Como habilitar a criptografia baseada em hardware no Samsung 850 Pro
10
Eu tenho um novo Samsung 850 pro que promove a criptografia baseada em hardware . De acordo com essa página, devo apenas entrar na minha bios e definir uma senha do disco rígido (sem problemas). O único tópico relevante que encontrei sobre o assunto também diz algo nesse sentido. Não tenho essa opção no BIOS (tenho uma placa Gigabyte com um chipset Z87, número de modelo que me escapou no momento). Se eu fosse comprar uma nova placa-mãe para que isso funcionasse, que recurso (s) a placa precisa oferecer suporte?
Depende do que você quer dizer com "faça com que isso funcione". Essa unidade suporta o OPAL 2.0, que permite que vários esquemas de criptografia gerenciada por software usem a criptografia acelerada por hardware. Também permite autenticação de pré-inicialização (PBA) para criptografia, como esquemas de BIOS / EFI. Se você deseja usar o PBA (ou seja, uma senha / pino na BIOS / EFI), precisará mudar para uma placa-mãe que a suporte (não sei dizer qual, como não uso o PBA, uso o BitLocker, que eu recomendo em ambientes Windows).
TL; DR Se você estiver executando o Windows, use o BitLocker, ele usará automaticamente a aceleração do hardware.
Editar :
em abril de 2014, o OPAL não é suportado pelo Linux. Havia alguém trabalhando em "msed", mas não estava terminado ou digno da produção. Não sei o status atual ou o futuro do suporte ao OPAL no Linux.
Edit 2 :
Existem também vários produtos UEFI que podem gerenciar unidades compatíveis com OPAL, permitindo uma variedade de PBAs se o seu BIOS / EFI não suportar diretamente. O único com o qual eu estou vagamente familiarizado permite que as empresas configurem servidores de autenticação para o PBA pela Internet. Também pode funcionar com credenciais locais, não tenho certeza. Também é muito caro. Alimento para o pensamento, se nada mais.
Excelente. Não estou usando o Windows, é o ubuntu 14 com a criptografia LVM ativada através da opção do instalador. Então, talvez isso já esteja aproveitando a aceleração de hardware e a resposta é não fazer nada e lucrar?
ErlVolton
Veja editar, não são boas notícias para você.
Chris S
9
Como "alguém" trabalhando em "msed", agora tem a capacidade de ativar o bloqueio do OPAL, gravar um PBA em uma unidade OPAL 2.0 e carregar em cadeia o sistema operacional real depois de desbloquear a unidade em placas-mãe baseadas em bios. Não é necessário nenhum suporte especial à placa-mãe. Sim, ainda está no início de seu ciclo de desenvolvimento e, atualmente, não suporta suspensão para ram, pois isso requer ganchos no sistema operacional.
TexasDex está correto. O BIOS da sua placa-mãe deve suportar uma opção de senha ATA (isso é diferente e além da senha do BIOS). Agora a parte interessante. . . ninguém menciona esse recurso. Não nas análises, comparações e, certamente, não nas propagandas e listagens dos fabricantes da mobo. Por que não? Milhões e milhões de SSDs Samsung EVO e Intel estão prontos para habilitar a criptografia de hardware ultra-rápida e ultra-segura, tudo o que eles precisam é de um BIOS com suporte à senha ATA.
A única resposta que pude encontrar é que os fabricantes de Mobo têm medo de que alguns noobs esqueçam suas senhas e, como essa criptografia é tão confiável, NINGUÉM será capaz de ajudar.
Eu tinha um mobo ASRock Extreme6 e, pensando que era o mais recente e o melhor, é claro que teria esse recurso. Não. No entanto, escrevi para a ASRock em Taiwan e em uma semana eles me enviaram a versão 1.70B do BIOS com uma opção de senha ATA. No entanto, ele ainda não está disponível no site deles, é preciso pedir (?!). Esse também pode ser o caso de seus fabricantes de mobo.
Este suporte ao BIOS suspende para o modo de suspensão da RAM? Ele desbloqueia a unidade ao sair do modo de suspensão?
ZAB
1
É possível usar o comando hdparm no Linux para ativar as extensões de segurança ATA, que definirão a senha AT na unidade, criptografando-a.
Infelizmente, se o BIOS não suportar senhas do disco rígido, não há como inicializar depois disso, pois você não pode usar o comando hdparm unlock até terminar a inicialização e não pode desbloquear e inicializar a unidade até depois de a desbloquear. Um tipo de problema de galinha / ovo. É por isso que às vezes eles colocam o suporte de senha de disco no BIOS, para que ele possa ser executado sem a necessidade de um sistema operacional.
Se você possui a partição / boot ou / em um dispositivo separado, poderá configurar um script que use o comando hdparm em algum lugar do processo init. Isso não é fácil e meio que derrota o propósito de ter o SSD para inicialização rápida e coisas do tipo.
Minha única outra idéia seria ter um pen drive com uma distribuição super-mínima do Linux que não solicita a senha, execute o comando hdparm ata unlock e reinicie, permitindo que o sistema operacional seja carregado a partir da unidade desbloqueada (eu acredito reinicializações leves geralmente não travam novamente as unidades). Isso não é o ideal, mas é a melhor solução disponível se sua placa-mãe não suportar senhas ATA.
O computador deve sempre inicializar nativamente a partir da UEFI.
O computador deve ter o CSM (Compatibility Support Module) desativado no UEFI.
O computador deve ser baseado no UEFI 2.3.1 e ter o EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definido. (Este protocolo é usado para permitir que programas em execução no ambiente de serviços de inicialização EFI enviem comandos de protocolo de segurança para a unidade).
O chip TPM é opcional.
Inicialização segura é opcional.
GPT e MBR são suportados.
Se houver software / drivers RST, ele deverá ter pelo menos a versão 13.2.4.1000.
Isso pode ser feito com 2 discos ou um.
Em uma instalação do Windows que atenda aos critérios acima:
Defina o estado como pronto para ativar via Samsung Magician.
Faça um apagamento seguro de USB (para DOS).
Reinicie o PC, altere o modo de inicialização para a inicialização do BIOS (para o USB de apagamento seguro)
Inicialize no apagamento seguro, apague
Reinicie o PC, altere as configurações de inicialização do BIOS para EFI novamente. (Não deixe o PC iniciar a inicialização a partir da unidade ou você poderá iniciar o processo desde o início.)
Inicialize novamente no disco do Windows e verifique via Samsung magician ou instale o Windows no seu disco apagado seguro.
Como "alguém" trabalhando em "msed", agora tem a capacidade de ativar o bloqueio do OPAL, gravar um PBA em uma unidade OPAL 2.0 e carregar em cadeia o sistema operacional real depois de desbloquear a unidade em placas-mãe baseadas em bios. Não é necessário nenhum suporte especial à placa-mãe. Sim, ainda está no início de seu ciclo de desenvolvimento e, atualmente, não suporta suspensão para ram, pois isso requer ganchos no sistema operacional.
fonte
TexasDex está correto. O BIOS da sua placa-mãe deve suportar uma opção de senha ATA (isso é diferente e além da senha do BIOS). Agora a parte interessante. . . ninguém menciona esse recurso. Não nas análises, comparações e, certamente, não nas propagandas e listagens dos fabricantes da mobo. Por que não? Milhões e milhões de SSDs Samsung EVO e Intel estão prontos para habilitar a criptografia de hardware ultra-rápida e ultra-segura, tudo o que eles precisam é de um BIOS com suporte à senha ATA.
A única resposta que pude encontrar é que os fabricantes de Mobo têm medo de que alguns noobs esqueçam suas senhas e, como essa criptografia é tão confiável, NINGUÉM será capaz de ajudar.
Eu tinha um mobo ASRock Extreme6 e, pensando que era o mais recente e o melhor, é claro que teria esse recurso. Não. No entanto, escrevi para a ASRock em Taiwan e em uma semana eles me enviaram a versão 1.70B do BIOS com uma opção de senha ATA. No entanto, ele ainda não está disponível no site deles, é preciso pedir (?!). Esse também pode ser o caso de seus fabricantes de mobo.
fonte
É possível usar o comando hdparm no Linux para ativar as extensões de segurança ATA, que definirão a senha AT na unidade, criptografando-a.
Infelizmente, se o BIOS não suportar senhas do disco rígido, não há como inicializar depois disso, pois você não pode usar o comando hdparm unlock até terminar a inicialização e não pode desbloquear e inicializar a unidade até depois de a desbloquear. Um tipo de problema de galinha / ovo. É por isso que às vezes eles colocam o suporte de senha de disco no BIOS, para que ele possa ser executado sem a necessidade de um sistema operacional.
Se você possui a partição / boot ou / em um dispositivo separado, poderá configurar um script que use o comando hdparm em algum lugar do processo init. Isso não é fácil e meio que derrota o propósito de ter o SSD para inicialização rápida e coisas do tipo.
Minha única outra idéia seria ter um pen drive com uma distribuição super-mínima do Linux que não solicita a senha, execute o comando hdparm ata unlock e reinicie, permitindo que o sistema operacional seja carregado a partir da unidade desbloqueada (eu acredito reinicializações leves geralmente não travam novamente as unidades). Isso não é o ideal, mas é a melhor solução disponível se sua placa-mãe não suportar senhas ATA.
fonte
O computador deve ser baseado no UEFI 2.3.1 e ter o EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definido. (Este protocolo é usado para permitir que programas em execução no ambiente de serviços de inicialização EFI enviem comandos de protocolo de segurança para a unidade).
O chip TPM é opcional.
Isso pode ser feito com 2 discos ou um.
Em uma instalação do Windows que atenda aos critérios acima:
fonte