Cómo habilitar el cifrado basado en hardware en Samsung 850 Pro
10
Tengo un nuevo Samsung 850 pro que promociona el cifrado basado en hardware . De acuerdo con esa página, solo debería ir a mi BIOS y establecer una contraseña de disco duro (no hay problema). El único hilo relevante que encontré sobre el tema también dice algo similar. No tengo esa opción en mi BIOS (tengo una placa Gigabyte con un chipset Z87, el número de modelo se me escapa en este momento). Si tuviera que comprar una nueva placa base para que esto funcione, ¿qué características debe admitir la placa?
Depende de lo que quieras decir con "hacer que esto funcione". Esa unidad admite OPAL 2.0, que permite que varios esquemas de cifrado administrados por software utilicen cifrado acelerado por hardware. También permite la autenticación previa al arranque (PBA) para el cifrado, como los esquemas BIOS / EFI. Si desea usar PBA (es decir, una contraseña / pin en el BIOS / EFI), deberá cambiar a una placa base que lo admita (no podría decir cuál, ya que no uso PBA, uso BitLocker, que recomiendo en entornos Windows).
TL; DR Si está ejecutando Windows, use BitLocker, usará automáticamente la aceleración de hardware.
Editar :
A partir de abril de 2014, OPAL no es compatible con Linux. Había alguien trabajando en "msed", pero no estaba terminado o la producción no era digna. No sé el estado actual o futuro del soporte OPAL en Linux.
Edición 2 :
también hay varios productos UEFI que pueden administrar unidades compatibles con OPAL que permiten una variedad de PBA si su BIOS / EFI no lo admite directamente. El único con el que estoy vagamente familiarizado permite a las compañías configurar servidores de autenticación para PBA a través de Internet. También podría funcionar con credenciales locales, no estoy seguro. También es muy costoso. Alimento para el pensamiento, si nada más.
Excelente. No estoy usando Windows, es ubuntu 14 con cifrado LVM habilitado a través de la opción del instalador. Entonces, ¿tal vez eso ya se está aprovechando de la aceleración de hardware y la respuesta es no hacer nada y obtener ganancias?
ErlVolton
Ver edición, no son buenas noticias para ti.
Chris S
9
Como el "alguien" que trabaja en "msed", ahora tiene la capacidad de habilitar el bloqueo OPAL, escribir un PBA en una unidad OPAL 2.0 y cargar en cadena el sistema operativo real después de desbloquear la unidad en placas base basadas en BIOS. No se necesita soporte de placa base especial. Sí, todavía es temprano en su ciclo de desarrollo y actualmente no es compatible con el reposo para ram porque eso requiere enganches del sistema operativo.
TexasDex es correcto. El BIOS de la placa base debe admitir una opción de contraseña ATA (esta es distinta y además de la contraseña del BIOS). Ahora lo interesante. . . nadie menciona esta característica. No en las revisiones de mobo, comparaciones, y ciertamente no en los anuncios y listados de los fabricantes de mobo. Por qué no? Millones y millones de SSD Samsung EVO e Intel están listos para tener encriptado de hardware ultrarrápido y ultra seguro, todo lo que necesitan es un BIOS con soporte de contraseña ATA.
La única respuesta que pude encontrar es que los fabricantes de Mobo temen que algunos novatos olviden sus contraseñas, y dado que este cifrado es tan confiable, nadie PODRÁ ayudar.
Tenía un mobo ASRock Extreme6 y, pensando que era el último y el mejor, por supuesto que tendría esta característica. No. Sin embargo, escribí a ASRock en Taiwán y en una semana me enviaron por correo electrónico la versión 1.70B de su BIOS con una opción de contraseña ATA. Sin embargo, todavía no está disponible en su sitio web, debe PEDIRLO (?!). Este también puede ser el caso con sus creadores de mobo.
¿Este BIOS admite suspender al modo de suspensión RAM? ¿Desbloquea el disco mientras se reanuda de la suspensión?
ZAB
1
Es posible usar el comando hdparm en Linux para habilitar las Extensiones de seguridad ATA, que establecerán la contraseña AT en la unidad, encriptando así.
Desafortunadamente, si su BIOS no admite contraseñas de disco duro, entonces no hay forma de arrancar después de hacerlo, ya que no puede usar el comando de desbloqueo hdparm hasta que haya terminado de arrancar, y no puede desbloquear y arrancar la unidad hasta después de desbloquearla. Un tipo de problema de pollo / huevo. Es por eso que a veces ponen soporte de contraseña de disco en el BIOS, para que pueda ejecutarse sin necesidad de un sistema operativo.
Si tiene la partición / boot o / en un dispositivo separado, es posible que pueda configurar un script que use el comando hdparm en algún lugar del proceso de inicio. Esto no es fácil y de alguna manera frustra el propósito de tener el SSD para un arranque rápido y demás.
Mi única otra idea sería tener una unidad flash con una distribución súper mínima de Linux que no haga nada más que solicitar la contraseña, ejecutar el comando de desbloqueo hdparm ata y reiniciar, permitiendo que el sistema operativo se cargue desde su unidad desbloqueada (creo los reinicios suaves generalmente no vuelven a bloquear las unidades). Esto no es ideal, pero es la mejor solución disponible si su placa base no admite contraseñas ATA.
La computadora siempre debe arrancar de forma nativa desde UEFI.
La computadora debe tener el Módulo de soporte de compatibilidad (CSM) deshabilitado en UEFI.
La computadora debe estar basada en UEFI 2.3.1 y tener el EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definido. (Este protocolo se utiliza para permitir que los programas que se ejecutan en el entorno de servicios de arranque EFI envíen comandos del protocolo de seguridad a la unidad).
El chip TPM es opcional.
El arranque seguro es opcional.
GPT y MBR son compatibles.
Si hay controladores / software RST, debe ser al menos la versión 13.2.4.1000.
Esto se puede hacer con 2 discos o uno.
Desde una instalación de Windows que cumple con los criterios anteriores:
Establezca el estado en listo para habilitar a través de Samsung Magician.
Haga un USB de borrado seguro (para DOS).
Reinicie la PC, cambie el modo de arranque a BIOS (para el borrado seguro de USB)
Arrancar en borrado seguro, borrar
Reinicie la PC, cambie la configuración de arranque del BIOS a EFI nuevamente. (No permita que la PC comience a arrancar desde la unidad o podría comenzar el proceso desde el principio).
Inicie de nuevo en el disco de Windows y verifique mediante el mago de Samsung o instale Windows en su disco borrado seguro.
Como el "alguien" que trabaja en "msed", ahora tiene la capacidad de habilitar el bloqueo OPAL, escribir un PBA en una unidad OPAL 2.0 y cargar en cadena el sistema operativo real después de desbloquear la unidad en placas base basadas en BIOS. No se necesita soporte de placa base especial. Sí, todavía es temprano en su ciclo de desarrollo y actualmente no es compatible con el reposo para ram porque eso requiere enganches del sistema operativo.
fuente
TexasDex es correcto. El BIOS de la placa base debe admitir una opción de contraseña ATA (esta es distinta y además de la contraseña del BIOS). Ahora lo interesante. . . nadie menciona esta característica. No en las revisiones de mobo, comparaciones, y ciertamente no en los anuncios y listados de los fabricantes de mobo. Por qué no? Millones y millones de SSD Samsung EVO e Intel están listos para tener encriptado de hardware ultrarrápido y ultra seguro, todo lo que necesitan es un BIOS con soporte de contraseña ATA.
La única respuesta que pude encontrar es que los fabricantes de Mobo temen que algunos novatos olviden sus contraseñas, y dado que este cifrado es tan confiable, nadie PODRÁ ayudar.
Tenía un mobo ASRock Extreme6 y, pensando que era el último y el mejor, por supuesto que tendría esta característica. No. Sin embargo, escribí a ASRock en Taiwán y en una semana me enviaron por correo electrónico la versión 1.70B de su BIOS con una opción de contraseña ATA. Sin embargo, todavía no está disponible en su sitio web, debe PEDIRLO (?!). Este también puede ser el caso con sus creadores de mobo.
fuente
Es posible usar el comando hdparm en Linux para habilitar las Extensiones de seguridad ATA, que establecerán la contraseña AT en la unidad, encriptando así.
Desafortunadamente, si su BIOS no admite contraseñas de disco duro, entonces no hay forma de arrancar después de hacerlo, ya que no puede usar el comando de desbloqueo hdparm hasta que haya terminado de arrancar, y no puede desbloquear y arrancar la unidad hasta después de desbloquearla. Un tipo de problema de pollo / huevo. Es por eso que a veces ponen soporte de contraseña de disco en el BIOS, para que pueda ejecutarse sin necesidad de un sistema operativo.
Si tiene la partición / boot o / en un dispositivo separado, es posible que pueda configurar un script que use el comando hdparm en algún lugar del proceso de inicio. Esto no es fácil y de alguna manera frustra el propósito de tener el SSD para un arranque rápido y demás.
Mi única otra idea sería tener una unidad flash con una distribución súper mínima de Linux que no haga nada más que solicitar la contraseña, ejecutar el comando de desbloqueo hdparm ata y reiniciar, permitiendo que el sistema operativo se cargue desde su unidad desbloqueada (creo los reinicios suaves generalmente no vuelven a bloquear las unidades). Esto no es ideal, pero es la mejor solución disponible si su placa base no admite contraseñas ATA.
fuente
La computadora debe estar basada en UEFI 2.3.1 y tener el EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definido. (Este protocolo se utiliza para permitir que los programas que se ejecutan en el entorno de servicios de arranque EFI envíen comandos del protocolo de seguridad a la unidad).
El chip TPM es opcional.
Esto se puede hacer con 2 discos o uno.
Desde una instalación de Windows que cumple con los criterios anteriores:
fuente