Tôi có một Samsung 850 pro mới có chức năng mã hóa dựa trên phần cứng . Theo trang đó tôi chỉ nên vào bios của mình và đặt mật khẩu ổ cứng (không có vấn đề gì đúng). Các chỉ chủ đề có liên quan tôi thấy về vấn đề này cũng nói một cái gì đó dọc theo những đường cùng. Tôi không có tùy chọn như vậy trong BIOS của mình (Tôi có bảng Gigabyte với chipset Z87, số kiểu máy thoát khỏi tôi tại thời điểm này). Nếu tôi mua một bo mạch chủ mới để làm việc này, bo mạch cần hỗ trợ những tính năng nào?
Câu trả lời:
Phụ thuộc vào những gì bạn có nghĩa là "làm cho điều này làm việc". Ổ đĩa đó hỗ trợ OPAL 2.0, cho phép các chương trình mã hóa được quản lý phần mềm khác nhau sử dụng mã hóa tăng tốc phần cứng. Nó cũng cho phép xác thực tiền khởi động (PBA) để mã hóa, chẳng hạn như các lược đồ BIOS / EFI. Nếu bạn muốn sử dụng PBA (tức là mật khẩu / pin tại BIOS / EFI) thì bạn sẽ phải chuyển sang bo mạch chủ hỗ trợ nó (tôi không thể nói rằng khi tôi không sử dụng PBA, tôi sử dụng BitLocker, mà tôi rất khuyến khích trong môi trường Windows).
TL; DR Nếu bạn đang chạy Windows, hãy sử dụng BitLocker, nó sẽ tự động sử dụng khả năng tăng tốc phần cứng.
Chỉnh sửa :
Kể từ tháng 4 năm 2014, OPAL không được Linux hỗ trợ. Có ai đó làm việc trên "msed", nhưng nó không hoàn thành hoặc sản xuất xứng đáng. Tôi không biết trạng thái hiện tại hoặc tương lai của hỗ trợ OPAL trong Linux.
Chỉnh sửa 2 :
Cũng có nhiều sản phẩm UEFI khác nhau có thể quản lý các ổ đĩa tương thích OPAL cho phép nhiều loại PBA khác nhau nếu BIOS / EFI của bạn không hỗ trợ trực tiếp. Người duy nhất tôi mơ hồ quen thuộc cho phép các công ty thiết lập máy chủ xác thực cho PBA qua Internet. Nó cũng có thể hoạt động với thông tin địa phương, tôi không chắc chắn. Nó cũng rất đắt. Thức ăn cho suy nghĩ nếu không có gì khác.
Là "ai đó" làm việc trên "msed", giờ đây nó có khả năng cho phép khóa OPAL, ghi PBA vào ổ OPAL 2.0 và tải chuỗi hệ điều hành thực sau khi mở khóa ổ đĩa trên bo mạch chủ bios. Không cần hỗ trợ bo mạch chủ đặc biệt. Vâng, vẫn còn sớm trong chu kỳ phát triển của nó và hiện tại nó không hỗ trợ chế độ ngủ để ram vì điều đó đòi hỏi phải có hệ điều hành.
TexasDex là chính xác. BIOS bo mạch chủ của bạn phải hỗ trợ tùy chọn Mật khẩu ATA (đây là mật khẩu riêng biệt và ngoài mật khẩu BIOS). Bây giờ là một chút thú vị. . . không ai đề cập đến tính năng này. Không phải trong các đánh giá mobo, so sánh, và chắc chắn không có trong các quảng cáo và danh sách của các nhà sản xuất mobo. Tại sao không? Hàng triệu triệu SSD Samsung EVO và Intel đã sẵn sàng để bật mã hóa phần cứng cực nhanh và cực nhanh, tất cả những gì họ cần là một BIOS có hỗ trợ Mật khẩu ATA.
Câu trả lời duy nhất tôi có thể tìm thấy là các nhà sản xuất Mobo sợ một vài noobs sẽ quên mật khẩu của họ và vì mã hóa này rất đáng tin cậy, không ai AT ALL sẽ có thể giúp đỡ.
Tôi đã có một mobo ASRock Extreme6, và nghĩ rằng nó là phiên bản mới nhất và tuyệt vời nhất, tất nhiên nó sẽ có tính năng này. Không phải. Tuy nhiên, tôi đã viết thư cho ASRock ở Đài Loan và trong một tuần họ gửi email cho tôi phiên bản 1.70B của BIOS của họ với tùy chọn Mật khẩu ATA. Tuy nhiên, nó vẫn không có sẵn trên trang web của họ, bạn phải HỎI cho nó (?!). Đây có thể là trường hợp với các nhà sản xuất mobo của bạn là tốt.
Có thể sử dụng lệnh hdparm trong Linux để bật Tiện ích mở rộng bảo mật ATA, sẽ đặt mật khẩu AT trên ổ đĩa, từ đó mã hóa nó.
Thật không may, nếu BIOS của bạn không hỗ trợ mật khẩu đĩa cứng thì không có cách nào để khởi động sau khi bạn làm điều đó, vì bạn không thể sử dụng lệnh mở khóa hdparm cho đến khi bạn khởi động xong và bạn không thể mở khóa và khởi động. ổ đĩa cho đến khi bạn mở khóa nó. Một loại vấn đề gà / trứng. Đó là lý do tại sao đôi khi họ đặt hỗ trợ mật khẩu đĩa trong BIOS, vì vậy nó có thể chạy mà không cần HĐH.
Nếu bạn có / boot hoặc / phân vùng trên một thiết bị riêng biệt, bạn có thể thiết lập một tập lệnh sử dụng lệnh hdparm ở đâu đó trong quy trình init. Điều này không dễ, và loại thất bại với mục đích có SSD để khởi động nhanh và như vậy.
Ý tưởng khác của tôi là chỉ có một ổ USB với một bản phân phối siêu tối thiểu của Linux mà không cần nhắc mật khẩu, chạy lệnh mở khóa hdparm ata và khởi động lại, cho phép HĐH tải từ ổ đĩa đã mở khóa của bạn (tôi tin khởi động lại mềm thường không khóa lại ổ đĩa). Điều này không lý tưởng, nhưng đó là giải pháp khả dụng tốt nhất nếu bo mạch chủ của bạn không hỗ trợ mật khẩu ATA.
Máy tính phải dựa trên UEFI 2.3.1 và được xác định EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Giao thức này được sử dụng để cho phép các chương trình chạy trong môi trường dịch vụ khởi động EFI gửi các lệnh giao thức bảo mật đến ổ đĩa).
Chip TPM là tùy chọn.
Điều này có thể được thực hiện với 2 đĩa hoặc một.
Từ bản cài đặt Windows đáp ứng các tiêu chí trên: