Samsung 850 Proでハードウェアベースの暗号化を有効にする方法

tag-icon tag-icon ssd bios self-encrypting-drive opal tcg-opal
Samsung 850 Proでハードウェアベースの暗号化を有効にする方法

私は新しいSamsung 850 Proを持っていますが、ハードウェアベースの暗号化を宣伝そのページによると、BIOSに入ってハードドライブのパスワードを設定するだけでいいそうです(問題ないですよね)。関連スレッドのみこの問題に関しても、同じようなことが書いてあるのを見つけました。私の BIOS にはそのようなオプションはありません (Z87 チップセットを搭載した Gigabyte ボードを使用していますが、モデル番号は現時点ではわかりません)。これを動作させるために新しいマザーボードを購入する場合、ボードはどのような機能をサポートする必要がありますか?

答え1

「これを動作させる」が何を意味するかによって異なります。このドライブは OPAL 2.0 をサポートしており、これにより、さまざまなソフトウェア管理暗号化スキームでハードウェア アクセラレーション暗号化を使用できます。また、BIOS/EFI スキームなどの暗号化にブート前認証 (PBA) も使用できます。PBA (つまり、BIOS/EFI でのパスワード/PIN) を使用する場合は、それをサポートするマザーボードに切り替える必要があります (私は PBA を使用しておらず、Windows 環境では BitLocker を強く推奨しているため、どれかはわかりません)。

要約Windows を実行している場合は、BitLocker を使用すると、ハードウェア アクセラレーションが自動的に使用されます。

編集:
2014 年 4 月現在、OPAL は Linux ではサポートされていません。「msed」に取り組んでいる人がいましたが、完成しておらず、製品化に値するものではありませんでした。Linux での OPAL サポートの現状や将来についてはわかりません。

編集2:
BIOS/EFI が直接サポートしていない場合でも、OPAL 互換ドライブを管理してさまざまな PBA を可能にするさまざまな UEFI 製品もあります。私が漠然と知っている唯一の製品は、企業がインターネット経由で PBA の認証サーバーをセットアップできるようにするものです。ローカルの資格情報でも機能するかもしれませんが、よくわかりません。また、非常に高価です。他に何もなければ、検討の余地があります。

答え2

「msed」に取り組んでいる「誰か」として、現在では OPAL ロックを有効にし、OPAL 2.0 ドライブに PBA を書き込み、BIOS ベースのマザーボードでドライブのロックを解除した後に実際の OS をチェーンロードする機能があります。特別なマザーボードのサポートは必要ありません。はい、まだ開発サイクルの初期段階であり、OS フックが必要な RAM のスリープは現時点ではサポートされていません。

答え3

TexasDex は正しいです。マザーボード BIOS は ATA パスワード オプションをサポートしている必要があります (これは BIOS パスワードとは別個のものです)。興味深いのは、この機能について誰も言及していないことです。マザーボードのレビュー、比較、マザーボード製造元の広告やリストではまったく触れられていません。なぜでしょうか。何百万台もの Samsung EVO および Intel SSD は、超高速かつ超安全なハードウェア暗号化を有効にする準備ができています。必要なのは、ATA パスワードをサポートする BIOS だけです。

私が見つけることができた唯一の答えは、マザーボードのメーカーは、初心者がパスワードを忘れてしまうことを恐れており、この暗号化は非常に信頼性が高いため、誰も助けることができないだろうということです。

私は ASRock Extreme6 マザーボードを持っていて、最新かつ最高のものだと思っていたので、当然この機能があるだろうと思っていました。しかし、そうではありませんでした。しかし、台湾の ASRock に連絡したところ、1 週間後に ATA パスワード オプション付きの BIOS の 1.70B バージョンがメールで送られてきました。ただし、まだ Web サイトで入手できず、問い合わせる必要があります (?!)。これは、マザーボード メーカーでも同じかもしれません。

答え4

  • ストレージ タイプは ACHI である必要があります。
  • コンピューターは常に UEFI からネイティブに起動する必要があります。
  • コンピュータの UEFI で互換性サポート モジュール (CSM) を無効にする必要があります。

  • コンピュータは UEFI 2.3.1 ベースであり、EFI_STORAGE_SECURITY_COMMAND_PROTOCOL が定義されている必要があります。(このプロトコルは、EFI ブート サービス環境で実行されているプログラムがドライブにセキュリティ プロトコル コマンドを送信できるようにするために使用されます)。

  • TPM チップはオプションです。

  • セキュアブートはオプションです。
  • GPT と MBR の両方がサポートされています。
  • RST ソフトウェア/ドライバーがある場合は、少なくともバージョン 13.2.4.1000 である必要があります。

これは 2 枚のディスクでも 1 枚のディスクでも実行できます。

上記の基準を満たす Windows インストールから:

  • Samsung Magician 経由で有効にできるように状態を準備完了に設定します。
  • セキュア消去 USB を作成します (DOS 用)。
  • PCを再起動し、ブートモードをBIOSブートに変更します(セキュア消去USBの場合)
  • セキュア消去を起動し、消去する
  • PC を再起動し、BIOS ブート設定を再度 EFI に変更します。(PC がドライブから起動しないようにしてください。そうしないと、プロセスが最初から開始される可能性があります。)
  • Windows ディスクから再起動し、Samsung Magician で確認するか、安全に消去されたディスクに Windows をインストールします。

関連情報