我買了一個惠普羨慕 15-j005ea我已升級到 Windows 8.1 Pro 的筆記型電腦。我還移除了 HDD,並將其替換為 1TB Samsung Evo 840 SSD。我現在希望加密驅動器以保護我公司的源代碼和我的個人文檔,但我不知道如何做到這一點,或者是否可能。
我認為是這樣不建議在 SSD 上使用 Truecrypt但如果我錯了,請糾正我。我還了解到 840 Evo 具有內建 256 位元 AES 加密,因此建議使用它。
Evo已經更新到最新了EXT0BB6Q韌體我有最新的三星魔術師。我不知道我的 UEFI 等級是多少,但我知道該機器是 2013 年 12 月製造的,並且具有 Insyde 製造的 F.35 BIOS。
這是我嘗試過的:
位鎖。最新的三星韌體據稱與 Windows 8.1 eDrive 相容,因此我按照安南德科技文章。首先,筆記型電腦似乎沒有 TPM 晶片,因此我必須允許 Bitlocker 在沒有 TPM 的情況下工作。完成此操作後,我嘗試開啟 Bitlocker。 Anandtech 表示,「如果一切都符合 eDrive 標準,您將不會被詢問是否要加密全部或部分驅動器,在完成初始設定後,BitLocker 將被啟用。沒有額外的加密階段(因為資料已在您的SSD 上加密)。不幸的是,我曾是問我是否要加密全部或部分驅動器,所以我取消了。
在 BIOS 中設定 ATA 密碼。我的BIOS似乎沒有這樣的選項,只有管理者密碼和啟動密碼。
使用魔法師。它有一個“數據安全”選項卡,但我不完全理解這些選項,並懷疑沒有一個適用。
中的信息這個問題和答案有幫助但沒有回答我的問題。
顯然,我想知道的是如何加密 HP Envy 15 中的固態硬碟,還是我真的不走運?是否有其他選擇,或者我必須在沒有加密的情況下生活或歸還筆記型電腦?
有一個Anandtech 上有類似問題但仍然沒有答案。
答案1
必須在 BIOS 中的 ATA 安全擴充下設定密碼。通常 BIOS 選單中有一個名為「安全」的選項卡。身份驗證將在 BIOS 層級進行,因此該軟體「精靈」所做的任何操作都不會影響身份驗證的設定。如果先前不支援 HDD 密碼,則 BIOS 更新不太可能啟用 HDD 密碼。
說您正在設定加密是一種誤導。問題是驅動器總是加密寫入晶片的每一位。磁碟控制器自動執行此操作。為磁碟機設定 HDD 密碼可以將您的安全等級從零提高到幾乎牢不可破。只有惡意植入的硬體鍵盤記錄器或 NSA 發起的遠端 BIOS 漏洞才能檢索密碼以進行身份驗證;-) <-- 我猜。我還不確定他們能對 BIOS 做什麼。關鍵是它並非完全不可克服,但根據金鑰在磁碟機上的儲存方式,它是目前可用的最安全的硬碟加密方法。也就是說,這完全是矯枉過正。 BitLocker 可能足以滿足大多數消費者的安全需求。
當談到安全性時,我想問題是:你想要多少?
基於硬體的全碟加密比 TrueCrypt 等軟體級全碟加密安全幾個數量級。它還具有不影響 SSD 性能的額外優勢。 SSD 儲存位的方式有時會導致軟體解決方案出現問題。基於硬體的 FDE 只是一種不那麼混亂、更優雅、更安全的選擇,但即使在那些非常關心加密其寶貴資料的人中,它也沒有「流行起來」。做起來並不困難,但不幸的是,許多 BIOS 根本不支援「HDD 密碼」功能(不要與簡單的 BIOS 密碼混淆,業餘愛好者可以繞過它)。我甚至可以向您保證,甚至無需查看 BIOS,如果您還沒有找到該選項,那麼您的 BIOS 不支援它,那麼您就不走運了。這是一個韌體問題,除了使用 hdparm 之類的刷新 BIOS 之外,您無法添加該功能,這是一種非常不負責任的行為,即使我也不會嘗試這樣做。這與驅動器或附帶的軟體無關。這是主機板特定問題。
ATA只不過是BIOS的一組指令。您嘗試設定的是硬碟使用者和主密碼,該密碼將用於對安全儲存在磁碟機上的唯一金鑰進行身份驗證。 「用戶」密碼將允許驅動器解鎖並正常啟動。與“大師”相同。不同之處在於,需要「主」密碼才能更改 BIOS 中的密碼或擦除磁碟機中的加密金鑰,這會導致其所有資料立即無法存取且無法復原。這稱為“安全擦除”功能。該協定支援32位元字串,即32個字元的密碼。在少數支援在 BIOS 中設定硬碟密碼的筆記型電腦製造商中,大多數將字元限制為 7 或 8 個。也許斯托曼關於專有 BIOS 的看法是正確的。
據我所知,唯一允許您設定全長 32 位元 HDD 用戶和主密碼的筆記型電腦(幾乎沒有桌上型電腦 BIOS 支援 HDD 密碼)是 Lenovo ThinkPad T 或 W 系列。上次我聽說一些華碩筆記型電腦的 BIOS 中有這樣的選項。戴爾將 HDD 密碼限制為 8 個弱字元。
與三星相比,我對英特爾 SSD 中的關鍵儲存更加熟悉。我相信英特爾是第一個在其 320 系列及更高版本的驅動器中提供片上 FDE 的公司。儘管那是 AES 128 位元。我還沒有廣泛研究三星系列如何實現密鑰存儲,目前沒有人真正知道。顯然客戶服務對你沒有任何幫助。我的印像是,在任何科技公司中,只有五、六個人真正了解他們銷售的硬體。英特爾似乎不願意透露具體細節,但最終公司代表在論壇的某個地方做出了回應。請記住,對於驅動器製造商來說,此功能完全是事後才想到的。他們對此一無所知或不關心,99.9% 的客戶也是如此。這只是盒子背面的另一個廣告要點。
希望這可以幫助!
答案2
我今天終於讓它工作了,和你一樣,我相信我在 BIOS 中也沒有 ATA 密碼設定(至少我看不到)。我確實啟用了 BIOS 使用者/管理員密碼,而我的電腦確實有 TPM 晶片,但 BitLocker 應該可以在沒有 TPM 晶片(USB 金鑰)的情況下工作。和你一樣,我也被困在 BitLocker 提示中的完全相同的位置,我想只加密資料還是整個磁碟。
我的問題是我的 Windows 安裝不是 UEFI,儘管我的主機板支援 UEFI。您可以輸入msinfo32運行命令並檢查 Bios 模式來檢查安裝。如果它讀取到其他內容,UEFI則您需要從頭開始重新安裝 Windows。
看到這個加密三星 SSD 的逐步說明本論壇上相關貼文中的指南。
答案3
軟體加密
TrueCrypt 7.1a 非常適合在 SSD 上使用,但請注意,它可能會大幅降低 IOP 性能,儘管該驅動器的 IOP 性能仍比 HDD 好 10 倍以上。因此,如果您無法使用 Magician 中列出的選項,TrueCrypt 是一個用於加密磁碟機的選項,但據報道它在 Windows 8 及更高版本的檔案系統中運作得不好。因此,具有全磁碟加密功能的 BitLocker 是這些作業系統的更好選擇。
TCG 蛋白石
TCG Opal 基本上是一種標準,允許將某種迷你作業系統安裝到磁碟機的保留部分,該部分僅用於允許磁碟機啟動並向使用者提供密碼以授予對磁碟機的存取權限。有多種工具可用於安裝此功能,包括一些據稱穩定的開源項目,但 Windows 8 及更高版本的 BitLocker 應該支援此功能。
我沒有 Windows 8 或更高版本,因此我無法提供有關如何設定此功能的說明,但我的閱讀表明這僅在安裝 Windows 時可用,而不是在安裝後可用。有經驗的用戶歡迎指正。
ATA密碼
ATA 密碼鎖定是三星 840 和更高系列驅動器以及數千種其他驅動器支援的 ATA 標準的可選功能。該標準與 BIOS 無關,可以透過多種方法存取。我不建議使用 BIOS 來設定或管理 ATA 密碼,因為 BIOS 可能不完全符合 ATA 標準。我的經驗是,我自己的硬體似乎支援該功能,但實際上並不符合要求。
請注意,搜尋此功能將產生大量討論,聲稱 ATA 鎖定功能不應被認為對於保護資料是安全的。這通常僅適用於非自加密磁碟機 (SED) 的 HDD。由於三星 840 及更高版本的驅動器是 SSD 和 SED,因此這些討論根本不適用。鎖定三星 840 系列及更高版本的 ATA 密碼對於您的使用來說應該足夠安全,如本問題所述。
確保 BIOS 可以支援解鎖 ATA 密碼鎖定驅動器的最佳方法是鎖定驅動器,將其安裝到電腦中,然後啟動電腦並查看是否要求輸入密碼以及輸入的密碼是否可以解鎖驅動器。
不應在包含您不想遺失資料的磁碟機上執行此測試。
幸運的是,測試驅動器不必是三星驅動器,因為它可以是任何支援 ATA 標準安全集並且可以安裝在目標電腦中的驅動器。
我發現存取磁碟機 ATA 功能的最佳方法是使用 Linux 命令列實用程式hdparm。即使您沒有安裝 Linux 的計算機,許多發行版的安裝磁碟映像也支援從安裝媒體「即時」運行作業系統。例如,Ubuntu 16.04 LTS 應該可以輕鬆快速地安裝到絕大多數電腦上,並且相同的映像也可以寫入閃存介質,以便在沒有光碟機的系統上運行。
有關如何啟用 ATA 密碼安全性的詳細說明超出了本問題的範圍,但我發現本教學是完成此任務的最佳教學之一。
請注意,密碼的最大長度為 32 個字元。我建議使用 32 個字元的密碼進行測試,以確保 BIOS 正確支援該標準。
在目標電腦關閉且磁碟機 ATA 密碼鎖定的情況下,安裝磁碟機並引導系統。如果 BIOS 不要求輸入密碼來解鎖驅動器,則 BIOS 不支援 ATA 密碼解鎖。另外,如果您輸入的密碼看起來完全正確,但並未解鎖驅動器,則可能是 BIOS 未正確支援 ATA 標準,因此不應被信任。
採用某種方法來驗證系統是否正確讀取未鎖定的驅動器可能是個好主意,例如透過安裝並正確加載作業系統,或者與加載並可以安裝測試驅動器的作業系統驅動器一起安裝,讀寫檔案沒有問題。
如果測試成功並且您有信心重複這些步驟,則在磁碟機(包括安裝了作業系統的磁碟機)上啟用 ATA 密碼不會更改磁碟機的資料部分中的任何內容,因此在輸入BIOS 中的密碼。
答案4
“我不需要 NSA 證明的安全等級”
既然它是免費的,為什麼不使用它呢?
在參加了電腦安全和電腦取證的研究生課程後,我決定加密我的驅動器。我看了很多選項,很高興選擇了 DiskCrypt。它易於安裝,易於使用,開源,提供 PGP 簽名,說明如何自行編譯以確保 exe 與來源匹配,它自動掛載驅動器,您可以設定預啟動 PW 提示和錯誤-pw 操作,它將使用 AES-256。
任何現代 CPU 都會在一條機器指令中執行一輪 AES 加密(加密一個磁區的資料需要幾十輪)。根據我自己的基準測試,AES 的運行速度比河豚等軟體實現的密碼快 11 倍。 DiskCryptor 加密資料的速度比 PC 從磁碟讀取和寫入資料的速度快很多倍。沒有可測量的開銷。
我正在運行 TEC 冷卻、跳躍式、速度頻率 5 GHz 的機器,因此您的里程會有所不同,但不會相差太大。加密/解密所需的 CPU 時間太低而無法測量(即低於 1%)。
一旦你設定了它,你就可以完全忘記它。唯一明顯的影響是你必須在啟動時輸入你的密碼,我很高興這樣做。
至於SSD上不使用加密,這是我以前從未聽過的傳聞。這也是沒有道理的。加密資料的寫入和從磁碟機讀取的方式與普通資料完全相同。僅對資料緩衝區中的位元進行加擾。您可以 chkdsk/f 並在加密磁碟機上執行任何其他磁碟實用程式。
順便說一句,與其他程式不同,diskkeeper 不會將您的密碼保存在記憶體中。它使用單向雜湊密鑰進行加密,覆蓋記憶體中輸入錯誤的密碼,並竭盡全力確保它不會在密碼輸入和驗證期間出現在分頁檔案上。