Encriptación SSD SandForce - seguridad y soporte

12

Actualmente estoy pensando en comprar un ThinkPad X201 y equiparlo con una unidad SSD. Ahora, para proteger mis datos, siempre usé Linux con cifrado de disco completo LUKS en mis computadoras portátiles. Sin embargo, como se indicó en otra publicación de SuperUser, esto deshabilitaría la compatibilidad con TRIM, por lo que no parece ser una buena idea con una unidad SSD.

He leído que los SSD basados ​​en SandForce-1200 ofrecen cifrado AES integrado vinculado a la contraseña del BIOS. Sin embargo, no puedo encontrar la documentación adecuada sobre esto. Preguntas:

  • ¿Algún inconveniente general de este enfoque?
  • Supongo que esto requeriría soporte de BIOS para la función: ¿cómo saber si funciona en un X201?
  • Las versiones antiguas de BIOS solo admitían contraseñas cortas (como 6 u 8 caracteres), ¿ha mejorado esta situación para proporcionar seguridad suficiente para un cifrado de disco?

Actualización: esta fuente dice que ni siquiera puede establecer ninguna contraseña en estas unidades. ¿Eh? Eso no tiene sentido, ¿por qué incluso harías las complicadas operaciones de AES cuando no permites usar una llave?

Gracias por cualquier consejo experto al respecto :)

linux ssd thinkpad c089
fuente

Respuestas:

11

Respondiendo a mi propia pregunta, esto es lo que descubrí después de buscar en la red durante un par de horas:

  • Los dispositivos SandForce tienen el cifrado AES activado de forma predeterminada, pero hay problemas con esto (ver más abajo)
  • Si pone a cero la unidad con ATA Secure Delete, la clave se borrará y luego se regenerará y, por lo tanto, los datos antiguos ya no serán accesibles, lo que lo convierte en una solución aceptable cuando esté a punto de vender o desechar su SSD
  • Sin embargo, no es posible establecer una contraseña de usuario que impida que alguien que robe su computadora portátil con un SSD SandForce lea sus datos
  • La clave de cifrado no está vinculada a la seguridad de ATA y / o BIOS
  • Establecer una contraseña de usuario sería posible si hubiera una herramienta para esto. OCZ prometió un programa llamado su "caja de herramientas" que permitiría esto muy a menudo en sus foros de soporte, pero cuando finalmente se lanzó en octubre de 2010, todavía no tenía la funcionalidad (y aún no hoy)
  • Supongo que incluso si pudiera establecer la contraseña usando la caja de herramientas, ya no sería posible usar el dispositivo como dispositivo de arranque porque no podría desbloquearlo desde la BIOS.
  • El uso de software de cifrado de disco completo en un SSD afecta seriamente el rendimiento de la unidad, hasta un punto en el que puede ser más lento que un disco duro normal.

Fuente de parte de esta información.

Actualización: si está interesado, escribí un poco más sobre los problemas en una publicación de blog dedicada .

c089
fuente
La desaceleración del cifrado de disco completo solo se aplica a los controladores Sandforce que dependen de la compresión para su velocidad.
Zan Lynx
Estoy pasando por la misma investigación ahora que descubro qué hacer con la nueva SSD incorporada de mi HP Folio 13. Realmente encontré útil tu publicación de blog: +1 en la respuesta que publicaste. ¡Gracias!
TARehman
Bloquear requiere una contraseña. ¿Tiene sentido entonces anunciarlo aquí?
maaartinus
vaya lo siento por eso, de alguna manera logré establecer la cuenta de wordpress erróneo privada mientras se trabaja en una diferente;)
C089
0

El cifrado del disco es para Sandforce, no para ti. Si su unidad falla, debe utilizar uno de sus proveedores "aprobados", a quienes le suministran las llaves y que cobran $ 5-6k por la recuperación de datos. También conocido como mantener a sus datos como rehenes para ganar dinero.

Jimbo Jones
fuente
Además, puede habilitar TRIM desde el contenedor LUKS. Consulte aquí para obtener instrucciones: blog.christophersmart.com/2013/06/05/trim-on-lvm-on-luks-on-ssd
Jimbo Jones