Как включить аппаратное шифрование на таких SSD, как Samsung 840 EVO?

20

Только что получил Ubuntu 14.04 на Zotac Zbox CI320. Я хочу включить аппаратное шифрование Samsung 840, которое поставляется с этим жестким диском, но я не знаю как.

Есть ли кто-нибудь, кто может помочь мне настроить это? Очень признателен.

encryption ssd user312082
источник

Ответы:

12

Существуют различные виды аппаратного шифрования на твердотельных накопителях, подробное объяснение см. На твердотельных накопителях с пригодным для использования встроенным аппаратным полным шифрованием диска .

Вы спрашивали о Samsung 840 EVO в частности. Он всегда шифрует ваши данные и разблокируется паролем жесткого диска ATA, установленным в BIOS, который по умолчанию пуст. Позже вы можете перемещать SSD на новую машину , и введите пароль ATA HDD через BIOS там , чтобы разблокировать его. Ничто, участвующее в разблокировке, не хранится вне самого привода.

Как пользователь Linux, я предпочитаю это решение программному шифрованию дисков. Производительность не снижается, прост в настройке и использовании.

Марк Стосберг
источник
Привет Марк! Во-первых, ссылка, которую вы предоставили, очень интересна, спасибо! У меня вопрос к вам, пароль BIOS SSD моего ноутбука не более 10 символов. Это был бы довольно слабый пароль, если бы он мог быть атакован "грубой силой". Я имею в виду, что если что-то ограничивает число раз в секунду, что злоумышленник может попробовать новый пароль; только тогда пароль из 10 символов будет определенно безопасным. Есть ли у вас понимание этих удивительно коротких паролей BIOS SSD? На всякий случай это кому-нибудь пригодится, у меня есть Toshiba Satellite P50t-B с Samsung SSD 850 Pro.
jespestana
1
См. Также эту более свежую статью. Используйте аппаратное полное дисковое шифрование вашего SSD-накопителя TCG Opal с msed - протестировано на Ubuntu Trusty. Это должно пригодиться, поскольку твердотельные накопители на основе Opal 2, похоже, становятся стандартом де-факто. Более новые версии программы msed находятся здесь . Основным ограничением современных решений является то, что они предотвращают функцию сна / приостановки (S3), которая весьма важна для ноутбуков.
sxc731
1
@jespestana разница с паролем BIOS заключается в том, что к нему * нельзя получить доступ по сети, что делает атаку более стандартной. * (Возможно, если у вас нет последовательного соединения с сетью на компьютере, что маловероятно на настольном компьютере или ноутбуке)
Марк Стосберг
@ sxc731 У меня нет запасного компьютера, чтобы попробовать msed, я, вероятно, пошел бы на это иначе. Спасибо за информацию!
jespestana
@MarkStosberg Хорошо, вы имеете в виду, что, пока злоумышленник не имеет физического доступа к машине, я буду в безопасности. Это несколько обнадеживает. Тем не менее, я не могу понять, почему Toshiba
приняла
3

Я нашел следующие похожие вопросы:

Насколько мне известно, для работающей установки SED требуется Trusted Platform Module (TPM), но Zbox не выглядит так, как будто он поддерживает или поддерживает TPM ( 1 , 2 ).

Хотя ответ на один из приведенных выше вопросов предлагает решение, которое может даже работать в вашем случае, вам следует рассмотреть следующее:

  • Если ваши данные зашифрованы с использованием TPM и ваше оборудование каким-то образом сломано, ваши данные исчезнут. Навсегда.
  • Обычно пользователи Linux предпочитают программное шифрование диска и программный RAID, потому что нестандартизированная или запатентованная технология оказалась ненадежной с точки зрения безопасности данных и восстановления данных. Если вы планируете использовать свободные программные решения, такие как Linux, для обеспечения безопасности или резервирования данных, также планируйте необходимые вычислительные ресурсы.
  • Были сообщения об успешных атаках, таких как Warm Replug Attacks, на некоторых устройствах или настройках.

Изменить: Майкл Ларабель опубликовал статьи о Phoronix, где он предполагает, что поддержка SED / OPAL может скоро появиться в Linux, на тот случай, если кто-нибудь наткнется на этот пост из прошлого в поисках более актуальной информации.

LiveWireBT
источник