Como criptografar um SSD Samsung Evo 840?

Eu comprei um HP Envy 15 j005ea laptop que eu atualizado para o Windows 8.1 Pro. Também removi o disco rígido e o substituí por um SSD de 1 TB Samsung Evo 840. Agora, desejo criptografar a unidade para proteger o código-fonte da minha empresa e meus documentos pessoais, mas não consigo descobrir como fazê-lo ou se isso for possível.

Entendo que não é recomendável usar o Truecrypt em um SSD, mas corrija-me se estiver errado. Também entendo que o 840 Evo possui criptografia AES de 256 bits incorporada, por isso é recomendável usá-lo.

O Evo foi atualizado para o firmware EXT0BB6Q mais recente e eu tenho o Samsung Magician mais recente. Não sei qual é o nível UEFI, mas sei que a máquina foi construída em dezembro de 2013 e possui o BIOS F.35 fabricado pela Insyde.

Isto é o que eu tentei:

• Bitlocker. O firmware mais recente da Samsung é compatível com o Windows 8.1 eDrive, por isso segui as instruções encontradas em um artigo da Anandtech . Antes de tudo, parece que o laptop não possui chip TPM, então tive que permitir que o Bitlocker funcionasse sem o TPM. Depois de fazer isso, tentei ativar o Bitlocker. Anandtech diz que "Se tudo estiver em conformidade com o eDrive, você não será perguntado se deseja criptografar toda ou parte da unidade, depois de passar pela configuração inicial, o BitLocker será ativado. Não há estágio de criptografia extra (já que os dados (já está criptografado no seu SSD). Se você fez algo errado ou alguma parte do sistema não é compatível com o eDrive, você receberá um indicador de progresso e um processo de criptografia de software um tanto demorado. " Infelizmente eu estava perguntou se eu quero criptografar toda ou parte da unidade, então cancelei isso.

• Definindo a senha do ATA no BIOS. Parece que não tenho essa opção no BIOS, apenas uma senha de administrador e uma senha de inicialização.

• Usando o Mágico. Ele tem uma guia "Segurança de dados", mas não entendo completamente as opções e suspeito que nenhuma seja aplicável.

As informações nesta pergunta e resposta ajudaram, mas não responderam à minha pergunta.

Claramente, o que eu gostaria de saber é como criptografar minha unidade de estado sólido no HP Envy 15 ou, de fato, estou sem sorte? Existem opções alternativas ou eu tenho que viver sem criptografia ou devolver o laptop?

Há uma pergunta semelhante sobre a Anandtech, mas ela permanece sem resposta.

A senha deve ser definida no BIOS sob a extensão de segurança ATA. Normalmente, há uma guia no menu do BIOS intitulada "Segurança". A autenticação ocorrerá no nível do BIOS, portanto, nada que este "assistente" de software tenha influência na configuração da autenticação. É improvável que uma atualização do BIOS habilite a senha do HDD se ela não tiver sido suportada anteriormente.

Dizer que você está configurando a criptografia é enganoso. O problema é que a unidade SEMPRE criptografa cada bit que grava nos chips. O controlador de disco faz isso automaticamente. Definir uma senha do HDD para a unidade é o que leva o seu nível de segurança de zero a praticamente inquebrável. Somente um keylogger de hardware plantado com códigos maliciosos ou uma exploração remota de BIOS da NSA poderia recuperar a senha para autenticar ;-) <- eu acho. Ainda não tenho certeza do que eles podem fazer com o BIOS. O ponto é que não é totalmente intransponível, mas, dependendo de como a chave é armazenada na unidade, é o método mais seguro de criptografia de disco rígido atualmente disponível. Dito isto, é um exagero total. O BitLocker é provavelmente suficiente para a maioria das necessidades de segurança do consumidor.

Quando se trata de segurança, acho que a pergunta é: quanto você quer?

A criptografia de disco completo baseada em hardware é várias ordens de magnitude mais seguras que a criptografia de disco completo em nível de software, como o TrueCrypt. Ele também tem a vantagem de não prejudicar o desempenho do seu SSD. A maneira como os SSDs armazenam seus bits pode às vezes levar a problemas nas soluções de software. O FDE baseado em hardware é apenas uma opção menos confusa, mais elegante e segura, mas não "pegou" mesmo entre aqueles que se preocupam o suficiente para criptografar seus valiosos dados. Não é nada complicado, mas infelizmente muitos BIOS simplesmente não suportam a função "HDD password" (NÃO confunda com uma senha simples do BIOS, que pode ser contornada por amadores). Posso garantir-lhe sem sequer procurar no BIOS que, se você ainda não encontrou a opção, o BIOS não Não apóie e você está sem sorte. É um problema de firmware e não há nada que você possa fazer para adicionar o recurso antes de exibir a BIOS com algo como hdparm, algo tão irresponsável que nem eu tentaria. Não tem nada a ver com a unidade ou o software incluído. Este é um problema específico da placa-mãe.

O ATA nada mais é do que um conjunto de instruções para o BIOS. O que você está tentando definir é uma senha de usuário e mestre do disco rígido, que será usada para autenticar a chave exclusiva armazenada com segurança na unidade. A senha de "Usuário" permitirá que a unidade seja desbloqueada e a inicialização prossiga normalmente. A mesma coisa com "Master". A diferença é que é necessária uma senha "Master" para alterar as senhas no BIOS ou apagar a chave de criptografia na unidade, o que torna todos os seus dados inacessíveis e irrecuperáveis ​​instantaneamente. Isso é chamado de recurso "Exclusão segura". Sob o protocolo, uma cadeia de caracteres de 32 bits é suportada, significando uma senha de 32 caracteres. Dos poucos fabricantes de laptops que oferecem suporte à configuração de uma senha de disco rígido no BIOS, a maioria limita os caracteres a 7 ou 8. Por que toda empresa de BIOS não Não apoio está além de mim. Talvez Stallman estivesse certo sobre o BIOS proprietário.

O único laptop (praticamente nenhum BIOS de desktop suporta senha de disco rígido) que eu sei que permitirá que você defina uma senha de usuário e mestre de disco rígido de 32 bits de comprimento total é uma série Lenovo ThinkPad T ou W-. A última vez que ouvi alguns notebooks da ASUS ter essa opção em seu BIOS. A Dell limita a senha do disco rígido a 8 caracteres fracos.

Estou muito mais familiarizado com o armazenamento de chaves nos SSDs da Intel do que na Samsung. Acredito que a Intel foi a primeira a oferecer FDE no chip em seus drives, na série 320 e assim por diante. Embora isso fosse AES de 128 bits. Não analisei extensivamente como essa série Samsung implementa o armazenamento de chaves e ninguém realmente sabe até agora. Obviamente, o atendimento ao cliente não ajudou em nada. Tenho a impressão de que apenas cinco ou seis pessoas em qualquer empresa de tecnologia sabem alguma coisa sobre o hardware que vendem. A Intel parecia relutante em esclarecer os detalhes, mas eventualmente um representante da empresa respondeu em algum lugar de um fórum. Lembre-se de que, para os fabricantes de unidades, esse recurso é uma reflexão tardia. Eles não sabem nem se importam com isso e nem 99,9% por cento de seus clientes. É apenas mais um ponto de anúncio na parte de trás da caixa.

Espero que isto ajude!

Finalmente consegui fazer isso funcionar hoje e, como você, acredito que também não tenho uma senha de ATA configurada no BIOS (pelo menos não posso ver). Habilitei as senhas de usuário / administrador do BIOS e meu PC possui um chip TPM, mas o BitLocker deve funcionar sem um (chave USB). Como você, eu também estava preso exatamente no mesmo local no prompt do BitLocker. Quero criptografar apenas os dados ou o disco inteiro.

Meu problema foi que minha instalação do Windows não era UEFI, embora minha placa-mãe suporte UEFI. Você pode verificar sua instalação digitando msinfo32o comando run e verificando o Modo de BIOS. Se ler algo diferente, UEFIentão você precisará reinstalar o Windows a partir do zero.

Consulte estas instruções passo a passo para criptografar o SSD da Samsung em uma publicação relacionada neste fórum.

Criptografia de software

O TrueCrypt 7.1a é adequado para uso em SSDs, mas observe que provavelmente reduzirá o desempenho das IOPs em uma quantidade considerável, embora a unidade ainda execute IOPs mais de 10 vezes melhores que o HDD. Portanto, se você não puder usar as opções listadas no Magician, o TrueCrypt é uma opção para criptografar a unidade, mas, segundo informações, não funciona muito bem com o Windows 8 e sistemas de arquivos posteriores. Por esse motivo, o BitLocker com criptografia de disco completo é uma opção melhor para esses sistemas operacionais.

TCG Opal

O TCG Opal é basicamente um padrão que permite que um tipo de mini sistema operacional seja instalado em uma parte reservada da unidade, apenas com o objetivo de permitir que a unidade inicialize e apresente ao usuário uma senha para conceder acesso à unidade . Existem várias ferramentas disponíveis para instalar esse recurso, incluindo alguns projetos de código aberto declaradamente estáveis, mas o Windows 8 e o BitLocker posterior devem oferecer suporte a esse recurso.

Como não tenho o Windows 8 ou posterior, não posso fornecer instruções sobre como configurá-lo, mas minha leitura indica que isso só está disponível durante a instalação do Windows e não após a instalação. Usuários experientes estão à vontade para me corrigir.

Senha ATA

O bloqueio de senha ATA é um recurso opcional do padrão ATA suportado pelas unidades Samsung 840 e posteriores, além de milhares de outras. Esse padrão não está relacionado a um BIOS e pode ser acessado através de vários métodos. Não recomendo usar um BIOS para definir ou gerenciar a senha ATA, pois o BIOS pode não estar em conformidade com o padrão ATA. Tenho experiência com meu próprio hardware que parece oferecer suporte ao recurso, mas na verdade não estou em conformidade.

Observe que a pesquisa nesse recurso produzirá muita discussão, alegando que o recurso de bloqueio do ATA não deve ser considerado seguro para proteger os dados. Geralmente, isso só é correto para HDDs que também não são unidades com criptografia automática (SED). Como as unidades da série Samsung 840 e posteriores são SSDs e SEDs, essas discussões simplesmente não são aplicáveis. A senha ATA bloqueada Samsung 840 series e posterior deve ser segura o suficiente para o seu uso, conforme descrito nesta pergunta.

A melhor maneira de garantir que seu BIOS possa suportar o desbloqueio de uma unidade bloqueada por senha ATA é bloquear uma unidade, instalá-la no computador, inicializar o computador e verificar se ele solicita uma senha e se a senha digitada pode desbloquear a unidade.

Este teste não deve ser realizado em uma unidade com dados que você não deseja perder.

Felizmente, o test drive não precisa ser o drive Samsung, pois pode ser qualquer drive que suporte o conjunto de segurança padrão ATA e pode ser instalado no computador de destino.

A melhor maneira que encontrei para acessar os recursos ATA de uma unidade é com o utilitário de linha de comando do Linux hdparm. Mesmo se você não tiver um computador com Linux, há muitas distribuições cuja imagem de disco de instalação também suporta a execução do sistema operacional 'ao vivo' a partir da mídia de instalação. O Ubuntu 16.04 LTS, por exemplo, deve ser fácil e rapidamente instalado na grande maioria dos computadores, e a mesma imagem também pode ser gravada na mídia flash para execução em sistemas sem unidades ópticas.

Instruções detalhadas sobre como habilitar a segurança de senha do ATA estão além do escopo desta pergunta, mas achei este tutorial um dos melhores para esta tarefa.

Habilitando a segurança ATA em um SSD com criptografia automática

Observe que o tamanho máximo da senha é de 32 caracteres. Eu recomendo fazer o teste com uma senha de 32 caracteres para garantir que o BIOS suporte o padrão corretamente.

Com o computador de destino desligado e a senha ATA da unidade bloqueada, instale a unidade e inicialize o sistema. Se o BIOS não solicitar uma senha para desbloquear a unidade, o BIOS não suportará o desbloqueio de senha ATA. Além disso, se parece que você está digitando a senha completamente corretamente, mas não está desbloqueando a unidade, pode ser que o BIOS não suporte adequadamente o padrão ATA e, portanto, não deve ser confiável.

Pode ser uma boa idéia ter alguma maneira de verificar se o sistema está lendo corretamente a unidade desbloqueada, como ter um sistema operacional instalado e carregando corretamente ou instalar ao lado de uma unidade OS que carrega e pode montar a unidade de teste e leia e grave arquivos sem problemas.

Se o teste for bem-sucedido e você se sentir confiante em repetir as etapas, ativar a senha ATA em uma unidade, incluindo uma com um sistema operacional instalado, não alterará nada na parte de dados da unidade, portanto, ele deve inicializar normalmente depois de entrar no senha no BIOS.

Não sei se você viu ou corrigiu isso ainda, mas aqui está um link específico da Samsung no seu EVO 840. http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/ about / whitepaper06.html

Essencialmente, o que eles dizem para ativar o criptografador AES de hardware embutido no ssd é definir a senha do disco rígido no BIOS do sistema. As senhas "Usuário / Administrador / Instalação" são exatamente isso. No entanto, a configuração da senha do disco rígido deve passar para o SSD. Isso exigirá que você digite manualmente a senha toda vez que ligar o computador e não funcione com chips TPM ou outras chaves de acesso. Além disso, não posso enfatizar o suficiente, quem usa criptografia precisa garantir o backup dos dados. Recuperar dados de uma unidade criptografada com falha / corrompida é quase impossível sem passar por um serviço especializado.

"Não preciso de níveis de segurança à prova de NSA"

Bem, por que não usá-lo de qualquer maneira, já que é grátis?

Depois de fazer aulas de segurança e forense em computação, decidi criptografar minha unidade. Eu olhei para muitas opções e estou MUITO feliz por ter selecionado o DiskCrypt. É fácil de instalar, fácil de usar, de código aberto com assinaturas PGP fornecidas, instruções sobre como compilar você mesmo para garantir que o exe corresponda à fonte, monta automaticamente as unidades, você pode definir o prompt de pré-inicialização do PW e errado -pw e usará o AES-256.

Qualquer CPU moderna fará uma rodada de criptografia AES em uma instrução de máquina ÚNICA (a criptografia de dados de um setor do setor leva algumas dúzias de rodadas). Em meus próprios benchmarks, o AES roda onze vezes mais rápido que as cifras implementadas por software, como o blowfish. O DiskCryptor pode criptografar dados muitas vezes mais rápido do que o PC pode ler e gravar no disco. Não há sobrecarga mensurável.

Estou executando uma máquina de 5 GHz com freqência assistida por alta velocidade, refrigerada por TEC, para que sua milhagem varie, mas não muito. O tempo de CPU necessário para criptografar / descriptografar foi muito baixo para medir (ou seja, abaixo de 1%).

Depois de configurá-lo, você pode esquecê-lo totalmente. O único efeito perceptível é que você precisa digitar seu PW na inicialização, o que é um prazer fazer.

Quanto a não usar criptografia em SSDs, isso é um boato que não ouvi antes. Também é injustificado. Os dados criptografados são gravados e lidos na unidade exatamente como os dados normais. Somente os bits no buffer de dados são embaralhados. Você pode chkdsk / f e executar qualquer outro utilitário de disco em uma unidade criptografada.

E, BTW, diferentemente de outros programas, o diskkeeper não mantém seu pw na memória. Ele usa uma chave de hash unidirecional para criptografia, sobrescreve seus pwds digitados incorretamente na memória e faz todo o possível para garantir que ele não saia em um arquivo de paginação durante a entrada e validação do PW.

https://diskcryptor.net/wiki/Main_Page

Eu postei isso em outro lugar no Superusuário, mas como esse era um tópico que eu costumava me educar, eu queria tocar na base aqui também.

Senha ATA vs criptografia de software para criptografia de disco completo nos SSDs Samsung 840/850 EVO e Intel

Prós: Simples, sem problemas de desempenho, extremamente seguro: os discos são ilegíveis em outras máquinas sem a Senha ATA

Contras: Você precisa de um BIOS com a opção ATA Password (os laptops HP e Lenovo parecem ter isso, mas a maioria dos mobos de mesa não. Exceção: a ASRock recentemente escreveu o BIOS 1.07B para a série Extreme e funciona). Além disso, é tão seguro que, se você perder a senha, os dados serão irrecuperáveis. Por qualquer um, parece. Por fim, tudo depende de um chip controlador no SSD e, se esse chip ficar ruim, os dados serão concluídos. Para sempre.

Espero que isso melhore a discussão.

Definindo a senha do ATA no BIOS. Parece que não tenho essa opção no BIOS, apenas uma senha de administrador e uma senha de inicialização. Que pena, esta é a opção mais simples que você tem.

O segundo é o win 8.1 + bitlocker, mas tudo isso é irritante

não conheço nenhum sw opal de tcg e as versões pagas provavelmente custam muito

O truecrypt funciona, mas se o seu processador não tiver AES-NI, os pontos atingidos poderão ser notados

e não se esqueça de fazer backup de seus dados criptografados e muito mais difíceis de recuperar

Ao instalar muitas distribuições Linux, você tem a opção de criptografar a pasta / home. Nesse momento, quando você escolhe criptografar a pasta / home (também conhecido como ponto de montagem), é solicitado (necessário) que digite uma senha duas vezes.

Essencialmente, uma concluída, sua pasta / home é criptografada.

A Samsung deveria ser 'pré-criptografada' na fábrica.

Isso geralmente significa que nenhum acesso às informações do disco rígido pode ser feito sem a senha.

O acima é o que eu fiz. Se eu tiver sorte, a criptografia Samsung com outra camada de criptografia de software Linux deverá me tornar relativamente seguro contra a maioria das pessoas, empresas e governos nefastos.

Eu não senti a necessidade de senha do disco rígido via BIOS.

Já é difícil o suficiente lembrar várias senhas. O KeepassX pode ser útil nesse sentido.

Para os realmente paranóicos, você pode digitar o Samsung EVO no BIOS, usar o Linux na instalação para criptografar o software e, em seguida, usar um programa de criptografia de código-fonte aberto (não é um truque incorreto por causa de suspeitas de portas traseiras e vulnerabilidades).

Você pode usar o KeepassX para lembrar as senhas longas e complicadas e até proteger com senha a unidade flash também.

A menos que você seja algum tipo de criminoso ou tenha algo tão valioso que precise de tanta segurança, a maioria é uma perda de tempo.

Pode ser mais fácil manter o código-fonte em uma unidade flash criptografada como a IronKey, para que você não sofra nenhum impacto no desempenho ou tenha problemas com a unidade. Os documentos pessoais também podem ir para lá.