Как включить аппаратное шифрование на Samsung 850 Pro
10
У меня новый Samsung 850 pro, который рекламирует аппаратное шифрование . Согласно этой странице, я должен просто зайти в свой BIOS и установить пароль жесткого диска (без проблем). Только соответствующая нить я нашел по этому вопросу также говорит что - то по тем же причинам . У меня нет такой опции в моем BIOS (у меня есть плата Gigabyte с чипсетом Z87, номер модели ускользает от меня в это время). Если бы мне пришлось купить новую материнскую плату, чтобы она заработала, какие функции должна поддерживать плата?
Зависит от того, что вы подразумеваете под «заставить это работать». Этот накопитель поддерживает OPAL 2.0, который позволяет различным программно-управляемым схемам шифрования использовать аппаратно-ускоренное шифрование. Он также позволяет выполнять проверку подлинности перед загрузкой (PBA) для шифрования, например схемы BIOS / EFI. Если вы хотите использовать PBA (то есть пароль / пин-код в BIOS / EFI), вам придется переключиться на материнскую плату, которая его поддерживает (я не могу сказать, что, поскольку я не использую PBA, я использую BitLocker, который я очень рекомендую в среде Windows).
TL; DR Если вы используете Windows, используйте BitLocker, он будет автоматически использовать аппаратное ускорение.
Изменить :
По состоянию на апрель 2014 года, OPAL не поддерживается Linux. Был кто-то, кто работал над "msed", но это не было закончено или достойно производства. Я не знаю текущий статус или будущее поддержки OPAL в Linux.
Редактирование 2 :
Существуют также различные продукты UEFI, которые могут управлять OPAL-совместимыми дисками, допускающими различные PBA, если ваш BIOS / EFI не поддерживает его напрямую. Единственный, с которым я смутно знаком, позволяет компаниям устанавливать серверы аутентификации для PBA через Интернет. Это может работать и с локальными учетными данными, я не уверен. Это также очень дорого. Пища для размышлений, если ничего другого.
Превосходно. Я не использую Windows, это Ubuntu 14 с шифрованием LVM, включенным через опцию установщика. Ооо, может быть, это уже использует преимущества аппаратного ускорения, и ответ - ничего не делать и получать прибыль?
ЭрлВолтон,
См редактировать, не хорошие новости для вас.
Крис С
9
Как «кто-то», работающий над «msed», теперь он имеет возможность включить блокировку OPAL, записать PBA на диск OPAL 2.0 и загрузить реальную ОС после разблокировки диска на материнских платах на основе BIOS. Никакой специальной поддержки материнской платы не требуется. Да, он все еще находится на ранней стадии своего цикла разработки и в настоящее время не поддерживает переход в режим сна, поскольку для этого требуются перехватчики ОС.
TexasDex правильно. BIOS вашей материнской платы должен поддерживать параметр пароля ATA (он отличается от пароля BIOS). Теперь интересное немного. , , никто не упоминает эту функцию. Не в обзорах mobo, сравнениях и, конечно, не в рекламных объявлениях и списках производителей mobo. Почему бы и нет? Миллионы на миллионы твердотельных накопителей Samsung EVO и Intel готовы к использованию сверхбыстрого и сверхбезопасного аппаратного шифрования, все, что им нужно - это BIOS с поддержкой паролей ATA.
Единственный ответ, который я смог найти, заключается в том, что создатели Mobo боятся, что несколько нубов забудут свои пароли, и, поскольку это шифрование настолько надежно, никто ВСЕ не сможет помочь.
У меня был моб ASRock Extreme6, и я подумал, что он самый последний и лучший, конечно, он будет иметь эту функцию. Не. Тем не менее, я написал ASRock на Тайване, и через неделю они отправили мне по электронной почте версию BIOS на 1.70B с опцией пароля ATA. Тем не менее, он все еще не доступен на их веб-сайте, вы должны спросить об этом (?!). Это может иметь место и с вашими создателями мобо.
Поддерживает ли этот BIOS приостановку в режиме сна RAM? Разблокирует ли он диск при выходе из спящего режима?
ЗАВ
1
Можно использовать команду hdparm в Linux, чтобы включить ATA Security Extensions, который установит пароль AT на диске, тем самым зашифровав его.
К сожалению, если ваш BIOS не поддерживает пароли жесткого диска, то после этого невозможно будет выполнить загрузку , поскольку вы не можете использовать команду разблокировки hdparm до тех пор, пока не закончите загрузку, и вы не сможете разблокировать и отключить загрузку диск до тех пор, пока вы не разблокируете его. Вид курицы / яйца. Вот почему они иногда помещают поддержку пароля диска в BIOS, чтобы он мог работать без ОС.
Если у вас есть раздел / boot или / на отдельном устройстве, вы можете установить скрипт, который использует команду hdparm где-то в процессе инициализации. Это нелегко, и в некотором роде поражает цель иметь SSD для быстрой загрузки и тому подобное.
Моя единственная другая идея - иметь флэш-накопитель с супер-минимальным дистрибутивом Linux, который ничего не делает, кроме запроса пароля, запускает команду hdparm ata unlock и перезагружается, позволяя ОС загружаться с разблокированного диска (я полагаю, мягкие перезагрузки обычно не блокируют диски). Это не идеально, но это лучшее доступное решение, если ваша материнская плата не поддерживает пароли ATA.
На компьютере должен быть отключен модуль поддержки совместимости (CSM) в UEFI.
Компьютер должен быть на основе UEFI 2.3.1 и иметь EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Этот протокол используется для того, чтобы программы, работающие в среде загрузочных служб EFI, могли отправлять команды протокола безопасности на диск).
Чип TPM не является обязательным.
Безопасная загрузка не обязательна.
GPT и MBR оба поддерживаются.
Если есть программное обеспечение / драйверы RST, это должна быть как минимум версия 13.2.4.1000.
Это можно сделать с двумя дисками или одним.
Из установки Windows, которая соответствует вышеуказанным критериям:
Установите состояние готовности к включению через Samsung Magician.
Сделай безопасное стирание USB (для DOS).
Перезагрузите компьютер, измените режим загрузки на загрузку BIOS (для безопасного стирания USB)
Загрузиться в безопасное стирание, стереть
Перезагрузите компьютер, снова измените настройки загрузки BIOS на EFI. (Не позволяйте ПК начать загрузку с диска, иначе вы можете начать процесс с самого начала.)
Загрузитесь обратно на диск Windows и проверьте с помощью мастера Samsung или установите Windows на защищенный удаленный диск.
Как «кто-то», работающий над «msed», теперь он имеет возможность включить блокировку OPAL, записать PBA на диск OPAL 2.0 и загрузить реальную ОС после разблокировки диска на материнских платах на основе BIOS. Никакой специальной поддержки материнской платы не требуется. Да, он все еще находится на ранней стадии своего цикла разработки и в настоящее время не поддерживает переход в режим сна, поскольку для этого требуются перехватчики ОС.
источник
TexasDex правильно. BIOS вашей материнской платы должен поддерживать параметр пароля ATA (он отличается от пароля BIOS). Теперь интересное немного. , , никто не упоминает эту функцию. Не в обзорах mobo, сравнениях и, конечно, не в рекламных объявлениях и списках производителей mobo. Почему бы и нет? Миллионы на миллионы твердотельных накопителей Samsung EVO и Intel готовы к использованию сверхбыстрого и сверхбезопасного аппаратного шифрования, все, что им нужно - это BIOS с поддержкой паролей ATA.
Единственный ответ, который я смог найти, заключается в том, что создатели Mobo боятся, что несколько нубов забудут свои пароли, и, поскольку это шифрование настолько надежно, никто ВСЕ не сможет помочь.
У меня был моб ASRock Extreme6, и я подумал, что он самый последний и лучший, конечно, он будет иметь эту функцию. Не. Тем не менее, я написал ASRock на Тайване, и через неделю они отправили мне по электронной почте версию BIOS на 1.70B с опцией пароля ATA. Тем не менее, он все еще не доступен на их веб-сайте, вы должны спросить об этом (?!). Это может иметь место и с вашими создателями мобо.
источник
Можно использовать команду hdparm в Linux, чтобы включить ATA Security Extensions, который установит пароль AT на диске, тем самым зашифровав его.
К сожалению, если ваш BIOS не поддерживает пароли жесткого диска, то после этого невозможно будет выполнить загрузку , поскольку вы не можете использовать команду разблокировки hdparm до тех пор, пока не закончите загрузку, и вы не сможете разблокировать и отключить загрузку диск до тех пор, пока вы не разблокируете его. Вид курицы / яйца. Вот почему они иногда помещают поддержку пароля диска в BIOS, чтобы он мог работать без ОС.
Если у вас есть раздел / boot или / на отдельном устройстве, вы можете установить скрипт, который использует команду hdparm где-то в процессе инициализации. Это нелегко, и в некотором роде поражает цель иметь SSD для быстрой загрузки и тому подобное.
Моя единственная другая идея - иметь флэш-накопитель с супер-минимальным дистрибутивом Linux, который ничего не делает, кроме запроса пароля, запускает команду hdparm ata unlock и перезагружается, позволяя ОС загружаться с разблокированного диска (я полагаю, мягкие перезагрузки обычно не блокируют диски). Это не идеально, но это лучшее доступное решение, если ваша материнская плата не поддерживает пароли ATA.
источник
Компьютер должен быть на основе UEFI 2.3.1 и иметь EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Этот протокол используется для того, чтобы программы, работающие в среде загрузочных служб EFI, могли отправлять команды протокола безопасности на диск).
Чип TPM не является обязательным.
Это можно сделать с двумя дисками или одним.
Из установки Windows, которая соответствует вышеуказанным критериям:
источник