Como ativar a criptografia de hardware em SSDs como o Samsung 840 EVO?

Acabei de instalar o Ubuntu 14.04 em um Zotac Zbox CI320. Desejo ativar a criptografia de hardware Samsung 840 que acompanha este disco rígido, mas não sei como.

Existe alguém que possa me ajudar a configurar isso? Muito apreciado.

encryption ssd

— user312082
fonte

Respostas:

Existem diferentes tipos de criptografia de hardware nos SSDs. Consulte SSDs com criptografia de disco completo baseada em hardware e utilizável para obter uma explicação detalhada.

Você perguntou sobre o Samsung 840 EVO em particular. Ele está sempre criptografando seus dados e é desbloqueado pela senha do ATA HDD definida no BIOS, cujo padrão é em branco. Mais tarde você pode mover o SSD para uma nova máquina e entrar na a senha ATA HDD através do BIOS lá para desbloqueá-lo. Nada envolvido no desbloqueio é armazenado fora da própria unidade.

Como usuário do Linux, prefiro essa solução à criptografia de unidade baseada em software. Não há penalidade de desempenho e é simples de configurar e usar.

— Mark Stosberg
fonte

Olá Mark! Primeiro, o link que você forneceu é muito interessante, obrigado! Tenho uma pergunta para você, a senha do BIOS SSD do meu laptop tem no máximo 10 caracteres. Essa seria uma senha bastante fraca se a senha pudesse ser "força bruta" atacada. Quero dizer que se houver algo limitando o número de vezes por segundo em que um invasor pode tentar uma nova senha; somente então a senha de 10 caracteres seria definitivamente segura. Você tem alguma ideia dessas senhas surpreendentemente curtas do BIOS SSD? Caso seja útil para qualquer pessoa, tenho um Toshiba Satellite P50t-B com um Samsung SSD 850 Pro.

— Jspestana

Consulte também este artigo mais recente Use a criptografia de disco completo baseada em hardware do SSD do TCG Opal com msed - testado no Ubuntu Trusty. Isso deve ser útil porque os SSDs baseados em Opal 2 parecem estar se transformando em um padrão de fato. As versões mais recentes do programa msed estão aqui . Uma das principais limitações das soluções atuais é que elas impedem o recurso de suspensão / suspensão (S3), que é bastante essencial nos laptops.

— Sxc731

@jespestana a diferença com a senha do BIOS é que ela não pode * ser acessada pela rede, tornando o ataque mais padrão. * (Talvez menos que você tenha uma conexão serial-to-rede no computador, o que é improvável em um desktop ou laptop)

— Mark Stosberg

@ sxc731 Não tenho um computador sobressalente para tentar msed, provavelmente usaria o contrário. Obrigado pela informação!

— jespestana

@ MarkStosberg Ok, você quer dizer que, desde que o invasor não tenha acesso físico à máquina, eu estaria seguro. Isso é um pouco reconfortante. Ainda não consigo entender por que a Toshiba decidir sobre esta limitação senha do BIOS curta ...

— jespestana

Encontrei as seguintes perguntas semelhantes:

Criptografia de hardware OPAL no Linux , fechada, mas com links para…
Software livre / gratuito para lidar com unidades de auto-criptografia (SEDs) compatíveis com TCG OPAL 2.0?

Que eu saiba, uma configuração funcional do SED requer um TPM ( Trusted Platform Module ), mas o Zbox não parece ter recursos ou suporte ao TPM ( 1 , 2 ).

Embora uma resposta em uma das perguntas acima ofereça uma solução que pode até funcionar no seu caso, considere o seguinte:

Se seus dados são criptografados usando o TPM e seu hardware de alguma forma quebra, eles desaparecem. Para sempre.
Geralmente, os usuários do Linux preferem criptografia de disco baseada em software e RAID baseado em software, porque a tecnologia não padronizada ou proprietária mostrou-se não confiável em termos de segurança e recuperação de dados. Se você pretende usar soluções de software livre como Linux para segurança ou redundância de dados, também planeje os recursos de computação necessários.
Houve relatos de ataques bem-sucedidos como o Warm Replug Attacks em alguns dispositivos ou configurações.

Edit: Michael Larabel publicou artigos no Phoronix, onde especula que o suporte ao SED / OPAL poderá estar chegando ao Linux em breve, apenas no caso de alguém se deparar com esse post do passado procurando informações mais atualizadas.

— LiveWireBT
fonte