Comment activer le cryptage matériel sur Samsung 850 Pro

10

J'ai un nouveau Samsung 850 pro qui vante le cryptage matériel . Selon cette page, je devrais simplement aller dans mon bios et définir un mot de passe sur le disque dur (pas de problème). Le seul sujet pertinent que j'ai trouvé sur la question indique également quelque chose dans le même sens. Je n'ai pas une telle option dans mon BIOS (j'ai une carte Gigabyte avec un chipset Z87, le numéro de modèle m'échappe actuellement). Si je devais acheter une nouvelle carte mère pour que cela fonctionne, quelle (s) fonctionnalité (s) la carte doit-elle prendre en charge?

ErlVolton
la source

Réponses:

7

Cela dépend de ce que vous entendez par «mettre cela au travail». Ce lecteur prend en charge OPAL 2.0, qui permet à divers schémas de chiffrement gérés par logiciel d'utiliser le chiffrement accéléré par matériel. Il permet également l'authentification de pré-démarrage (PBA) pour le chiffrement, comme les schémas BIOS / EFI. Si vous souhaitez utiliser PBA (c'est-à-dire un mot de passe / une broche au BIOS / EFI), vous devrez passer à une carte mère qui le prend en charge (je ne pourrais pas dire lequel, car je n'utilise pas PBA, j'utilise BitLocker, que je recommande fortement dans les environnements Windows).

TL; DR Si vous exécutez Windows, utilisez BitLocker, il utilisera automatiquement l'accélération matérielle.

Edit :
Depuis avril 2014, OPAL n'est pas pris en charge par Linux. Il y avait quelqu'un qui travaillait sur "msed", mais ce n'était pas fini ou la production n'était pas digne. Je ne connais pas l'état actuel ou futur du support OPAL sous Linux.

Edit 2 :
Il existe également divers produits UEFI qui peuvent gérer des disques compatibles OPAL permettant une variété de PBA si votre BIOS / EFI ne le prend pas directement en charge. Le seul que je connaisse vaguement permet aux entreprises de configurer un serveur d'authentification pour PBA sur Internet. Cela pourrait également fonctionner avec les informations d'identification locales, je n'en suis pas sûr. C'est aussi très cher. Matière à réflexion si rien d'autre.

Chris S
la source
Excellent. Je n'utilise pas Windows, c'est Ubuntu 14 avec le cryptage LVM activé via l'option d'installation. Alors peut-être que cela profite déjà de l'accélération matérielle et la réponse est de ne rien faire et de profiter?
ErlVolton
Voir éditer, pas une bonne nouvelle pour vous.
Chris S
9

En tant que "quelqu'un" travaillant sur "msed", il a désormais la possibilité d'activer le verrouillage OPAL, d'écrire un PBA sur un lecteur OPAL 2.0 et de charger en chaîne le véritable système d'exploitation après avoir déverrouillé le lecteur sur des cartes mères basées sur le bios. Aucun support spécial pour carte mère n'est nécessaire. Oui, il est encore tôt dans son cycle de développement et il ne prend actuellement pas en charge sleep to ram car cela nécessite des crochets de système d'exploitation.

Michael Romeo
la source
3

TexasDex est correct. Le BIOS de votre carte mère doit prendre en charge une option de mot de passe ATA (distincte et en plus du mot de passe du BIOS). Maintenant, le bit intéressant. . . personne ne mentionne cette fonctionnalité. Pas dans les critiques, comparaisons et certainement pas dans les publicités et les listes des fabricants mobo. Pourquoi pas? Des millions et des millions de SSD Samsung EVO et Intel sont prêts à activer le cryptage matériel ultra-rapide et ultra-sécurisé, tout ce dont ils ont besoin est un BIOS avec prise en charge du mot de passe ATA.

La seule réponse que j'ai pu trouver est que les fabricants de Mobo ont peur que quelques noobs oublient leurs mots de passe, et puisque ce cryptage est si fiable, personne du tout ne pourra aider.

J'avais un mobo ASRock Extreme6, et pensant que c'était le dernier et le plus grand, bien sûr, il aurait cette fonctionnalité. Ne pas. Cependant, j'ai écrit à ASRock à Taiwan et en une semaine, ils m'ont envoyé la version 1.70B de leur BIOS avec une option de mot de passe ATA. Cependant, il n'est toujours pas disponible sur leur site Web, vous devez le demander (?!). Cela peut également être le cas avec vos fabricants de mobo.

Al Winston
la source
Ce BIOS prend-il en charge le mode veille RAM? Déverrouille-t-il le lecteur pendant sa sortie de veille?
ZAB
1

Il est possible d'utiliser la commande hdparm sous Linux pour activer les extensions de sécurité ATA, qui définiront le mot de passe AT sur le lecteur, le chiffrant ainsi.

Malheureusement, si votre BIOS ne prend pas en charge les mots de passe du disque dur, il n'y a aucun moyen de démarrer après cela, car vous ne pouvez pas utiliser la commande de déverrouillage hdparm avant d'avoir terminé le démarrage, et vous ne pouvez pas déverrouiller et démarrer le lecteur jusqu'à ce que vous l'ayez déverrouillé. Une sorte de problème de poulet / œuf. C'est pourquoi ils mettent parfois le mot de passe disque en charge dans le BIOS, afin qu'il puisse fonctionner sans avoir besoin d'un système d'exploitation.

Si vous avez la partition / boot ou / sur un périphérique séparé, vous pourrez peut-être configurer un script qui utilise la commande hdparm quelque part dans le processus init. Ce n'est pas facile, et cela va à l'encontre du but d'avoir le SSD pour un démarrage rapide et autres.

Ma seule autre idée serait d'avoir une clé USB avec une distribution super-minimale de Linux qui ne fait que demander le mot de passe, exécuter la commande hdparm ata unlock et redémarrer, permettant au système d'exploitation de se charger depuis votre lecteur déverrouillé (je crois les redémarrages logiciels ne verrouillent généralement pas les disques). Ce n'est pas idéal, mais c'est la meilleure solution disponible si votre carte mère ne prend pas en charge les mots de passe ATA.

TexasDex
la source
0
  • Le type de stockage doit être ACHI.
  • L'ordinateur doit toujours démarrer en mode natif à partir d'UEFI.
  • L'ordinateur doit avoir le module de support de compatibilité (CSM) désactivé dans UEFI.
  • L'ordinateur doit être basé sur UEFI 2.3.1 et avoir défini EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Ce protocole est utilisé pour permettre aux programmes exécutés dans l'environnement des services de démarrage EFI d'envoyer des commandes de protocole de sécurité au lecteur).

  • La puce TPM est facultative.

  • Le démarrage sécurisé est facultatif.
  • GPT et MBR sont tous deux pris en charge.
  • S'il existe un logiciel / pilote RST, il doit s'agir de la version 13.2.4.1000 au moins.

Cela peut être fait avec 2 disques ou un.

À partir d'une installation Windows qui répond aux critères ci-dessus:

  • Définissez l'état sur prêt à activer via Samsung Magician.
  • Faites un effacement sécurisé USB (pour DOS).
  • Redémarrez le PC, changez le mode de démarrage pour le démarrage du BIOS (pour l'USB d'effacement sécurisé)
  • Démarrez en effacement sécurisé, effacez
  • Redémarrez le PC, modifiez à nouveau les paramètres de démarrage du BIOS en EFI. (Ne laissez pas le PC démarrer à partir du lecteur ou vous pouvez démarrer le processus depuis le début.)
  • Redémarrez sur le disque Windows et vérifiez via le magicien Samsung ou installez Windows sur votre disque effacé sécurisé.
Shadowws Shadoww
la source