Como ativar a criptografia de hardware em SSDs como o Samsung 840 EVO?

20

Acabei de instalar o Ubuntu 14.04 em um Zotac Zbox CI320. Desejo ativar a criptografia de hardware Samsung 840 que acompanha este disco rígido, mas não sei como.

Existe alguém que possa me ajudar a configurar isso? Muito apreciado.

user312082
fonte

Respostas:

12

Existem diferentes tipos de criptografia de hardware nos SSDs. Consulte SSDs com criptografia de disco completo baseada em hardware e utilizável para obter uma explicação detalhada.

Você perguntou sobre o Samsung 840 EVO em particular. Ele está sempre criptografando seus dados e é desbloqueado pela senha do ATA HDD definida no BIOS, cujo padrão é em branco. Mais tarde você pode mover o SSD para uma nova máquina e entrar na a senha ATA HDD através do BIOS para desbloqueá-lo. Nada envolvido no desbloqueio é armazenado fora da própria unidade.

Como usuário do Linux, prefiro essa solução à criptografia de unidade baseada em software. Não há penalidade de desempenho e é simples de configurar e usar.

Mark Stosberg
fonte
Olá Mark! Primeiro, o link que você forneceu é muito interessante, obrigado! Tenho uma pergunta para você, a senha do BIOS SSD do meu laptop tem no máximo 10 caracteres. Essa seria uma senha bastante fraca se a senha pudesse ser "força bruta" atacada. Quero dizer que se houver algo limitando o número de vezes por segundo em que um invasor pode tentar uma nova senha; somente então a senha de 10 caracteres seria definitivamente segura. Você tem alguma ideia dessas senhas surpreendentemente curtas do BIOS SSD? Caso seja útil para qualquer pessoa, tenho um Toshiba Satellite P50t-B com um Samsung SSD 850 Pro.
Jspestana
11
Consulte também este artigo mais recente Use a criptografia de disco completo baseada em hardware do SSD do TCG Opal com msed - testado no Ubuntu Trusty. Isso deve ser útil porque os SSDs baseados em Opal 2 parecem estar se transformando em um padrão de fato. As versões mais recentes do programa msed estão aqui . Uma das principais limitações das soluções atuais é que elas impedem o recurso de suspensão / suspensão (S3), que é bastante essencial nos laptops.
Sxc731
11
@jespestana a diferença com a senha do BIOS é que ela não pode * ser acessada pela rede, tornando o ataque mais padrão. * (Talvez menos que você tenha uma conexão serial-to-rede no computador, o que é improvável em um desktop ou laptop)
Mark Stosberg
@ sxc731 Não tenho um computador sobressalente para tentar msed, provavelmente usaria o contrário. Obrigado pela informação!
jespestana
@ MarkStosberg Ok, você quer dizer que, desde que o invasor não tenha acesso físico à máquina, eu estaria seguro. Isso é um pouco reconfortante. Ainda não consigo entender por que a Toshiba decidir sobre esta limitação senha do BIOS curta ...
jespestana
3

Encontrei as seguintes perguntas semelhantes:

Que eu saiba, uma configuração funcional do SED requer um TPM ( Trusted Platform Module ), mas o Zbox não parece ter recursos ou suporte ao TPM ( 1 , 2 ).

Embora uma resposta em uma das perguntas acima ofereça uma solução que pode até funcionar no seu caso, considere o seguinte:

  • Se seus dados são criptografados usando o TPM e seu hardware de alguma forma quebra, eles desaparecem. Para sempre.
  • Geralmente, os usuários do Linux preferem criptografia de disco baseada em software e RAID baseado em software, porque a tecnologia não padronizada ou proprietária mostrou-se não confiável em termos de segurança e recuperação de dados. Se você pretende usar soluções de software livre como Linux para segurança ou redundância de dados, também planeje os recursos de computação necessários.
  • Houve relatos de ataques bem-sucedidos como o Warm Replug Attacks em alguns dispositivos ou configurações.

Edit: Michael Larabel publicou artigos no Phoronix, onde especula que o suporte ao SED / OPAL poderá estar chegando ao Linux em breve, apenas no caso de alguém se deparar com esse post do passado procurando informações mais atualizadas.

LiveWireBT
fonte