現在、ThinkPad X201 を購入して SSD ドライブを搭載することを考えています。現在、私は自分のデータを保護するために、常にラップトップで LUKS フルディスク暗号化を備えた Linux を使用してきました。しかし、別の SuperUser の投稿で述べられているように、これにより TRIM のサポートが無効になるため、SSD ドライブでは良いアイデアではないようです。
SandForce-1200 ベースの SSD は、BIOS パスワードに関連付けられた統合 AES 暗号化を提供すると読みました。ただし、これに関する適切なドキュメントが見つかりません。質問:
- このアプローチには一般的な欠点はありますか?
- この機能には BIOS サポートが必要になると思いますが、X201 で動作するかどうかはどうすればわかりますか?
- 古い BIOS バージョンでは短いパスワード (6 文字または 8 文字など) のみがサポートされていましたが、この状況は改善され、ディスク暗号化に十分なセキュリティが提供されるようになりましたか?
アップデート:このソースこれらのドライブにはパスワードを設定することすらできないと書かれています。えっ? 意味がわかりません。キーの使用を許可していないのに、なぜ複雑な AES 操作を行うのでしょうか?
この件に関して専門家のアドバイスをいただければ幸いです:)
答え1
私自身の質問に答えるために、ネットで数時間検索した結果、次のことがわかりました。
- SandForceデバイスでは、AES暗号化がデフォルトで有効になっています。しかしこれには問題があります(下記参照)
- ATA Secure Deleteを使用してドライブをゼロにすると、キーは消去され、後で再生成されるため、古いデータにはアクセスできなくなります。これは、SSDを売却または廃棄しようとしているときに受け入れられる解決策になります。
- しかし、SandForce SSDを搭載したノートパソコンを盗んだ人がデータを読み取れないようにユーザーパスワードを設定することはできません。
- 暗号化キーはないATAセキュリティおよび/またはBIOSにリンク
- ユーザーパスワードの設定だろうこれを行うツールがあれば可能になります。OCZ はサポート フォーラムで頻繁にこれを可能にする「ツールボックス」と呼ばれるプログラムを約束しましたが、2010 年 10 月にようやくリリースされたとき、まだ機能はありませんでした (現在もそうです)。
- ツールボックスを使用してパスワードを設定できたとしても、BIOS からロックを解除できないため、デバイスをブート デバイスとして使用することはできなくなると思います。
- SSD でソフトウェアによるフルディスク暗号化を使用すると、ドライブのパフォーマンスに重大な影響が及び、通常のハードディスクよりも遅くなる可能性があります。
ソースこれらの情報の一部については、
更新:もし興味があれば、私は問題についてもう少し詳しく書きました。専用ブログ投稿。
答え2
ディスク暗号化は Sandforce 用であり、あなたのためのものではありません。ドライブが故障した場合は、キーを提供する「承認済み」ベンダーの 1 つを使用する必要があります。ベンダーはデータ復旧に 5 ~ 6 千ドルを請求します。これは、金儲けのためにデータを人質に取る行為としても知られています。