É possível uma criptografia de disco completo baseada em hardware em um Mac?

21

É possível usar criptografia de disco completo baseada em hardware (talvez em um Samsung 840 Pro SSD) em um Mac, especificamente um Macbook Pro 8,2? Se sim, como?

Meu entendimento é que isso será tratado no BIOS ou possivelmente na EFI, no entanto, acho que a EFI da Apple geralmente é bastante bloqueada.

Não estou procurando nenhuma solução baseada em software como o FileVault 2 ou TrueCrypt. Eu bota dupla e as coisas serão mais simples se forem tratadas em hardware.

Eric Marsh
fonte
3
Embora eu entenda que uma criptografia baseada em hardware é preferível, se possível, quero questionar sua motivação: A criptografia de disco dos vários fornecedores de hardware parece pouco documentada. Pouca informação é fornecida, mas necessária, visando à confidencialidade da implementação. O FileVault 2, por outro lado, está passando por uma certificação FIPS 140-2 [1 ] - um padrão NIST para módulos criptográficos.
gentmatt
11
Na minha experiência pessoal, a criptografia de disco completo baseada em software em uma configuração de inicialização dupla com o Windows 7 não é problema se eu criptografar apenas o volume de inicialização do OS X com o FileVault 2 (esta é a minha configuração atual). Se você também deseja criptografar o volume do Windows ou Linux, as coisas ficam confusas - então eu ouvi, mas não testei por mim mesmo.
gentmatt
Bem, na verdade estou usando o Ubuntu principalmente com o OSX ao lado. Também tenho uma partição compartilhada, embora talvez isso possa ser tratado com TrueCrypt. Parece menos problemas e exigirá menos peças de software se eu puder ter apenas uma única senha na inicialização.
precisa saber é o seguinte
Você usou o Filevault 2 junto com a criptografia de disco completa do Ubuntu? Isso funcionou bem? Estou curioso, porque quero abandonar minha partição do Windows para o Ubuntu 12.04.
gentmatt
Não, desculpe, eu não tentei. Eu não acho que seria um problema, desde que você não queira ler uma partição enquanto inicializada na outra. Eu esperaria que talvez você pudesse contornar isso usando TrueCrypt para ambos. Eu usei TrueCrypt um pouco, não um especialista embora
Eric Marsh

Respostas:

3

Eu me perguntei exatamente a mesma coisa que também comprei um Samsung 840 Pro para o meu MacBook Pro. Após algumas pesquisas , encontrei este post indicando que a criptografia de hardware do 840 Pro requer suporte ao TPM, e isso só é encontrado nos BIOS de PCs, não no EFI (U) do Mac. Para ter certeza, perguntei ao suporte da Samsung quais dos padrões "ATA-Security", "Seagate DriveTrust" e "TCG OPAL" são suportados pelo 840 Pro e sua resposta foi:

Estimado cliente,

Obrigado por entrar em contato com o suporte SSD da Samsung sobre sua consulta. Em resposta à sua pergunta, o único dos três que a unidade suporta é o recurso ATA Security. Quanto à criptografia, o SSD 840 Pro Series suporta apenas criptografia de nível de hardware AES de 256 bits, mas exige que o BIOS seja habilitado para TPM.

Portanto, não há como habilitar a criptografia de hardware do 840 Pro em um Mac.

No entanto, há também o Crucial M500, que suporta Opal da TCG . Em conjunto com um software de gerenciamento Opal especial, como o SecureDoc for Mac da WinMagic , parece que é possível fazer com que a criptografia de hardware funcione em um Mac.

BTW, observe que, de acordo com o suporte da Sophos, o SafeGuard oferece suporte ao Opal apenas no Windows, não no Mac OS. Além disso, da McAfee Geral Q & A para Opal estados

P: As unidades Opal serão suportadas no Mac OS X?

R: Não. A Apple atualmente não envia seus dispositivos com unidades Opal, portanto, o Opal não é suportado no Endpoint Encryption for Mac.

Mas é claro que isso não diz nada sobre o que acontece se você colocar uma unidade Opal em um Mac.

sschuberth
fonte
O TPM não é necessário. Na instalação do Windows 8.1, consegui ativar a criptografia automática desta unidade sem usar o TPM - você só precisa alterar as configurações do BitLocker em gpedit.msc. Então, teoricamente, isso também é possível no OS X, se o SO suportar.
Sarge Borsch
Você se importaria de compartilhar quais configurações exatamente estavam alterando no gpedit.msc?
sschuberth
Esse artigo parece muito com o BitLocker usando criptografia de software nesse caso, ou seja, a criptografia / descriptografia é feita pela CPU em vez do próprio disco rígido. Especialmente porque eles recomendam o TrueCrypt como alternativa.
Sschuberth
Eu não disse que as outras partes estão corretas. Aliás, o guia mais completo está aqui: superuser.com/a/700251/161593
Sarge Borsch
2

Expandindo a resposta da sschuberth, em dezembro de 2013, o Samsung 840 EVO (mas não PRO) também possui firmware que suporta diretamente o TCG OPAL. É uma boa aposta que uma atualização de firmware do 840 Pro faça o mesmo em breve.

Você precisa de algum software para gerenciar a unidade SED, caso contrário, você obtém pouco ou nenhum benefício com a segurança interna.

O WinMagic SecureDoc gerenciará a unidade, mas não para todos os lançamentos do OS X existentes (evidências sugeridas sugerem 10.8.1: ok, 10.8.2: não ok).

Você precisará executar o software corporativo WinMagic também, acredito. Embora tenham uma edição independente do SecureDoc para oferecer suporte a SEDs, parece que ele está disponível apenas para Windows.

NOTA: O SecureDoc não requer um TPM para SEDs, nem o 840 EVO em execução no modo TCG Opal. O SecureDoc pode oferecer suporte ao uso de um TPM se você tiver um e ativar o recurso (somente Windows).

Larry
fonte
1

Esta é uma boa pergunta e - sim - encontrar uma resposta para ela é quase impossível. A Samsung envia para o suporte da Apple. Eu esperaria ouvir da Apple que não é possível.

Criptografia de disco completo HW vs FileVault - a diferença de desempenho é perceptível. Se você não é um usuário comercial com requisitos rígidos de criptografia, precisamos procurar a solução Samsung baseada em HW. Mas como habilitá-lo no Mac - pain para descobrir.

woy
fonte
11
Com CPUs recentes, FileVault2 usa hardware AES, e tem um impacto insignificante no desempenho de acordo com alguns relatos: osxdaily.com/2011/08/10/...
Alan Shutko
Na verdade, não somos usuários comuns. Eu prefiro usar o HW FDE porque é a solução elegante e "correta", principalmente ao inicializar com uma partição compartilhada.
Eric Marsh
1

Sim, a linha de produtos Eclypt da Viasat funciona com Mac (EFI) e fornece criptografia de hardware completa, aprovada por FIPS e disco.

Consulte: Disco rígido interno com criptografia automática Eclypt Core

As planilhas de dados da linha de produtos Eclypt ainda não estão atualizadas (mas o Mac OS X 10.5+ é suportado como o Apple UEFI). Você pode ver o produto específico em http://www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4 . Além disso, você pode consultar este blog http://robert-palmer.net/category/eclypt-protects/ para obter provas. Ou entre em contato diretamente com a Viasat UK.

Denzil Dexter
fonte
Hmm, sua folha de dados não menciona nada sobre EFI ou Mac, apenas Windows.
sschuberth