我目前正在考慮購買ThinkPad X201並為其配備SSD驅動器。現在,為了保護我的數據,我總是在筆記型電腦上使用具有 LUKS 全磁碟加密功能的 Linux。然而,正如另一篇超級用戶帖子中所述,這將禁用對 TRIM 的支援 - 因此對於 SSD 驅動器來說這似乎不是一個好主意。
我了解到基於 SandForce-1200 的 SSD 提供與 BIOS 密碼相關的整合 AES 加密。但是我找不到這方面的正確文檔。問題:
- 這種方法有什麼一般缺點嗎?
- 我想這需要 BIOS 支援該功能 - 如何確定是否適用於 X201?
- 舊的 BIOS 版本僅支援短(如 6 或 8 個字元)密碼,這種情況是否得到改善,可以為磁碟加密提供足夠的安全性?
更新:這個來源說你甚至無法在這些驅動器上設定任何密碼。啊?這沒有道理,當你不允許使用金鑰時,為什麼還要執行複雜的 AES 操作呢?
感謝您就此事提供任何專家建議:)
答案1
回答我自己的問題,這是我在網路上搜尋了幾個小時後發現的:
- SandForce 裝置預設啟用 AES 加密,但這有問題(見下文)
- 如果您使用ATA 安全刪除將驅動器清零,密鑰將被擦除並稍後重新生成,因此舊數據將無法再訪問- 當您打算出售或廢棄您的SSD 時,這將是一個可接受的解決方案
- 但是,設定使用者密碼是不可能阻止有人偷走您的配備 SandForce SSD 的筆記型電腦的人讀取您的數據
- 加密金鑰是不是連結到 ATA 安全性和/或 BIOS
- 設定用戶密碼會如果有一個工具可以實現這一點。 OCZ 承諾推出一個名為「工具箱」的程序,在其支援論壇上經常允許這樣做,但當它最終於 2010 年 10 月發佈時,它仍然沒有該功能(而且今天仍然沒有)
- 我想即使你可以使用工具箱設定密碼,也無法再將該設備用作啟動設備,因為你無法從BIOS中解鎖它。
- 在 SSD 上使用軟體全磁碟加密會嚴重影響磁碟機的效能 - 甚至可能比普通硬碟慢。
來源獲取其中一些資訊。
更新:如果您有興趣,我在a中寫了更多關於這些問題的內容專門的部落格文章。
答案2
磁碟加密適用於 Sandforce,而不適合您。如果您的驅動器發生故障,您必須使用他們「認可」的供應商之一,他們向他們提供密鑰,並收取 5-6,000 美元的資料恢復費用。也稱為劫持數據來賺錢。