cuối cùng tôi đã có được điều này để làm việc ngày hôm nay và giống như bạn Tôi tin rằng tôi cũng không có thiết lập mật khẩu ATA trong BIOS (ít nhất là tôi không thể nhìn thấy). Tôi đã kích hoạt mật khẩu người dùng / quản trị viên BIOS và PC của tôi có chip TPM nhưng BitLocker sẽ hoạt động mà không cần một (khóa USB). Giống như bạn, tôi cũng bị kẹt ở cùng một điểm tại dấu nhắc BitLocker, tôi muốn chỉ mã hóa dữ liệu hoặc toàn bộ đĩa.

Vấn đề của tôi là cài đặt Windows của tôi không phải là UEFI mặc dù Bo mạch chủ của tôi không hỗ trợ UEFI. Bạn có thể kiểm tra cài đặt của mình bằng cách nhập msinfo32lệnh chạy và kiểm tra Chế độ Bios. Nếu nó đọc bất cứ thứ gì khác UEFIthì bạn cần phải cài đặt lại windows từ đầu.

Xem cái này Hướng dẫn theo từng bước này để mã hóa hướng dẫn SSD Samsung trong một bài đăng liên quan trên diễn đàn này.

Mã hóa phần mềm

TrueCrypt 7.1a chỉ tốt khi sử dụng trên SSD, nhưng lưu ý rằng nó có thể sẽ làm giảm hiệu suất của IOP xuống một lượng đáng kể, mặc dù ổ đĩa vẫn sẽ hoạt động tốt hơn IOP gấp 10 lần so với HDD. Vì vậy, nếu bạn không thể sử dụng các tùy chọn được liệt kê trong Magician, TrueCrypt là một tùy chọn để mã hóa ổ đĩa, nhưng theo báo cáo thì nó không hoạt động tốt với Windows 8 và các hệ thống tệp sau này. Vì lý do này, BitLocker với mã hóa toàn bộ đĩa là một lựa chọn tốt hơn cho các hệ điều hành này.

Đá quý TCG

TCG Opal về cơ bản là một tiêu chuẩn cho phép cài đặt một hệ điều hành mini cho một phần dành riêng của ổ đĩa chỉ nhằm mục đích cho phép ổ đĩa khởi động và cung cấp cho người dùng mật khẩu để cấp quyền truy cập vào ổ đĩa . Có nhiều công cụ khác nhau để cài đặt tính năng này, bao gồm một số dự án nguồn mở ổn định được báo cáo, nhưng Windows 8 và sau đó BitLocker nên hỗ trợ tính năng này.

Tôi không có Windows 8 trở lên, vì vậy tôi không thể cung cấp hướng dẫn về cách thiết lập tính năng này, nhưng việc đọc của tôi cho thấy rằng điều này chỉ khả dụng khi cài đặt Windows chứ không phải sau khi cài đặt. Người dùng có kinh nghiệm cảm thấy tự do để sửa chữa tôi.

Mật khẩu ATA

Khóa mật khẩu ATA là một tính năng tùy chọn của tiêu chuẩn ATA được hỗ trợ bởi các ổ đĩa sê-ri Samsung 840 và sau này, cũng như hàng ngàn người khác. Tiêu chuẩn này không liên quan đến BIOS và có thể được truy cập thông qua bất kỳ phương thức nào. Tôi không khuyên bạn nên sử dụng BIOS để cài đặt hoặc quản lý mật khẩu ATA vì BIOS có thể không tuân thủ đúng tiêu chuẩn ATA. Tôi có kinh nghiệm với phần cứng của riêng mình dường như để hỗ trợ tính năng này, nhưng thực sự không tuân thủ.

Lưu ý rằng việc tìm kiếm trên tính năng này sẽ tạo ra nhiều cuộc thảo luận cho rằng tính năng khóa ATA không nên được coi là an toàn để bảo vệ dữ liệu. Điều này thường chỉ đúng đối với các ổ cứng không phải là Ổ đĩa tự mã hóa (SED). Vì các ổ đĩa sê-ri Samsung 840 trở lên là SSD và SED, nên các cuộc thảo luận này không thể áp dụng được. Mật khẩu ATA đã khóa sê-ri Samsung 840 và sau đó phải đủ an toàn cho việc sử dụng của bạn, như được mô tả trong câu hỏi này.

Cách tốt nhất để đảm bảo BIOS của bạn có thể hỗ trợ mở khóa ổ khóa mật khẩu ATA là khóa ổ đĩa, cài đặt nó vào máy tính, sau đó khởi động máy tính và xem nó có hỏi mật khẩu không và liệu mật khẩu được nhập có thể mở khóa ổ đĩa không.

Thử nghiệm này không nên được thực hiện trên một ổ đĩa có dữ liệu bạn không muốn mất.

May mắn thay, ổ đĩa thử nghiệm không phải là ổ đĩa Samsung, vì nó có thể là bất kỳ ổ đĩa nào hỗ trợ bộ bảo mật tiêu chuẩn ATA và có thể được cài đặt trong máy tính mục tiêu.

Cách tốt nhất mà tôi đã tìm thấy để truy cập các tính năng ATA của ổ đĩa là với tiện ích dòng lệnh Linux hdparm . Ngay cả khi bạn không có máy tính với Linux, vẫn có nhiều bản phân phối có ảnh đĩa cài đặt cũng hỗ trợ chạy HĐH 'trực tiếp' từ phương tiện cài đặt. Ví dụ, Ubuntu 16.04 LTS nên dễ dàng và nhanh chóng cài đặt cho phần lớn các máy tính và hình ảnh tương tự cũng có thể được ghi vào phương tiện flash để chạy trên các hệ thống không có ổ đĩa quang.

Hướng dẫn chi tiết về cách kích hoạt bảo mật mật khẩu ATA nằm ngoài phạm vi của câu hỏi này, nhưng tôi thấy hướng dẫn này là một trong những cách tốt nhất cho nhiệm vụ này.

Kích hoạt bảo mật ATA trên ổ SSD tự mã hóa

Lưu ý rằng độ dài mật khẩu tối đa là 32 ký tự. Tôi khuyên bạn nên thực hiện kiểm tra với mật khẩu 32 ký tự để chắc chắn rằng BIOS hỗ trợ tiêu chuẩn chính xác.

Khi máy tính đích bị tắt và mật khẩu ATA bị khóa, hãy cài đặt ổ đĩa và khởi động hệ thống. Nếu BIOS không yêu cầu mật khẩu để mở khóa ổ đĩa, thì BIOS không hỗ trợ mở khóa mật khẩu ATA. Ngoài ra, nếu có vẻ như bạn nhập mật khẩu hoàn toàn chính xác, nhưng nó không mở khóa ổ đĩa, có thể BIOS không hỗ trợ đúng tiêu chuẩn ATA, do đó không đáng tin cậy.

Có thể là một cách tốt để xác minh rằng hệ thống đang đọc đúng ổ đĩa đã được mở khóa, chẳng hạn như bằng cách cài đặt và tải hệ điều hành đúng cách, hoặc cài đặt bên cạnh ổ đĩa OS tải và có thể gắn ổ đĩa thử và đọc và ghi các tập tin mà không có vấn đề.

Nếu thử nghiệm thành công và bạn cảm thấy tự tin khi lặp lại các bước, bật mật khẩu ATA trên ổ đĩa, bao gồm cả mật khẩu được cài đặt hệ điều hành, sẽ không thay đổi bất cứ điều gì trong phần dữ liệu của ổ đĩa, vì vậy nó sẽ khởi động bình thường sau khi vào mật khẩu trong BIOS.

Tôi không biết bạn đã thấy điều này hay đã sửa lỗi này chưa, nhưng đây là một liên kết cụ thể từ Samsung trên EVO 840 của bạn. . về / whitepaper06.html

Về cơ bản những gì họ nói để kích hoạt bộ mã hóa AES phần cứng được tích hợp trong ssd là đặt Mật khẩu ổ cứng trong BIOS hệ thống. Mật khẩu "Người dùng / Quản trị viên / Cài đặt" chỉ có vậy. Tuy nhiên, cài đặt Mật khẩu ổ cứng sẽ truyền qua SSD. Điều này sẽ yêu cầu bạn nhập mật khẩu thủ công mỗi lần bạn bật máy tính và không hoạt động với chip TPM hoặc PassKeys khác. Ngoài ra, tôi không thể nhấn mạnh đủ, MỌI NGƯỜI sử dụng nhu cầu mã hóa để đảm bảo rằng dữ liệu của họ được sao lưu. Phục hồi dữ liệu từ một ổ đĩa được mã hóa bị lỗi / bị hỏng là điều không thể xảy ra nếu không thông qua một dịch vụ chuyên biệt.

"Tôi không cần mức bảo mật của NSA"

Chà, tại sao không sử dụng nó, vì nó miễn phí?

Sau khi tham gia các lớp học về bảo mật máy tính và pháp y máy tính, tôi quyết định mã hóa ổ đĩa của mình. Tôi đã xem xét nhiều tùy chọn và tôi rất vui vì đã chọn DiskCrypt. Dễ cài đặt, dễ sử dụng, mã nguồn mở có chữ ký PGP được cung cấp, hướng dẫn cách tự biên dịch để đảm bảo rằng exe khớp với nguồn, nó tự động gắn ổ đĩa, bạn có thể đặt dấu nhắc PW khởi động trước và sai hành động -pw và nó sẽ sử dụng AES-256.

Bất kỳ CPU hiện đại nào cũng sẽ thực hiện một vòng mã hóa AES theo hướng dẫn của máy SINGLE (mã hóa dữ liệu của một khu vực mất vài chục vòng). Theo điểm chuẩn của riêng tôi, AES chạy nhanh hơn mười một lần so với các thuật toán mã hóa được triển khai bằng phần mềm như blowfish. DiskCryptor có thể mã hóa dữ liệu nhanh hơn nhiều lần so với PC có thể đọc và ghi dữ liệu từ đĩa. KHÔNG có chi phí có thể đo lường được.

Tôi đang chạy một máy 5 GHz tốc độ thấp, được làm mát bằng tốc độ, do đó tốc độ của bạn sẽ thay đổi, nhưng không nhiều. Thời gian CPU cần thiết để mã hóa / giải mã quá thấp để đo (tức là dưới 1%).

Một khi bạn thiết lập nó, bạn hoàn toàn có thể quên nó. Hiệu quả đáng chú ý duy nhất là bạn phải gõ PW khi khởi động, điều mà tôi rất vui khi làm.

Đối với việc không sử dụng mã hóa trên SSD, đó là tin đồn tôi chưa từng nghe thấy trước đây. Nó cũng không chính đáng. Dữ liệu được mã hóa được ghi và đọc từ ổ đĩa giống hệt như dữ liệu thông thường. Chỉ các bit trong bộ đệm dữ liệu được xáo trộn. Bạn có thể chkdsk / f và chạy bất kỳ tiện ích đĩa nào khác trên ổ đĩa được mã hóa.

Và BTW, không giống như các chương trình khác, trình ghi đĩa không giữ pw của bạn trong bộ nhớ. Nó sử dụng khóa băm một chiều để mã hóa, ghi đè các pwds bị nhầm lẫn của bạn vào bộ nhớ và cố gắng hết sức để đảm bảo rằng nó không xuất hiện trên tệp hoán trang trong quá trình nhập và xác thực PW.

https://diskcryptor.net/wiki/Main_Page

Tôi đã đăng bài này ở những nơi khác trong Super User, nhưng vì đây là một chủ đề mà tôi đã từng tự giáo dục, tôi cũng muốn chạm vào cơ sở ở đây.

Mật khẩu ATA so với mã hóa phần mềm để mã hóa toàn bộ đĩa trong Samsung 840/850 EVO và Intel SSD

Ưu điểm: Đơn giản, không có hiệu năng, cực kỳ an toàn: đĩa không thể đọc được trong các máy khác không có Mật khẩu ATA

Nhược điểm: Bạn cần một BIOS có tùy chọn Mật khẩu ATA (máy tính xách tay HP và Lenovo dường như có điều này, nhưng hầu hết các máy tính để bàn không có. Ngoại lệ: ASRock gần đây đã viết BIOS 1.07B cho dòng Extreme của họ và nó hoạt động). Ngoài ra, nó an toàn đến mức nếu bạn mất mật khẩu, dữ liệu sẽ không thể khôi phục được. Bởi bất cứ ai, dường như. Cuối cùng, tất cả phụ thuộc vào một chip điều khiển trên SSD và nếu chip đó bị hỏng, dữ liệu đã được thực hiện. Mãi mãi.

Hy vọng điều này thêm vào các cuộc thảo luận.

Đặt mật khẩu ATA trong BIOS. Tôi dường như không có tùy chọn như vậy trong BIOS, chỉ có mật khẩu quản trị viên và mật khẩu khởi động. Quá tệ, đây là lựa chọn đơn giản nhất mà bạn có.

Thứ hai là win 8.1 + bitlocker nhưng toàn bộ điều này lại gây khó chịu

Tôi không biết về bất kỳ foss tcg opal sw nào và các phiên bản trả phí có thể có giá rất cao

truecrypt hoạt động nhưng nếu cpu của bạn không có AES-NI thì số lần truy cập có thể đáng chú ý

và đừng quên sao lưu dữ liệu của bạn, dữ liệu được mã hóa khó phục hồi hơn nhiều

Khi cài đặt nhiều Bản phân phối Linux, bạn được cung cấp tùy chọn mã hóa thư mục / home. Vào thời điểm đó khi bạn chọn mã hóa thư mục / home (còn gọi là điểm gắn kết), bạn sẽ được yêu cầu (bắt buộc) nhập mật khẩu hai lần.

Về cơ bản một đã hoàn thành, thư mục / nhà của bạn được mã hóa.

Samsung được cho là 'tiền mã hóa' tại nhà máy.

Điều này thường có nghĩa là không thể truy cập vào thông tin của ổ cứng nếu không có mật khẩu.

Trên đây là những gì tôi đã làm. Nếu tôi may mắn, mã hóa Samsung với một lớp mã hóa phần mềm Linux khác sẽ giúp tôi tương đối an toàn trước hầu hết các cá nhân, công ty và chính phủ bất chính.

Tôi không cảm thấy cần mật khẩu ổ cứng thông qua BIOS.

Nó đủ khó để nhớ nhiều mật khẩu. KeepassX có thể được sử dụng trong một số khía cạnh đó.

Đối với sự hoang tưởng thực sự, bạn có thể mật khẩu Samsung EVO trong BIOS, sử dụng Linux khi cài đặt để mã hóa phần mềm ổ đĩa sau đó sử dụng chương trình mã hóa Nguồn mở (không phải mã hóa vì nghi ngờ có cửa sau và lỗ hổng bảo mật).

Bạn có thể sử dụng KeepassX để ghi nhớ các mật khẩu phức tạp dài và thậm chí cả mật khẩu cũng bảo vệ ổ đĩa flash đó.

Trừ khi bạn là một loại tội phạm hoặc có một cái gì đó có giá trị mà bạn cần rất nhiều bảo mật, hầu hết là một sự lãng phí thời gian.

Có thể dễ dàng hơn để giữ mã nguồn của bạn trên một ổ đĩa flash được mã hóa như IronKey để bạn không thực hiện bất kỳ lần truy cập hiệu suất nào hoặc có vấn đề về ổ đĩa. Tài liệu cá nhân cũng có thể đến đó.