Como faço para criptografar um SSD Evo 840 da Samsung?

A senha deve ser definida no BIOS sob a extensão de segurança ATA. Geralmente há uma aba no menu do BIOS chamada "Segurança". A autenticação ocorrerá no nível do BIOS, portanto, nada que esse "assistente" de software tenha tem relação com a configuração da autenticação. É improvável que uma atualização do BIOS ative a senha do HDD se ela não tiver sido suportada anteriormente.

Dizer que você está configurando a criptografia é enganoso. A coisa é que a unidade está sempre criptografando cada bit que ele grava nos chips. O controlador de disco faz isso automaticamente. Definir uma (s) senha (s) de disco rígido para a unidade é o que leva seu nível de segurança de zero a praticamente inquebrável. Somente um keylogger de hardware implantado maliciosamente ou uma exploração remota do BIOS gerada pela NSA poderia recuperar a senha para autenticar ;-) < - eu acho. Não tenho certeza do que eles podem fazer com o BIOS ainda. O ponto é que não é totalmente intransponível, mas dependendo de como a chave é armazenada na unidade, é o método mais seguro de criptografia de disco rígido atualmente disponível. Dito isto, é um total exagero. O BitLocker é provavelmente suficiente para a maioria das necessidades de segurança do consumidor.

Quando se trata de segurança, acho que a pergunta é: quanto você quer?

A criptografia de disco completo com base em hardware é várias vezes mais segura do que a criptografia de disco completo no nível de software, como TrueCrypt. Ele também tem a vantagem de não impedir o desempenho do seu SSD. A maneira como os SSD armazenam seus bits às vezes pode levar a problemas com soluções de software. O FDE baseado em hardware é menos confuso e mais elegante e seguro de uma opção, mas não "pegou" nem entre aqueles que se importam o suficiente para criptografar seus dados valiosos. Não é complicado fazer nada, mas infelizmente muitos BIOS simplesmente não suportam a função "HDD password" (NÃO confunda com uma simples senha do BIOS, que pode ser contornada por amadores). Eu praticamente posso garantir você sem nem mesmo olhar em sua BIOS que, se você ainda não encontrou a opção, seu BIOS não suporta e você está sem sorte. É um problema de firmware e não há nada que você possa fazer para adicionar o recurso que não seja o flash da BIOS com algo parecido com hdparm, algo tão irresponsável que nem eu tentaria. Não tem nada a ver com a unidade ou o software incluído. Este é um problema específico da placa-mãe.

O ATA nada mais é do que um conjunto de instruções para o BIOS. O que você está tentando definir é uma senha de usuário e mestre do disco rígido, que será usada para autenticar a chave exclusiva armazenada com segurança na unidade. A senha do "Usuário" permitirá que a unidade seja desbloqueada e a inicialização prossiga normalmente. Mesma coisa com "mestre". A diferença é que uma senha "Mestre" é necessária para alterar as senhas no BIOS ou apagar a chave de criptografia na unidade, o que torna todos os seus dados inacessíveis e irrecuperáveis instantaneamente. Isso é chamado de recurso "Secure Erase". Sob o protocolo, uma seqüência de caracteres de 32 bits é suportada, ou seja, uma senha de 32 caracteres. Dos poucos fabricantes de laptops que suportam a configuração de uma senha de HDD no BIOS, a maioria dos caracteres limite é de 7 ou 8. Por que toda empresa de BIOS não suporta isso está além de mim. Talvez Stallman estivesse certo sobre o BIOS proprietário.

O único laptop (praticamente nenhum BIOS de desktop suporta a senha do HDD). Eu sei que lhe permitirá configurar um HDD de 32 bits de comprimento total e a senha do Master é uma série Lenovo ThinkPad T ou W-series. Por último, ouvi alguns notebooks da ASUS terem essa opção em seu BIOS. A Dell limita a senha do HDD a 8 caracteres fracos.

Estou muito mais familiarizado com o armazenamento de chaves nos SSDs da Intel do que na Samsung. Intel foi eu acredito que o primeiro a oferecer on-chip FDE em suas unidades, a série 320 e em diante. Embora isso fosse AES 128-bit. Eu não estudei muito sobre como esta série da Samsung implementa armazenamento de chaves, e ninguém realmente sabe neste momento. Obviamente, o serviço ao cliente não foi de nenhuma ajuda para você. Tenho a impressão de que apenas cinco ou seis pessoas em qualquer empresa de tecnologia realmente sabem alguma coisa sobre o hardware que vendem. A Intel parecia relutante em revelar os detalhes, mas acabou respondendo a um representante da empresa em algum lugar em um fórum. Lembre-se de que, para os fabricantes de unidades, esse recurso é um acréscimo total. Eles não sabem ou se importam com isso e nem 99,9% de seus clientes. É apenas mais um ponto de anúncio na parte de trás da caixa.

Espero que isso ajude!

Eu finalmente consegui que isso funcionasse hoje e, como você, acredito que eu não tenha uma configuração de senha ATA no BIOS (pelo menos não que eu possa ver). Eu habilitei as senhas de usuário / administrador do BIOS e meu PC tem um chip TPM, mas o BitLocker deve funcionar sem um (chave USB). Como você, eu também estava preso exatamente no mesmo ponto no prompt do BitLocker, quero criptografar apenas os dados ou o disco inteiro.

Meu problema é que minha instalação do Windows não era UEFI, embora minha placa mãe suporte UEFI. Você pode verificar sua instalação digitando msinfo32 no comando de execução e verificando o Modo do Bios. Se ele ler algo diferente de UEFI , você precisará reinstalar as janelas do zero.

Veja este instruções passo-a-passo para criptografar Samsung SSD guia em um post relacionado neste fórum.

Criptografia de software

O TrueCrypt 7.1a é ideal para uso em SSDs, mas observe que ele provavelmente reduzirá o desempenho de IOPs em uma quantidade considerável, embora a unidade ainda realize mais de 10 vezes mais IOPs do que o HDD. Então, se você não pode fazer uso das opções listadas no Magician, TrueCrypt é uma opção para criptografar a unidade, mas supostamente não funciona muito bem com o Windows 8 e sistemas de arquivos posteriores. Por esse motivo, o BitLocker com criptografia de disco completo é uma opção melhor para esses sistemas operacionais.

Opala do TCG

O TCG Opal é basicamente um padrão que permite que uma espécie de mini-sistema operacional seja instalado em uma parte reservada da unidade com a finalidade de permitir que a unidade inicialize e apresente ao usuário uma senha para conceder acesso. para a unidade. Existem várias ferramentas disponíveis para instalar esse recurso, incluindo alguns projetos de código aberto supostamente estáveis, mas o Windows 8 e versões posteriores do BitLocker devem suportar esse recurso.

Eu não tenho o Windows 8 ou posterior, por isso não posso fornecer instruções sobre como configurar isso, mas minha leitura indica que isso só está disponível ao instalar o Windows, e não depois que ele é instalado. Usuários experientes sentem-se à vontade para me corrigir.

Senha ATA

O bloqueio de senha ATA é um recurso opcional do padrão ATA suportado pelas unidades da série 840 e mais recente da Samsung, além de milhares de outras. Esse padrão não está relacionado a um BIOS e pode ser acessado por vários métodos. Eu não recomendo usar um BIOS para configurar ou gerenciar a senha do ATA, pois o BIOS pode não estar em conformidade com o padrão ATA. Eu tenho experiência com meu próprio hardware aparecendo para suportar o recurso, mas na verdade não estar em conformidade.

Observe que a pesquisa neste recurso produzirá muita discussão, alegando que o recurso de bloqueio do ATA não deve ser considerado seguro para proteger dados. Em geral, isso é correto apenas para HDDs que não são também unidades com criptografia automática (Self Encrypting Drives - SED). Como os drives da série Samsung 840 e mais recente são SSDs e SEDs, essas discussões simplesmente não são aplicáveis. A senha bloqueada pela ATA da série Samsung 840 e posterior deve ser segura o suficiente para o seu uso, conforme descrito nesta pergunta.

A melhor maneira de ter certeza de que seu BIOS pode suportar o desbloqueio de uma unidade bloqueada com senha ATA é bloquear uma unidade, instalá-la no computador, depois inicializar o computador e verificar se ele solicita uma senha e se a senha digitada pode desbloquear a unidade.

Este teste não deve ser realizado em uma unidade com dados que você não deseja perder.

Felizmente, a unidade de teste não precisa ser a unidade Samsung, pois pode ser qualquer unidade que suporte o conjunto de segurança padrão ATA e possa ser instalada no computador de destino.

A melhor maneira que encontrei para acessar os recursos do ATA de uma unidade é com o utilitário de linha de comando do Linux hdparm . Mesmo se você não tiver um computador com o Linux, existem muitas distribuições cuja imagem de disco de instalação também suporta a execução do SO 'vivo' a partir da mídia de instalação. O Ubuntu 16.04 LTS, por exemplo, deve ser instalado fácil e rapidamente na grande maioria dos computadores, e a mesma imagem também pode ser gravada na mídia flash para execução em sistemas sem unidades ópticas.

Instruções detalhadas sobre como habilitar a segurança de senha do ATA estão além do escopo desta questão, mas achei este tutorial um dos melhores para esta tarefa.

Habilitando a segurança do ATA em um sistema de criptografia automática SSD

Observe que o tamanho máximo da senha é de 32 caracteres. Eu recomendo fazer o teste com uma senha de 32 caracteres para ter certeza de que o BIOS suporta o padrão corretamente.

Com o computador de destino desligado e a senha do ATA bloqueada, instale a unidade e inicialize o sistema. Se o BIOS não solicitar uma senha para desbloquear a unidade, o BIOS não suportará o desbloqueio por senha do ATA. Além disso, se parecer que você está inserindo a senha completamente corretamente, mas não está desbloqueando a unidade, pode ser que a BIOS não ofereça suporte adequado ao padrão ATA e, portanto, não seja confiável.

Pode ser uma boa ideia verificar se o sistema está lendo corretamente a unidade desbloqueada, por exemplo, instalando e carregando o sistema operacional ou instalando ao lado de uma unidade do sistema operacional que carrega e pode montar a unidade. test drive e ler e gravar arquivos sem problemas.

Se o teste for bem-sucedido e você se sentir confiante em repetir as etapas, a ativação da senha ATA em uma unidade, incluindo uma com um sistema operacional instalado, não alterará nada na parte de dados da unidade; depois de digitar a senha no BIOS.

Eu não sei se você viu isso ou consertou isso ainda, mas aqui está um link especificamente da Samsung em seu EVO 840. link

Essencialmente, o que eles dizem para habilitar o hardware AES criptografado embutido no ssd é definir a senha do HDD no BIOS do sistema. As senhas "Usuário / Administrador / Configuração" são apenas isso. No entanto, a configuração da senha do HDD deve passar para o SSD. Isso exigirá que você insira a senha manualmente toda vez que ligar o computador e não funcione com chips do TPM ou outras PassKeys. Além disso, eu não posso enfatizar o suficiente, qualquer um que usa criptografia precisa ter certeza de que seus dados são copiados. Recuperar dados de uma unidade criptografada com falha / corrompida é quase impossível sem passar por um serviço especializado.

"I don't need NSA-proof levels of security "

Bem, por que não usá-lo de qualquer maneira, já que é gratuito?

Depois de ter aulas de pós-graduação em segurança de computadores e computação forense, decidi criptografar minha unidade. Eu olhei para muitas opções e estou muito feliz que eu selecionei DiskCrypt. É fácil de instalar, fácil de usar, código aberto com assinaturas PGP fornecidas, instruções sobre como compilá-lo para garantir que o exe corresponda à fonte, monta automaticamente as unidades, pode definir o prompt PW de pré-inicialização e errado ação -pw, e ele usará AES-256.

Qualquer CPU moderna fará uma rodada de criptografia AES em uma instrução de máquina única (criptografar o valor de um setor leva cerca de doze rodadas). Em meus próprios benchmarks, o AES é onze vezes mais rápido do que as cifras implementadas por software, como o blowfish. O DiskCryptor pode criptografar dados muitas vezes mais rápido do que o computador pode ler e gravar a partir do disco. NÃO há uma sobrecarga mensurável.

Estou executando uma máquina de 5 GHz de frequência acelerada, refrigerada por TEC e com frequência de pulsos, para que sua quilometragem possa variar, mas não muito. O tempo de CPU necessário para criptografar / descriptografar era muito baixo para medir (ou seja, menos de 1%).

Depois de configurá-lo, você pode esquecê-lo totalmente. O único efeito perceptível é que você tem que digitar seu PW na inicialização, o que eu tenho o prazer de fazer.

Quanto a não usar criptografia em SSDs, esse é um boato que eu não ouvi antes. Também é injustificado. Os dados criptografados são gravados e lidos da unidade exatamente como os dados normais. Apenas os bits no buffer de dados são embaralhados. Você pode chkdsk / f e executar qualquer outro utilitário de disco em uma unidade criptografada.

E BTW, ao contrário de outros programas, diskkeeper não mantém seu pw na memória. Ele usa uma chave de hash unidirecional para criptografia, sobrescreve os pwds com erros de digitação na memória e faz grandes esforços para garantir que ele não seja exibido em um arquivo de paginação durante a entrada e validação de PW.

link

Eu postei sobre isso em outro lugar no Super User, mas como esse foi um tópico que eu usei para me educar, eu também quis tocar aqui.

ATA Password vs encriptação de software para Full Disk Encryption nos SSDs Samsung 840/850 EVO e Intel

Prós: Simples, sem performance, extremamente seguro: os discos são ilegíveis em outras máquinas sem a senha ATA

Contras: Você precisa de um BIOS que tenha a opção ATA Password (os laptops HP e Lenovo parecem ter isso, mas a maioria dos desktops não. Exceção: ASRock escreveu recentemente seu BIOS 1.07B para sua série Extreme e funciona) . Além disso, é tão seguro que, se você perder a senha, os dados serão irrecuperáveis. Por qualquer um, parece. Por último, tudo depende de um chip controlador no SSD, e se esse chip for ruim, os dados estão prontos. Para sempre.

Espero que isso acrescente à discussão.

Setting the ATA Password in the BIOS. I don't appear to have such an option in the BIOS, only an admin password and boot-up password. Too bad, this is the simplest option you have.

O segundo é ganhar 8.1 + bitlocker, mas toda a coisa reinnstall é irritante

Eu não tenho conhecimento de nenhum sw tacg opal e as versões pagas provavelmente custam muito

O truecrypt funciona, mas se o seu cpu não tiver o AES-NI, o spee hit pode ser notado

e não se esqueça de fazer backup do struff, os dados criptografados são muito mais difíceis de recuperar

Ao instalar várias Distribuições Linux, você terá a opção de criptografar a pasta / home. Nesse momento, quando você optar por criptografar a pasta / home (também conhecida como ponto de montagem), será solicitado (obrigatório) a inserção de uma senha duas vezes.

Basicamente, uma delas é concluída, sua pasta / home é criptografada.

A Samsung deveria ser "pré-criptografada" na fábrica.

Isso geralmente significa que nenhum acesso às informações do disco rígido pode ser feito sem a senha.

O acima é o que eu fiz. Se eu tiver sorte, a criptografia da Samsung com outra camada de criptografia de software Linux deve me tornar relativamente segura em relação à maioria dos indivíduos, empresas e governos nefastos.

Eu não senti a necessidade de fazer a senha do disco rígido via BIOS.

Já é difícil lembrar várias senhas já. O KeepassX pode ser de alguma utilidade nesse aspecto.

Para o verdadeiro paranóico, você pode digitar a senha do Samsung EVO no BIOS, usar o Linux na instalação para criptografar o disco e usar um programa de criptografia de código aberto (não TrueCrypt devido a suspeitas de vulnerabilidades).

Você pode usar o KeepassX para lembrar as longas senhas complicadas e até mesmo proteger com senha essa unidade flash também.

A menos que você seja algum tipo de criminoso ou tenha algo tão valioso que precise de muita segurança, a maioria é uma perda de tempo.

Pode ser mais fácil manter seu código-fonte em uma unidade flash criptografada como o IronKey, para que você não obtenha nenhum impacto no desempenho ou tenha problemas com a unidade. Documentos pessoais também podem ir para lá.