ฉันจะเข้ารหัส Samsung Evo 840 SSD ได้อย่างไร

14

ฉันซื้อแล็ปท็อปHP Envy 15-j005eaซึ่งฉันได้อัพเกรดเป็น Windows 8.1 Pro ฉันได้นำ HDD ออกแล้วและแทนที่ด้วย 1TB Samsung Evo 840 SSD ตอนนี้ฉันต้องการเข้ารหัสไดรฟ์เพื่อปกป้องซอร์สโค้ดของ บริษัท และเอกสารส่วนตัวของฉัน แต่ฉันไม่สามารถหาวิธีที่จะทำหรือถ้าเป็นไปได้

ฉันรวบรวมว่าไม่แนะนำให้ใช้ Truecrypt บน SSDแต่โปรดแก้ไขให้ถูกต้องถ้าฉันผิด ฉันยังเข้าใจว่า 840 Evo มีการเข้ารหัส AES 256 บิตในตัวดังนั้นจึงแนะนำให้ใช้

Evo ได้รับการอัพเดตเป็นเฟิร์มแวร์ EXT0BB6Qล่าสุดและฉันมี Samsung Magician ล่าสุด ฉันไม่รู้ว่าฉันมี UEFI ระดับใด แต่ฉันรู้ว่าเครื่องนั้นถูกสร้างขึ้นในเดือนธันวาคม 2556 และมี F.35 BIOS ที่ผลิตโดย Insyde

นี่คือสิ่งที่ฉันได้ลอง:

  • Bitlocker ล่าสุดซัมซุงเฟิร์มเป็นที่คาดคะเนของ Windows 8.1 eDrive เข้ากันได้ดังนั้นผมจึงทำตามคำแนะนำที่ผมพบในบทความ Anandtech ก่อนอื่นดูเหมือนว่าแล็ปท็อปไม่มีชิป TPM ดังนั้นฉันต้องอนุญาตให้ Bitlocker ทำงานโดยไม่มี TPM เมื่อฉันทำเช่นนั้นฉันพยายามเปิด Bitlocker Anandtech กล่าวว่า "หากทุกอย่างเป็นไปตามมาตรฐาน eDrive คุณจะไม่ถูกถามว่าคุณต้องการเข้ารหัสทั้งหมดหรือบางส่วนของไดรฟ์หรือไม่หลังจากคุณผ่านการตั้งค่าเริ่มต้นแล้ว BitLocker จะเปิดใช้งานไม่มีการเข้ารหัสเพิ่มเติม มีการเข้ารหัสใน SSD แล้ว) หากคุณทำอะไรผิดพลาดหรือบางส่วนของระบบไม่สอดคล้องกับ eDrive คุณจะได้รับตัวบ่งชี้ความคืบหน้าและกระบวนการเข้ารหัสซอฟต์แวร์ที่ค่อนข้างยาว " น่าเสียดายที่ฉันเป็น ถามว่าฉันต้องการเข้ารหัสไดรฟ์ทั้งหมดหรือบางส่วนดังนั้นฉันจึงยกเลิกสิ่งนั้น

  • การตั้งค่ารหัสผ่าน ATA ใน BIOS ฉันไม่ได้มีตัวเลือกใน BIOS เพียงแค่รหัสผ่านของผู้ดูแลระบบและรหัสผ่านการบูต

  • ใช้นักมายากล มันมีแท็บ "ความปลอดภัยของข้อมูล" แต่ฉันไม่เข้าใจตัวเลือกทั้งหมดอย่างสมบูรณ์และสงสัยว่าไม่มีสิ่งใดที่เกี่ยวข้อง

ป้อนคำอธิบายรูปภาพที่นี่

ข้อมูลในคำถามและคำตอบนี้ช่วย แต่ไม่ได้ตอบคำถามของฉัน

ชัดเจนแล้วสิ่งที่ฉันอยากรู้คือฉันจะเข้ารหัสไดรฟ์สถานะของแข็งของฉันใน HP Envy 15 หรือในความเป็นจริงฉันโชคดี? มีตัวเลือกอื่น ๆ หรือฉันต้องอยู่โดยไม่มีการเข้ารหัสหรือส่งคืนแล็ปท็อปหรือไม่

มีคำถามคล้ายกันใน Anandtechแต่มันยังไม่ได้รับคำตอบ

ssd  windows-8.1  truecrypt  disk-encryption 
สตีเฟ่นเคนเนดี้
แหล่งที่มา
Encrypting SSDs เป็นปัญหาเนื่องจากการสึกหรอ leveling ฉันไม่ทราบรายละเอียดทั้งหมด แต่คุณอาจพบคำถามที่เกี่ยวข้องที่ Security.SE มีประโยชน์ (โปรดทราบว่านี่เป็นมุมมองด้านความปลอดภัยมากกว่าการนำไปใช้)
Jonathan Garber
โปรดอ่านความคิดเห็นในโพสต์ของฉันเกี่ยวกับการเข้ารหัส SSD: vxlabs.com/2012/12/22/… - มันได้กลายเป็นกระดานสนทนาสำหรับผู้ที่สนใจ SSD FDE ฉันคิดว่า TCG Opal ที่คุณแสดงนั้นน่าสนใจ
Charl Botha
นั่นเป็นการสนทนาที่ดีชาร์ลฉันจะคอยดู ดูเหมือนว่ายังไม่มีผู้เยี่ยมชมรายนี้เลย WinMagic SecureDoc Standalone สำหรับ Windows ได้รับการกล่าวถึงซึ่งเป็นเรื่องใหม่สำหรับฉัน ... แต่ฉันไม่แน่ใจว่าฉันต้องการจ่าย $ 100 เพียงเพื่อสิทธิ์ในการตั้งรหัสผ่าน!
Stephen Kennedy

คำตอบ:

8

ต้องตั้งรหัสผ่านใน BIOS ภายใต้ส่วนขยายความปลอดภัย ATA โดยปกติจะมีแท็บในเมนู BIOS ชื่อ "ความปลอดภัย" การรับรองความถูกต้องจะเกิดขึ้นที่ระดับ BIOS ดังนั้นจึงไม่มีสิ่งใดที่ "ตัวช่วยสร้าง" ซอฟต์แวร์นี้ไม่มีผลต่อการตั้งค่าการตรวจสอบความถูกต้อง ไม่น่าเป็นไปได้ที่การอัพเดต BIOS จะเปิดใช้งานรหัสผ่าน HDD หากไม่ได้รับการสนับสนุนก่อนหน้านี้

การบอกว่าคุณกำลังตั้งค่าการเข้ารหัสนั้นทำให้เข้าใจผิด สิ่งหนึ่งคือไดรฟ์เข้ารหัสทุก ๆ บิตที่เขียนไปยังชิปเสมอ ตัวควบคุมดิสก์ทำสิ่งนี้โดยอัตโนมัติ การตั้งค่ารหัสผ่าน HDD ไปที่ไดรฟ์คือระดับความปลอดภัยของคุณจากศูนย์ถึงไม่สามารถแตกหักได้ มีเพียงคีย์ล็อกเกอร์ฮาร์ดแวร์ที่มีเจตนาร้ายหรือการเจาะลึกช่องโหว่ BIOS จาก NSA-sprung เท่านั้นที่สามารถดึงรหัสผ่านเพื่อรับรองความถูกต้อง ;-) <- ฉันเดา ฉันไม่แน่ใจว่าพวกเขาสามารถทำอะไรกับ BIOS ได้ ประเด็นก็คือมันไม่สามารถอธิบายได้ทั้งหมด แต่ขึ้นอยู่กับวิธีการจัดเก็บคีย์ในไดรฟ์มันเป็นวิธีที่ปลอดภัยที่สุดในการเข้ารหัสฮาร์ดไดรฟ์ที่มีอยู่ในปัจจุบัน ที่กล่าวว่ามันเกินความจริงทั้งหมด BitLocker น่าจะเพียงพอสำหรับความต้องการด้านความปลอดภัยของผู้บริโภคส่วนใหญ่

เมื่อพูดถึงเรื่องความปลอดภัยฉันเดาว่าคำถามคือคุณต้องการเท่าไหร่?

การเข้ารหัสดิสก์เต็มรูปแบบที่ใช้กับฮาร์ดแวร์นั้นมีความปลอดภัยสูงกว่าการเข้ารหัสดิสก์เต็มระดับซอฟต์แวร์เช่น TrueCrypt นอกจากนี้ยังมีข้อได้เปรียบเพิ่มเติมที่ไม่ขัดขวางประสิทธิภาพการทำงานของ SSD ของคุณ วิธีที่ SSD เก็บบิตของพวกเขาบางครั้งอาจทำให้เกิดปัญหากับโซลูชันซอฟต์แวร์ FDE ที่ใช้ฮาร์ดแวร์นั้นมีความยุ่งยากน้อยกว่าและสวยงามกว่าและปลอดภัยกว่าตัวเลือก แต่ก็ไม่ได้ "ติด" แม้ในหมู่ผู้ที่สนใจพอที่จะเข้ารหัสข้อมูลที่มีค่าของพวกเขา ไม่ใช่เรื่องยากที่จะทำเลย แต่น่าเสียดายที่ BIOS ส่วนใหญ่ไม่รองรับฟังก์ชั่น "รหัสผ่าน HDD" (เพื่อไม่ให้สับสนกับรหัสผ่าน BIOS อย่างง่ายซึ่งสามารถหลีกเลี่ยงได้โดยมือสมัครเล่น) ฉันสามารถรับประกันคุณได้โดยไม่ต้องดูไบออสของคุณว่าถ้าคุณยังไม่พบตัวเลือก BIOS ของคุณก็ไม่ได้ ' ไม่สนับสนุนและคุณก็โชคไม่ดี มันเป็นปัญหาของเฟิร์มแวร์และคุณไม่สามารถทำอะไรเพื่อเพิ่มฟีเจอร์สั้น ๆ ในการกระพริบไบออสของคุณด้วยบางสิ่งบางอย่างเช่น hdparm ซึ่งเป็นสิ่งที่ขาดความรับผิดชอบแม้ว่าฉันจะไม่ลองก็ตาม ไม่มีส่วนเกี่ยวข้องกับไดรฟ์หรือซอฟต์แวร์ที่มีให้ นี่เป็นปัญหาเฉพาะของเมนบอร์ด

ATA ไม่มีอะไรมากไปกว่าชุดคำสั่งสำหรับ BIOS สิ่งที่คุณพยายามตั้งค่าคือรหัสผ่านผู้ใช้ HDD และรหัสผ่านมาสเตอร์ซึ่งจะใช้ในการตรวจสอบสิทธิ์กับคีย์เฉพาะที่จัดเก็บอย่างปลอดภัยในไดรฟ์ รหัสผ่าน "ผู้ใช้" จะอนุญาตให้ปลดล็อคไดรฟ์และบูตเพื่อดำเนินการต่อตามปกติ สิ่งเดียวกันกับ "อาจารย์" ข้อแตกต่างคือจำเป็นต้องใช้รหัสผ่าน "มาสเตอร์" เพื่อเปลี่ยนรหัสผ่านใน BIOS หรือลบคีย์การเข้ารหัสในไดรฟ์ซึ่งทำให้ข้อมูลทั้งหมดไม่สามารถเข้าถึงได้และไม่สามารถกู้คืนได้ทันที สิ่งนี้เรียกว่าคุณสมบัติ "การลบที่ปลอดภัย" ภายใต้โปรโตคอลสนับสนุนสายอักขระ 32 บิตซึ่งหมายถึงรหัสผ่าน 32 ตัว จากผู้ผลิตแล็ปท็อปบางรายที่สนับสนุนการตั้งค่ารหัสผ่าน HDD ในไบออส จำกัด ตัวอักษรส่วนใหญ่ไว้ที่ 7 หรือ 8 เพราะเหตุใด บริษัท BIOS ทุก บริษัท จึงไม่ได้ ไม่สนับสนุนมันเกินกว่าฉัน บางทีสตอลแมนถูกต้องเกี่ยวกับ BIOS ที่เป็นกรรมสิทธิ์

แล็ปท็อปเพียงตัวเดียว (แทบจะไม่มีไบออสบนเดสก์ท็อปที่รองรับรหัสผ่าน HDD) ฉันรู้ว่าจะอนุญาตให้คุณตั้งค่าผู้ใช้ HDD แบบ 32 บิตและรหัสผ่านมาสเตอร์เต็มรูปแบบคือ Lenovo ThinkPad T- หรือ W- ซีรีส์ ล่าสุดฉันได้ยินว่าโน้ตบุ๊ก ASUS บางรุ่นมีตัวเลือกใน BIOS Dell จำกัด รหัสผ่าน HDD ไว้ที่ 8 ตัวอักษรที่อ่อนแอ

ฉันคุ้นเคยกับที่เก็บข้อมูลกุญแจใน Intel SSD มากกว่า Samsung ฉันเชื่อว่า Intel เป็นคนแรกที่นำเสนอ FDE บนชิปในไดรฟ์รุ่น 320 และบน แม้ว่าจะเป็น AES 128 บิต ฉันไม่ได้ดูอย่างละเอียดว่าชุด Samsung นี้ใช้การจัดเก็บคีย์อย่างไรและไม่มีใครรู้จริง ณ จุดนี้ เห็นได้ชัดว่าการบริการลูกค้าไม่ได้ช่วยอะไรคุณ ฉันได้รับความประทับใจเพียงห้าหรือหกคนใน บริษัท เทคโนโลยีจริง ๆ รู้อะไรเกี่ยวกับฮาร์ดแวร์ที่พวกเขาขาย Intel ดูเหมือนลังเลที่จะกระอักกระอ่วนเฉพาะ แต่ในที่สุดตัวแทนของ บริษัท ก็ตอบคำถามในฟอรัม โปรดทราบว่าสำหรับผู้ผลิตไดรฟ์คุณสมบัตินี้เป็นความคิดโดยรวมในภายหลัง พวกเขาไม่รู้หรือสนใจอะไรเกี่ยวกับเรื่องนี้และไม่ทำร้อยละ 99.9 ของลูกค้า มันเป็นเพียงสัญลักษณ์โฆษณาอีกอันที่อยู่ด้านหลังกล่อง

หวังว่านี่จะช่วยได้!

Rinny T. Tinfoil
แหล่งที่มา
นั่นเป็นคำตอบที่น่ารัก "Mr Tinfoil"; ข้อมูลเยอะแยะมากมายที่ฉันรู้และบางอย่างที่ฉันไม่แน่นอน :) ฉันได้ข้อสรุปแล้วว่าฉันโชคไม่ดีที่ BIOS และความอัปยศของไดรฟ์เป็นไปตามที่คุณชี้ ออกแล้วเข้ารหัสข้อมูล! ฉันไม่ต้องการระดับความปลอดภัยที่พิสูจน์จาก NSA - เพียงพอที่จะทำให้ฉันและนายจ้างของฉันพึงพอใจว่าซอร์สโค้ดของเรา (และไฟล์ส่วนตัวของฉัน) น่าจะปลอดภัยถ้าฉันทำแล็ปท็อปหาย ฉันอยู่บนท้องถนนแล้วและได้ไปกับ Bitkeeper (การเข้ารหัสระดับซอฟต์แวร์) ในขณะนี้ ขอบคุณอีกครั้ง.
สตีเฟ่นเคนเนดี้
6
"การเข้ารหัสดิสก์เต็มรูปแบบที่ใช้ฮาร์ดแวร์นั้นมีขนาดที่หลากหลายปลอดภัยกว่าการเข้ารหัสดิสก์เต็มระดับซอฟต์แวร์เช่น TrueCrypt" ต้องการการอ้างอิง
Abdull
การอ้างสิทธิ์ว่าการเข้ารหัสฮาร์ดแวร์มีความปลอดภัยมากกว่าการเข้ารหัสซอฟต์แวร์ที่ไม่น่าเชื่อถือเพราะเราไม่สามารถทราบได้อย่างชัดเจนว่าฮาร์ดแวร์กำลังทำอะไรอยู่ ซอฟต์แวร์โอเพ่นซอร์สเช่น TrueCrypt สามารถและผ่านการตรวจสอบหลายครั้งเพื่อให้ผู้ใช้สามารถรู้ได้อย่างชัดเจนว่าพวกเขาใช้อะไรอยู่ ปัญหาเกี่ยวกับความปลอดภัยของฮาร์ดแวร์ไม่ใช่เรื่องใหม่และเป็นการวิจารณ์มาตรฐานของ TPM
พอล
@Paul - บางที TrueCrypt ไม่ใช่ตัวอย่างที่ดีที่สุดเนื่องจากซอฟต์แวร์มีข้อบกพร่องด้านความปลอดภัยและไม่รองรับอีกต่อไป
Igor
1
@Igor TrueCrypt มีชีวิตรอดผ่านการตรวจสอบหลายครั้งและไม่พบข้อบกพร่องที่สำคัญ schneier.com/blog/archives/2015/04/truecrypt_secur.html
พอล
8

ในที่สุดฉันก็สามารถใช้งานได้ในวันนี้และอย่างคุณฉันเชื่อว่าฉันไม่มีการตั้งค่ารหัสผ่าน ATA ใน BIOS ด้วย (อย่างน้อยก็ไม่ใช่ที่ฉันเห็น) ฉันเปิดใช้งานรหัสผ่านผู้ใช้ BIOS / ผู้ดูแลระบบและพีซีของฉันมีชิป TPM แต่ BitLocker ควรทำงานได้โดยไม่ต้องใช้หนึ่ง (คีย์ USB) เช่นเดียวกับคุณฉันยังติดอยู่ในจุดเดียวกันแน่นอนที่พร้อมท์ BitLocker ฉันต้องการเข้ารหัสเฉพาะข้อมูลหรือดิสก์ทั้งหมด

ปัญหาของฉันคือการติดตั้ง Windows ของฉันไม่ใช่ UEFI แม้ว่าเมนบอร์ดของฉันจะรองรับ UEFI คุณสามารถตรวจสอบการติดตั้งได้โดยพิมพ์msinfo32คำสั่ง run และตรวจสอบโหมด Bios ถ้ามันอ่านอะไรนอกเหนือUEFIจากนั้นคุณต้องติดตั้ง windows ใหม่ตั้งแต่เริ่มต้น

ดูคำแนะนำแบบ Steb-by-Step นี้เพื่อเข้ารหัสคู่มือSamsung SSDในโพสต์ที่เกี่ยวข้องในฟอรัมนี้

อิกอร์
แหล่งที่มา
ดูเหมือนคำตอบที่ดี! ฉันจะตรวจสอบเมื่อฉันจะได้รับ SSD เช่นกัน
ชื่อที่ปรากฏ
เพิ่งตรวจสอบมันใช้งานได้จริงวิธีนี้
ชื่อที่แสดง
1
รหัสผ่าน ATA ไม่เกี่ยวข้องกับ BIOS บางระบบอาจรองรับการตั้งค่ารหัสผ่าน ATA จากส่วนต่อประสาน BIOS แต่ตัวรหัสผ่าน ATA นั้นไม่มีส่วนเกี่ยวข้องกับ BIOS ตัวอย่างเช่นhdparmโปรแกรมอรรถประโยชน์บรรทัดคำสั่ง Linux สามารถใช้เพื่อจัดการคุณลักษณะความปลอดภัยโดยใช้มาตรฐาน ATA เช่นเดียวกับคุณสมบัติอื่น ๆ ที่จัดการได้ในมาตรฐาน สิ่งสำคัญคือต้องทราบว่าผู้พัฒนา BIOS จำนวนมากไม่อนุญาตให้ใช้ยูทิลิตี้เต็มรูปแบบของคุณสมบัติรหัสผ่าน ATA ตัวอย่างเช่นฉันมี Dell ที่อนุญาตให้มีเพียง 15 ตัวอักษรเท่านั้นที่จะรวมอยู่ในรหัสผ่านถึงแม้ว่ามาตรฐานจะอนุญาตให้ใช้ได้ถึง 32 ตัว
Paul
2

การเข้ารหัสซอฟต์แวร์

TrueCrypt 7.1a นั้นใช้ได้กับ SSD แต่โปรดทราบว่ามันอาจลดประสิทธิภาพของ IOPs ได้เป็นจำนวนมากถึงแม้ว่าไดรฟ์จะยังคงทำงานได้ดีกว่า IOP มากกว่า HDD ถึง 10 เท่า ดังนั้นหากคุณไม่สามารถใช้ตัวเลือกต่าง ๆ ที่ระบุไว้ใน Magician ได้ TrueCrypt เป็นตัวเลือกสำหรับการเข้ารหัสไดรฟ์ แต่ก็มีรายงานว่าใช้งานไม่ได้กับ Windows 8 และระบบไฟล์ในภายหลัง ด้วยเหตุนี้ BitLocker พร้อมการเข้ารหัสดิสก์เต็มรูปแบบจึงเป็นตัวเลือกที่ดีกว่าสำหรับระบบปฏิบัติการเหล่านี้

TCG โอปอล

TCG Opal นั้นเป็นมาตรฐานที่อนุญาตให้ติดตั้งระบบปฏิบัติการขนาดเล็กลงในส่วนที่สงวนไว้ของไดรฟ์ซึ่งมีวัตถุประสงค์เพื่ออนุญาตให้ไดรฟ์บูตและแสดงรหัสผ่านของผู้ใช้เพื่ออนุญาตการเข้าถึงไดรฟ์ . มีเครื่องมือต่าง ๆ สำหรับการติดตั้งคุณลักษณะนี้รวมถึงโครงการโอเพนซอร์สที่มีความเสถียรตามรายงาน แต่ Windows 8 และ BitLocker รุ่นต่อมาควรสนับสนุนคุณสมบัตินี้

ฉันไม่มี Windows 8 หรือใหม่กว่าดังนั้นฉันจึงไม่สามารถให้คำแนะนำเกี่ยวกับวิธีการตั้งค่านี้ได้ แต่การอ่านของฉันระบุว่ามีเฉพาะเมื่อติดตั้ง Windows และไม่ติดตั้งหลังจากนั้น ผู้ใช้ที่มีประสบการณ์รู้สึกฟรีเพื่อแก้ไขฉัน

รหัสผ่าน ATA

การล็อครหัสผ่าน ATA เป็นคุณสมบัติเสริมของมาตรฐาน ATA ที่รองรับโดย Samsung 840 และไดรฟ์รุ่นที่ใหม่กว่า มาตรฐานนี้ไม่เกี่ยวข้องกับ BIOS และสามารถเข้าถึงได้ผ่านวิธีการใด ๆ ฉันไม่แนะนำให้ใช้ BIOS สำหรับการตั้งค่าหรือจัดการรหัสผ่าน ATA เนื่องจาก BIOS อาจไม่สอดคล้องกับมาตรฐาน ATA ฉันมีประสบการณ์กับฮาร์ดแวร์ของตัวเองปรากฏว่าสนับสนุนคุณสมบัติ แต่จริงๆแล้วไม่ได้ปฏิบัติตาม

โปรดทราบว่าการค้นหาคุณลักษณะนี้จะทำให้เกิดการอภิปรายจำนวนมากโดยอ้างว่าคุณลักษณะการล็อก ATA ไม่ควรถือว่าปลอดภัยสำหรับการปกป้องข้อมูล โดยทั่วไปจะถูกต้องเฉพาะสำหรับ HDD ที่ไม่ใช่ Self Encrypting Drives (SED) ตั้งแต่ Samsung 840 และไดรฟ์รุ่นที่ใหม่กว่าเป็น SSD และ SED การสนทนาเหล่านี้จึงไม่สามารถทำได้ รหัสผ่าน ATA ที่ถูกล็อค Samsung 840 series และใหม่กว่าควรปลอดภัยเพียงพอสำหรับการใช้งานของคุณดังที่อธิบายไว้ในคำถามนี้

วิธีที่ดีที่สุดเพื่อให้แน่ใจว่า BIOS ของคุณสามารถรองรับการปลดล็อคไดรฟ์รหัสผ่าน ATA คือล็อคไดรฟ์ติดตั้งลงในคอมพิวเตอร์จากนั้นบูตคอมพิวเตอร์และดูว่ามันขอรหัสผ่านหรือไม่และหากรหัสผ่านที่ป้อนสามารถปลดล็อกไดรฟ์

ไม่ควรทำการทดสอบนี้ในไดรฟ์ที่มีข้อมูลที่คุณไม่ต้องการสูญเสีย

โชคดีที่ไดรฟ์ทดสอบไม่จำเป็นต้องเป็นไดรฟ์ของ Samsung เนื่องจากสามารถเป็นไดรฟ์ที่รองรับชุดความปลอดภัยมาตรฐาน ATA และสามารถติดตั้งในคอมพิวเตอร์เป้าหมายได้

วิธีที่ดีที่สุดที่ฉันได้พบในการเข้าถึงคุณสมบัติ ATA hdparmของไดรฟ์อยู่กับยูทิลิตี้ลินุกซ์บรรทัดคำสั่ง แม้ว่าคุณจะไม่มีคอมพิวเตอร์ที่ใช้ Linux แต่ก็มีหลายดิสทริบิวชันที่อิมเมจดิสก์สำหรับติดตั้งยังรองรับการเรียกใช้ OS 'สด' จากสื่อการติดตั้ง ยกตัวอย่างเช่น Ubuntu 16.04 LTS ควรติดตั้งลงในคอมพิวเตอร์ส่วนใหญ่ได้อย่างง่ายดายและรวดเร็วและสามารถเขียนรูปภาพเดียวกันลงบนสื่อแฟลชสำหรับการทำงานบนระบบที่ไม่มีออปติคัลไดรฟ์

คำแนะนำโดยละเอียดเกี่ยวกับวิธีเปิดใช้งานความปลอดภัยของรหัสผ่าน ATA นั้นเกินขอบเขตของคำถามนี้ แต่ฉันพบว่าบทช่วยสอนนี้เป็นหนึ่งในวิธีที่ดีที่สุดสำหรับงานนี้

การเปิดใช้งานความปลอดภัย ATA ใน SSD แบบเข้ารหัสด้วยตนเอง

โปรดทราบว่าความยาวรหัสผ่านสูงสุดคือ 32 ตัวอักษร ฉันแนะนำให้ทำการทดสอบด้วยรหัสผ่าน 32 ตัวอักษรเพื่อให้แน่ใจว่า BIOS รองรับมาตรฐานอย่างถูกต้อง

เมื่อคอมพิวเตอร์เป้าหมายปิดตัวลงและล็อครหัสผ่านของไดรฟ์ ATA ให้ติดตั้งไดรฟ์และบูตระบบ หาก BIOS ไม่ขอรหัสผ่านเพื่อปลดล็อกไดรฟ์แสดงว่า BIOS ไม่สนับสนุนการปลดล็อครหัสผ่าน ATA นอกจากนี้หากดูเหมือนว่าคุณกำลังป้อนรหัสผ่านอย่างถูกต้อง แต่ไม่ได้ปลดล็อกไดรฟ์อาจเป็นเพราะ BIOS ไม่สนับสนุนมาตรฐาน ATA อย่างถูกต้องดังนั้นจึงไม่น่าเชื่อถือ

มันอาจเป็นความคิดที่ดีที่จะมีวิธีตรวจสอบว่าระบบอ่านไดรฟ์ที่ปลดล็อคอย่างถูกต้องเช่นโดยการติดตั้งระบบปฏิบัติการและโหลดอย่างถูกต้องหรือติดตั้งไดรฟ์ระบบปฏิบัติการที่โหลดและสามารถติดตั้งไดรฟ์ทดสอบ อ่านและเขียนไฟล์โดยไม่มีปัญหา

หากการทดสอบประสบความสำเร็จและคุณรู้สึกมั่นใจในการทำซ้ำขั้นตอนการเปิดใช้งานรหัสผ่าน ATA บนไดรฟ์รวมถึงที่ติดตั้งระบบปฏิบัติการจะไม่เปลี่ยนแปลงอะไรในส่วนข้อมูลของไดรฟ์ดังนั้นจึงควรบูตตามปกติหลังจากป้อน รหัสผ่านใน BIOS

พอล
แหล่งที่มา
TrueCrypt 7.1a is just fine for use on SSDs-> ไม่! ไม่ควรแสดงรายการเป็นตัวเลือก TrueCrypt ไม่ปลอดภัยและไม่รองรับอีกต่อไปโปรดแก้ไขโพสต์ของคุณตามนั้น ดูTrueCrypt
Igor
BTW นี้ไม่มีอะไรใหม่การสนับสนุนก็หยุดลงในเดือนพฤษภาคม 2014 ( มากกว่า 2 ปีที่แล้ว )
Igor
การสิ้นสุดของ 'การสนับสนุน' สำหรับ TrueCrypt ก็เกิดขึ้นเนื่องจากโครงการต้องการการแก้ไขที่สำคัญเพื่อทำงานกับระบบไฟล์ที่ใหม่กว่า (Windows 8) TrueCrypt 7.1a ผ่านการตรวจสอบที่ลึกมากซึ่งพบปัญหาเล็กน้อยกับรหัสที่ไม่ส่งผลกระทบต่อคุณภาพของการเข้ารหัส เปิด Crypto ตรวจสอบโครงการ TrueCypt ทบทวนการเข้ารหัสลับ นี่คือการตรวจสอบว่าการเข้ารหัสลับเป็นที่รู้จักกันดี ฉันไม่ได้ตระหนักถึงโครงการอื่น ๆ ที่สามารถยืนยันในระดับเดียวกันได้
เปาโล
TrueCrypt เป็นโครงการโอเพ่นซอร์สดังนั้นการอ้างว่ามันเป็น "ไม่รองรับอีกต่อไป" เป็นจริงทำให้เข้าใจผิด - มันไม่เคย "สนับสนุน" สิ่งที่เปลี่ยนไปคือไม่มีการพัฒนาอย่างแข็งขันอีกต่อไป
พอล
@Igor ยกเว้นว่าคุณสามารถให้หลักฐานบางอย่างที่การเข้ารหัสที่ TrueCrypt 7.1a จัดทำขึ้นเป็นสิ่งที่ยอมรับไม่ได้ฉันจะไม่แก้ไขคำตอบของฉันเกี่ยวกับแง่มุมนั้น
เปาโล
1

ฉันไม่ทราบว่าคุณเห็นหรือแก้ไขสิ่งนี้หรือไม่ แต่นี่คือลิงค์จาก Samsung โดยเฉพาะใน EVO 840 ของคุณhttp://www.samsung.com/global/business/sem Semiconductoror/minisite/SSD/global/ html/ เกี่ยวกับ / whitepaper06.html

เป็นหลักสิ่งที่พวกเขาพูดเพื่อเปิดใช้งานฮาร์ดแวร์เข้ารหัส AES ในตัว ssd คือการตั้งรหัสผ่าน HDD ภายใต้ BIOS ระบบ รหัสผ่าน "ผู้ใช้ / ผู้ดูแลระบบ / การตั้งค่า" เป็นเพียงแค่นั้น อย่างไรก็ตามการตั้งค่ารหัสผ่าน HDD ควรผ่านไปยัง SSD สิ่งนี้จะทำให้คุณต้องป้อนรหัสผ่านด้วยตนเองทุกครั้งที่เปิดเครื่องคอมพิวเตอร์และไม่สามารถใช้งานได้กับชิป TPM หรือรหัสผ่านอื่น ๆ นอกจากนี้ฉันไม่สามารถเครียดพอใครที่ใช้การเข้ารหัสต้องให้ข้อมูลของพวกเขาสำรอง การกู้คืนข้อมูลจากไดรฟ์เข้ารหัสที่ล้มเหลว / เสียหายนั้นเป็นไปไม่ได้โดยไม่ต้องผ่านบริการพิเศษ

โรเจอร์
แหล่งที่มา
1

"ฉันไม่ต้องการระดับความปลอดภัยที่พิสูจน์จาก NSA"

ถ้าอย่างนั้นก็ใช้ไม่ได้เพราะฟรี

หลังจากเข้าเรียนชั้นมัธยมปลายด้านความปลอดภัยคอมพิวเตอร์และนิติเวชคอมพิวเตอร์ฉันตัดสินใจเข้ารหัสไดรฟ์ ฉันดูตัวเลือกมากมายและมีความสุขมากที่ฉันเลือก DiskCrypt ติดตั้งง่ายใช้งานง่ายเปิดแหล่งที่มาพร้อมลายเซ็น PGP ที่ให้ไว้คำแนะนำเกี่ยวกับวิธีการรวบรวมตัวเองเพื่อให้แน่ใจว่า exe ตรงกับที่มามันติดตั้งไดรฟ์อัตโนมัติคุณสามารถตั้งค่าพรอมต์ pre-boot PW และผิด การกระทำ -pw และมันจะใช้ AES-256

ซีพียูที่ทันสมัยใด ๆ จะทำการเข้ารหัส AES เป็นรอบในคำสั่งเครื่อง SINGLE (การเข้ารหัสข้อมูลที่มีค่าของเซกเตอร์นั้นใช้เวลาสองสามรอบ) ในเกณฑ์มาตรฐานของฉัน AES ทำงานเร็วกว่าสิบเอ็ดเท่าของ ciphers ที่ใช้งานซอฟต์แวร์เช่นปักเป้า DiskCryptor สามารถเข้ารหัสข้อมูลได้เร็วกว่าพีซีหลายเท่าที่สามารถอ่านและเขียนจากดิสก์ ไม่มีค่าใช้จ่ายที่วัดได้

ฉันใช้งานเครื่องระบายความร้อนด้วย TEC, hopped-up, ความเร็ว freq 5 GHz ดังนั้นไมล์สะสมของคุณจะแตกต่างกัน แต่ไม่มากนัก เวลา CPU ที่จำเป็นสำหรับการเข้ารหัส / ถอดรหัสต่ำเกินไปที่จะวัด (เช่นต่ำกว่า 1%)

เมื่อคุณตั้งค่าแล้วคุณสามารถลืมได้เลย สิ่งที่เห็นได้ชัดเจนเพียงอย่างเดียวคือคุณต้องพิมพ์ PW ของคุณตอนบูทซึ่งฉันยินดีที่จะทำ

สำหรับการไม่ใช้การเข้ารหัสบน SSD นั้นเป็นข่าวลือที่ฉันไม่เคยได้ยินมาก่อน มันยังไม่รับประกัน ข้อมูลที่เข้ารหัสถูกเขียนและอ่านจากไดรฟ์เหมือนกับข้อมูลปกติ เฉพาะบิตในบัฟเฟอร์ข้อมูลเท่านั้นที่จะถูกแปลงข้อมูล คุณสามารถ chkdsk / f และเรียกใช้โปรแกรมอรรถประโยชน์ดิสก์อื่น ๆ บนไดรฟ์ที่เข้ารหัส

และ BTW ซึ่งแตกต่างจากโปรแกรมอื่น ๆ diskkeeper ไม่เก็บ pw ของคุณในหน่วยความจำ มันใช้คีย์แฮชแบบทางเดียวสำหรับการเข้ารหัสเขียนทับ pwds ที่พิมพ์ผิดของคุณในหน่วยความจำและไปจนถึงความยาวที่ยอดเยี่ยมเพื่อให้มั่นใจว่าจะไม่แยกไฟล์ paging ออกระหว่างการป้อนข้อมูลและการตรวจสอบความถูกต้อง

https://diskcryptor.net/wiki/Main_Page

Faye Kane เด็กหญิงสมอง
แหล่งที่มา
ถ้าอย่างนั้นแล้วละ ลบโพสต์ของฉันแม้ว่าจะเกี่ยวข้องกับการเข้ารหัส SSD อย่างชัดเจนแนะนำซอฟต์แวร์ให้ทำเช่นนั้นตอบสนองต่อข้อเสนอแนะว่าการเข้ารหัสจะทำให้ SSD เสียหายและเห็นได้ชัดว่าฉันรู้ว่าฉันกำลังพูดถึงอะไรอยู่ นักเรียนที่จบการศึกษาด้านความปลอดภัยคอมพิวเตอร์) ดูว่าฉันจะกลับมาและช่วยเหลือคนอื่นหรือไม่
Faye Kane girl brain
เหตุผลที่อยู่เบื้องหลังการเข้ารหัสค่อนข้างไม่ดีเกี่ยวข้องกับการทำซ้ำ ฉันไม่ทราบว่า ssd ทำสิ่งนี้หรือไม่ แต่ถ้าพวกเขาใช้เป็นวิธีการลดการเขียนการเข้ารหัสจะนำไปสู่การลดลงของชีวิตเพราะสิ่งเดียวกันที่ถูกเขียนไปยังไดรฟ์จะต้องถูกเขียนอย่างสมบูรณ์มากกว่าการลบซ้ำ ดังนั้นมันจึงไม่ใช่แค่เรื่องของการเป็นบิต ใช่ครั้งหนึ่งเมื่อ dycrypted มันดูเหมือนกัน แต่ในชิปเองมันเป็นเรื่องที่แตกต่าง
birdman3131
@ birdman3131 ฉันคิดว่า SSD นั้นผ่านพ้นจุดที่ต้องกังวลเกี่ยวกับอายุการใช้งาน SSD จากการเขียนสำหรับกรณีการใช้งานที่กว้างขวางและส่วนใหญ่ หาก SSD ไม่มีการบีบอัด / ลดความซ้ำซ้อนที่เสนอเป็นคุณสมบัติฉันคิดว่ามันสามารถสันนิษฐานได้ว่ามันขาดได้อย่างปลอดภัย ถ้ามันเป็นคุณสมบัติระดับระบบไฟล์มันจะไม่สร้างความแตกต่างว่าระดับที่ต่ำกว่าจะถูกเข้ารหัสหรือไม่
Phizes
0

ฉันโพสต์ข้อความนี้ไว้ที่อื่นในผู้ใช้ขั้นสูง แต่เนื่องจากนี่เป็นเธรดที่ฉันเคยให้การศึกษาด้วยตัวเองฉันจึงต้องการสัมผัสที่นี่เช่นกัน

รหัสผ่าน ATA กับการเข้ารหัสซอฟต์แวร์สำหรับการเข้ารหัสดิสก์เต็มรูปแบบใน Samsung 840/850 EVO และ Intel SSD

จุดเด่น: เรียบง่ายไม่กระทบประสิทธิภาพความปลอดภัยสูงมาก: ดิสก์ไม่สามารถอ่านได้ในเครื่องอื่น ๆ โดยไม่มีรหัสผ่าน ATA

ข้อด้อย: คุณต้องการไบออสที่มีตัวเลือก ATA Password (ดูเหมือนว่าจะมีแล็ปท็อป HP และ Lenovo แต่ mobos เดสก์ท็อปส่วนใหญ่ไม่มีข้อยกเว้น: ASRock เพิ่งเขียน BIOS 1.07B สำหรับซีรีย์ Extreme และใช้งานได้) นอกจากนี้ยังปลอดภัยมากหากคุณทำรหัสผ่านหายข้อมูลจะไม่สามารถกู้คืนได้ ดูเหมือนทุกคน สุดท้ายมันทั้งหมดขึ้นอยู่กับชิปควบคุมหนึ่งตัวบน SSD และหากชิปนั้นเสียข้อมูลจะถูกทำ ตลอดไป

หวังว่านี่จะเป็นการเพิ่มการสนทนา

อัลวินสตัน
แหล่งที่มา
-1

การตั้งค่ารหัสผ่าน ATA ใน BIOS ฉันไม่ได้มีตัวเลือกใน BIOS เพียงแค่รหัสผ่านของผู้ดูแลระบบและรหัสผ่านการบูต น่าเสียดายที่นี่เป็นตัวเลือกที่ง่ายที่สุดที่คุณมี

ข้อที่สองคือ win 8.1 + bitlocker แต่สิ่งที่ติดตั้งใหม่ทั้งหมดนั้นน่ารำคาญ

ฉันไม่ได้ตระหนักถึง foss tcg โอปอล sw และรุ่นที่จ่ายอาจมีค่าใช้จ่ายมาก

truecrypt ใช้งานได้ แต่ถ้าซีพียูของคุณไม่มี AES-NI ผู้โจมตีจะไม่สามารถสังเกตเห็นได้

และอย่าลืมสำรองข้อมูลที่เข้ารหัสไว้การกู้คืนนั้นทำได้ยากกว่ามาก

user384816
แหล่งที่มา
การค้นหาเว็บสำหรับ 'ซอฟต์แวร์ FOSS TCG Opal' ให้ผลลัพธ์พร้อมลิงก์และแบบฝึกหัดสำหรับโครงการ FOSS TCG ผู้ใช้ส่วนใหญ่จะไม่รับรู้ถึงประสิทธิภาพที่น้อยมากจากการใช้ TrueCrypt โดยไม่มีตัวเร่งฮาร์ดแวร์ (โดยปกติฉันติดตั้ง TrueCrypt กับแล็ปท็อป Dule-Core รุ่นเก่าที่มี HDD และฉันไม่สามารถรับรู้ถึงประสิทธิภาพใด ๆ ) การสำรองข้อมูลที่ถูกเข้ารหัสจะต้องเป็นอุปกรณ์ที่มีระดับความปลอดภัยอย่างน้อยระดับเดียวกันมิฉะนั้นข้อมูลจะไม่ตรงตามวัตถุประสงค์ของการเข้ารหัส
เปาโล
-1

เมื่อติดตั้ง Linux ดิสทริบิวชันจำนวนมากคุณจะได้รับตัวเลือกให้เข้ารหัสโฟลเดอร์ / home ในเวลานั้นเมื่อคุณเลือกที่จะเข้ารหัสโฟลเดอร์ / home (จุดเมานท์ aka) คุณจะถูกถาม (จำเป็น) เพื่อป้อนรหัสผ่านสองครั้ง

โฟลเดอร์แรก / โฟลเดอร์ของคุณถูกเข้ารหัส

ซัมซุงควรจะเป็น 'การเข้ารหัสล่วงหน้า' ที่โรงงาน

ซึ่งมักจะหมายความว่าไม่สามารถเข้าถึงข้อมูลของฮาร์ดไดรฟ์ได้หากไม่มีรหัสผ่าน

ด้านบนเป็นสิ่งที่ฉันได้ทำ หากฉันโชคดีที่การเข้ารหัสของ Samsung กับการเข้ารหัสซอฟต์แวร์ Linux อีกชั้นหนึ่งจะทำให้ฉันปลอดภัยจากบุคคลที่น่ารำคาญ บริษัท และรัฐบาลต่างๆ

ฉันไม่รู้สึกว่าต้องการรหัสผ่านฮาร์ดไดรฟ์ผ่าน BIOS

มันยากพอที่จะจำรหัสผ่านหลายรายการได้แล้ว KeepassX อาจใช้งานในส่วนที่เกี่ยวข้อง

สำหรับความหวาดระแวงอย่างแท้จริงคุณสามารถรหัสผ่าน Samsung EVO ใน BIOS ใช้ Linux เมื่อติดตั้งซอฟต์แวร์เข้ารหัสไดรฟ์แล้วใช้โปรแกรมเข้ารหัส Open Source (ไม่ใช่ truecrypt เนื่องจากสงสัยว่ามีประตูหลังและช่องโหว่)

คุณสามารถใช้ KeepassX เพื่อจดจำรหัสผ่านที่ซับซ้อนและใช้รหัสผ่านที่ป้องกันแฟลชไดรฟ์ได้เช่นกัน

เว้นแต่ว่าคุณเป็นอาชญากรหรือมีคุณค่าที่คุณต้องการความปลอดภัยมากที่สุดส่วนใหญ่จะเสียเวลา

อาจเป็นการง่ายกว่าที่จะเก็บซอร์สโค้ดของคุณไว้ในแฟลชไดรฟ์ที่เข้ารหัสเช่น IronKey ดังนั้นคุณจะไม่ใช้งานประสิทธิภาพหรือมีปัญหาเกี่ยวกับไดรฟ์ เอกสารส่วนตัวสามารถไปที่นั่นได้เช่นกัน

zolar1
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.