การเข้ารหัสดิสก์เต็มรูปแบบบนฮาร์ดแวร์เป็นไปได้บน Mac


20

เป็นไปได้หรือไม่ที่จะใช้การเข้ารหัสดิสก์เต็มรูปแบบบนฮาร์ดแวร์ (อาจใช้กับ Samsung 840 Pro SSD) บน Mac โดยเฉพาะ Macbook Pro 8,2 ถ้าเป็นเช่นนั้นได้อย่างไร

ความเข้าใจของฉันคือว่าสิ่งนี้จะถูกจัดการใน BIOS หรืออาจเป็น EFI แต่ฉันคิดว่าโดยทั่วไปแล้วแอปเปิ้ลของ EFI นั้นค่อนข้างถูกล็อคไว้

ฉันไม่ได้มองหาโซลูชันที่ใช้ซอฟต์แวร์เช่น FileVault 2 หรือ TrueCrypt ฉันบูทคู่และเรื่องจะง่ายกว่าถ้าจัดการในฮาร์ดแวร์


3
ในขณะที่ฉันเข้าใจว่าการเข้ารหัสบนฮาร์ดแวร์นั้นเป็นสิ่งที่ดีกว่าถ้าเป็นไปได้ แต่ฉันต้องการที่จะถามแรงจูงใจของคุณ: การเข้ารหัสดิสก์ของผู้จำหน่ายฮาร์ดแวร์ต่างๆนั้นดูเหมือนว่ามีเอกสารไม่ดี มีการให้ข้อมูลเพียงเล็กน้อย แต่จำเป็นเพื่อมุ่งสู่การรักษาความลับ FileVault 2 ในขณะนี้อยู่ระหว่างการรับรอง FIPS 140-2 [1 ] - มาตรฐาน NIST สำหรับโมดูลการเข้ารหัส
gentmatt

1
จากประสบการณ์ส่วนตัวของฉันการเข้ารหัสดิสก์แบบเต็มซอฟท์แวร์ในการตั้งค่าการบู๊ตคู่กับ Windows 7 จะไม่มีปัญหาหากฉันเข้ารหัสโวลุ่มเริ่มต้น OS X ด้วย FileVault 2 เท่านั้น (นี่คือการตั้งค่าปัจจุบันของฉัน) หากคุณต้องการเข้ารหัสโวลุ่ม Windows หรือ Linux ของคุณสิ่งต่าง ๆ ก็ยุ่งเหยิงดังนั้นฉันได้ยินมาแล้ว แต่ไม่ได้ทดสอบด้วยตัวเอง
gentmatt

จริง ๆ แล้วฉันใช้ Ubuntu เป็นหลักโดยมี OSX อยู่ด้านข้าง นอกจากนี้ฉันยังมีพาร์ทิชันที่ใช้ร่วมกันแม้ว่าอาจจะสามารถจัดการกับ TrueCrypt ดูเหมือนว่าจะมีปัญหาน้อยลงและจะต้องใช้ซอฟต์แวร์น้อยลงถ้าฉันสามารถมีรหัสผ่านเดียวในการบูต
Eric Marsh

คุณใช้ Filevault 2 พร้อมกับการเข้ารหัสดิสก์เต็มรูปแบบของ Ubuntu หรือไม่ ทำงานได้ดีหรือไม่ ฉันแค่อยากรู้อยากเห็นเพราะฉันต้องการที่จะทิ้งพาร์ติชัน Windows ของฉันสำหรับ Ubuntu 12.04
gentmatt

ไม่ขอโทษฉันยังไม่ได้ลอง ฉันไม่คิดว่ามันจะเป็นปัญหาตราบใดที่คุณไม่ต้องการอ่านพาร์ติชันหนึ่งขณะบู๊ตจากอีกพาร์ติชัน ฉันคาดหวังว่าคุณจะได้รับสิ่งนั้นโดยใช้ TrueCrypt สำหรับทั้งคู่ ฉันใช้ TrueCrypt นิดหน่อยไม่ใช่ผู้เชี่ยวชาญ
Eric Marsh

คำตอบ:


2

ฉันถามตัวเองแบบเดียวกับ Samsung 840 Pro สำหรับ MacBook Pro ของฉัน หลังจากการวิจัยบางอย่างฉันได้พบโพสต์นี้ระบุว่าการเข้ารหัสฮาร์ดแวร์ของ 840 Pro ต้องการการสนับสนุน TPM และพบได้เฉพาะใน BIOS ของพีซีไม่ใช่ใน Mac's (U) EFI เพื่อให้แน่ใจว่าฉันได้ขอการสนับสนุนจาก Samsung ว่ามาตรฐาน "ATA-Security", "Seagate DriveTrust" และ "TCG OPAL" นั้นรองรับโดย 840 Pro และคำตอบคือ:

เรียนลูกค้า

ขอบคุณที่ติดต่อฝ่ายสนับสนุน Samsung SSD เกี่ยวกับคำถามของคุณ ในการตอบคำถามของคุณเพียงหนึ่งในสามที่หน่วยสนับสนุนคือความปลอดภัย ATA สำหรับการเข้ารหัสนั้น 840 Pro Series SSD รองรับการเข้ารหัสระดับฮาร์ดแวร์ AES 256 บิตเท่านั้น แต่ต้องใช้ BIOS เพื่อเปิดใช้งาน TPM

ดังนั้นจึงไม่มีวิธีการเปิดใช้งานการเข้ารหัสฮาร์ดแวร์ของ 840 Pro ใน Mac

อย่างไรก็ตามนอกจากนี้ยังมีM500 สำคัญที่สนับสนุนTCG ของโอปอล ร่วมกับซอฟต์แวร์การจัดการโอปอลพิเศษเช่น WinMagic ของSecureDoc สำหรับ Macมันฟังดูราวกับว่ามันเป็นไปได้ที่จะได้รับการเข้ารหัสฮาร์ดแวร์ที่จะทำงานบน Mac

BTW โปรดทราบว่าตามการสนับสนุนของ Sophos SafeGuardจะสนับสนุน Opal เฉพาะบน Windows ไม่ใช่บน Mac OS นอกจากนี้ถาม & ตอบทั่วไปของ McAfee สำหรับรัฐโอปอล

ถาม: จะสนับสนุนไดรฟ์โอปอลใน Mac OS X หรือไม่

ตอบ: ไม่ขณะนี้ Apple ไม่ได้จัดส่งอุปกรณ์ด้วยไดรฟ์ Opal ดังนั้นจึงไม่สนับสนุน Opal ในการเข้ารหัสปลายทางสำหรับ Mac

แต่แน่นอนว่าไม่มีอะไรเกิดขึ้นถ้าคุณเพียงแค่ใส่โอปอลไดรฟ์ลงใน Mac ด้วยตัวคุณเอง


ไม่จำเป็นต้องใช้ TPM ในการติดตั้ง Windows 8.1 ของฉันฉันสามารถเปิดใช้งานการเข้ารหัสด้วยตนเองของไดรฟ์นี้โดยไม่ต้องใช้ TPM - คุณเพียงแค่ต้องเปลี่ยนการตั้งค่า BitLocker ใน gpedit.msc ในทางทฤษฎีแล้วสิ่งนี้เป็นไปได้ใน OS X เช่นกันหากระบบปฏิบัติการรองรับ
Sarge Borsch

คุณต้องการแบ่งปันการตั้งค่าที่คุณเปลี่ยนแปลงใน gpedit.msc หรือไม่
sschuberth


บทความนั้นดูเหมือนว่า BitLocker จะใช้การเข้ารหัสซอฟต์แวร์ในกรณีเช่นนั้นการเข้ารหัส / ถอดรหัสจะทำโดย CPU แทนฮาร์ดไดรฟ์เอง โดยเฉพาะอย่างยิ่งพวกเขาแนะนำ TrueCrypt เป็นทางเลือก
sschuberth

ฉันไม่ได้พูดว่าส่วนอื่นถูกต้อง btw คำแนะนำที่สมบูรณ์ที่สุดอยู่ที่นี่: superuser.com/a/700251/161593
Sarge Borsch

2

การขยายคำตอบของ sschuberth ณ เดือนธันวาคม 2556 นั้น Samsung 840 EVO (แต่ไม่ใช่ PRO) ก็มีเฟิร์มแวร์ที่รองรับ TCG OPAL โดยตรง เป็นการดีที่การอัปเดตเฟิร์มแวร์ 840 Pro เพื่อทำสิ่งเดียวกันจะมาถึงในไม่ช้า

คุณต้องมีซอฟต์แวร์บางอย่างเพื่อจัดการไดรฟ์ SED มิฉะนั้นคุณจะได้รับประโยชน์เพียงเล็กน้อยหรือไม่มีเลยจากความปลอดภัยในตัว

WinMagic SecureDoc จะจัดการกับไดรฟ์ แต่ไม่ใช่สำหรับทุก OS X ออกมาที่นั่น (หลักฐานประวัติแนะนำ 10.8.1: ok, 10.8.2: ไม่ตกลง)

คุณจะต้องใช้งานซอฟต์แวร์องค์กร WinMagic ด้วยเช่นกัน แม้ว่าพวกเขาจะมี SecureDoc รุ่นสแตนด์อโลนเพื่อรองรับ SED แต่ดูเหมือนว่าจะมีเฉพาะใน Windows เท่านั้น

หมายเหตุ: SecureDoc ไม่ต้องการ TPM สำหรับ SED และ 840 EVO ไม่ทำงานในโหมด TCG Opal SecureDoc สามารถรองรับการใช้ TPM หากคุณมีและเปิดใช้งานคุณสมบัติ (Windows เท่านั้น)


1

นี่เป็นคำถามที่ดีและ - ใช่ - การหาคำตอบนั้นเป็นไปไม่ได้ Samsung ส่งไปยังฝ่ายสนับสนุนของ Apple ฉันคาดว่าจะได้ยินจาก Apple ว่ามันเป็นไปไม่ได้

การเข้ารหัสดิสก์เต็ม HW vs FileVault - ความแตกต่างในประสิทธิภาพการทำงานที่เห็นได้ชัด หากคุณไม่ใช่ผู้ใช้ทางธุรกิจเกี่ยวกับข้อกำหนดการเข้ารหัสที่เข้มงวดเราต้องมองหาโซลูชันของ Samsung ที่ใช้ HW แต่วิธีการเปิดใช้งานบน Mac - ความเจ็บปวดที่จะหา


1
ด้วย CPU ล่าสุด FileVault2 ใช้ฮาร์ดแวร์ AES และมีผลกระทบเล็กน้อยต่อประสิทธิภาพตามรายงานบางอย่าง: osxdaily.com/2011/08/10/…
Alan Shutko

เราไม่ได้เป็นผู้ใช้งานเฉลี่ย ฉันชอบที่จะใช้ HW FDE เพราะมันเป็นโซลูชันที่หรูหราและ "ถูกต้อง" โดยเฉพาะอย่างยิ่งเมื่อบู๊ตคู่กับพาร์ติชันที่ใช้ร่วมกัน
Eric Marsh

1

ใช่ผลิตภัณฑ์ Eclypt ของ Viasat สามารถทำงานร่วมกับ Mac (EFI) และให้การเข้ารหัสดิสก์เต็มรูปแบบได้รับการอนุมัติ FIPS และฮาร์ดแวร์

โปรดดู: Eclypt Core ฮาร์ดไดรฟ์ภายในเข้ารหัสด้วยตนเอง

เอกสารข้อมูลทางเทคนิคสำหรับผลิตภัณฑ์ Eclypt ยังไม่เป็นปัจจุบัน (แต่รองรับ Mac OS X 10.5+ เช่นเดียวกับ Apple UEFI) ท่านสามารถเข้าดูผลิตภัณฑ์เฉพาะที่http://www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4 นอกจากนี้คุณสามารถดูบล็อกนี้http://robert-palmer.net/category/eclypt-protects/เพื่อพิสูจน์ หรือติดต่อสำรอง Viasat UK โดยตรง


อืมแผ่นข้อมูลของมันไม่ได้พูดถึงอะไรเกี่ยวกับ EFI หรือ Mac เพียงแค่ Windows
sschuberth
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.