購入しましたHP エンヴィ 15-j005eaノートパソコンを Windows 8.1 Pro にアップグレードしました。また、HDD を取り外して、1TB Samsung Evo 840 SSD に交換しました。会社のソース コードと個人の文書を保護するためにドライブを暗号化したいのですが、その方法がわかりません。そもそも可能かどうかもわかりません。
それはSSDでTruecryptを使用することは推奨されませんただし、間違っていたら訂正してください。また、840 Evo には 256 ビット AES 暗号化が組み込まれているため、それを使用することが推奨されていることも理解しています。
Evoは最新のものにアップデートされましたEXT0BB6Qファームウェア最新の Samsung Magician を使用しています。UEFI レベルはわかりませんが、このマシンは 2013 年 12 月に製造され、Insyde 製の F.35 BIOS が搭載されていることはわかっています。
私が試したのはこれです:
Bitlocker。最新のSamsungファームウェアはWindows 8.1 eDriveと互換性があるはずなので、アナンドテックの記事まず、このラップトップには TPM チップが搭載されていないようで、TPM なしで Bitlocker が動作するようにする必要がありました。それを済ませたら、Bitlocker をオンにしてみました。Anandtech によると、「すべてが eDrive に準拠している場合、ドライブのすべてまたは一部を暗号化するかどうかを尋ねられることはありません。初期セットアップを完了すると、BitLocker が有効になります。追加の暗号化段階はありません (データは既に SSD 上で暗号化されているため)。何か間違ったことをした場合、またはシステムの一部が eDrive に準拠していない場合は、進行状況インジケータと、やや長いソフトウェア暗号化プロセスが表示されます。」残念ながら、だったドライブ全体を暗号化するか一部を暗号化するかを尋ねられたので、キャンセルしました。
BIOS で ATA パスワードを設定します。BIOS にはそのようなオプションはなく、管理者パスワードと起動パスワードのみがあるようです。
Magician を使用しています。「データ セキュリティ」タブがありますが、オプションを完全に理解していないため、適用できるものはないと思われます。
情報はこの質問と回答助けてくれましたが、私の質問には答えませんでした。
明らかに、私が知りたいのは、HP Envy 15 のソリッド ステート ドライブを暗号化する方法、または実際には運が悪いのかということです。代替オプションはありますか、それとも暗号化なしで我慢するか、ラップトップを返品する必要がありますか?
そこにはAnandtech の同様の質問しかし、それは未回答のままです。
答え1
パスワードは、ATA セキュリティ拡張機能の BIOS で設定する必要があります。通常、BIOS メニューには「セキュリティ」というタブがあります。認証は BIOS レベルで行われるため、このソフトウェア「ウィザード」が行うことは認証の設定には何の影響もありません。以前サポートされていなかった HDD パスワードが BIOS アップデートで有効になることはほとんどありません。
暗号化を設定していると言うのは誤解を招きます。ドライブはチップに書き込むすべてのビットを常に暗号化しているということです。ディスク コントローラはこれを自動的に行います。ドライブに HDD パスワードを設定すると、セキュリティ レベルがゼロからほぼ破られないレベルに上がります。悪意を持って仕掛けられたハードウェア キーロガーまたは NSA が仕掛けたリモート BIOS エクスプロイトだけが、認証用のパスワードを取得できます ;-) <-- たぶん。BIOS に対して何ができるかはまだわかりません。ポイントは、完全に克服できないわけではないが、キーがドライブにどのように保存されているかによって、現在利用可能なハード ドライブ暗号化の最も安全な方法であるということです。そうは言っても、完全にやりすぎです。BitLocker は、ほとんどの消費者のセキュリティ ニーズには十分でしょう。
セキュリティに関して言えば、問題は「どれくらいセキュリティが欲しいか」ということだと思います。
ハードウェアベースのフルディスク暗号化は、TrueCrypt のようなソフトウェアレベルのフルディスク暗号化よりも数桁安全です。また、SSD のパフォーマンスを妨げないという利点もあります。SSD のビットの格納方法は、ソフトウェア ソリューションで問題を引き起こすことがあります。ハードウェアベースの FDE は、より煩雑さが少なく、より洗練され、安全なオプションですが、貴重なデータを暗号化することに十分な注意を払っている人々の間でさえ「普及」していません。実行するのはまったく難しいことではありませんが、残念ながら多くの BIOS は「HDD パスワード」機能をサポートしていません (アマチュアが回避できる単純な BIOS パスワードと混同しないでください)。BIOS を調べなくても、オプションがまだ見つからない場合は、BIOS がサポートしていないため、運が悪いとほぼ確信できます。これはファームウェアの問題であり、hdparm などの機能を使用して BIOS をフラッシュする以外に、機能を追加することはできません。これは非常に無責任なことなので、私でさえ試しません。これはドライブや付属ソフトウェアとは関係ありません。これはマザーボード固有の問題です。
ATA は BIOS の命令セットに過ぎません。設定しようとしているのは HDD ユーザー パスワードとマスター パスワードです。これらは、ドライブに安全に保存されている一意のキーを認証するために使用されます。「ユーザー」パスワードを使用すると、ドライブのロックを解除して通常どおり起動できます。「マスター」でも同じです。違いは、BIOS でパスワードを変更したり、ドライブの暗号化キーを消去したりするために「マスター」パスワードが必要であることです。これにより、すべてのデータが即座にアクセス不能になり、回復不能になります。これは「セキュア消去」機能と呼ばれます。このプロトコルでは、32 ビットの文字列、つまり 32 文字のパスワードがサポートされています。BIOS で HDD パスワードの設定をサポートしている数少ないラップトップ メーカーのうち、ほとんどが文字数を 7 文字または 8 文字に制限しています。すべての BIOS 会社がこれをサポートしていない理由は私にはわかりません。おそらく、ストールマンは独自の BIOS について正しかったのでしょう。
私が知る限り、フルレングスの 32 ビット HDD ユーザー パスワードとマスター パスワードを設定できる唯一のノート PC (デスクトップ BIOS で HDD パスワードをサポートしているものはほとんどありません) は、Lenovo ThinkPad T シリーズまたは W シリーズです。最後に聞いたところによると、一部の ASUS ノート PC には BIOS にそのようなオプションがあります。Dell は HDD パスワードを弱い 8 文字に制限しています。
私は、Samsung よりも Intel SSD のキー ストレージに詳しいです。Intel は、320 シリーズ以降のドライブでオンチップ FDE を最初に提供したと思います。ただし、これは AES 128 ビットでした。この Samsung シリーズがキー ストレージを実装する方法を詳しく調べたことはありませんし、現時点では誰も本当に知りません。明らかに、カスタマー サービスは役に立ちませんでした。どのテクノロジー企業でも、販売するハードウェアについて実際に何かを知っている人は 5 人か 6 人しかいないという印象を受けます。Intel は詳細を明かしたがらないようでしたが、最終的には会社の担当者がフォーラムのどこかで回答しました。ドライブ メーカーにとって、この機能は完全に後付けであることを覚えておいてください。彼らはそれについて何も知らず、気にも留めず、顧客の 99.9% も同様です。これは、ボックスの裏側にある広告の箇条書きにすぎません。
お役に立てれば!
答え2
今日ようやくこれが機能するようになりましたが、あなたと同じように、私も BIOS に ATA パスワードが設定されていないと思います (少なくとも私が確認した限りでは)。BIOS ユーザー/管理者パスワードを有効にしましたし、私の PC には TPM チップがありますが、BitLocker はそれがなくても動作するはずです (USB キー)。私もあなたと同じように、BitLocker プロンプトで、データだけを暗号化するのか、それともディスク全体を暗号化するのかというまったく同じところで行き詰まっていました。
私の問題は、マザーボードが UEFI をサポートしているにもかかわらず、Windows のインストールが UEFI ではなかったことです。実行コマンドを入力して BIOS モードをチェックすることで、インストールを確認できますmsinfo32。それ以外の場合は、UEFIWindows を最初から再インストールする必要があります。
これを見てSamsung SSD を暗号化するための手順このフォーラムの関連投稿のガイドをご覧ください。
答え3
ソフトウェア暗号化
TrueCrypt 7.1a は SSD で使用するには十分ですが、IOP パフォーマンスがかなり低下する可能性があることに注意してください。ただし、ドライブは HDD よりも 10 倍以上の IOP パフォーマンスを発揮します。したがって、Magician にリストされているオプションを使用できない場合は、TrueCrypt がドライブの暗号化のオプションですが、Windows 8 以降のファイル システムではうまく機能しないと言われています。このため、これらのオペレーティング システムでは、フル ディスク暗号化を備えた BitLocker の方が適しています。
TCGオパール
TCG Opal は基本的に、ドライブの予約部分に一種のミニ オペレーティング システムをインストールできるようにする標準です。このオペレーティング システムは、ドライブを起動し、ドライブへのアクセスを許可するためのパスワードをユーザーに提示する目的でのみ使用されます。この機能をインストールするためのツールはさまざまあり、その中には安定していると報告されているオープン ソース プロジェクトもいくつかありますが、Windows 8 以降の BitLocker はこの機能をサポートするはずです。
私は Windows 8 以降を持っていないので、設定方法を説明することはできませんが、私が読んだところによると、これは Windows のインストール時にのみ利用可能であり、インストール後は利用できないようです。経験豊富なユーザーの方は、遠慮なくご指摘ください。
ATAパスワード
ATA パスワード ロックは、Samsung 840 以降のシリーズ ドライブ、および他の何千ものドライブでサポートされている ATA 標準のオプション機能です。この標準は BIOS とは関係がなく、さまざまな方法でアクセスできます。BIOS が ATA 標準に正しく準拠していない可能性があるため、ATA パスワードの設定や管理に BIOS を使用することはお勧めしません。自分のハードウェアがこの機能をサポートしているように見えても、実際には準拠していないという経験があります。
この機能について検索すると、ATA ロック機能はデータ保護には安全ではないという議論が多数見つかることに注意してください。これは通常、自己暗号化ドライブ (SED) ではない HDD にのみ当てはまります。Samsung 840 以降のシリーズのドライブは SSD と SED であるため、これらの議論は適用できません。この質問で説明されているように、ATA パスワード ロックされた Samsung 840 以降のシリーズは、使用目的に十分安全なはずです。
BIOS が ATA パスワード ロックされたドライブのロック解除をサポートできるかどうかを確認する最善の方法は、ドライブをロックし、それをコンピューターにインストールし、コンピューターを起動して、パスワードを要求されるかどうか、また入力したパスワードでドライブのロックを解除できるかどうかを確認することです。
このテストは、失いたくないデータが入っているドライブでは実行しないでください。
幸いなことに、テスト ドライブは Samsung ドライブである必要はなく、ATA 標準セキュリティ セットをサポートし、ターゲット コンピューターにインストールできる任意のドライブを使用できます。
ドライブの ATA 機能にアクセスするための最良の方法は、Linux コマンドライン ユーティリティを使用することですhdparm。Linux を搭載したコンピューターがない場合でも、インストール ディスク イメージでインストール メディアから OS を「ライブ」で実行できるディストリビューションは多数あります。たとえば、Ubuntu 16.04 LTS は、ほとんどのコンピューターに簡単かつ迅速にインストールでき、同じイメージをフラッシュ メディアに書き込んで、光学ドライブのないシステムで実行することもできます。
ATA パスワード セキュリティを有効にする方法の詳細な手順は、この質問の範囲外ですが、このチュートリアルがこのタスクに最適なものの 1 つであることがわかりました。
パスワードの最大長は 32 文字であることに注意してください。BIOS が標準を正しくサポートしていることを確認するために、32 文字のパスワードでテストを実行することをお勧めします。
ターゲット コンピュータの電源をオフにし、ドライブの ATA パスワードをロックした状態で、ドライブをインストールしてシステムを起動します。BIOS がドライブのロックを解除するためのパスワードを要求しない場合は、BIOS は ATA パスワード ロック解除をサポートしていません。また、パスワードを完全に正しく入力しているように見えてもドライブのロックが解除されない場合は、BIOS が ATA 標準を適切にサポートしていない可能性があり、信頼できません。
システムがロック解除されたドライブを適切に読み取っているかどうかを確認する方法を用意しておくとよいでしょう。たとえば、オペレーティング システムをインストールして適切にロードするか、テスト ドライブをロードしてマウントし、問題なくファイルを読み書きできる OS ドライブと一緒にインストールするなどです。
テストが成功し、手順を繰り返すことに自信がある場合は、OS がインストールされているドライブを含むドライブで ATA パスワードを有効にしても、ドライブのデータ部分は何も変更されないため、BIOS でパスワードを入力すると正常に起動するはずです。
答え4
「NSAに耐えうるレベルのセキュリティは必要ありません」
まあ、無料なんだから、使ってみない手はないですよね?
大学院でコンピューター セキュリティとコンピューター フォレンジックのクラスを受講した後、ドライブを暗号化することにしました。多くのオプションを検討した結果、DiskCrypt を選択して本当に良かったと思っています。インストールも使用も簡単で、PGP 署名付きのオープン ソースで、exe がソースと一致するように自分でコンパイルする方法の説明があり、ドライブを自動的にマウントし、起動前のパスワード プロンプトと間違ったパスワードに対するアクションを設定でき、AES-256 を使用します。
最新の CPU であれば、1 回の AES 暗号化を 1 回のマシン命令で実行できます (セクター相当のデータの暗号化には数十回のラウンドが必要です)。私のベンチマークでは、AES は blowfish などのソフトウェア実装の暗号よりも 11 倍高速です。DiskCryptor は、PC がディスクからデータを読み書きするよりも何倍も高速にデータを暗号化できます。測定可能なオーバーヘッドはありません。
私は TEC 冷却、高速化、周波数 5 GHz のマシンを実行しているので、結果は異なるかもしれませんが、それほど大きくは変わりません。暗号化/復号化に必要な CPU 時間は測定できないほど低かったです (つまり、1% 未満)。
一度設定してしまえば、完全に忘れて構いません。唯一目立つ影響は、起動時にパスワードを入力しなければならないことですが、私は喜んでそれを実行します。
SSD で暗号化を使用しないという噂は、私がこれまで聞いたことのないものです。また、根拠もありません。暗号化されたデータは、通常のデータとまったく同じようにドライブに書き込まれ、ドライブから読み取られます。データ バッファー内のビットのみがスクランブルされます。暗号化されたドライブでは、chkdsk/f やその他のディスク ユーティリティを実行できます。
ちなみに、他のプログラムとは異なり、Diskkeeper はパスワードをメモリに保存しません。暗号化には一方向ハッシュ キーを使用し、メモリ内の誤って入力されたパスワードを上書きし、パスワードの入力と検証中にページング ファイルでパスワードが不足しないようにするために多大な努力を払います。