Cryptage SandForce SSD - sécurité et support

12

Je pense actuellement à acheter un ThinkPad X201 et à l'équiper d'un lecteur SSD. Maintenant, pour protéger mes données, j'ai toujours utilisé Linux avec le cryptage complet du disque LUKS sur mes ordinateurs portables. Cependant, comme indiqué dans un autre article de SuperUser, cela désactiverait la prise en charge de TRIM - ce qui ne semble pas être une bonne idée avec un lecteur SSD.

J'ai lu que les SSD basés sur SandForce-1200 offrent un cryptage AES intégré lié au mot de passe du BIOS. Cependant, je ne trouve pas de documentation appropriée à ce sujet. Des questions:

  • Y a-t-il des inconvénients généraux à cette approche?
  • Je suppose que cela nécessiterait le support du BIOS pour la fonctionnalité - comment savoir si cela fonctionne sur un X201?
  • Les anciennes versions du BIOS ne prenaient en charge que les mots de passe courts (comme 6 ou 8 caractères), cette situation s'est-elle améliorée pour fournir une sécurité suffisante pour le chiffrement du disque?

Mise à jour: cette source indique que vous ne pouvez même pas définir de mot de passe sur ces disques. Hein? Cela n'a pas de sens, pourquoi feriez-vous même les opérations AES compliquées lorsque vous ne permettez pas d'utiliser une clé?

Merci pour tout conseil d'expert en la matière :)

c089
la source

Réponses:

11

Répondant à ma propre question, voici ce que j'ai découvert après avoir cherché sur le net pendant quelques heures:

  • Les appareils SandForce ont le cryptage AES activé par défaut, mais il y a des problèmes avec cela (voir ci-dessous)
  • Si vous mettez à zéro le lecteur à l'aide de ATA Secure Delete, la clé sera effacée puis régénérée plus tard et les anciennes données ne seront plus accessibles - ce qui en fait une solution acceptable lorsque vous êtes sur le point de vendre ou de jeter votre SSD
  • Il n'est cependant pas possible de définir un mot de passe utilisateur qui empêcherait quelqu'un qui vole votre ordinateur portable avec un SSD SandForce de lire vos données
  • La clé de chiffrement n'est pas liée à la sécurité ATA et / ou au BIOS
  • La définition d'un mot de passe utilisateur serait possible s'il existait un outil pour cela. OCZ a promis un programme appelé leur "boîte à outils" qui permettrait cela très souvent sur leurs forums de support, mais quand il a finalement été publié en octobre 2010, il n'avait toujours pas la fonctionnalité (et toujours pas aujourd'hui)
  • Je suppose que même si vous pouviez définir le mot de passe à l'aide de la boîte à outils, il ne serait plus possible d'utiliser l'appareil comme périphérique de démarrage car vous ne pouviez pas le déverrouiller à partir du bios.
  • L'utilisation du chiffrement complet du disque logiciel sur un SSD a un impact sérieux sur les performances du lecteur - jusqu'à un point où il peut être plus lent qu'un disque dur normal.

Source pour certaines de ces informations.

Mise à jour: Si vous êtes intéressé, j'ai écrit un peu plus sur les problèmes dans un article de blog dédié .

c089
la source
Le ralentissement du chiffrement du disque complet ne s'applique qu'aux contrôleurs Sandforce qui dépendent de la compression pour leur vitesse.
Zan Lynx
Je suis en train de faire les mêmes recherches que pour savoir quoi faire avec le nouveau SSD intégré de mon HP Folio 13. J'ai vraiment trouvé votre article de blog utile - +1 sur la réponse que vous avez publiée. Merci!
TARehman
Votre blocage nécessite un mot de passe. Est-il alors judicieux d'en faire la publicité ici?
maaartinus le
oups désolé, j'ai réussi à mettre le mauvais compte wordpress en privé en travaillant sur un autre;)
c089
0

Le chiffrement du disque est pour Sandforce, pas pour vous. Si votre disque tombe en panne, vous devez utiliser l'un de leurs fournisseurs "approuvés" auxquels ils fournissent les clés et qui facturent 5 à 6 000 $ pour la récupération des données. Aussi connu comme la prise en otage de vos données pour faire de l'argent.

Jimbo Jones
la source
En outre, vous pouvez activer TRIM à partir du conteneur LUKS. Voir ici pour les instructions: blog.christophersmart.com/2013/06/05/trim-on-lvm-on-luks-on-ssd
Jimbo Jones