Возможно ли аппаратное полное шифрование диска на Mac?

21

Можно ли использовать аппаратное полное шифрование диска (возможно, на твердотельном накопителе Samsung 840 Pro) на Mac, в частности Macbook Pro 8,2? Если так, то как?

Насколько я понимаю, это будет обрабатываться в BIOS или, возможно, EFI, однако я думаю, что EFI Apple, как правило, довольно заблокирован.

Я не ищу никаких программных решений, таких как FileVault 2 или TrueCrypt. Я использую двойную загрузку, и все будет проще, если она будет обрабатываться аппаратно.

macos macbook encryption efi Эрик Марш
источник
3
Хотя я понимаю, что аппаратное шифрование предпочтительнее, если это возможно, я хочу поставить под сомнение вашу мотивацию: шифрование диска различных поставщиков оборудования, похоже, плохо документировано. Предоставляется мало информации, но она необходима для обеспечения конфиденциальности реализации. FileVault 2, с другой стороны, в настоящее время проходит сертификацию FIPS 140-2 [1 ] - стандарт NIST для криптографических модулей.
джентматт
1
Исходя из моего личного опыта, программное полное шифрование диска в конфигурации с двойной загрузкой с Windows 7 не представляет проблемы, если я только зашифрую загрузочный том OS X с помощью FileVault 2 (это мои текущие настройки). Если вы также хотите зашифровать свой том Windows или Linux, все становится грязно - так что я слышал, но не проверял для себя.
джентматт
Ну, на самом деле я использую Ubuntu в основном с OSX на стороне. Также у меня есть общий раздел, хотя, возможно, это можно было бы обработать с помощью TrueCrypt. Это просто кажется меньше проблем и потребует меньше программ, если у меня будет только один пароль при загрузке.
Эрик Марш
Вы использовали Filevault 2 вместе с полным шифрованием диска Ubuntu? Это сработало хорошо? Мне просто любопытно, потому что я хочу отказаться от своего раздела Windows для Ubuntu 12.04.
Gentmatt
Нет, извините, я не пробовал. Я не думаю, что это будет проблемой, если вы не хотите читать один раздел при загрузке на другой. Я ожидаю, может быть, вы могли бы обойти это, используя TrueCrypt для обоих. Я немного использовал TrueCrypt, но не эксперт
Эрик Марш

Ответы:

3

Я спросил себя точно так же, как купил Samsung 840 Pro для моего MacBook Pro. После некоторых исследований я обнаружил, что этот пост указывает на то, что аппаратное шифрование 840 Pro требует поддержки TPM, и это встречается только в BIOS компьютера, а не в EFI для Mac (U). Чтобы быть уверенным, я попросил поддержку Samsung, какие из стандартов "ATA-Security", "Seagate DriveTrust" и "TCG OPAL" поддерживаются 840 Pro, и они ответили:

Уважаемый клиент,

Благодарим Вас за обращение в службу поддержки Samsung SSD. В ответ на ваш запрос единственное из 3, которое поддерживает устройство, - это функция безопасности ATA. Что касается шифрования, 840 Pro Series SSD поддерживает только 256-битное аппаратное шифрование AES, но требует, чтобы в BIOS был включен TPM.

Поэтому нет возможности включить аппаратное шифрование 840 Pro на Mac.

Тем не менее, есть также Crucial M500, который поддерживает опал TCG . В сочетании со специальным программным обеспечением для управления Opal как WinMagic в SecureDoc для Mac это звучит , как будто это возможно , чтобы получить аппаратное шифрование , чтобы работать на Mac.

Кстати, обратите внимание, что согласно поддержке Sophos их SafeGuard поддерживает Opal только в Windows, а не в Mac OS. Кроме того , компании McAfee General Q & А при Opal состояний

В: Будут ли поддерживаться диски Opal в Mac OS X?

A: Нет. Apple в настоящее время не поставляет свои устройства с дисками Opal, поэтому Opal не поддерживается в Endpoint Encryption для Mac.

Но, конечно, это ничего не говорит о том, что произойдет, если вы просто вставите диск Opal в Mac самостоятельно.

sschuberth
источник
TPM не требуется. В моей установке Windows 8.1 я смог активировать самошифрование этого диска без использования TPM - вам просто нужно изменить настройки BitLocker в gpedit.msc. Так что теоретически это возможно и в OS X, если OS поддерживает его.
Сардж Борщ
Не могли бы вы поделиться, какие именно настройки вы меняли в gpedit.msc?
Щуберт
howtogeek.com/howto/6229/…
Сардж Борщ
Эта статья очень похожа на то, что BitLocker будет использовать программное шифрование в этом случае, т.е. шифрование / дешифрование выполняется процессором, а не самим жестким диском. Тем более, что они рекомендуют TrueCrypt в качестве альтернативы.
Щуберт
я не сказал, что другие части верны. Кстати, самое полное руководство здесь: superuser.com/a/700251/161593
Sarge Borsch
2

Если продолжить ответ sschuberth, то по состоянию на декабрь 2013 года Samsung 840 EVO (но не PRO) также имеет прошивку, которая напрямую поддерживает TCG OPAL. Хорошая ставка, что обновление прошивки 840 Pro, чтобы сделать то же самое, скоро будет.

Вам нужно какое-то программное обеспечение для управления диском SED, в противном случае вы практически не получаете пользы от встроенной защиты.

WinMagic SecureDoc будет управлять диском, но не для каждой версии OS X (неподтвержденная информация предполагает 10.8.1: хорошо, 10.8.2: не хорошо).

Я полагаю, что вам также потребуется запустить корпоративное программное обеспечение WinMagic. Хотя у них есть отдельная версия SecureDoc для поддержки SED, похоже, что она доступна только для Windows.

ПРИМЕЧАНИЕ: SecureDoc не требует TPM для SED, а также 840 EVO, работающий в режиме TCG Opal. SecureDoc может поддерживать использование доверенного платформенного модуля, если он у вас есть, и включить эту функцию (только для Windows).

Larry
источник
1

Это хороший вопрос и - да - найти ответ на него практически невозможно. Samsung отправляет в Apple поддержку. Я ожидаю услышать от Apple, что это невозможно.

Полное шифрование диска HW против FileVault - разница в производительности заметна. Если вы не являетесь бизнес-пользователем по строгим требованиям к шифрованию, тогда нам нужно найти решение Samsung на базе HW. Но как включить его на Mac - больно выяснить.

Вой
источник
1
С недавними процессорами FileVault2 использует аппаратную AES и, по некоторым данным, оказывает незначительное влияние на производительность: osxdaily.com/2011/08/10/…
Алан Шутко
Мы не совсем обычные пользователи. Я предпочитаю использовать HW FDE, потому что это элегантное и «правильное» решение, особенно при двойной загрузке с общим разделом.
Эрик Марш
1

Да, линейка продуктов Viasat Eclypt работает с Mac (EFI) и обеспечивает аппаратное шифрование с полным диском, одобренное FIPS.

См .: Внутренний жесткий диск с внутренним шифрованием Eclypt Core

Таблицы продуктов Eclypt еще не обновлены (но поддерживается Mac OS X 10.5+, как и Apple UEFI). Вы можете увидеть конкретный продукт на http://www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4 . Также вы можете посмотреть этот блог http://robert-palmer.net/category/eclypt-protects/ для доказательства. Или свяжитесь напрямую с Viasat UK.

Дензил Декстер
источник
Хм, в его паспорте ничего не говорится об EFI или Mac, только о Windows.
Щуберт