Un chiffrement complet du disque basé sur le matériel est-il possible sur un Mac?

21

Est-il possible d'utiliser un cryptage matériel complet du disque (peut-être sur un SSD Samsung 840 Pro) sur un Mac, en particulier un Macbook Pro 8,2? Si c'est le cas, comment?

Ma compréhension est que cela sera géré dans le BIOS ou peut-être EFI, mais je pense que l'EFI d'Apple est généralement assez verrouillé.

Je ne recherche aucune solution logicielle telle que FileVault 2 ou TrueCrypt. Je double démarrage et les choses seront plus simples si elles sont gérées par du matériel.

macos macbook encryption efi Eric Marsh
la source
3
Bien que je comprenne qu'un chiffrement basé sur le matériel est préférable si possible, je veux remettre en question votre motivation: le chiffrement du disque des différents fournisseurs de matériel semble mal documenté. Peu d'informations sont fournies mais nécessaires pour viser la confidentialité de la mise en œuvre. FileVault 2, quant à lui, est actuellement en cours de certification FIPS 140-2 [1 ] - une norme NIST pour les modules cryptographiques.
gentmatt
1
D'après mon expérience personnelle, le cryptage complet du disque basé sur un logiciel dans une configuration à double démarrage avec Windows 7 ne pose aucun problème si je ne crypte que le volume de démarrage OS X avec FileVault 2 (c'est ma configuration actuelle). Si vous souhaitez également crypter votre volume Windows ou Linux, les choses deviennent compliquées - j'ai donc entendu mais pas testé par moi-même.
gentmatt
Eh bien, j'utilise Ubuntu principalement avec OSX sur le côté. J'ai également une partition partagée, bien que cela puisse peut-être être géré avec TrueCrypt. Cela semble être moins difficile et nécessitera moins de logiciels si je peux avoir un seul mot de passe au démarrage.
Eric Marsh
Avez-vous utilisé Filevault 2 avec le chiffrement complet du disque d'Ubuntu? Cela a-t-il bien fonctionné? Je suis juste curieux parce que je veux abandonner ma partition Windows pour Ubuntu 12.04.
gentmatt
Non, désolé, je ne l'ai pas essayé. Je ne pense pas que ce serait un problème tant que vous ne voulez pas lire une partition pendant le démarrage de l'autre. Je m'attendrais peut-être à ce que vous puissiez contourner cela en utilisant TrueCrypt pour les deux. J'ai un peu utilisé TrueCrypt, pas un expert cependant
Eric Marsh

Réponses:

3

Je me suis posé exactement la même chose car j'ai également acheté un Samsung 840 Pro pour mon MacBook Pro. Après quelques recherches, j'ai trouvé ce post indiquant que le cryptage matériel du 840 Pro nécessite la prise en charge du TPM, et que cela ne se trouve que dans les BIOS du PC, pas dans le Mac (U) EFI. Pour être sûr, j'ai demandé au support Samsung quelles normes "ATA-Security", "Seagate DriveTrust" et "TCG OPAL" sont prises en charge par le 840 Pro, et leur réponse a été:

Cher client,

Merci d'avoir contacté le support Samsung SSD concernant votre demande. En réponse à votre demande, le seul des 3 que l'unité prend en charge est le dispositif de sécurité ATA. En ce qui concerne le chiffrement, le SSD 840 Pro Series prend uniquement en charge le chiffrement au niveau matériel AES 256 bits, mais nécessite que le BIOS soit activé par le TPM.

Il n'y a donc aucun moyen d'activer le cryptage matériel du 840 Pro dans un Mac.

Cependant, il y a aussi le Crucial M500 qui prend en charge l'opale de TCG . En conjonction avec un logiciel de gestion Opal spécial comme SecureDoc pour Mac de WinMagic, il semble qu'il soit possible de faire fonctionner le cryptage matériel sur un Mac.

BTW, notez que selon le support de Sophos, leur SafeGuard ne prend en charge Opal que sur Windows, pas sur Mac OS. En outre, les questions et réponses générales de McAfee pour les États d' Opale

Q: Les disques Opal seront-ils pris en charge sur Mac OS X?

R: Non. Apple ne livre actuellement pas ses appareils avec des lecteurs Opal, donc Opal n'est pas pris en charge sur Endpoint Encryption pour Mac.

Mais bien sûr, cela ne dit rien à ce sujet si vous insérez vous-même un lecteur Opal dans un Mac.

sschuberth
la source
TPM n'est pas requis. Sur mon installation de Windows 8.1, j'ai pu activer l'auto-chiffrement de ce lecteur sans utiliser de module de plateforme sécurisée - il vous suffit de modifier les paramètres BitLocker dans gpedit.msc. Donc, théoriquement, cela est également possible sous OS X, si le système d'exploitation le prend en charge.
Sarge Borsch
Pourriez-vous partager les paramètres que vous modifiez exactement dans gpedit.msc?
sschuberth
howtogeek.com/howto/6229/…
Sarge Borsch
Cet article ressemble beaucoup à BitLocker qui utiliserait le cryptage logiciel dans ce cas, c'est-à-dire que le cryptage / décryptage est effectué par le CPU au lieu du disque dur lui-même. D'autant plus qu'ils recommandent TrueCrypt comme alternative.
sschuberth
je n'ai pas dit que les autres parties sont correctes. btw, le guide le plus complet est ici: superuser.com/a/700251/161593
Sarge Borsch
2

En élargissant la réponse de sschuberth, depuis décembre 2013, le Samsung 840 EVO (mais pas PRO) dispose également d'un firmware qui prend directement en charge TCG OPAL. Il y a fort à parier qu'une mise à jour du firmware du 840 Pro pour faire la même chose arrivera bientôt.

Vous avez besoin de certains logiciels pour gérer le lecteur SED, sinon vous obtenez peu ou pas d'avantages de la sécurité intégrée.

WinMagic SecureDoc gérera le lecteur, mais pas pour chaque version d'OS X (des preuves anecdotiques suggèrent 10.8.1: ok, 10.8.2: not ok).

Vous devrez également exécuter le logiciel d'entreprise WinMagic, je crois. Bien qu'ils disposent d'une édition autonome de SecureDoc pour prendre en charge les SED, il semble qu'elle ne soit disponible que pour Windows.

REMARQUE: SecureDoc ne nécessite pas de module de plateforme sécurisée pour les SED, pas plus que le 840 EVO fonctionnant en mode TCG Opal. SecureDoc peut prendre en charge l'utilisation d'un module de plateforme sécurisée si vous en avez un et activer la fonctionnalité (Windows uniquement).

Larry
la source
1

C'est une bonne question et - oui - trouver une réponse est presque impossible. Samsung envoie au support Apple. Je m'attendrais à entendre d'Apple que ce n'est pas possible.

Cryptage complet du disque HW vs FileVault - une différence de performances est perceptible. Si vous n'êtes pas un utilisateur professionnel soumis à des exigences de cryptage strictes, nous devons rechercher une solution Samsung basée sur le matériel. Mais comment l'activer sur Mac - peine à le découvrir.

woy
la source
1
Avec les processeurs récents, FileVault2 utilise le matériel AES et a un impact négligeable sur les performances selon certains rapports: osxdaily.com/2011/08/10/…
Alan Shutko
Nous ne sommes pas vraiment des utilisateurs moyens. Je préfère utiliser HW FDE car c'est la solution élégante et "correcte", en particulier lors d'un double démarrage avec une partition partagée.
Eric Marsh
1

Oui, la gamme de produits Eclypt de Viasat fonctionne avec Mac (EFI) et fournit un cryptage matériel complet, approuvé FIPS.

Voir: Disque dur interne à chiffrement automatique Eclypt Core

Les fiches techniques de la gamme de produits Eclypt ne sont pas encore à jour (mais Mac OS X 10.5+ est pris en charge tout comme Apple UEFI). Vous pouvez voir le produit spécifique à http://www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4 . Vous pouvez également consulter ce blog http://robert-palmer.net/category/eclypt-protects/ pour preuve. Ou contactez directement Viasat UK.

Denzil Dexter
la source
Hmm, sa fiche technique ne mentionne rien sur EFI ou Mac, juste Windows.
sschuberth