¿Cómo habilitar el cifrado de hardware en SSD como Samsung 840 EVO?

20

Acabo de ejecutar Ubuntu 14.04 en un Zotac Zbox CI320. Quiero habilitar el cifrado de hardware Samsung 840 que viene con este disco duro, pero no sé cómo.

¿Hay alguien que pueda ayudarme a configurar esto? Muy apreciado.

usuario312082
fuente

Respuestas:

12

Existen diferentes tipos de cifrado de hardware en SSD, consulte SSD con cifrado de disco completo basado en hardware utilizable incorporado para obtener una explicación detallada.

Preguntaste sobre el Samsung 840 EVO en particular. Siempre está encriptando sus datos y está desbloqueado por la contraseña ATA HDD establecida en el BIOS, que por defecto está en blanco. Más tarde se puede mover el SSD a una nueva máquina e introduzca la contraseña del disco duro ATA a través de la BIOS hay que desbloquearlo. Nada involucrado en el desbloqueo se almacena fuera de la unidad en sí.

Como usuario de Linux, prefiero esta solución sobre el cifrado de unidades basado en software. No hay penalización de rendimiento y es fácil de configurar y usar.

Mark Stosberg
fuente
¡Hola, Mark! Primero, el enlace que proporcionó es muy interesante, ¡gracias! Tengo una pregunta para usted, la contraseña del BIOS SSD de mi computadora portátil tiene como máximo 10 caracteres. Esta sería una contraseña bastante débil si la contraseña pudiera ser atacada por "fuerza bruta". Quiero decir que si hay algo que limite el número de veces por segundo que un atacante puede probar una nueva contraseña; solo entonces la contraseña de 10 caracteres sería definitivamente segura. ¿Tiene alguna idea de estas contraseñas SSD de BIOS sorprendentemente cortas? En caso de que sea útil para alguien, tengo un Toshiba Satellite P50t-B con un Samsung SSD 850 Pro.
jespestana
1
Consulte también este artículo más reciente Utilice el cifrado de disco completo basado en hardware de su TCG Opal SSD con msed , probado en Ubuntu Trusty. Esto debería ser útil porque los SSD basados ​​en Opal 2 parecen estar convirtiéndose en un estándar de facto. Las versiones más recientes del programa msed están aquí . Una limitación clave de las soluciones actuales es que evitan la función de suspensión / suspensión (S3) que es bastante esencial en las computadoras portátiles.
sxc731
1
@jespestana la diferencia con la contraseña del BIOS es que no se puede * acceder a través de la red, lo que hace que el ataque sea más predeterminado. * (Tal vez a menos que tenga una conexión de serie a red en la computadora, lo cual es poco probable en una computadora de escritorio o portátil)
Mark Stosberg
@ sxc731 No tengo una computadora de repuesto para probar msed, probablemente lo haría de otra manera. ¡Gracias por la información!
jespestana
@MarkStosberg Ok, quiere decir que mientras el atacante no tenga acceso físico a la máquina, estaría a salvo. Eso es algo tranquilizador. Todavía no puedo entender por qué sería Toshiba decidir sobre este corto limitación contraseña del BIOS ...
jespestana
3

Encontré las siguientes preguntas similares:

Que yo sepa, una configuración SED que funcione requiere un Trusted Platform Module (TPM), pero el Zbox no parece que tenga o soporte TPM ( 1 , 2 ).

Si bien una respuesta en una de las preguntas anteriores ofrece una solución que incluso podría funcionar en su caso, debe considerar lo siguiente:

  • Si sus datos están encriptados usando TPM y su hardware de alguna manera se rompe, sus datos desaparecerán. Siempre.
  • Por lo general, los usuarios de Linux prefieren el cifrado de disco basado en software y RAID basado en software, porque la tecnología no estandarizada o patentada demostró ser poco confiable en términos de seguridad y recuperación de datos. Si tiene la intención de utilizar soluciones de software gratuitas como Linux para seguridad de datos o redundancia, planifique también los recursos informáticos necesarios.
  • Ha habido informes de ataques exitosos como ataques Warm Replug en algunos dispositivos o configuraciones.

Editar: Michael Larabel publicó artículos en Phoronix donde especula que el soporte SED / OPAL podría llegar pronto a Linux, en caso de que alguien tropiece con esta publicación del pasado en busca de información más actualizada.

LiveWireBT
fuente