Я купилHP Envy 15-j005eaноутбук, который я обновил до Windows 8.1 Pro. Я также удалил жесткий диск и заменил его на твердотельный накопитель Samsung Evo 840 емкостью 1 ТБ. Теперь я хочу зашифровать диск, чтобы защитить исходный код моей компании и мои личные документы, но я не могу понять, как это сделать, и возможно ли это вообще.
Я так понимаю, что это такне рекомендуется использовать Truecrypt на SSDно, пожалуйста, поправьте меня, если я ошибаюсь. Я также понимаю, что 840 Evo имеет встроенное 256-битное шифрование AES, поэтому рекомендуется использовать его.
Evo обновлен до последней версииПрошивка EXT0BB6Qи у меня последняя версия Samsung Magician. Я не знаю, какой у меня уровень UEFI, но я знаю, что машина была собрана в декабре 2013 года и имеет F.35 BIOS, созданный Insyde.
Вот что я попробовал:
Bitlocker. Последняя прошивка Samsung предположительно совместима с Windows 8.1 eDrive, поэтому я следовал инструкциям, которые нашел вСтатья Anandtech. Во-первых, похоже, что на ноутбуке нет чипа TPM, поэтому мне пришлось разрешить Bitlocker работать без TPM. После того, как я это сделал, я попытался включить Bitlocker. Anandtech говорят, что «Если все совместимо с eDrive, вас не спросят, хотите ли вы зашифровать весь диск или его часть, после того, как вы пройдете начальную настройку, BitLocker будет просто включен. Дополнительного этапа шифрования нет (так как данные уже зашифрованы на вашем SSD). Если вы сделали что-то неправильно или какая-то часть вашей системы не совместима с eDrive, вы увидите индикатор хода выполнения и довольно длительный процесс программного шифрования». К сожалению, ябылспросили, хочу ли я зашифровать весь диск или его часть, поэтому я отменил это действие.
Установка пароля ATA в BIOS. У меня, похоже, нет такой опции в BIOS, только пароль администратора и пароль загрузки.
Использую Magician. Там есть вкладка «Безопасность данных», но я не до конца понимаю ее параметры и подозреваю, что ни один из них не применим.
Информация вэтот вопрос и ответпомогло, но не ответило на мой вопрос.
Понятно, что я хотел бы узнать, как мне зашифровать мой твердотельный накопитель в HP Envy 15 или мне действительно не повезло? Есть ли альтернативные варианты или мне придется либо жить без шифрования, либо вернуть ноутбук?
Eстьаналогичный вопрос на Anandtechно он остается без ответа.
решение1
Пароль должен быть установлен в BIOS в расширении ATA-security. Обычно в меню BIOS есть вкладка под названием "Security". Аутентификация будет происходить на уровне BIOS, поэтому никакие действия этого программного "мастера" не имеют никакого отношения к настройке аутентификации. Маловероятно, что обновление BIOS включит пароль HDD, если он ранее не поддерживался.
Сказать, что вы настраиваете шифрование, — это заблуждение. Дело в том, что диск ВСЕГДА шифрует каждый бит, который он записывает на чипы. Контроллер диска делает это автоматически. Установка пароля(ей) жесткого диска на диск — это то, что поднимает уровень вашей безопасности с нуля до практически невзламываемого. Только вредоносный аппаратный кейлоггер или удаленный эксплойт BIOS, созданный АНБ, могут получить пароль для аутентификации ;-) <-- Я полагаю. Я пока не уверен, что они могут сделать с BIOS. Дело в том, что это не совсем непреодолимо, но в зависимости от того, как ключ хранится на диске, это самый безопасный метод шифрования жесткого диска из доступных в настоящее время. Тем не менее, это полный перебор. BitLocker, вероятно, достаточен для большинства потребностей безопасности потребителей.
Когда речь заходит о безопасности, я думаю, вопрос стоит так: сколько вы хотите?
Аппаратное полное шифрование диска на несколько порядков безопаснее программного полного шифрования диска, такого как TrueCrypt. У него также есть дополнительное преимущество: оно не снижает производительность вашего SSD. То, как SSD хранит свои биты, иногда может привести к проблемам с программными решениями. Аппаратное FDE просто менее запутанное, более элегантное и безопасное решение, но оно не «прижилось» даже среди тех, кто достаточно заботится о шифровании своих ценных данных. Это совсем не сложно сделать, но, к сожалению, многие BIOS просто не поддерживают функцию «пароля жесткого диска» (НЕ путать с простым паролем BIOS, который могут обойти любители). Я могу гарантировать вам, даже не заглядывая в ваш BIOS, что если вы еще не нашли эту опцию, ваш BIOS ее не поддерживает, и вам не повезло. Это проблема прошивки, и вы ничего не можете сделать, чтобы добавить эту функцию, кроме как перепрошить свой BIOS с помощью чего-то вроде hdparm, что настолько безответственно, что даже я бы не стал пытаться это делать. Это не связано с приводом или прилагаемым программным обеспечением. Это проблема конкретной материнской платы.
ATA — это не более чем набор инструкций для BIOS. То, что вы пытаетесь установить, — это пароль пользователя и мастера жесткого диска, который будет использоваться для аутентификации с уникальным ключом, надежно сохраненным на диске. Пароль «Пользователь» позволит разблокировать диск и продолжить загрузку в обычном режиме. То же самое и с «Мастером». Разница в том, что для смены паролей в BIOS или стирания ключа шифрования на диске требуется пароль «Мастер», что мгновенно делает все его данные недоступными и невосстановимыми. Это называется функцией «Безопасное стирание». В рамках протокола поддерживается 32-битная строка символов, то есть пароль из 32 символов. Из немногих производителей ноутбуков, которые поддерживают установку пароля жесткого диска в BIOS, большинство ограничивают количество символов 7 или 8. Почему каждая компания BIOS не поддерживает это, мне непонятно. Возможно, Столлман был прав насчет фирменного BIOS.
Единственный ноутбук (практически ни один настольный BIOS не поддерживает пароль HDD), который, как я знаю, позволит вам установить полноразмерный 32-битный пароль пользователя и главного пароля HDD, — это Lenovo ThinkPad серии T или W. В последний раз я слышал, что у некоторых ноутбуков ASUS есть такая опция в BIOS. Dell ограничивает пароль HDD слабыми 8 символами.
Я гораздо лучше знаком с хранением ключей в SSD-накопителях Intel, чем с Samsung. Я считаю, что Intel была первой, кто предложил встроенную технологию FDE в своих дисках, начиная с серии 320. Хотя это был AES 128 бит. Я не изучал подробно, как эта серия Samsung реализует хранение ключей, и на данный момент никто толком не знает. Очевидно, служба поддержки клиентов вам ничем не помогла. У меня сложилось впечатление, что только пять или шесть человек в любой технологической компании на самом деле знают что-то об оборудовании, которое они продают. Intel, похоже, не хотела раскрывать подробности, но в конце концов представитель компании ответил где-то на форуме. Имейте в виду, что для производителей дисков эта функция — совершенно второстепенная. Они не знают и не заботятся об этом, как и 99,9% процентов их клиентов. Это просто еще один рекламный пункт на обратной стороне коробки.
Надеюсь это поможет!
решение2
Я наконец-то заставил это работать сегодня, и, как и вы, я полагаю, что у меня также нет настройки пароля ATA в BIOS (по крайней мере, насколько я могу судить). Я включил пароли пользователя/администратора в BIOS, и на моем ПК есть чип TPM, но BitLocker должен работать и без него (USB-ключ). Как и вы, я застрял на том же самом месте в запросе BitLocker, хочу ли я зашифровать только данные или весь диск.
Моя проблема была в том, что моя установка Windows не была UEFI, хотя моя материнская плата поддерживает UEFI. Вы можете проверить свою установку, введя msinfo32команду «Выполнить» и проверив режим Bios. Если там написано что-то другое UEFI, вам нужно переустановить Windows с нуля.
Видеть этоПошаговые инструкции по шифрованию SSD-накопителя Samsungруководство в соответствующем посте на этом форуме.
решение3
Программное шифрование
TrueCrypt 7.1a отлично подходит для использования на SSD, но учтите, что он, скорее всего, значительно снизит производительность IOP, хотя диск все равно будет выполнять IOP в 10 раз лучше, чем HDD. Так что если вы не можете использовать опции, перечисленные в Magician, TrueCrypt — это вариант для шифрования диска, но, как сообщается, он не очень хорошо работает с файловыми системами Windows 8 и более поздними версиями. По этой причине BitLocker с полным шифрованием диска — лучший вариант для этих операционных систем.
TCG Опал
TCG Opal — это, по сути, стандарт, позволяющий устанавливать своего рода мини-операционную систему в зарезервированную часть диска, которая предназначена только для того, чтобы диск мог загружаться и предоставлять пользователю пароль для предоставления доступа к диску. Существуют различные инструменты для установки этой функции, включая некоторые, как сообщается, стабильные проекты с открытым исходным кодом, но Windows 8 и более поздние версии BitLocker должны поддерживать эту функцию.
У меня нет Windows 8 или более поздней версии, поэтому я не могу предоставить инструкции по настройке, но, как я понял, это доступно только при установке Windows, а не после ее установки. Опытные пользователи могут меня поправить.
Пароль АТА
Блокировка пароля ATA — это дополнительная функция стандарта ATA, поддерживаемая дисками Samsung 840 и более поздних серий, а также тысячами других. Этот стандарт не связан с BIOS и может быть доступен любым количеством методов. Я не рекомендую использовать BIOS для установки или управления паролем ATA, поскольку BIOS может не соответствовать стандарту ATA. У меня есть опыт работы с собственным оборудованием, которое, как кажется, поддерживает эту функцию, но на самом деле не соответствует.
Обратите внимание, что поиск по этой функции вызовет много обсуждений, утверждающих, что функция блокировки ATA не должна считаться безопасной для защиты данных. Это, как правило, верно только для жестких дисков, которые не являются самошифрующимися дисками (SED). Поскольку диски Samsung 840 и более поздних серий являются твердотельными накопителями и SED, эти обсуждения просто неприменимы. Заблокированные паролем ATA диски Samsung 840 и более поздних серий должны быть достаточно безопасными для вашего использования, как описано в этом вопросе.
Лучший способ убедиться, что ваш BIOS поддерживает разблокировку защищенного паролем диска ATA, — это заблокировать диск, установить его в компьютер, затем загрузить компьютер и посмотреть, запросит ли он пароль и сможет ли введенный пароль разблокировать диск.
Этот тест не следует проводить на диске с данными, которые вы не хотите потерять.
К счастью, тестовый диск не обязательно должен быть диском Samsung, это может быть любой диск, поддерживающий стандартный набор безопасности ATA и который можно установить в целевой компьютер.
Лучший способ, который я нашел для доступа к функциям ATA привода, — это утилита командной строки Linux hdparm. Даже если у вас нет компьютера с Linux, существует множество дистрибутивов, образ установочного диска которых также поддерживает запуск ОС «вживую» с установочного носителя. Например, Ubuntu 16.04 LTS должен легко и быстро устанавливаться на подавляющее большинство компьютеров, и тот же образ можно также записать на флэш-носитель для работы в системах без оптических приводов.
Подробные инструкции по включению защиты паролем ATA выходят за рамки этого вопроса, но я нашел это руководство одним из лучших для решения этой задачи.
Включение безопасности ATA на самошифрующемся SSD
Обратите внимание, что максимальная длина пароля составляет 32 символа. Я рекомендую провести тест с 32-символьным паролем, чтобы убедиться, что BIOS правильно поддерживает стандарт.
При выключенном целевом компьютере и заблокированном пароле ATA диска установите диск и загрузите систему. Если BIOS не запрашивает пароль для разблокировки диска, то BIOS не поддерживает разблокировку пароля ATA. Кроме того, если кажется, что вы вводите пароль совершенно правильно, но диск не разблокируется, возможно, BIOS не поддерживает стандарт ATA должным образом, и поэтому ему не следует доверять.
Возможно, было бы неплохо иметь какой-то способ проверить, правильно ли система считывает разблокированный диск, например, установив и правильно загрузив операционную систему или установив рядом диск с ОС, который загружается и может монтировать тестовый диск, а также считывать и записывать файлы без проблем.
Если тест пройден успешно и вы уверены в том, что сможете повторить шаги, включение пароля ATA на диске, в том числе на диске с установленной ОС, не приведет к каким-либо изменениям в разделе данных диска, поэтому он должен нормально загрузиться после ввода пароля в BIOS.
решение4
«Мне не нужен уровень безопасности, сопоставимый с уровнем АНБ»
Ну, а почему бы не воспользоваться им, раз он бесплатный?
После окончания аспирантуры по компьютерной безопасности и компьютерной криминалистике я решил зашифровать свой диск. Я рассмотрел много вариантов и ОЧЕНЬ рад, что выбрал DiskCrypt. Его легко установить, легко использовать, исходный код открыт, есть подписи PGP, есть инструкции по самостоятельной компиляции, чтобы убедиться, что исполняемый файл соответствует исходному коду, он автоматически монтирует диски, можно задать запрос пароля перед загрузкой и действие при вводе неверного пароля, и он будет использовать AES-256.
Любой современный процессор выполнит раунд шифрования AES за ОДНУ машинную инструкцию (шифрование данных сектора занимает пару десятков раундов). По моим собственным тестам, AES работает в одиннадцать раз быстрее, чем программно реализованные шифры, такие как blowfish. DiskCryptor может шифровать данные во много раз быстрее, чем ПК может считывать и записывать их с диска. НЕТ НИКАКИХ измеримых накладных расходов.
Я использую машину с охлаждением TEC, увеличенной частотой 5 ГГц, поэтому ваш пробег будет отличаться, но не намного. Время ЦП, необходимое для шифрования/дешифрования, было слишком низким для измерения (т. е. менее 1%).
Настроив его, вы можете полностью забыть об этом. Единственный заметный эффект — вам придется вводить свой пароль при загрузке, что я с удовольствием и делаю.
Что касается неиспользования шифрования на SSD, то это слух, о котором я раньше не слышал. Он также необоснован. Зашифрованные данные записываются и считываются с диска точно так же, как и обычные данные. Только биты в буфере данных шифруются. Вы можете chkdsk/f и запустить любую другую дисковую утилиту на зашифрованном диске.
И, кстати, в отличие от других программ, diskkeeper не хранит ваш пароль в памяти. Он использует односторонний хэшированный ключ для шифрования, перезаписывает ваши неправильно введенные пароли в памяти и делает все возможное, чтобы не оказаться в файле подкачки во время ввода и проверки пароля.