Eu comprei umHP Envy 15-j005ealaptop que atualizei para o Windows 8.1 Pro. Também removi o HDD e substituí-o por um SSD Samsung Evo 840 de 1 TB. Agora desejo criptografar a unidade para proteger o código-fonte da minha empresa e meus documentos pessoais, mas não consigo descobrir como fazê-lo ou se é possível.
Eu entendo que énão recomendado usar Truecrypt em um SSDmas por favor me corrija se eu estiver errado. Também entendo que o 840 Evo possui criptografia AES de 256 bits integrada, por isso é recomendado usá-la.
O Evo foi atualizado para o mais recenteFirmware EXT0BB6Qe eu tenho o mais recente Samsung Magician. Não sei qual é o nível UEFI que possuo, mas sei que a máquina foi construída em dezembro de 2013 e possui BIOS F.35 fabricado pela Insyde.
Isto é o que eu tentei:
BitLocker. O firmware mais recente da Samsung é supostamente compatível com o Windows 8.1 eDrive, então segui as instruções que encontrei em umArtigo Anandtech. Em primeiro lugar, parece que o laptop não tem chip TPM, então tive que permitir que o Bitlocker funcionasse sem TPM. Depois de fazer isso, tentei ativar o Bitlocker. Anandtech diz que "Se tudo for compatível com eDrive, você não será perguntado se deseja criptografar toda ou parte da unidade, depois de passar pela configuração inicial, o BitLocker será apenas habilitado. Não há estágio de criptografia extra (já que os dados já está criptografado no seu SSD). Se você fez algo errado ou alguma parte do seu sistema não é compatível com o eDrive, você receberá um indicador de progresso e um processo de criptografia de software um tanto demorado. Infelizmente, eueraperguntei se eu queria criptografar toda ou parte da unidade, então cancelei isso.
Configurando a senha ATA no BIOS. Parece que não tenho essa opção no BIOS, apenas uma senha de administrador e uma senha de inicialização.
Usando o mágico. Possui uma guia "Segurança de Dados", mas não entendo completamente as opções e suspeito que nenhuma seja aplicável.
A informação emesta pergunta e respostaajudou, mas não respondeu à minha pergunta.
Claramente, então, o que eu gostaria de saber é como criptografo minha unidade de estado sólido no HP Envy 15 ou estou realmente sem sorte? Existem opções alternativas ou devo viver sem criptografia ou devolver o laptop?
Existe umpergunta semelhante no Anandtechmas permanece sem resposta.
Responder1
A senha deve ser definida no BIOS na extensão de segurança ATA. Normalmente há uma guia no menu do BIOS intitulada “Segurança”. A autenticação ocorrerá no nível do BIOS, portanto, nada que este "assistente" de software faça terá qualquer influência na configuração da autenticação. É improvável que uma atualização do BIOS habilite a senha do HDD se ela não for suportada anteriormente.
Dizer que você está configurando a criptografia é enganoso. O problema é que a unidade SEMPRE criptografa cada bit que grava nos chips. O controlador de disco faz isso automaticamente. Definir uma(s) senha(s) de HDD para a unidade é o que leva seu nível de segurança de zero a praticamente inquebrável. Somente um keylogger de hardware plantado maliciosamente ou uma exploração remota do BIOS gerada pela NSA poderia recuperar a senha para autenticação ;-) <-- eu acho. Ainda não tenho certeza do que eles podem fazer com o BIOS. A questão é que não é totalmente intransponível, mas dependendo de como a chave é armazenada na unidade, é o método mais seguro de criptografia de disco rígido disponível atualmente. Dito isto, é um exagero total. O BitLocker é provavelmente suficiente para a maioria das necessidades de segurança do consumidor.
Quando se trata de segurança, acho que a pergunta é: quanto você quer?
A criptografia completa de disco baseada em hardware é várias ordens de magnitude mais segura do que a criptografia completa de disco em nível de software, como TrueCrypt. Também tem a vantagem adicional de não prejudicar o desempenho do seu SSD. A maneira como os SSDs armazenam seus bits às vezes pode levar a problemas com soluções de software. O FDE baseado em hardware é apenas uma opção menos confusa, mais elegante e segura, mas não "pegou" mesmo entre aqueles que se importam o suficiente para criptografar seus dados valiosos. Não é nada complicado de fazer, mas infelizmente muitos BIOS simplesmente não suportam a função "Senha do HDD" (NÃO deve ser confundida com uma simples senha do BIOS, que pode ser contornada por amadores). Posso garantir a você, mesmo sem olhar no BIOS, que se você ainda não encontrou a opção, seu BIOS não suporta e você está sem sorte. É um problema de firmware e não há nada que você possa fazer para adicionar o recurso, exceto atualizar seu BIOS com algo como hdparm, que é algo tão irresponsável que nem eu tentaria. Não tem nada a ver com a unidade ou com o software incluído. Este é um problema específico da placa-mãe.
ATA nada mais é do que um conjunto de instruções para o BIOS. O que você está tentando definir é uma senha mestre e de usuário do HDD, que será usada para autenticar a chave exclusiva armazenada com segurança na unidade. A senha de “usuário” permitirá que a unidade seja desbloqueada e a inicialização prossiga normalmente. A mesma coisa com "Mestre". A diferença é que uma senha “mestre” é necessária para alterar as senhas no BIOS ou apagar a chave de criptografia da unidade, o que torna todos os seus dados inacessíveis e irrecuperáveis instantaneamente. Isso é chamado de recurso "Apagamento seguro". No protocolo, uma sequência de caracteres de 32 bits é suportada, o que significa uma senha de 32 caracteres. Dos poucos fabricantes de laptop que suportam a configuração de uma senha de HDD no BIOS, a maioria limita os caracteres a 7 ou 8. Por que todas as empresas de BIOS não oferecem suporte, isso está além da minha compreensão. Talvez Stallman estivesse certo sobre BIOS proprietário.
O único laptop (praticamente nenhum BIOS de desktop suporta senha de HDD) que eu sei que permitirá que você defina uma senha mestra e de usuário de HDD de 32 bits completa é um Lenovo ThinkPad série T ou W. A última vez que ouvi alguns notebooks ASUS têm essa opção em seu BIOS. A Dell limita a senha do HDD a 8 caracteres fracos.
Estou muito mais familiarizado com o armazenamento de chaves nos SSDs da Intel do que com a Samsung. Acredito que a Intel foi a primeira a oferecer FDE on-chip em seus drives, da série 320 em diante. Embora fosse AES de 128 bits. Não investiguei extensivamente como esta série Samsung implementa o armazenamento de chaves e ninguém sabe realmente neste momento. Obviamente, o atendimento ao cliente não ajudou em nada. Tenho a impressão de que apenas cinco ou seis pessoas em qualquer empresa de tecnologia sabem alguma coisa sobre o hardware que vendem. A Intel parecia relutante em revelar os detalhes, mas eventualmente um representante da empresa respondeu em algum fórum. Tenha em mente que para os fabricantes de unidades esse recurso é uma reflexão tardia. Eles não sabem nem se importam com isso e nem 99,9% de seus clientes. É apenas mais um marcador de anúncio na parte de trás da caixa.
Espero que isto ajude!
Responder2
Finalmente consegui fazer isso funcionar hoje e, como você, acredito que também não tenho uma senha ATA configurada no BIOS (pelo menos não que eu possa ver). Habilitei as senhas de usuário/administrador do BIOS e meu PC possui um chip TPM, mas o BitLocker deve funcionar sem um (chave USB). Assim como você, também fiquei preso exatamente no mesmo local no prompt do BitLocker: desejo criptografar apenas os dados ou o disco inteiro.
Meu problema era que minha instalação do Windows não era UEFI, embora minha placa-mãe suporte UEFI. Você pode verificar sua instalação digitando msinfo32o comando run e verificando o modo Bios. Se aparecer algo diferente UEFI, você precisará reinstalar o Windows do zero.
Veja issoInstruções passo a passo para criptografar SSD Samsungguia em uma postagem relacionada neste fórum.
Responder3
Criptografia de software
TrueCrypt 7.1a é adequado para uso em SSDs, mas observe que provavelmente reduzirá o desempenho dos IOPs em uma quantidade considerável, embora a unidade ainda execute IOPs 10 vezes melhores que o HDD. Portanto, se você não puder usar as opções listadas no Magician, o TrueCrypt é uma opção para criptografar a unidade, mas supostamente não funciona muito bem com o Windows 8 e sistemas de arquivos posteriores. Por esse motivo, o BitLocker com criptografia completa de disco é a melhor opção para esses sistemas operacionais.
Opala TCG
TCG Opal é basicamente um padrão que permite que uma espécie de mini sistema operacional seja instalado em uma parte reservada do drive que tem apenas o propósito de permitir a inicialização do drive e apresentar ao usuário uma senha para conceder acesso ao drive . Existem várias ferramentas disponíveis para instalar esse recurso, incluindo alguns projetos de código aberto supostamente estáveis, mas o Windows 8 e o BitLocker posterior devem oferecer suporte a esse recurso.
Não tenho o Windows 8 ou posterior, portanto não posso fornecer instruções sobre como configurá-lo, mas minha leitura indica que isso só está disponível durante a instalação do Windows, e não após a instalação. Usuários experientes sintam-se à vontade para me corrigir.
Senha ATA
O bloqueio por senha ATA é um recurso opcional do padrão ATA suportado pelas unidades Samsung série 840 e posteriores, bem como por milhares de outras. Este padrão não está relacionado a um BIOS e pode ser acessado por vários métodos. Não recomendo usar um BIOS para definir ou gerenciar a senha ATA, pois o BIOS pode não estar em conformidade com o padrão ATA. Tenho experiência com meu próprio hardware que parece oferecer suporte ao recurso, mas na verdade não está em conformidade.
Observe que a pesquisa sobre esse recurso produzirá muita discussão, alegando que o recurso de bloqueio ATA não deve ser considerado seguro para proteção de dados. Geralmente, isso é correto apenas para HDDs que também não são unidades com criptografia automática (SED). Como as unidades da série Samsung 840 e posteriores são SSDs e SEDs, essas discussões simplesmente não são aplicáveis. A senha ATA bloqueada Samsung série 840 e posterior deve ser segura o suficiente para seu uso, conforme descrito nesta pergunta.
A melhor maneira de ter certeza de que seu BIOS pode suportar o desbloqueio de uma unidade bloqueada por senha ATA é bloquear uma unidade, instalá-la no computador, inicializar o computador e ver se ele solicita uma senha e se a senha digitada pode desbloquear a unidade.
Este teste não deve ser realizado em uma unidade com dados que você não deseja perder.
Felizmente, o test drive não precisa ser o drive Samsung, pois pode ser qualquer drive que suporte o conjunto de segurança padrão ATA e possa ser instalado no computador de destino.
A melhor maneira que encontrei para acessar os recursos ATA de uma unidade é com o utilitário de linha de comando do Linux hdparm. Mesmo que você não tenha um computador com Linux, existem muitas distribuições cuja imagem do disco de instalação também suporta a execução do sistema operacional “ao vivo” a partir da mídia de instalação. O Ubuntu 16.04 LTS, por exemplo, deve ser instalado de forma fácil e rápida na grande maioria dos computadores e a mesma imagem também pode ser gravada em mídia flash para execução em sistemas sem unidades ópticas.
Instruções detalhadas sobre como habilitar a segurança de senha ATA estão além do escopo desta questão, mas achei este tutorial um dos melhores para esta tarefa.
Habilitando a segurança ATA em um SSD com criptografia automática
Observe que o comprimento máximo da senha é de 32 caracteres. Recomendo fazer o teste com uma senha de 32 caracteres para ter certeza de que o BIOS suporta o padrão corretamente.
Com o computador de destino desligado e a senha ATA da unidade bloqueada, instale a unidade e inicialize o sistema. Se o BIOS não solicitar uma senha para desbloquear a unidade, o BIOS não oferece suporte ao desbloqueio por senha ATA. Além disso, se parece que você está digitando a senha corretamente, mas ela não está desbloqueando a unidade, pode ser que o BIOS não suporte adequadamente o padrão ATA e, portanto, não deve ser confiável.
Pode ser uma boa ideia ter alguma maneira de verificar se o sistema está lendo corretamente a unidade desbloqueada, como ter um sistema operacional instalado e carregado corretamente ou instalar ao lado uma unidade de sistema operacional que carregue e possa montar o test drive e leia e grave arquivos sem problemas.
Se o teste for bem-sucedido e você se sentir confiante em repetir as etapas, habilitar a senha ATA em uma unidade, incluindo uma com sistema operacional instalado, não alterará nada na parte de dados da unidade, portanto, ela deverá inicializar normalmente após entrar no senha no BIOS.
Responder4
“Não preciso de níveis de segurança à prova da NSA”
Bem, por que não usá-lo de qualquer maneira, já que é grátis?
Depois de fazer aulas de pós-graduação em segurança e ciência forense de computadores, decidi criptografar minha unidade. Eu olhei para muitas opções e estou MUITO feliz por ter selecionado o DiskCrypt. É fácil de instalar, fácil de usar, código aberto com assinaturas PGP fornecidas, instruções sobre como compilá-lo você mesmo para garantir que o exe corresponda à fonte, ele monta automaticamente as unidades, você pode definir o prompt PW de pré-inicialização e errado -pw e usará AES-256.
Qualquer CPU moderna fará uma rodada de criptografia AES em uma ÚNICA instrução de máquina (criptografar os dados de um setor leva algumas dúzias de rodadas). Em meus próprios benchmarks, o AES é executado onze vezes mais rápido do que cifras implementadas por software, como o baiacu. O DiskCryptor pode criptografar dados muitas vezes mais rápido do que o PC pode ler e gravar no disco. NÃO há sobrecarga mensurável.
Estou executando uma máquina com frequência de 5 GHz, refrigerada por TEC e com velocidade aumentada, então sua quilometragem pode variar, mas não muito. O tempo de CPU necessário para criptografar/descriptografar era muito baixo para ser medido (ou seja, menos de 1%).
Depois de configurá-lo, você pode esquecê-lo totalmente. O único efeito perceptível é que você precisa digitar seu PW na inicialização, o que tenho o prazer de fazer.
Quanto a não usar criptografia em SSDs, é um boato que nunca ouvi antes. Também é injustificado. Os dados criptografados são gravados e lidos na unidade exatamente como os dados normais. Apenas os bits no buffer de dados são embaralhados. Você pode chkdsk/f e executar qualquer outro utilitário de disco em uma unidade criptografada.
E, aliás, ao contrário de outros programas, o diskkeeper não mantém seu pw na memória. Ele usa uma chave com hash unidirecional para criptografia, substitui seus pwds digitados incorretamente na memória e faz de tudo para garantir que ele não seja exibido em um arquivo de paginação durante a entrada e validação do PW.