SSD-шифрование SandForce - безопасность и поддержка

12

В настоящее время я думаю о покупке ThinkPad X201 и оснащении его SSD-накопителем. Теперь для защиты своих данных я всегда использовал Linux с полным шифрованием диска LUKS на своих ноутбуках. Однако, как указано в другом сообщении SuperUser, это приведет к отключению поддержки TRIM, так что это не очень хорошая идея для SSD-накопителя.

Я читал, что твердотельные накопители SandForce-1200 предлагают встроенное шифрование AES, привязанное к паролю BIOS. Однако я не могу найти надлежащую документацию по этому вопросу. Вопросов:

  • Есть ли общие недостатки этого подхода?
  • Я полагаю, что это потребует поддержки BIOS для этой функции - как узнать, работает ли на X201?
  • Старые версии BIOS поддерживают только короткие (например, 6 или 8 символов) пароли. Улучшилось ли это положение, чтобы обеспечить достаточную безопасность для шифрования диска?

Обновление: этот источник говорит, что вы даже не можете установить пароль на этих дисках. А? Это не имеет смысла, зачем вам даже выполнять сложные операции AES, если вы не позволяете использовать ключ?

Спасибо за любой экспертный совет по этому вопросу :)

c089
источник

Ответы:

11

Отвечая на мой собственный вопрос, вот что я узнал после поиска в сети в течение нескольких часов:

  • На устройствах SandForce шифрование AES включено по умолчанию, но есть проблемы с этим (см. Ниже)
  • Если вы обнулите диск с помощью ATA Secure Delete, ключ будет стерт и позднее восстановлен, и, таким образом, старые данные больше не будут доступны, что делает это приемлемым решением, когда вы собираетесь продать или выбросить ваш SSD
  • Однако установить пароль пользователя невозможно, чтобы тот, кто украл ваш ноутбук с твердотельным накопителем SandForce, не читал ваши данные.
  • Ключ шифрования не связан с безопасностью ATA и / или BIOS
  • Установка пароля пользователя была бы возможна, если бы был инструмент для этого. OCZ пообещал программу под названием «набор инструментов», которая позволит это очень часто на их форумах поддержки, но когда она была наконец выпущена в октябре 2010 года, она все еще не имела функциональности (и все еще не сегодня)
  • Я думаю, даже если бы вы могли установить пароль с помощью панели инструментов, было бы невозможно использовать устройство в качестве загрузочного устройства, потому что вы не могли разблокировать его из BIOS.
  • Использование программного обеспечения полного шифрования диска на SSD серьезно влияет на производительность диска - до такой степени, что он может быть медленнее, чем обычный жесткий диск.

Источник для некоторых из этой информации.

Обновление: если вам интересно, я написал немного больше о проблемах в специальном сообщении в блоге .

c089
источник
Полное замедление шифрования диска распространяется только на контроллеры Sandforce, которые полагаются на сжатие для своей скорости.
Zan Lynx
Сейчас я провожу те же исследования и выясняю, что делать с моим новым встроенным твердотельным накопителем HP Folio 13. Я действительно нашел ваш пост полезным: +1 к ответу, который вы опубликовали. Благодарность!
Т.А.Рехман
Для блокировки требуется пароль. Есть ли тогда смысл рекламировать это здесь?
Maaartinus
ой, извините за это, мне как-то удалось установить неверную учетную запись
WordPress
0

Шифрование диска для Sandforce, а не для вас. Если ваш диск выходит из строя, вы должны использовать одного из «одобренных» поставщиков, которым они предоставляют ключи, и которые берут 5-6 тысяч долларов за восстановление данных. Также известен как удержание ваших данных в заложниках, чтобы заработать.

Джимбо Джонс
источник
Также вы можете включить TRIM из контейнера LUKS. Смотрите здесь для получения инструкций: blog.christophersmart.com/2013/06/05/trim-on-lvm-on-luks-on-ssd
Джимбо Джонс