Ich habe einHP Envy 15-j005eaLaptop, den ich auf Windows 8.1 Pro aktualisiert habe. Ich habe auch die Festplatte entfernt und durch eine 1 TB Samsung Evo 840 SSD ersetzt. Ich möchte das Laufwerk jetzt verschlüsseln, um den Quellcode meines Unternehmens und meine persönlichen Dokumente zu schützen, aber ich weiß nicht, wie das geht oder ob es überhaupt möglich ist.
Ich nehme an, es istEs wird nicht empfohlen, Truecrypt auf einer SSD zu verwendenaber korrigieren Sie mich bitte, wenn ich falsch liege. Ich weiß auch, dass die 840 Evo eine integrierte 256-Bit-AES-Verschlüsselung hat, daher wird empfohlen, diese zu verwenden.
Der Evo wurde auf den neuesten Stand gebrachtEXT0BB6Q Firmwareund ich habe den neuesten Samsung Magician. Ich weiß nicht, welches UEFI-Level ich habe, aber ich weiß, dass die Maschine im Dezember 2013 gebaut wurde und das F.35-BIOS von Insyde hat.
Folgendes habe ich versucht:
Bitlocker. Die neueste Samsung-Firmware ist angeblich Windows 8.1 eDrive-kompatibel, also folgte ich den Anweisungen, die ich in einemAnandtech-Artikel. Zunächst einmal scheint der Laptop keinen TPM-Chip zu haben, also musste ich Bitlocker ohne TPM funktionieren lassen. Nachdem ich das getan hatte, versuchte ich, Bitlocker einzuschalten. Anandtech sagt: „Wenn alles eDrive-kompatibel ist, werden Sie nicht gefragt, ob Sie das Laufwerk ganz oder teilweise verschlüsseln möchten. Nach der Ersteinrichtung wird BitLocker einfach aktiviert. Es gibt keine zusätzliche Verschlüsselungsstufe (da die Daten auf Ihrer SSD bereits verschlüsselt sind). Wenn Sie etwas falsch gemacht haben oder ein Teil Ihres Systems nicht eDrive-kompatibel ist, erhalten Sie eine Fortschrittsanzeige und einen etwas langwierigen Software-Verschlüsselungsprozess.“ Leider habe ichWargefragt, ob ich das Laufwerk ganz oder teilweise verschlüsseln möchte, also habe ich das abgebrochen.
Festlegen des ATA-Passworts im BIOS. Ich scheine im BIOS keine solche Option zu haben, nur ein Administratorkennwort und ein Startkennwort.
Ich verwende Magician. Es gibt eine Registerkarte „Datensicherheit“, aber ich verstehe die Optionen nicht ganz und vermute, dass keine davon anwendbar ist.
Die Informationen indiese Frage und Antworthat geholfen, aber meine Frage nicht beantwortet.
Was ich natürlich gerne wissen würde, ist, wie ich mein Solid-State-Laufwerk im HP Envy 15 verschlüssele oder ob ich tatsächlich Pech habe. Gibt es Alternativen oder muss ich entweder ohne Verschlüsselung auskommen oder den Laptop zurückgeben?
Da ist einähnliche Frage zu Anandtechaber es bleibt unbeantwortet.
Antwort1
Das Passwort muss im BIOS unter der ATA-Sicherheitserweiterung festgelegt werden. Normalerweise gibt es im BIOS-Menü eine Registerkarte mit dem Titel „Sicherheit“. Die Authentifizierung erfolgt auf BIOS-Ebene, daher hat nichts, was dieser Software-„Assistent“ tut, irgendeinen Einfluss auf die Einrichtung der Authentifizierung. Es ist unwahrscheinlich, dass ein BIOS-Update das Festplattenpasswort aktiviert, wenn es zuvor nicht unterstützt wurde.
Zu sagen, dass Sie die Verschlüsselung einrichten, ist irreführend. Die Sache ist, dass das Laufwerk IMMER jedes Bit verschlüsselt, das es auf die Chips schreibt. Der Festplattencontroller macht das automatisch. Wenn Sie ein oder mehrere Festplattenkennwörter für das Laufwerk festlegen, wird Ihre Sicherheit von Null auf nahezu unknackbar erhöht. Nur ein in böswilliger Absicht eingeschleuster Hardware-Keylogger oder ein von der NSA ausgenutzter Remote-BIOS-Exploit könnten das Kennwort zur Authentifizierung abrufen ;-) <-- Ich denke schon. Ich bin mir noch nicht sicher, was sie mit dem BIOS machen können. Der Punkt ist, dass es nicht völlig unüberwindbar ist, aber je nachdem, wie der Schlüssel auf dem Laufwerk gespeichert ist, ist es die derzeit sicherste Methode zur Festplattenverschlüsselung. Trotzdem ist es völlig übertrieben. BitLocker reicht wahrscheinlich für die meisten Sicherheitsanforderungen der Verbraucher aus.
Wenn es um Sicherheit geht, lautet die Frage wahrscheinlich: Wie viel möchten Sie?
Hardwarebasierte vollständige Festplattenverschlüsselung ist um mehrere Größenordnungen sicherer als softwarebasierte vollständige Festplattenverschlüsselung wie TrueCrypt. Sie hat außerdem den zusätzlichen Vorteil, dass sie die Leistung Ihrer SSD nicht beeinträchtigt. Die Art und Weise, wie SSDs ihre Bits speichern, kann manchmal zu Problemen mit Softwarelösungen führen. Hardwarebasierte vollständige Festplattenverschlüsselung ist einfach weniger chaotisch und eine elegantere und sicherere Option, hat sich aber nicht einmal bei denen durchgesetzt, denen die Verschlüsselung ihrer wertvollen Daten wichtig genug ist. Es ist überhaupt nicht schwierig, aber leider unterstützen viele BIOS die Funktion „HDD-Passwort“ einfach nicht (NICHT zu verwechseln mit einem einfachen BIOS-Passwort, das von Laien umgangen werden kann). Ich kann Ihnen so ziemlich garantieren, ohne auch nur in Ihrem BIOS nachzusehen, dass Ihr BIOS sie nicht unterstützt und Sie Pech haben, wenn Sie die Option noch nicht gefunden haben. Es handelt sich um ein Firmware-Problem und Sie können nichts tun, um die Funktion hinzuzufügen, außer Ihr BIOS mit etwas wie hdparm zu flashen, was so unverantwortlich ist, dass selbst ich es nicht versuchen würde. Es hat nichts mit dem Laufwerk oder der mitgelieferten Software zu tun. Dies ist ein Motherboard-spezifisches Problem.
ATA ist nichts weiter als eine Reihe von Anweisungen für das BIOS. Sie versuchen, ein HDD-Benutzer- und Master-Passwort festzulegen, das zur Authentifizierung gegenüber dem eindeutigen Schlüssel verwendet wird, der sicher auf dem Laufwerk gespeichert ist. Mit dem „Benutzer“-Passwort kann das Laufwerk entsperrt werden und der Startvorgang kann wie gewohnt fortgesetzt werden. Dasselbe gilt für „Master“. Der Unterschied besteht darin, dass ein „Master“-Passwort erforderlich ist, um Passwörter im BIOS zu ändern oder den Verschlüsselungsschlüssel im Laufwerk zu löschen, wodurch alle Daten sofort unzugänglich und nicht wiederherstellbar werden. Dies wird als „Secure Erase“-Funktion bezeichnet. Unter dem Protokoll wird eine 32-Bit-Zeichenfolge unterstützt, d. h. ein 32-stelliges Passwort. Von den wenigen Laptop-Herstellern, die das Festlegen eines HDD-Passworts im BIOS unterstützen, beschränken die meisten die Anzahl der Zeichen auf 7 oder 8. Warum nicht alle BIOS-Unternehmen dies unterstützen, ist mir schleierhaft. Vielleicht hatte Stallman mit dem proprietären BIOS recht.
Der einzige Laptop (so gut wie kein Desktop-BIOS unterstützt HDD-Passwörter), der mir die Festlegung eines vollständigen 32-Bit-HDD-Benutzer- und Master-Passworts ermöglicht, ist ein Lenovo ThinkPad der T- oder W-Serie. Zuletzt habe ich gehört, dass einige ASUS-Notebooks eine solche Option in ihrem BIOS haben. Dell begrenzt das HDD-Passwort auf schwache 8 Zeichen.
Ich bin mit der Schlüsselspeicherung in Intel-SSDs viel besser vertraut als mit der von Samsung. Intel war meines Wissens der erste Anbieter, der On-Chip-FDE in seinen Laufwerken anbot, ab der 320er-Serie. Das war allerdings AES 128-Bit. Ich habe mich nicht eingehend damit befasst, wie diese Samsung-Serie die Schlüsselspeicherung implementiert, und niemand weiß es bisher wirklich. Offensichtlich war Ihnen der Kundendienst keine Hilfe. Ich habe den Eindruck, dass nur fünf oder sechs Leute in jedem Technologieunternehmen tatsächlich etwas über die Hardware wissen, die sie verkaufen. Intel schien nicht bereit zu sein, Einzelheiten preiszugeben, aber schließlich antwortete ein Unternehmensvertreter irgendwo in einem Forum. Bedenken Sie, dass diese Funktion für die Laufwerkshersteller eine völlige Nebensache ist. Sie wissen nichts darüber und interessieren sich nicht dafür, und 99,9 % ihrer Kunden auch nicht. Es ist nur ein weiterer Werbepunkt auf der Rückseite der Verpackung.
Hoffe das hilft!
Antwort2
Ich habe es heute endlich zum Laufen gebracht und wie Sie glaube ich, dass ich auch im BIOS kein ATA-Passwort eingerichtet habe (zumindest keins, das ich sehen kann). Ich habe die BIOS-Benutzer-/Administratorpasswörter aktiviert und mein PC hat einen TPM-Chip, aber BitLocker sollte auch ohne einen funktionieren (USB-Stick). Wie Sie steckte ich auch bei der BitLocker-Eingabeaufforderung genau an der gleichen Stelle fest, ob ich nur die Daten oder die ganze Festplatte verschlüsseln möchte.
Mein Problem war, dass meine Windows-Installation nicht UEFI war, obwohl mein Motherboard UEFI unterstützt. Sie können Ihre Installation überprüfen, indem Sie msinfo32den Befehl „Ausführen“ eingeben und den BIOS-Modus überprüfen. Wenn dort etwas anderes angezeigt wird, UEFImüssen Sie Windows von Grund auf neu installieren.
Sieh dir das anSchritt-für-Schritt-Anleitung zum Verschlüsseln der Samsung-SSDAnleitung in einem zugehörigen Beitrag in diesem Forum.
Antwort3
Software-Verschlüsselung
TrueCrypt 7.1a eignet sich gut für die Verwendung auf SSDs, aber beachten Sie, dass es die IOP-Leistung wahrscheinlich erheblich reduziert, obwohl das Laufwerk immer noch mehr als 10-mal bessere IOPs als HDDs liefert. Wenn Sie also die in Magician aufgeführten Optionen nicht nutzen können, ist TrueCrypt eine Option zum Verschlüsseln des Laufwerks, aber es funktioniert angeblich nicht sehr gut mit Dateisystemen von Windows 8 und späteren Versionen. Aus diesem Grund ist BitLocker mit vollständiger Festplattenverschlüsselung eine bessere Option für diese Betriebssysteme.
Sammelkartenspiel-Opal
TCG Opal ist im Grunde ein Standard, der die Installation einer Art Mini-Betriebssystem auf einem reservierten Teil des Laufwerks ermöglicht, das nur dazu dient, das Laufwerk zu booten und dem Benutzer ein Kennwort für den Zugriff auf das Laufwerk zu übermitteln. Es gibt verschiedene Tools zum Installieren dieser Funktion, darunter einige angeblich stabile Open-Source-Projekte, aber Windows 8 und spätere BitLocker sollten diese Funktion unterstützen.
Ich habe kein Windows 8 oder höher und kann daher keine Anleitung zur Einrichtung geben, aber ich habe gelesen, dass dies nur bei der Installation von Windows verfügbar ist und nicht danach. Erfahrene Benutzer können mich gerne korrigieren.
ATA-Passwort
Die ATA-Passwortsperre ist eine optionale Funktion des ATA-Standards, die von den Laufwerken der Samsung 840-Serie und späteren Serien sowie Tausenden anderen unterstützt wird. Dieser Standard ist nicht an ein BIOS gebunden und kann über eine Reihe von Methoden aufgerufen werden. Ich empfehle nicht, ein BIOS zum Festlegen oder Verwalten des ATA-Passworts zu verwenden, da das BIOS möglicherweise nicht ordnungsgemäß dem ATA-Standard entspricht. Ich habe Erfahrung mit meiner eigenen Hardware, die die Funktion scheinbar unterstützt, aber tatsächlich nicht konform ist.
Beachten Sie, dass die Suche nach dieser Funktion zu zahlreichen Diskussionen führt, in denen behauptet wird, dass die ATA-Sperrfunktion nicht als sicher zum Schutz von Daten angesehen werden sollte. Dies gilt im Allgemeinen nur für Festplatten, die nicht gleichzeitig selbstverschlüsselnde Laufwerke (SED) sind. Da es sich bei den Laufwerken der Samsung 840-Serie und späteren Serien um SSDs und SEDs handelt, sind diese Diskussionen einfach nicht anwendbar. Die ATA-Passwortsperre der Samsung 840-Serie und späterer Serien sollte für Ihre Verwendung sicher genug sein, wie in dieser Frage beschrieben.
Um sicherzustellen, dass Ihr BIOS das Entsperren eines durch ein Kennwort gesperrten ATA-Laufwerks unterstützt, können Sie am besten ein Laufwerk sperren, es im Computer installieren und anschließend den Computer neu starten. Anschließend können Sie prüfen, ob ein Kennwort abgefragt wird und ob das Laufwerk mit dem eingegebenen Kennwort entsperrt werden kann.
Dieser Test sollte nicht auf einem Laufwerk durchgeführt werden, dessen Daten Sie nicht verlieren möchten.
Glücklicherweise muss es sich bei dem Testlaufwerk nicht um das Samsung-Laufwerk handeln, da es jedes Laufwerk sein kann, das den ATA-Standardsicherheitssatz unterstützt und im Zielcomputer installiert werden kann.
Der beste Weg, auf die ATA-Funktionen eines Laufwerks zuzugreifen, ist meiner Erfahrung nach das Linux-Befehlszeilenprogramm hdparm. Selbst wenn Sie keinen Computer mit Linux haben, gibt es viele Distributionen, deren Installationsdisketten-Image auch die „Live“-Ausführung des Betriebssystems vom Installationsmedium unterstützt. Ubuntu 16.04 LTS beispielsweise sollte sich auf den meisten Computern einfach und schnell installieren lassen, und dasselbe Image kann auch auf Flash-Medien geschrieben werden, um es auf Systemen ohne optische Laufwerke auszuführen.
Detaillierte Anweisungen zum Aktivieren der ATA-Kennwortsicherheit gehen über den Rahmen dieser Frage hinaus, ich finde jedoch, dass dieses Tutorial eines der besten für diese Aufgabe ist.
Aktivieren der ATA-Sicherheit auf einer selbstverschlüsselnden SSD
Beachten Sie, dass die maximale Passwortlänge 32 Zeichen beträgt. Ich empfehle, den Test mit einem 32-stelligen Passwort durchzuführen, um sicherzugehen, dass das BIOS den Standard korrekt unterstützt.
Installieren Sie das Laufwerk und starten Sie das System, während der Zielcomputer ausgeschaltet und das Laufwerk mit einem ATA-Passwort gesperrt ist. Wenn das BIOS nicht nach einem Passwort zum Entsperren des Laufwerks fragt, unterstützt das BIOS die Entsperrung mit einem ATA-Passwort nicht. Wenn Sie das Passwort scheinbar vollständig korrekt eingeben, das Laufwerk aber nicht entsperrt wird, kann es sein, dass das BIOS den ATA-Standard nicht richtig unterstützt und daher nicht vertrauenswürdig ist.
Es ist möglicherweise sinnvoll, eine Möglichkeit zu haben, um zu überprüfen, ob das System das entsperrte Laufwerk richtig liest. Dies kann beispielsweise durch die Installation und ordnungsgemäße Ladung eines Betriebssystems oder durch die Installation neben einem Betriebssystemlaufwerk geschehen, das geladen und das Testlaufwerk gemountet werden kann und problemlos Dateien lesen und schreiben kann.
Wenn der Test erfolgreich ist und Sie die Schritte ohne Bedenken wiederholen können, ändert sich durch die Aktivierung des ATA-Kennworts auf einem Laufwerk (auch auf einem Laufwerk mit installiertem Betriebssystem) nichts am Datenteil des Laufwerks. Das Laufwerk sollte also nach der Eingabe des Kennworts im BIOS normal booten.
Antwort4
„Ich brauche keine NSA-sicheren Sicherheitsniveaus“
Warum es nicht trotzdem nutzen, da es kostenlos ist?
Nachdem ich an der Graduiertenschule Kurse in Computersicherheit und Computerforensik belegt hatte, beschloss ich, mein Laufwerk zu verschlüsseln. Ich habe mir viele Optionen angesehen und bin SEHR froh, dass ich mich für DiskCrypt entschieden habe. Es ist einfach zu installieren, einfach zu verwenden, Open Source mit bereitgestellten PGP-Signaturen, Anweisungen zum Selbstkompilieren, um sicherzustellen, dass die EXE mit der Quelle übereinstimmt, es mountet die Laufwerke automatisch, Sie können die PW-Eingabeaufforderung vor dem Booten und die Aktion bei falschem PW festlegen und es wird AES-256 verwendet.
Jede moderne CPU kann eine Runde AES-Verschlüsselung in EINER EINZIGEN Maschinenanweisung durchführen (die Verschlüsselung eines Sektors an Daten dauert mehrere Dutzend Runden). Bei meinen eigenen Benchmarks läuft AES elfmal schneller als softwareimplementierte Chiffren wie Blowfish. DiskCryptor kann Daten viel schneller verschlüsseln, als der PC sie von der Festplatte lesen und schreiben kann. Es gibt KEINEN messbaren Overhead.
Ich verwende eine TEC-gekühlte, aufgemotzte Maschine mit einer Geschwindigkeitsfrequenz von 5 GHz, daher kann Ihre Leistung variieren, aber nicht sehr. Die für die Verschlüsselung/Entschlüsselung erforderliche CPU-Zeit war zu niedrig, um sie zu messen (d. h. unter 1 %).
Sobald Sie es eingerichtet haben, können Sie es völlig vergessen. Der einzige spürbare Effekt ist, dass Sie Ihr PW beim Booten eingeben müssen, was ich sehr gerne mache.
Dass SSDs keine Verschlüsselung verwenden, ist ein Gerücht, das ich noch nie gehört habe. Es ist auch unbegründet. Verschlüsselte Daten werden genau wie normale Daten auf das Laufwerk geschrieben und von ihm gelesen. Nur die Bits im Datenpuffer werden verschlüsselt. Sie können chkdsk/f und jedes andere Festplattendienstprogramm auf einem verschlüsselten Laufwerk ausführen.
Und übrigens, im Gegensatz zu anderen Programmen speichert Diskkeeper Ihr Passwort nicht im Speicher. Es verwendet einen Einweg-Hash-Schlüssel zur Verschlüsselung, überschreibt Ihre falsch eingegebenen Passwörter im Speicher und unternimmt große Anstrengungen, um sicherzustellen, dass es während der Passworteingabe und -überprüfung nicht auf eine Auslagerungsdatei gelangt.