Criptografia SandForce SSD - segurança e suporte

12

Atualmente, estou pensando em comprar um ThinkPad X201 e equipá-lo com uma unidade SSD. Agora, para proteger meus dados, eu sempre usei o Linux com criptografia de disco completo LUKS nos meus laptops. No entanto, como declarado em outra postagem do SuperUser, isso desativaria o suporte ao TRIM - de modo que não parece ser uma boa idéia com uma unidade SSD.

Eu li que os SSDs baseados no SandForce-1200 oferecem criptografia AES integrada vinculada à senha do BIOS. No entanto, não consigo encontrar a documentação adequada sobre isso. Questões:

  • Alguma desvantagem geral nessa abordagem?
  • Suponho que isso exigiria suporte do BIOS para o recurso - como descobrir se funciona em um X201?
  • As versões antigas do BIOS eram compatíveis apenas com senhas curtas (como 6 ou 8 caracteres); essa situação melhorou para fornecer segurança suficiente para uma criptografia de disco?

Atualização: esta fonte diz que você não pode definir nenhuma senha nessas unidades. Hã? Isso não faz sentido, por que você faria as operações complicadas do AES quando não permite o uso de uma chave?

Obrigado por qualquer aconselhamento especializado sobre o assunto :)

c089
fonte

Respostas:

11

Respondendo à minha própria pergunta, foi o que descobri depois de pesquisar na rede por algumas horas:

  • Os dispositivos SandForce têm a criptografia AES ativada por padrão, mas há problemas com isso (veja abaixo)
  • Se você zerar a unidade usando o ATA Secure Delete, a chave será apagada e posteriormente regenerada e, assim, os dados antigos não estarão mais acessíveis - tornando-a uma solução aceitável quando você estiver prestes a vender ou lixeira seu SSD
  • Entretanto, não é possível definir uma senha de usuário que impeça alguém que rouba seu laptop com um SSD SandForce de ler seus dados
  • A chave de criptografia não está vinculada à segurança ATA e / ou BIOS
  • Definir uma senha de usuário seria possível se houvesse uma ferramenta para isso. A OCZ prometeu um programa chamado "caixa de ferramentas" que permitiria isso com frequência em seus fóruns de suporte, mas quando foi finalmente lançado em outubro de 2010, ainda não tinha a funcionalidade (e ainda não hoje)
  • Acho que mesmo se você pudesse definir a senha usando a caixa de ferramentas, não seria mais possível usar o dispositivo como um dispositivo de inicialização porque você não conseguiria desbloqueá-lo da bios.
  • O uso da criptografia de disco completo do software em um SSD afeta seriamente o desempenho da unidade - até um ponto em que ela pode ser mais lenta que um disco rígido comum.

Fonte para algumas dessas informações.

Atualização: se você estiver interessado, escrevi um pouco mais sobre os problemas em uma postagem de blog dedicada .

c089
fonte
A lentidão da criptografia de disco completo se aplica apenas aos controladores Sandforce que dependem da compactação para sua velocidade.
Zan Lynx 24/03
Estou passando pela mesma pesquisa agora que descubro o que fazer com o novo SSD integrado do HP Folio 13. Eu realmente achei o seu post útil - +1 na resposta que você postou. Obrigado!
TAREHMAN
Você bloquear requer uma senha. Faz sentido anunciar aqui?
Maaartinus 18/04/2014
Oops pesaroso sobre isso, eu de alguma forma conseguiu definir a conta wordpress errado privada, enquanto trabalhava em um diferente;)
c089
0

A criptografia de disco é para o Sandforce, não para você. Se sua unidade falhar, você deverá usar um dos fornecedores "aprovados" que eles fornecem as chaves para quem cobra entre US $ 5 e 6 mil pela recuperação de dados. Também conhecido como manter seus dados como reféns para ganhar dinheiro.

Jimbo Jones
fonte
Além disso, você pode ativar o TRIM a partir do contêiner LUKS. Veja aqui para obter instruções: blog.christophersmart.com/2013/06/05/trim-on-lvm-on-luks-on-ssd
Jimbo Jones