he comprado unHP Envy 15-j005eacomputadora portátil que actualicé a Windows 8.1 Pro. También quité el disco duro y lo reemplacé con un SSD Samsung Evo 840 de 1 TB. Ahora deseo cifrar la unidad para proteger el código fuente de mi empresa y mis documentos personales, pero no sé cómo hacerlo o si es posible.
Deduzco que esNo se recomienda utilizar Truecrypt en un SSDpero corríjanme si me equivoco. También entiendo que el 840 Evo tiene cifrado AES de 256 bits incorporado, por lo que se recomienda utilizarlo.
El Evo se ha actualizado a la última versión.firmware EXT0BB6Qy tengo el último Samsung Magician. No sé qué nivel UEFI tengo, pero sí sé que la máquina se construyó en diciembre de 2013 y tiene el BIOS F.35 fabricado por Insyde.
Esto es lo que he probado:
Bitlocker. El último firmware de Samsung supuestamente es compatible con Windows 8.1 eDrive, así que seguí las instrucciones que encontré en unArtículo de Anandtech. En primer lugar, parece que la computadora portátil no tiene chip TPM, por lo que tuve que permitir que Bitlocker funcionara sin TPM. Una vez que hice eso, intenté activar Bitlocker. Anandtech dice que "si todo es compatible con eDrive, no se le preguntará si desea cifrar toda o parte de la unidad; después de realizar la configuración inicial, BitLocker simplemente se habilitará. No hay una etapa de cifrado adicional (ya que los datos ya está cifrado en su SSD). Si ha hecho algo mal, o alguna parte de su sistema no es compatible con eDrive, obtendrá un indicador de progreso y un proceso de cifrado de software algo largo". Desafortunadamente, yoeraMe preguntaron si quería cifrar todo o parte del disco, así que lo cancelé.
Configuración de la contraseña ATA en el BIOS. Parece que no tengo esa opción en el BIOS, solo una contraseña de administrador y una contraseña de inicio.
Usando mago. Tiene una pestaña de "Seguridad de datos", pero no entiendo completamente las opciones y sospecho que ninguna es aplicable.
La información enesta pregunta y respuestaayudó pero no respondió mi pregunta.
Entonces, claramente, lo que me gustaría saber es ¿cómo puedo cifrar mi unidad de estado sólido en el HP Envy 15 o, de hecho, no tengo suerte? ¿Existen opciones alternativas o tengo que vivir sin cifrado o devolver la computadora portátil?
Hay unpregunta similar sobre Anandtechpero sigue sin respuesta.
Respuesta1
La contraseña debe configurarse en el BIOS bajo la extensión de seguridad ATA. Generalmente hay una pestaña en el menú del BIOS titulada "Seguridad". La autenticación se producirá en el nivel del BIOS, por lo que nada de lo que haga este "asistente" de software tiene relación alguna con la configuración de la autenticación. Es poco probable que una actualización del BIOS habilite la contraseña del disco duro si no era compatible anteriormente.
Decir que estás configurando el cifrado es engañoso. La cuestión es que la unidad SIEMPRE cifra cada bit que escribe en los chips. El controlador de disco hace esto automáticamente. Establecer una contraseña de disco duro para la unidad es lo que lleva su nivel de seguridad de cero a prácticamente irrompible. Sólo un registrador de teclas de hardware instalado maliciosamente o un exploit remoto de BIOS activado por la NSA podrían recuperar la contraseña para autenticarse ;-) <-- Supongo. Todavía no estoy seguro de qué pueden hacer con la BIOS. El punto es que no es totalmente insuperable, pero dependiendo de cómo se almacene la clave en el disco, es el método más seguro de cifrado de disco duro disponible actualmente. Dicho esto, es una exageración total. BitLocker probablemente sea suficiente para la mayoría de las necesidades de seguridad de los consumidores.
Cuando se trata de seguridad, supongo que la pregunta es: ¿cuánto quieres?
El cifrado de disco completo basado en hardware es varios órdenes de magnitud más seguro que el cifrado de disco completo a nivel de software como TrueCrypt. También tiene la ventaja adicional de no impedir el rendimiento de su SSD. La forma en que los SSD guardan sus bits a veces puede provocar problemas con las soluciones de software. El FDE basado en hardware es una opción menos complicada y más elegante y segura, pero no se ha popularizado ni siquiera entre aquellos que se preocupan lo suficiente como para cifrar sus valiosos datos. No es nada complicado de hacer, pero desafortunadamente muchos BIOS simplemente no admiten la función "Contraseña de HDD" (NO debe confundirse con una simple contraseña de BIOS, que los aficionados pueden eludir). Puedo garantizarle, sin siquiera mirar en su BIOS, que si aún no ha encontrado la opción, su BIOS no la admite y no tendrá suerte. Es un problema de firmware y no hay nada que puedas hacer para agregar la función excepto actualizar tu BIOS con algo como hdparm, que es algo tan irresponsable que ni siquiera yo lo intentaría. No tiene nada que ver con la unidad o el software incluido. Este es un problema específico de la placa base.
ATA no es más que un conjunto de instrucciones para el BIOS. Lo que está intentando configurar es un usuario de HDD y una contraseña maestra, que se utilizarán para autenticarse con la clave única almacenada de forma segura en la unidad. La contraseña de "Usuario" permitirá desbloquear la unidad y arrancar normalmente. Lo mismo con "Maestro". La diferencia es que se necesita una contraseña "maestra" para cambiar las contraseñas en el BIOS o borrar la clave de cifrado en la unidad, lo que hace que todos sus datos sean inaccesibles e irrecuperables al instante. Esto se denomina función "Borrado seguro". Según el protocolo, se admite una cadena de caracteres de 32 bits, lo que significa una contraseña de 32 caracteres. De los pocos fabricantes de portátiles que admiten la configuración de una contraseña de disco duro en el BIOS, la mayoría limita los caracteres a 7 u 8. No entiendo por qué todas las empresas de BIOS no lo admiten. Quizás Stallman tenía razón acerca del BIOS propietario.
La única computadora portátil (prácticamente ningún BIOS de escritorio admite contraseña de HDD) que conozco que le permitirá establecer una contraseña maestra y de usuario de HDD de 32 bits de longitud completa es una Lenovo ThinkPad serie T o W. Lo último que escuché es que algunos portátiles ASUS tienen esa opción en su BIOS. Dell limita la contraseña del disco duro a 8 caracteres débiles.
Estoy mucho más familiarizado con el almacenamiento de claves en los SSD Intel que Samsung. Creo que Intel fue el primero en ofrecer FDE en chip en sus unidades, la serie 320 y posteriores. Aunque era AES de 128 bits. No he investigado exhaustivamente cómo esta serie de Samsung implementa el almacenamiento de claves y nadie lo sabe realmente en este momento. Evidentemente el servicio de atención al cliente no le sirvió de nada. Tengo la impresión de que sólo cinco o seis personas en cualquier empresa de tecnología saben algo sobre el hardware que venden. Intel parecía reacio a revelar los detalles, pero finalmente un representante de la compañía respondió en algún lugar de un foro. Tenga en cuenta que para los fabricantes de unidades esta característica es una idea de último momento. No saben ni les importa nada al respecto y tampoco lo saben el 99,9% de sus clientes. Es sólo otra viñeta publicitaria en la parte posterior de la caja.
¡Espero que esto ayude!
Respuesta2
Finalmente logré que esto funcionara hoy y, al igual que usted, creo que tampoco tengo una configuración de contraseña ATA en el BIOS (al menos no que yo pueda ver). Habilité las contraseñas de usuario/administrador del BIOS y mi PC tiene un chip TPM, pero BitLocker debería funcionar sin uno (llave USB). Al igual que usted, también me quedé atrapado exactamente en el mismo lugar en el mensaje de BitLocker: ¿quiero cifrar solo los datos o todo el disco?
Mi problema fue que mi instalación de Windows no era UEFI aunque mi placa base sí es compatible con UEFI. Puede verificar su instalación escribiendo msinfo32el comando ejecutar y verificando el Modo Bios. Si lee algo distinto UEFI, entonces deberá reinstalar Windows desde cero.
Mira estoInstrucciones paso a paso para cifrar SSD Samsungguía en una publicación relacionada en este foro.
Respuesta3
Cifrado de software
TrueCrypt 7.1a está bien para su uso en SSD, pero tenga en cuenta que probablemente reducirá el rendimiento de los IOP en una cantidad considerable, aunque la unidad seguirá funcionando más de 10 veces mejor que los IOP que los HDD. Entonces, si no puede utilizar las opciones enumeradas en Magician, TrueCrypt es una opción para cifrar la unidad, pero, según se informa, no funciona muy bien con Windows 8 y sistemas de archivos posteriores. Por este motivo, BitLocker con cifrado de disco completo es una mejor opción para estos sistemas operativos.
Ópalo JCC
TCG Opal es básicamente un estándar que permite instalar una especie de mini sistema operativo en una parte reservada de la unidad con el único propósito de permitir que la unidad arranque y presente al usuario una contraseña para otorgar acceso a la unidad. . Hay varias herramientas disponibles para instalar esta función, incluidos algunos proyectos de código abierto supuestamente estables, pero Windows 8 y versiones posteriores de BitLocker deberían admitir esta función.
No tengo Windows 8 o posterior, por lo que no puedo brindar instrucciones sobre cómo configurar esto, pero mi lectura indica que esto solo está disponible al instalar Windows, y no después de instalarlo. Los usuarios experimentados no duden en corregirme.
Contraseña ATA
El bloqueo de contraseña ATA es una característica opcional del estándar ATA compatible con las unidades Samsung 840 y series posteriores, así como con miles de otras. Este estándar no está relacionado con un BIOS y se puede acceder a él a través de varios métodos. No recomiendo usar un BIOS para configurar o administrar la contraseña ATA ya que es posible que el BIOS no se ajuste correctamente al estándar ATA. Tengo experiencia con mi propio hardware que parece admitir la función, pero en realidad no la cumple.
Tenga en cuenta que la búsqueda de esta función generará mucha discusión en la que se afirma que la función de bloqueo ATA no debe considerarse segura para proteger los datos. Por lo general, esto solo es correcto para los discos duros que no son también unidades de autocifrado (SED). Dado que las unidades Samsung 840 y posteriores son SSD y SED, estas discusiones simplemente no son aplicables. La contraseña ATA bloqueada Samsung serie 840 y posteriores debe ser lo suficientemente segura para su uso, como se describe en esta pregunta.
La mejor manera de asegurarse de que su BIOS admita el desbloqueo de una unidad ATA bloqueada con contraseña es bloquear una unidad, instalarla en la computadora, luego iniciar la computadora y ver si solicita una contraseña y si la contraseña ingresada puede desbloquear la unidad.
Esta prueba no debe realizarse en una unidad con datos que no desee perder.
Afortunadamente, la unidad de prueba no tiene que ser la unidad Samsung, ya que puede ser cualquier unidad que admita el conjunto de seguridad estándar ATA y pueda instalarse en la computadora de destino.
La mejor manera que he encontrado para acceder a las funciones ATA de una unidad es con la utilidad de línea de comandos de Linux hdparm. Incluso si no tiene una computadora con Linux, existen muchas distribuciones cuya imagen de disco de instalación también admite la ejecución del sistema operativo "en vivo" desde el medio de instalación. Ubuntu 16.04 LTS, por ejemplo, debería instalarse fácil y rápidamente en la gran mayoría de las computadoras y la misma imagen también se puede escribir en medios flash para ejecutarla en sistemas sin unidades ópticas.
Las instrucciones detalladas sobre cómo habilitar la seguridad de la contraseña ATA están más allá del alcance de esta pregunta, pero encontré que este tutorial es uno de los mejores para esta tarea.
Habilitación de la seguridad ATA en un SSD con autocifrado
Tenga en cuenta que la longitud máxima de la contraseña es de 32 caracteres. Recomiendo hacer la prueba con una contraseña de 32 caracteres para estar seguro de que la BIOS soporta el estándar correctamente.
Con la computadora de destino apagada y la contraseña ATA de la unidad bloqueada, instale la unidad e inicie el sistema. Si el BIOS no solicita una contraseña para desbloquear la unidad, entonces el BIOS no admite el desbloqueo de contraseña ATA. Además, si parece que está ingresando la contraseña completamente correctamente, pero no desbloquea la unidad, es posible que el BIOS no admita adecuadamente el estándar ATA y, por lo tanto, no se debe confiar en él.
Puede ser una buena idea tener alguna forma de verificar que el sistema esté leyendo correctamente la unidad desbloqueada, como tener un sistema operativo instalado y cargando correctamente, o instalarlo junto con una unidad de sistema operativo que cargue y pueda montar la unidad de prueba y leer y escribir archivos sin problemas.
Si la prueba es exitosa y usted se siente seguro al repetir los pasos, habilitar la contraseña ATA en una unidad, incluida una con un sistema operativo instalado, no cambiará nada en la porción de datos de la unidad, por lo que debería iniciarse normalmente después de ingresar el contraseña en el BIOS.
Respuesta4
"No necesito niveles de seguridad a prueba de la NSA"
Bueno, ¿por qué no usarlo de todos modos, ya que es gratis?
Después de tomar clases de posgrado en seguridad informática e informática forense, decidí cifrar mi disco. Miré muchas opciones y estoy MUY feliz de haber seleccionado DiskCrypt. Es fácil de instalar, fácil de usar, de código abierto con firmas PGP proporcionadas, instrucciones sobre cómo compilarlo usted mismo para asegurarse de que el archivo ejecutable coincida con la fuente, monta automáticamente las unidades, puede configurar el mensaje PW previo al arranque y configurarlo de manera incorrecta. -pw acción, y utilizará AES-256.
Cualquier CPU moderna realizará una ronda de cifrado AES en una SOLA instrucción de máquina (cifrar los datos de un sector requiere un par de docenas de rondas). Según mis propios puntos de referencia, AES se ejecuta once veces más rápido que los cifrados implementados por software como Blowfish. DiskCryptor puede cifrar datos muchas veces más rápido de lo que la PC puede leerlos y escribirlos desde el disco. NO hay gastos generales mensurables.
Estoy ejecutando una máquina de 5 GHz con frecuencia de velocidad y refrigeración por TEC, por lo que su kilometraje variaría, pero no mucho. El tiempo de CPU requerido para cifrar/descifrar era demasiado bajo para medirlo (es decir, menos del 1%).
Una vez que lo configuras, puedes olvidarlo por completo. El único efecto notable es que tienes que escribir tu PW al arrancar, lo cual estoy encantado de hacer.
En cuanto a no usar cifrado en SSD, es un rumor que no había escuchado antes. También es injustificado. Los datos cifrados se escriben y leen desde la unidad exactamente como los datos normales. Sólo se codifican los bits del búfer de datos. Puede chkdsk/f y ejecutar cualquier otra utilidad de disco en una unidad cifrada.
Y por cierto, a diferencia de otros programas, diskkeeper no mantiene su contraseña en la memoria. Utiliza una clave hash unidireccional para el cifrado, sobrescribe las contraseñas mal escritas en la memoria y hace todo lo posible para garantizar que no se quede en un archivo de paginación durante la entrada y validación de la contraseña.