¿Es posible un cifrado de disco completo basado en hardware en una Mac?

21

¿Es posible usar el cifrado de disco completo basado en hardware (quizás en un Samsung 840 Pro SSD) en una Mac, específicamente en una Macbook Pro 8,2? ¿Si es así, cómo?

Tengo entendido que esto se manejará en el BIOS o posiblemente en EFI, sin embargo, creo que el EFI de Apple generalmente está bastante bloqueado.

No busco ninguna solución basada en software como FileVault 2 o TrueCrypt. Yo inicio dual y las cosas serán más simples si se maneja en hardware.

macos macbook encryption efi Eric Marsh
fuente
3
Si bien entiendo que un cifrado basado en hardware es preferible si es posible, quiero cuestionar su motivación: el cifrado de disco de los distintos proveedores de hardware parece estar poco documentado. Se proporciona poca información, pero es necesaria para lograr la confidencialidad de la implementación. FileVault 2, por otro lado, actualmente está experimentando una certificación FIPS 140-2 [1 ], un estándar NIST para módulos criptográficos.
gentmatt
1
En mi experiencia personal, el cifrado de disco completo basado en software en una configuración de arranque dual con Windows 7 no es un problema si solo cifro el volumen de inicio de OS X con FileVault 2 (esta es mi configuración actual). Si también desea cifrar su volumen de Windows o Linux, las cosas se complican, así que he oído pero no he probado por mí mismo.
gentmatt
Bueno, en realidad estoy usando Ubuntu principalmente con OSX en el lateral. También tengo una partición compartida, aunque tal vez eso podría manejarse con TrueCrypt. Simplemente parece menos problemas y requerirá menos piezas de software si solo puedo tener una sola contraseña en el arranque.
Eric Marsh
¿Has utilizado Filevault 2 junto con el cifrado de disco completo de Ubuntu? ¿Eso funcionó bien? Solo tengo curiosidad porque quiero deshacerme de mi partición de Windows para Ubuntu 12.04.
gentmatt
No, lo siento, no lo he probado. No creo que sea un problema siempre y cuando no desee leer una partición mientras arranca en la otra. Esperaría que tal vez puedas evitar eso usando TrueCrypt para ambos. He usado TrueCrypt un poco, aunque no soy un experto
Eric Marsh el

Respuestas:

3

Me he preguntado exactamente lo mismo que también he comprado un Samsung 840 Pro para mi MacBook Pro. Después de algunas investigaciones , encontré esta publicación que indica que el cifrado de hardware del 840 Pro requiere soporte TPM, y eso solo se encuentra en las BIOS de la PC, no en el EFI de Mac (U). Para estar seguro, le pregunté al soporte de Samsung cuáles de los estándares "ATA-Security", "Seagate DriveTrust" y "TCG OPAL" son compatibles con el 840 Pro, y su respuesta fue:

Estimado cliente,

Gracias por contactar al soporte de SSD de Samsung con respecto a su consulta. En respuesta a su consulta, el único de los 3 que admite la unidad es la característica de seguridad de ATA. En cuanto al cifrado, el SSD 840 Pro Series solo admite el cifrado de nivel de hardware AES de 256 bits, pero requiere que el BIOS esté habilitado para TPM.

Por lo tanto, no hay forma de habilitar el cifrado de hardware del 840 Pro en una Mac.

Sin embargo, también está el Crucial M500 que admite el ópalo de TCG . Junto con un software especial de administración de Opal como el SecureDoc de WinMagic para Mac , parece que es posible obtener cifrado de hardware para trabajar en una Mac.

Por cierto, tenga en cuenta que de acuerdo con el soporte de Sophos, SafeGuard solo admite Opal en Windows, no en Mac OS. Además, las preguntas y respuestas generales de McAfee para los estados de Opal

P: ¿Las unidades Opal serán compatibles con Mac OS X?

R: No. Apple actualmente no envía sus dispositivos con unidades Opal, por lo que Opal no es compatible con Endpoint Encryption para Mac.

Pero, por supuesto, eso no dice nada acerca de que eso suceda si solo coloca una unidad Opal en una Mac.

sschuberth
fuente
No se requiere TPM. En mi instalación de Windows 8.1 pude activar el autocifrado de esta unidad sin usar TPM; solo necesita cambiar la configuración de BitLocker en gpedit.msc. Entonces, teóricamente, esto también es posible en OS X, si el SO lo admite.
Sarge Borsch
¿Le importaría compartir qué configuraciones exactamente estaba cambiando en gpedit.msc?
sschuberth
howtogeek.com/howto/6229/…
Sarge Borsch
Ese artículo se parece mucho a que BitLocker usaría el cifrado de software en ese caso, es decir, el cifrado / descifrado lo realiza la CPU en lugar del disco duro. Especialmente porque recomiendan TrueCrypt como alternativa.
sschuberth
No dije que las otras partes son correctas. por cierto, la guía más completa está aquí: superuser.com/a/700251/161593
Sarge Borsch
2

Ampliando la respuesta de sschuberth, a partir de diciembre de 2013, el Samsung 840 EVO (pero no PRO) también tiene firmware que admite directamente TCG OPAL. Es una buena apuesta que una actualización de firmware 840 Pro haga lo mismo pronto.

Necesita algún software para administrar la unidad SED, de lo contrario obtendrá poca o ninguna ventaja de la seguridad incorporada.

WinMagic SecureDoc administrará la unidad, pero no para cada lanzamiento de OS X (la evidencia anecdótica sugiere 10.8.1: ok, 10.8.2: no ok).

También necesitará ejecutar el software empresarial WinMagic, creo. Si bien tienen una edición independiente de SecureDoc para admitir SED, parece que solo está disponible para Windows.

NOTA: SecureDoc no requiere un TPM para SED, ni el 840 EVO que se ejecuta en modo TCG Opal. SecureDoc puede admitir el uso de un TPM si tiene uno y habilitar la función (solo Windows).

Larry
fuente
1

Esta es una buena pregunta y, sí, encontrar una respuesta es casi imposible. Samsung envía al soporte de Apple. Esperaría saber de Apple que no es posible.

Cifrado de disco completo HW vs FileVault: la diferencia en el rendimiento es notable. Si no es un usuario comercial con estrictos requisitos de cifrado, entonces debemos buscar una solución Samsung basada en hardware. Pero cómo habilitarlo en Mac: es difícil descubrirlo.

woy
fuente
1
Con CPU recientes, FileVault2 utiliza hardware AES y tiene un impacto insignificante en el rendimiento según algunos informes: osxdaily.com/2011/08/10/…
Alan Shutko
No somos realmente usuarios promedio. Prefiero usar HW FDE porque es la solución elegante y "correcta", particularmente cuando se inicia dual con una partición compartida.
Eric Marsh
1

Sí, la gama de productos Eclypt de Viasat funciona con Mac (EFI) y proporciona cifrado de hardware de disco completo, aprobado por FIPS.

Ver: Disco duro interno autocifrado Eclypt Core

Las hojas de datos para la gama de productos Eclypt aún no están actualizadas (pero Mac OS X 10.5+ es compatible al igual que Apple UEFI). Puede ver el producto específico en http://www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4 . También puede consultar este blog http://robert-palmer.net/category/eclypt-protects/ para obtener pruebas. O comuníquese con Viasat UK directamente.

Denzil Dexter
fuente
Hmm, su hoja de datos no menciona nada sobre EFI o Mac, solo Windows.
sschuberth