Como ativar a criptografia baseada em hardware no Samsung 850 Pro

Depende do que você quer dizer com "fazer isso funcionar". Essa unidade suporta o OPAL 2.0, que permite que vários esquemas de criptografia gerenciados por software usem criptografia acelerada por hardware. Ele também permite a autenticação de pré-inicialização (PBA) para criptografia, como esquemas BIOS / EFI. Se você quiser usar o PBA (ou seja, uma senha / pin no BIOS / EFI), então você terá que mudar para uma placa-mãe que ofereça suporte (eu não poderia dizer qual, como eu não uso o PBA, eu uso o BitLocker, que eu recomendo em ambientes Windows).

TL; DR Se você estiver executando o Windows, use o BitLocker, ele usará automaticamente a aceleração de hardware.

Editar :
Em abril de 2014, o OPAL não é suportado pelo Linux. Houve alguém trabalhando em "msed", mas não foi terminado ou produção digna. Eu não sei o status atual ou futuro do suporte OPAL no Linux.

Editar 2 :
Também existem vários produtos UEFI que podem gerenciar unidades compatíveis com OPAL, permitindo uma variedade de PBAs se seu BIOS / EFI não o suportar diretamente. O único que eu vagamente familiarizado permite às empresas configurar um servidor de autenticação para o PBA pela Internet. Pode funcionar com credenciais locais também, não tenho certeza. Também é muito caro. Alimento para o pensamento, se nada mais.

Como o "alguém" trabalhando em "msed", agora tem a capacidade de ativar o bloqueio OPAL, escrever um PBA em uma unidade OPAL 2.0 e carregar em cadeia o sistema operacional real após desbloquear a unidade em placas-mãe baseadas em bios. Nenhum suporte especial da placa-mãe é necessário. Sim, ainda é cedo no seu ciclo de desenvolvimento e atualmente não suporta suspensão para memória RAM, já que isso requer ganchos do SO.

TexasDex está correto. O BIOS da sua placa-mãe deve suportar uma opção de Senha ATA (isso é diferente e além da senha do BIOS). Agora o pouco interessante. . . ninguém menciona esse recurso. Não em revisões de mobo, comparações, e certamente não nos anúncios e listas dos fabricantes de mobo. Por que não? Milhões e milhões de unidades SSD Samsung EVO e Intel estão prontas para ter a criptografia de hardware ultra-rápida e ultrassegura ativada, tudo o que elas precisam é de um BIOS com suporte a ATA Password.

A única resposta que pude encontrar é que os fabricantes de Mobo temem que alguns noobs se esqueçam de suas senhas e, como essa criptografia é tão confiável, ninguém em TODOS será capaz de ajudar.

Eu tinha um mobo ASRock Extreme6, e pensando que era o mais recente e melhor, é claro que ele teria esse recurso. Não. No entanto, eu escrevi para a ASRock em Taiwan e em uma semana eles me enviaram a versão 1.70B do seu BIOS com uma opção ATA Password. No entanto, ainda não está disponível em seu site, você tem que pedir por isso (?!). Este pode ser o caso de seus criadores de mobo também.

É possível usar o comando hdparm no Linux para ativar as Extensões de Segurança ATA, que definirão a senha AT na unidade, criptografando-a.

Infelizmente, se a sua BIOS não suporta senhas de disco rígido, então não há como inicializar depois de fazer isso, já que você não pode usar o comando hdparm unlock até depois de terminar , e você não pode desbloquear e arrancar a unidade até depois de desbloqueá-lo. Um tipo de problema de galinha / ovo. É por isso que às vezes eles colocam suporte a senha de disco na BIOS, para que ele possa ser executado sem a necessidade de um SO.

Se você tiver a partição / boot ou / em um dispositivo separado, poderá configurar um script que use o comando hdparm em algum lugar no processo init. Isso não é fácil, e meio que anula o propósito de ter o SSD para inicialização rápida e tal.

Minha única outra idéia seria ter um pen drive com uma distro super-minimal de Linux que não faz nada além de solicitar a senha, executar o comando hdparm ata unlock e reinicializar, permitindo que o sistema operacional carregue de sua unidade desbloqueada (Eu acredito que soft reboots geralmente não bloqueiam novamente as unidades). Isso não é o ideal, mas é a melhor solução disponível se a sua placa-mãe não suporta senhas ATA.

• O tipo de armazenamento deve ser ACHI.
• O computador deve sempre inicializar de maneira nativa do UEFI.
• O computador deve ter o Compatibility Support Module (CSM) desativado no UEFI.

• O computador deve ser baseado em UEFI 2.3.1 e ter o EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definido. (Esse protocolo é usado para permitir que programas em execução no ambiente de serviços de inicialização EFI enviem comandos do protocolo de segurança para a unidade).

• O chip TPM é opcional.

• A inicialização segura é opcional.
• GPT e MBR são suportados.
• Se houver software / drivers RST, ele deve ser pelo menos a versão 13.2.4.1000.

Isso pode ser feito com 2 discos ou um.

De uma instalação do Windows que atenda aos critérios acima:

• Definir estado como pronto para ativação via Samsung Magician.
• Faça um apagamento seguro de USB (para DOS).
• Reinicie o PC, altere o modo de inicialização para a inicialização do BIOS (para o USB com exclusão segura)
• Inicialize em apagamento seguro, apague
• Reinicie o PC, altere as configurações de inicialização do BIOS para EFI novamente. (Não deixe o PC iniciar a partir da unidade ou você pode iniciar o processo desde o início.)
• Inicialize de volta no disco do Windows e verifique por meio do assistente da Samsung ou instale o Windows em seu disco seguro e apagado.