Как зашифровать SSD от Samsung Evo 840?

Я купил ноутбук HP Envy 15-j005ea, который я обновил до Windows 8.1 Pro. Я также удалил HDD и заменил его 1TB Samsung Evo 840 SSD. Теперь я хочу зашифровать диск, чтобы защитить исходный код моей компании и мои личные документы, но я не могу понять, как это сделать или если это возможно.

Я понимаю, что не рекомендуется использовать Truecrypt на SSD, но, пожалуйста, поправьте меня, если я ошибаюсь. Я также понимаю, что 840 Evo имеет встроенное 256-битное AES-шифрование, поэтому рекомендуется использовать его.

Evo обновлен до последней версии прошивки EXT0BB6Q, и у меня есть последний Samsung Magician. Я не знаю, какой уровень UEFI у меня есть, но я знаю, что машина была построена в декабре 2013 года и имеет F.35 BIOS от Insyde.

Это то, что я пробовал:

  • Bitlocker. Последняя версия прошивки Samsung, предположительно, совместима с Windows 8.1 eDrive, поэтому я выполнил инструкции, которые я нашел в статье Anandtech . Прежде всего, казалось бы, у ноутбука нет чипа TPM, поэтому мне пришлось разрешить Bitlocker работать без TPM. Как только я сделал это, я попытался включить Bitlocker. Anandtech говорит, что «если все совместимо с eDrive, вас не спросят, хотите ли вы зашифровать все или часть диска после того, как вы начнете первоначальную настройку. BitLocker будет включен. Никакой дополнительный этап шифрования (поскольку данные Уже зашифрован на вашем SSD). Если вы сделали что-то не так, или какая-то часть вашей системы не совместима с eDrive, вы получите индикатор прогресса и несколько продолжительный процесс шифрования программного обеспечения ». К сожалению, меня спросили, хочу ли я зашифровать все или часть диска, поэтому я отменил это.

  • Установка пароля ATA в BIOS. У меня нет такой опции в BIOS, только пароль администратора и пароль для загрузки.

  • Использование Мага. Он имеет вкладку «Безопасность данных», но я не полностью понимаю варианты и подозреваю, что ни один из них не применим.

Введите описание изображения здесь

Информация в этом вопросе и ответе помогла, но не ответила на мой вопрос.

Ясно, что я хотел бы знать, как я могу зашифровать свой твердотельный диск в HP Envy 15, или мне действительно не повезло? Существуют ли какие-либо альтернативные варианты, или я должен либо жить без шифрования, либо возвращать ноутбук?

Аналогичный вопрос есть в Анандете, но он остается без ответа.

Я, наконец, получил это, чтобы работать сегодня, и, как и вы, я полагаю, что у меня нет настройки пароля ATA в BIOS (по крайней мере, я этого не вижу). Я включил пароли пользователя / администратора BIOS, и на моем ПК установлен чип TPM, но BitLocker должен работать без одного (USB-ключ). Как и вы, я тоже застрял в том же месте в приглашении BitLocker, я хочу зашифровать только данные или весь диск.

Моя проблема была в том, что моя установка Windows не была UEFI, хотя моя материнская плата поддерживает UEFI. Вы можете проверить свою установку, введя msinfo32 в команде run и проверив Bios Mode. Если он читает что-то другое, кроме UEFI вам нужно переустанавливать окна с нуля.


См. Инструкции Steb-by-Step для шифрования руководства Samsung SSD в соответствующей записи на этом форуме.

Пароль должен быть установлен в BIOS под расширением ATA-безопасности. Обычно есть вкладка в меню BIOS под названием «Безопасность». Аутентификация будет происходить на уровне BIOS, поэтому ничего такого программного обеспечения «мастер» не имеет никакого отношения к настройке аутентификации. Маловероятно, что обновление BIOS позволит включить пароль жесткого диска, если он ранее не поддерживался.

Сказать, что вы настраиваете шифрование, вводит в заблуждение. Дело в том, что диск ВСЕГДА шифрует каждый бит, который он записывает в чипы. Дисковый контроллер делает это автоматически. Установка пароля (ов) жесткого диска на диск – это то, что снижает уровень безопасности от нуля до очень нерушимого. Только вредоносный аппаратный кейлоггер или утилита удаленного BIOS из NSA могут получить пароль для аутентификации 😉 <- Я думаю. Я не уверен, что они могут сделать для BIOS. Дело в том, что это не полностью непреодолимо, но в зависимости от того, как ключ хранится на диске, это самый безопасный способ шифрования жесткого диска, доступный в настоящее время. Тем не менее, это полный перебор. BitLocker, вероятно, достаточен для большинства потребностей безопасности потребителей.

Когда дело доходит до безопасности, я предполагаю, что вопрос: сколько вы хотите?

Аппаратное шифрование полного диска на несколько порядков более безопасно, чем полное шифрование на уровне программного обеспечения, такое как TrueCrypt. Это также имеет дополнительное преимущество, не препятствуя производительности вашего SSD. То, как SSD упаковывает свои биты, иногда может привести к проблемам с программными решениями. Аппаратный FDE является менее беспорядочным и более элегантным и безопасным вариантом, но он не «поймал» даже среди тех, кто достаточно заботится, чтобы зашифровать их ценные данные. Это не сложно сделать, но, к сожалению, многие BIOS просто не поддерживают функцию «HDD password» (НЕ путать с простым паролем BIOS, который можно обойти любителями). Я могу в значительной степени гарантировать вам, даже не заглядывая в ваш BIOS, что, если вы еще не нашли вариант, ваш BIOS не поддерживает его, и вам не повезло. Это проблема с прошивкой, и вы ничего не можете сделать, чтобы добавить функцию, которая не мигает BIOS с чем-то вроде hdparm, что является чем-то настолько безответственным, что даже я бы не стал его пытаться. Это не имеет никакого отношения к приводу или прилагаемому программному обеспечению. Это проблема конкретной материнской платы.

ATA – это не что иное, как набор инструкций для BIOS. То, что вы пытаетесь установить, – это пароль пользователя жесткого диска и главный пароль, который будет использоваться для аутентификации уникального ключа, сохраненного на жестком диске. Пароль «Пользователь» позволит разблокировать диск и выполнить загрузку в обычном режиме. То же самое с «Мастером». Разница заключается в том, что для изменения паролей в BIOS необходим пароль «Мастер» или стирание ключа шифрования на диске, что делает все его данные недоступными и неотразимыми мгновенно. Это называется функцией «Безопасное удаление». В соответствии с протоколом поддерживается 32-разрядная строка символов, что означает 32-символьный пароль. Из немногих производителей ноутбуков, которые поддерживают настройку пароля жесткого диска в BIOS, большинство лимитирующих символов до 7 или 8. Почему каждая компания BIOS не поддерживает ее вне меня. Может быть, Столлмен был прав насчет проприетарного BIOS.

Единственный ноутбук (практически нет настольных BIOS, поддерживающих пароль жесткого диска). Я знаю, что вы сможете установить полноразмерный 32-разрядный жесткий диск пользователя и главный пароль – это Lenovo ThinkPad T- или W-series. В последнее время я слышал, что некоторые ноутбуки ASUS имеют такую ​​опцию в своем BIOS. Dell ограничивает пароль жесткого диска слабыми 8 символами.

Я гораздо больше знаком с хранилищем ключей в SSD от Intel, чем Samsung. Intel, я считаю, первым предложит встроенный FDE в своих приводах, серии 320 и дальше. Хотя это был AES 128-бит. Я не смотрел подробно, как эта серия Samsung реализует ключевое хранилище, и на данный момент никто не знает. Очевидно, что обслуживание клиентов не помогло вам. У меня создается впечатление, что только пять или шесть человек в любой технической компании действительно знают что-либо об оборудовании, которое они продают. Intel, похоже, не желала кашлять по специфике, но в конце концов представитель компании ответил где-то на форуме. Имейте в виду, что для производителей дисков эта функция является полной запоздалой мыслью. Они ничего не знают и не заботятся об этом и не делают 99,9% своих клиентов. Это просто еще одна рекламная марка на обратной стороне коробки.

Надеюсь это поможет!

Шифрование программного обеспечения

TrueCrypt 7.1a отлично подходит для использования на SSD, но заметьте, что он, скорее всего, снизит производительность IOP на значительную сумму, хотя накопитель по-прежнему будет выполнять более 10-кратное увеличение IOP, чем HDD. Поэтому, если вы не можете использовать опции, перечисленные в Magician, TrueCrypt – это опция для шифрования диска, но, как сообщается, он не очень хорошо работает с файловыми системами Windows 8 и более поздними. По этой причине BitLocker с полным шифрованием диска является лучшим вариантом для этих операционных систем.

TCG Opal

TCG Opal в основном является стандартом, который позволяет установить мини-операционную систему на зарезервированную часть диска, которая предназначена только для того, чтобы позволить загрузочному диску и представить пользователю пароль для предоставления доступа к диску , Существуют различные инструменты для установки этой функции, включая некоторые, как утверждается, стабильные проекты с открытым исходным кодом, но Windows 8 и более поздние версии BitLocker должны поддерживать эту функцию.

У меня нет Windows 8 или новее, поэтому я не могу предоставить инструкции по настройке этого, но мое чтение указывает, что это доступно только при установке Windows, а не после его установки. Опытные пользователи не могут меня исправить.

Пароль ATA

Блокировка пароля ATA является дополнительной функцией стандарта ATA, поддерживаемого приводами Samsung 840 и более поздних серий, а также тысячами других. Этот стандарт не связан с BIOS и может быть доступен с помощью любого количества методов. Я не рекомендую использовать BIOS для установки или управления паролем ATA, так как BIOS может не соответствовать стандарту ATA. У меня есть опыт работы с собственным оборудованием, которое поддерживает эту функцию, но на самом деле не соблюдается.

Обратите внимание, что поиск по этой функции приведет к большому дискуссию, в которой утверждается, что функция блокировки ATA не должна считаться безопасной для защиты данных. Обычно это относится только к жестким дискам, которые также не являются самошифрующими дисками (SED). Поскольку накопители Samsung 840 и более поздние серии являются твердотельными накопителями и SED, эти обсуждения просто неприменимы. Пароль ATA, заблокированный для Samsung 840 и более поздних версий, должен быть достаточно безопасным для вашего использования, как описано в этом вопросе.

Лучший способ убедиться, что ваш BIOS может поддерживать разблокировку накопителя с паролем ATA, – это заблокировать диск, установить его в компьютер, затем загрузить компьютер и посмотреть, запрашивает ли он пароль, и если введенный пароль может разблокировать диск.

Этот тест не должен выполняться на диске с данными, которые вы не хотите потерять.

К счастью, тест-драйв не обязательно должен быть приводом Samsung, так как это может быть любой диск, который поддерживает стандартный набор безопасности ATA и может быть установлен на целевом компьютере.

Лучший способ, который я нашел для доступа к функциям ATA на диске, – это утилита командной строки Linux hdparm . Даже если у вас нет компьютера с Linux, существует множество дистрибутивов, чей образ установочного диска также поддерживает запуск «живой» ОС с установочного носителя. Например, Ubuntu 16.04 LTS должен легко и быстро установить на большинство компьютеров, и одно и то же изображение можно также записать на флэш-носитель для работы в системах без оптических дисков.

Подробные инструкции по включению защиты паролей ATA выходят за рамки этого вопроса, но я нашел, что этот учебник является одним из лучших для этой задачи.

Включение защиты ATA на самошифруемом SSD

Обратите внимание, что максимальная длина пароля составляет 32 символа. Я рекомендую выполнить тест с 32-символьным паролем, чтобы убедиться, что BIOS поддерживает стандарт правильно.

Когда целевой компьютер выключен и пароль ATA заблокирован, установите диск и загрузите систему. Если BIOS не запрашивает пароль для разблокировки накопителя, BIOS не поддерживает разблокировку пароля ATA. Кроме того, если вам кажется, что вы вводите пароль полностью правильно, но он не разблокирует диск, возможно, BIOS не поддерживает стандарт ATA, и поэтому ему не следует доверять.

Может быть хорошей идеей иметь некоторый способ проверить, правильно ли система считывает разблокированный диск, например, устанавливая и загружая операционную систему должным образом, или устанавливая рядом с диском ОС, который загружает и может монтировать тестовый диск и Читать и писать файлы без проблем.

Если тест будет успешным и вы будете уверены в повторении шагов, включение пароля ATA на диске, в том числе и с установленной ОС, ничего не изменит в части данных на диске, поэтому он должен нормально загружаться после ввода Пароль в BIOS.

Я не знаю, видели ли вы это или исправили это, но вот ссылка от Samsung на EVO 840. http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/ о / whitepaper06.html

По сути, они говорят, что включить аппаратный шифр AES, встроенный в ssd, – это установить пароль жесткого диска в системном BIOS. Пароли «User / Admin / Setup» – это именно так. Однако установка пароля жесткого диска должна проходить через SSD. Это потребует, чтобы вы вручную вводили пароль каждый раз, когда включаете компьютер, и не работаете с чипами TPM или другими PassKeys. Кроме того, я не могу подчеркнуть достаточно, ЛЮБОЙ, кто использует шифрование, чтобы убедиться, что их данные скопированы. Восстановление данных с поврежденного / поврежденного зашифрованного диска практически невозможно без прохождения специализированной службы.

«Мне не нужны уровни безопасности, защищенные NSA»

Ну, почему бы не использовать его в любом случае, так как это бесплатно?

После того, как я прошел курс обучения в области компьютерной безопасности и компьютерной криминалистики, я решил зашифровать свой диск. Я посмотрел на многие варианты, и я очень счастлив, что выбрал DiskCrypt. Он прост в установке, прост в использовании, с открытым исходным кодом с предоставленными сигнатурами PGP, инструкциями по его компиляции, чтобы гарантировать, что exe соответствует источнику, он автоматически монтирует диски, вы можете установить предварительную подсказку PW и неправильную -pw, и он будет использовать AES-256.

Любой современный процессор будет обрабатывать AES-шифрование в машинной инструкции SINGLE (шифрование данных сектора требует нескольких десятков раундов). На моих собственных тестах AES работает в одиннадцать раз быстрее, чем программные шифры, такие как blowfish. DiskCryptor может шифровать данные во много раз быстрее, чем ПК может читать и записывать их с диска. НЕТ измеримых накладных расходов.

Я запускаю TEC-охлажденную, ускоренную, скорость с частотой 5 ГГц, поэтому ваш пробег будет меняться, но не намного. Время CPU, необходимое для шифрования / дешифрования, было слишком низким для измерения (т.е. менее 1%).

Как только вы его настроите, вы можете полностью забыть об этом. Единственный заметный эффект заключается в том, что вы должны вводить свой PW при загрузке, что я очень рад сделать.

Что касается не использования шифрования на SSD, это слух, о котором я раньше не слышал. Это также необоснованно. Зашифрованные данные записываются и считываются с диска точно так же, как и обычные данные. Скремблируются только биты в буфере данных. Вы можете chkdsk / f и запустить любую другую дисковую утилиту на зашифрованном диске.

И BTW, в отличие от других программ, diskkeeper не сохраняет ваш pw в памяти. Он использует односторонний хэшированный ключ для шифрования, перезаписывает ваши запотевшие pwds в памяти и идет на большие длины, чтобы гарантировать, что он не выйдет из файла подкачки во время ввода и проверки PW.

https://diskcryptor.net/wiki/Main_Page

Я опубликовал это в другом месте в Super User, но поскольку это был поток, который я использовал для обучения, я тоже хотел коснуться базы.

ATA Password против программного шифрования для полного шифрования диска в Samsung 840/850 EVO и Intel SSD

Плюсы: Простой, бездействие, чрезвычайно безопасно: диски не читаются на других машинах без пароля ATA

Минусы: вам нужен BIOS с опцией ATA Password (ноутбуки HP и Lenovo, похоже, имеют это, но большинство настольных мобильных устройств этого не делают. Исключение: ASRock недавно написал свой 1.07B BIOS для своей серии Extreme, и он работает). Кроме того, это настолько безопасно, что если вы потеряете пароль, данные не будут восстановлены. Кажется, кому-то. Наконец, все зависит от одного чипа контроллера на SSD, и если этот чип идет плохо, данные выполняются. Навсегда.

Надеюсь, это добавит к обсуждению.

  • Как настроить проводное 1 к 1 сетевое соединение между двумя компьютерами?
  • Synaptics - Windows 8.1, обновление Synaptics не выполнено
  • Моя карта NVIDIA постоянно ломалась сама по себе? Или я могу это исправить?
  • Windows Starter Edition, Home и Home Premium не включают gpedit, как его установить?
  • Sony Vaio E14, обновленная до Windows 8.1, постоянно работает на поклоннике
  • Force Windows использует .EXE для PATH вместо внутренней команды CMD.EXE
  • Добавить элементы в список «Открыть с» в Windows 8
  • Как остановить Microsoft от сбора данных телеметрии из Windows 7, 8 и 8.1
  • Проблемы с ключом win и ключом справа после Windows Update (польские диакритические знаки не работают)
  • Ошибка «Аппаратное ускорение VT-x / AMD-V недоступно в вашей системе» при попытке запустить Virtualbox
  • Отключить динамические цвета Windows 8.1
  • Давайте будем гением компьютера.