Como ativar a criptografia baseada em hardware no Samsung 850 Pro

10

Eu tenho um novo Samsung 850 pro que agende hardware- criptografia baseada em . De acordo com essa página, eu deveria ir na minha bios e definir uma senha do disco rígido (sem problemas). O tópico relevante que eu encontrei na edição também diz algo ao longo das mesmas linhas. Eu não tenho essa opção no meu BIOS (eu tenho uma placa Gigabyte com um chipset Z87, número do modelo me escapando neste momento). Se eu fosse comprar uma nova placa-mãe para fazer isso funcionar, quais recursos a placa precisa suportar?

    
por ErlVolton 29.10.2014 / 20:35

5 respostas

6

Depende do que você quer dizer com "fazer isso funcionar". Essa unidade suporta o OPAL 2.0, que permite que vários esquemas de criptografia gerenciados por software usem criptografia acelerada por hardware. Ele também permite a autenticação de pré-inicialização (PBA) para criptografia, como esquemas BIOS / EFI. Se você quiser usar o PBA (ou seja, uma senha / pin no BIOS / EFI), então você terá que mudar para uma placa-mãe que ofereça suporte (eu não poderia dizer qual, como eu não uso o PBA, eu uso o BitLocker, que eu recomendo em ambientes Windows).

TL; DR Se você estiver executando o Windows, use o BitLocker, ele usará automaticamente a aceleração de hardware.

Editar :
Em abril de 2014, o OPAL não é suportado pelo Linux. Houve alguém trabalhando em "msed", mas não foi terminado ou produção digna. Eu não sei o status atual ou futuro do suporte OPAL no Linux.

Editar 2 :
Também existem vários produtos UEFI que podem gerenciar unidades compatíveis com OPAL, permitindo uma variedade de PBAs se seu BIOS / EFI não o suportar diretamente. O único que eu vagamente familiarizado permite às empresas configurar um servidor de autenticação para o PBA pela Internet. Pode funcionar com credenciais locais também, não tenho certeza. Também é muito caro. Alimento para o pensamento, se nada mais.

    
por 29.10.2014 / 20:47
8

Como o "alguém" trabalhando em "msed", agora tem a capacidade de ativar o bloqueio OPAL, escrever um PBA em uma unidade OPAL 2.0 e carregar em cadeia o sistema operacional real após desbloquear a unidade em placas-mãe baseadas em bios. Nenhum suporte especial da placa-mãe é necessário. Sim, ainda é cedo no seu ciclo de desenvolvimento e atualmente não suporta suspensão para memória RAM, já que isso requer ganchos do SO.

    
por 29.01.2015 / 07:01
2

TexasDex está correto. O BIOS da sua placa-mãe deve suportar uma opção de Senha ATA (isso é diferente e além da senha do BIOS). Agora o pouco interessante. . . ninguém menciona esse recurso. Não em revisões de mobo, comparações, e certamente não nos anúncios e listas dos fabricantes de mobo. Por que não? Milhões e milhões de unidades SSD Samsung EVO e Intel estão prontas para ter a criptografia de hardware ultra-rápida e ultrassegura ativada, tudo o que elas precisam é de um BIOS com suporte a ATA Password.

A única resposta que pude encontrar é que os fabricantes de Mobo temem que alguns noobs se esqueçam de suas senhas e, como essa criptografia é tão confiável, ninguém em TODOS será capaz de ajudar.

Eu tinha um mobo ASRock Extreme6, e pensando que era o mais recente e melhor, é claro que ele teria esse recurso. Não. No entanto, eu escrevi para a ASRock em Taiwan e em uma semana eles me enviaram a versão 1.70B do seu BIOS com uma opção ATA Password. No entanto, ainda não está disponível em seu site, você tem que pedir por isso (?!). Este pode ser o caso de seus criadores de mobo também.

    
por 08.01.2015 / 07:50
1

É possível usar o comando hdparm no Linux para ativar as Extensões de Segurança ATA, que definirão a senha AT na unidade, criptografando-a.

Infelizmente, se a sua BIOS não suporta senhas de disco rígido, então não há como inicializar depois de fazer isso, já que você não pode usar o comando hdparm unlock até depois de terminar , e você não pode desbloquear e arrancar a unidade até depois de desbloqueá-lo. Um tipo de problema de galinha / ovo. É por isso que às vezes eles colocam suporte a senha de disco na BIOS, para que ele possa ser executado sem a necessidade de um SO.

Se você tiver a partição / boot ou / em um dispositivo separado, poderá configurar um script que use o comando hdparm em algum lugar no processo init. Isso não é fácil, e meio que anula o propósito de ter o SSD para inicialização rápida e tal.

Minha única outra idéia seria ter um pen drive com uma distro super-minimal de Linux que não faz nada além de solicitar a senha, executar o comando hdparm ata unlock e reinicializar, permitindo que o sistema operacional carregue de sua unidade desbloqueada (Eu acredito que soft reboots geralmente não bloqueiam novamente as unidades). Isso não é o ideal, mas é a melhor solução disponível se a sua placa-mãe não suporta senhas ATA.

    
por 17.12.2014 / 06:30
0
  • O tipo de armazenamento deve ser ACHI.
  • O computador deve sempre inicializar de maneira nativa do UEFI.
  • O computador deve ter o Compatibility Support Module (CSM) desativado no UEFI.
  • O computador deve ser baseado em UEFI 2.3.1 e ter o EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definido. (Esse protocolo é usado para permitir que programas em execução no ambiente de serviços de inicialização EFI enviem comandos do protocolo de segurança para a unidade).

  • O chip TPM é opcional.

  • A inicialização segura é opcional.
  • GPT e MBR são suportados.
  • Se houver software / drivers RST, ele deve ser pelo menos a versão 13.2.4.1000.

Isso pode ser feito com 2 discos ou um.

De uma instalação do Windows que atenda aos critérios acima:

  • Definir estado como pronto para ativação via Samsung Magician.
  • Faça um apagamento seguro de USB (para DOS).
  • Reinicie o PC, altere o modo de inicialização para a inicialização do BIOS (para o USB com exclusão segura)
  • Inicialize em apagamento seguro, apague
  • Reinicie o PC, altere as configurações de inicialização do BIOS para EFI novamente. (Não deixe o PC iniciar a partir da unidade ou você pode iniciar o processo desde o início.)
  • Inicialize de volta no disco do Windows e verifique por meio do assistente da Samsung ou instale o Windows em seu disco seguro e apagado.
por 03.11.2016 / 11:52