나는 하나를 구입했습니다HP 엔비 15-j005eaWindows 8.1 Pro로 업그레이드한 노트북입니다. HDD도 제거하고 1TB Samsung Evo 840 SSD로 교체했습니다. 이제 회사의 소스 코드와 개인 문서를 보호하기 위해 드라이브를 암호화하고 싶지만 이를 수행하는 방법이나 가능한지 알 수 없습니다.
나는 그런 것이라고 수집한다.SSD에서는 Truecrypt를 사용하지 않는 것이 좋습니다.하지만 제가 틀렸다면 정정해 주세요. 또한 840 Evo에는 256비트 AES 암호화가 내장되어 있으므로 이를 사용하는 것이 좋습니다.
Evo가 최신으로 업데이트되었습니다.EXT0BB6Q 펌웨어최신 Samsung Magician이 있습니다. 내가 가지고 있는 UEFI 레벨이 무엇인지는 모르지만 해당 컴퓨터가 2013년 12월에 제작되었으며 Insyde에서 만든 F.35 BIOS를 가지고 있다는 것은 알고 있습니다.
이것이 내가 시도한 것입니다:
비트로커. 최신 삼성 펌웨어는 Windows 8.1 eDrive와 호환될 것으로 추정되므로 다음에서 찾은 지침을 따랐습니다.아난드텍 기사. 우선 노트북에 TPM 칩이 없는 것 같아서 Bitlocker가 TPM 없이 작동하도록 허용해야 했습니다. 그런 다음 Bitlocker를 켜려고 했습니다. Anandtech는 "모든 것이 eDrive와 호환되는 경우 드라이브의 전체 또는 일부를 암호화할지 여부를 묻는 메시지가 표시되지 않으며 초기 설정을 거친 후 BitLocker가 활성화됩니다. 추가 암호화 단계는 없습니다(데이터가 암호화되기 때문에). SSD에서 이미 암호화되어 있습니다). 뭔가 잘못했거나 시스템의 일부가 eDrive와 호환되지 않는 경우 진행률 표시기와 다소 긴 소프트웨어 암호화 프로세스가 표시됩니다. 불행하게도 나는~였다드라이브 전체 또는 일부를 암호화할지 묻는 질문에 취소했습니다.
BIOS에서 ATA 비밀번호를 설정합니다. BIOS에는 그런 옵션이 없고 관리자 비밀번호와 부팅 비밀번호만 있는 것 같습니다.
마술사를 사용합니다. "데이터 보안" 탭이 있지만 옵션을 완전히 이해하지 못했으며 적용 가능한 옵션이 없는 것으로 의심됩니다.
의 정보이 질문과 대답도움이되었지만 내 질문에 대답하지 않았습니다.
그렇다면 분명히 제가 알고 싶은 것은 HP Envy 15에서 솔리드 스테이트 드라이브를 어떻게 암호화합니까? 아니면 실제로 운이 좋지 않은 것입니까? 대체 옵션이 있습니까? 아니면 암호화 없이 생활하거나 노트북을 반납해야 합니까?
이있다Anandtech에 대한 비슷한 질문하지만 여전히 답이 없습니다.
답변1
비밀번호는 BIOS의 ATA 보안 확장 아래에서 설정해야 합니다. 일반적으로 BIOS 메뉴에는 "보안"이라는 탭이 있습니다. 인증은 BIOS 수준에서 발생하므로 이 소프트웨어 "마법사"는 인증 설정과 관련이 없습니다. 이전에 지원되지 않은 경우 BIOS 업데이트에서 HDD 암호를 활성화할 가능성은 거의 없습니다.
암호화를 설정한다고 말하는 것은 오해의 소지가 있습니다. 문제는 드라이브가 칩에 쓰는 모든 비트를 항상 암호화한다는 것입니다. 디스크 컨트롤러는 이 작업을 자동으로 수행합니다. 드라이브에 HDD 암호를 설정하면 보안 수준이 0에서 거의 깨지지 않는 수준으로 높아집니다. 악의적으로 설치된 하드웨어 키로거나 NSA가 제공하는 원격 BIOS 익스플로잇만이 인증을 위한 비밀번호를 검색할 수 있습니다 ;-) <-- 추측합니다. 아직 BIOS에서 무엇을 할 수 있는지 잘 모르겠습니다. 요점은 완전히 극복할 수 없는 것은 아니지만 키가 드라이브에 저장되는 방식에 따라 현재 사용 가능한 가장 안전한 하드 드라이브 암호화 방법이라는 것입니다. 즉, 그것은 완전히 과잉입니다. BitLocker는 아마도 대부분의 소비자 보안 요구 사항에 충분할 것입니다.
보안에 관한 질문은 다음과 같습니다. 얼마를 원하시나요?
하드웨어 기반 전체 디스크 암호화는 TrueCrypt와 같은 소프트웨어 수준 전체 디스크 암호화보다 몇 배 더 안전합니다. 또한 SSD 성능을 방해하지 않는다는 장점도 있습니다. SSD가 비트를 저장하는 방식은 때때로 소프트웨어 솔루션에 문제를 일으킬 수 있습니다. 하드웨어 기반 FDE는 덜 복잡하고 더 우아하며 안전한 옵션이지만 귀중한 데이터를 암호화하는 데 관심이 있는 사람들 사이에서도 "인기"를 얻지 못했습니다. 전혀 까다롭지 않지만 불행하게도 많은 BIOS는 "HDD 암호" 기능을 지원하지 않습니다(아마추어가 우회할 수 있는 간단한 BIOS 암호와 혼동하지 마십시오). 아직 옵션을 찾지 못했다면 BIOS가 해당 옵션을 지원하지 않으며 운이 좋지 않다는 점을 BIOS를 살펴보지 않고도 보장할 수 있습니다. 그것은 펌웨어 문제이며 너무 무책임해서 나조차도 시도하지 않을 hdparm과 같은 것으로 BIOS를 플래시하는 것 외에는 기능을 추가하기 위해 할 수 있는 일이 없습니다. 드라이브나 포함된 소프트웨어와는 아무 관련이 없습니다. 이는 마더보드 관련 문제입니다.
ATA는 BIOS에 대한 지침 세트에 지나지 않습니다. 설정하려는 것은 드라이브에 안전하게 저장된 고유 키를 인증하는 데 사용되는 HDD 사용자 및 마스터 비밀번호입니다. "사용자" 비밀번호를 사용하면 드라이브 잠금을 해제하고 정상적으로 부팅할 수 있습니다. '마스터'도 마찬가지다. 차이점은 BIOS에서 비밀번호를 변경하거나 드라이브의 암호화 키를 삭제하려면 "마스터" 비밀번호가 필요하다는 것입니다. 이렇게 하면 모든 데이터에 즉시 액세스할 수 없고 복구할 수 없게 됩니다. 이를 "보안 삭제" 기능이라고 합니다. 프로토콜에서는 32비트 문자열이 지원됩니다. 즉, 32자 비밀번호를 의미합니다. BIOS에서 HDD 암호 설정을 지원하는 소수의 랩탑 제조업체 중 대부분은 문자를 7 또는 8자로 제한합니다. 모든 BIOS 회사가 이를 지원하지 않는 이유는 제 능력이 아닙니다. 어쩌면 Stallman이 독점 BIOS에 관해 옳았을 수도 있습니다.
내가 아는 유일한 노트북(HDD 암호를 지원하는 데스크탑 BIOS는 거의 없음)으로 전체 길이 32비트 HDD 사용자 및 마스터 암호를 설정할 수 있는 것은 Lenovo ThinkPad T 또는 W 시리즈입니다. 마지막으로 일부 ASUS 노트북의 BIOS에 이러한 옵션이 있다고 들었습니다. Dell은 HDD 암호를 약한 8자로 제한합니다.
저는 삼성보다 Intel SSD의 키 스토리지에 훨씬 더 익숙합니다. Intel은 드라이브, 320 시리즈 이상에서 최초로 온칩 FDE를 제공했다고 생각합니다. AES 128비트였지만요. 저는 이 삼성 시리즈가 키 스토리지를 어떻게 구현하는지 광범위하게 조사하지 않았으며 현재로서는 누구도 실제로 알지 못합니다. 분명히 고객 서비스는 당신에게 도움이 되지 않았습니다. 나는 어떤 기술 회사에서든 5~6명만이 자신이 판매하는 하드웨어에 대해 실제로 알고 있다는 인상을 받았습니다. 인텔은 구체적인 내용을 언급하기를 꺼리는 것 같았지만 결국 회사 담당자가 포럼 어딘가에서 답변했습니다. 드라이브 제조업체의 경우 이 기능은 전적으로 나중에 고려한 사항이라는 점을 명심하십시오. 그들은 그것에 대해 아무것도 모르거나 관심이 없으며 고객의 99.9%도 마찬가지입니다. 상자 뒷면에 있는 또 다른 광고 글머리 기호입니다.
도움이 되었기를 바랍니다!
답변2
오늘 마침내 이 작업을 수행하게 되었으며 여러분처럼 BIOS에도 ATA 비밀번호 설정이 없다고 생각합니다(적어도 볼 수는 없습니다). BIOS 사용자/관리자 암호를 활성화했고 내 PC에 TPM 칩이 있지만 BitLocker는 TPM 칩(USB 키) 없이 작동해야 합니다. 여러분과 마찬가지로 저도 BitLocker 프롬프트에서 데이터만 암호화하시겠습니까 아니면 전체 디스크를 암호화하시겠습니까?와 똑같은 위치에 갇혔습니다.
내 문제는 내 마더보드가 UEFI를 지원하지만 내 Windows 설치가 UEFI가 아니라는 것입니다. msinfo32실행 명령을 입력하고 BIOS 모드를 확인하여 설치를 확인할 수 있습니다 . 그 이외의 내용이 나타나면 UEFI처음부터 Windows를 다시 설치해야 합니다.
이것 좀 봐삼성 SSD를 암호화하는 단계별 지침이 포럼의 관련 게시물을 안내하세요.
답변3
소프트웨어 암호화
TrueCrypt 7.1a는 SSD에서 사용하기에 적합하지만, 드라이브가 여전히 HDD보다 10배 이상의 IOP 성능을 발휘하더라도 IOP 성능이 상당히 저하될 수 있습니다. 따라서 Magician에 나열된 옵션을 사용할 수 없는 경우 TrueCrypt를 사용하여 드라이브를 암호화할 수 있지만 Windows 8 이상의 파일 시스템에서는 제대로 작동하지 않는 것으로 알려졌습니다. 이러한 이유로 전체 디스크 암호화 기능을 갖춘 BitLocker가 이러한 운영 체제에 더 나은 옵션입니다.
TCG 오팔
TCG Opal은 기본적으로 드라이브 부팅을 허용하고 드라이브에 대한 액세스 권한을 부여하기 위한 비밀번호를 사용자에게 제공할 목적으로만 드라이브의 예약된 부분에 일종의 미니 운영 체제를 설치할 수 있도록 허용하는 표준입니다. . 알려진 일부 안정적인 오픈 소스 프로젝트를 포함하여 이 기능을 설치하는 데 사용할 수 있는 다양한 도구가 있지만 Windows 8 이상 BitLocker에서는 이 기능을 지원해야 합니다.
저는 Windows 8 이상이 없기 때문에 설정 방법에 대한 지침을 제공할 수 없습니다. 하지만 제가 읽은 내용에 따르면 Windows를 설치할 때만 사용할 수 있고 설치된 후에는 사용할 수 없습니다. 숙련된 사용자가 자유롭게 수정해 주시기 바랍니다.
ATA 비밀번호
ATA 비밀번호 잠금은 Samsung 840 이상 시리즈 드라이브와 수천 개의 다른 드라이브에서 지원되는 ATA 표준의 옵션 기능입니다. 이 표준은 BIOS와 관련이 없으며 다양한 방법을 통해 액세스할 수 있습니다. BIOS가 ATA 표준을 제대로 따르지 않을 수 있으므로 ATA 암호를 설정하거나 관리하는 데 BIOS를 사용하지 않는 것이 좋습니다. 내 하드웨어가 이 기능을 지원하는 것처럼 보이지만 실제로는 규정을 준수하지 않는 경험이 있습니다.
이 기능을 검색하면 ATA 잠금 기능이 데이터 보호에 안전한 것으로 간주되어서는 안 된다는 주장이 많이 나올 것입니다. 이는 일반적으로 자체 암호화 드라이브(SED)가 아닌 HDD에만 해당됩니다. Samsung 840 이상 시리즈 드라이브는 SSD 및 SED이므로 이러한 논의는 적용되지 않습니다. ATA 비밀번호로 잠긴 Samsung 840 시리즈 이상은 이 질문에 설명된 대로 사용하기에 충분히 안전해야 합니다.
BIOS가 ATA 비밀번호로 잠긴 드라이브 잠금 해제를 지원할 수 있는지 확인하는 가장 좋은 방법은 드라이브를 잠그고 컴퓨터에 설치한 다음 컴퓨터를 부팅하고 비밀번호를 묻는지, 입력한 비밀번호로 드라이브 잠금을 해제할 수 있는지 확인하는 것입니다.
손실을 원하지 않는 데이터가 있는 드라이브에서는 이 테스트를 수행해서는 안 됩니다.
다행히 테스트 드라이브는 반드시 삼성 드라이브일 필요는 없습니다. ATA 표준 보안 세트를 지원하고 대상 컴퓨터에 설치할 수 있는 모든 드라이브일 수 있기 때문입니다.
드라이브의 ATA 기능에 액세스하는 가장 좋은 방법은 Linux 명령줄 유틸리티를 사용하는 것입니다 hdparm. Linux가 설치된 컴퓨터가 없더라도 설치 디스크 이미지가 설치 미디어에서 OS '라이브' 실행을 지원하는 배포판이 많이 있습니다. 예를 들어 Ubuntu 16.04 LTS는 대다수의 컴퓨터에 쉽고 빠르게 설치되어야 하며 동일한 이미지를 플래시 미디어에 기록하여 광학 드라이브가 없는 시스템에서 실행할 수도 있습니다.
ATA 비밀번호 보안을 활성화하는 방법에 대한 자세한 지침은 이 질문의 범위를 벗어나지만 이 튜토리얼이 이 작업에 가장 적합한 것으로 나타났습니다.
최대 비밀번호 길이는 32자입니다. BIOS가 표준을 올바르게 지원하는지 확인하려면 32자 비밀번호로 테스트를 수행하는 것이 좋습니다.
대상 컴퓨터의 전원을 끄고 드라이브 ATA 비밀번호를 잠근 상태에서 드라이브를 설치하고 시스템을 부팅합니다. BIOS가 드라이브 잠금을 해제하기 위해 암호를 요청하지 않으면 BIOS는 ATA 암호 잠금 해제를 지원하지 않는 것입니다. 또한, 비밀번호를 완전히 올바르게 입력한 것처럼 보이지만 드라이브 잠금이 해제되지 않는 경우 BIOS가 ATA 표준을 제대로 지원하지 않는 것일 수 있으므로 신뢰할 수 없습니다.
운영 체제를 설치하고 올바르게 로드하거나 테스트 드라이브를 로드하고 마운트할 수 있는 OS 드라이브를 측면에 설치하는 등 시스템이 잠금 해제된 드라이브를 제대로 읽고 있는지 확인하는 방법을 갖는 것이 좋습니다. 문제 없이 파일을 읽고 쓸 수 있습니다.
테스트에 성공하고 단계를 반복할 수 있다고 확신하는 경우 OS가 설치된 드라이브를 포함하여 드라이브에서 ATA 비밀번호를 활성화해도 드라이브의 데이터 부분에 아무 것도 변경되지 않으므로 다음 단계를 입력한 후 정상적으로 부팅되어야 합니다. BIOS의 비밀번호.
답변4
"NSA 인증 수준의 보안은 필요하지 않습니다."
어쨌든 무료인데 왜 사용하지 않으시겠습니까?
대학원에서 컴퓨터 보안과 컴퓨터 법의학 수업을 들은 후 드라이브를 암호화하기로 결정했습니다. 많은 옵션을 살펴봤고 DiskCrypt를 선택하게 되어 매우 기쁩니다. 설치가 쉽고 사용하기 쉬우며 PGP 서명이 제공되는 오픈 소스, exe가 소스와 일치하는지 확인하기 위해 직접 컴파일하는 방법에 대한 지침, 드라이브를 자동 마운트하고 사전 부팅 PW 프롬프트를 설정할 수 있으며 잘못된 경우 -pw 작업이며 AES-256을 사용합니다.
모든 최신 CPU는 단일 기계 명령으로 AES 암호화 라운드를 수행합니다(섹터의 데이터 가치를 암호화하려면 수십 라운드가 필요함). 내 벤치마크에서 AES는 복어와 같은 소프트웨어로 구현된 암호보다 11배 빠르게 실행됩니다. DiskCryptor는 PC가 디스크에서 데이터를 읽고 쓰는 것보다 몇 배 더 빠르게 데이터를 암호화할 수 있습니다. 측정 가능한 오버헤드가 없습니다.
저는 TEC 냉각, 홉업, 속도 주파수 5GHz 기계를 실행하고 있으므로 마일리지는 다양하지만 크게 다르지는 않습니다. 암호화/복호화에 필요한 CPU 시간이 너무 낮아 측정할 수 없습니다(예: 1% 미만).
일단 설정하면 완전히 잊어버릴 수 있습니다. 유일하게 눈에 띄는 효과는 부팅할 때 PW를 입력해야 한다는 점인데, 정말 기쁩니다.
SSD에 암호화를 사용하지 않는다는 소문은 이전에 들어본 적이 없는 소문입니다. 그것은 또한 부당합니다. 암호화된 데이터는 일반 데이터와 똑같이 드라이브에서 쓰고 읽습니다. 데이터 버퍼의 비트만 스크램블됩니다. 암호화된 드라이브에서 chkdsk/f를 실행하고 다른 디스크 유틸리티를 실행할 수 있습니다.
그런데 다른 프로그램과 달리 diskkeeper는 비밀번호를 메모리에 보관하지 않습니다. 암호화를 위해 단방향 해시 키를 사용하고, 메모리에 잘못 입력된 비밀번호를 덮어쓰며, 비밀번호 입력 및 검증 중에 페이징 파일에 영향을 미치지 않도록 최선을 다합니다.