So aktivieren Sie die hardwarebasierte Verschlüsselung auf dem Samsung 850 Pro
10
Ich habe ein neues Samsung 850 Pro welches Tut hardwarebasierte Verschlüsselung . Gemäß dieser Seite sollte ich einfach in mein BIOS gehen und ein Festplattenkennwort festlegen (kein Problem). Das nur relevanter Thread Ich fand zu dem Thema auch etwas in die gleiche Richtung sagen. Ich habe keine solche Option in meinem BIOS (ich habe eine Gigabyte-Platine mit einem Z87-Chipsatz, wobei mir die Modellnummer derzeit entgeht). Welche Funktion (en) muss das Board unterstützen, wenn ich ein neues Motherboard kaufen würde, damit dies funktioniert?
Kommt drauf an, was Sie mit "Get this to work" meinen. Dieses Laufwerk unterstützt OPAL 2.0, wodurch verschiedene durch Software verwaltete Verschlüsselungsverfahren die hardwarebeschleunigte Verschlüsselung verwenden können. Es ermöglicht auch die Authentifizierung vor dem Start (PBA) für die Verschlüsselung, beispielsweise für BIOS / EFI-Schemata. Wenn Sie PBA verwenden möchten (z. B. ein Kennwort / eine PIN im BIOS / EFI), müssen Sie zu einem Motherboard wechseln, das dies unterstützt. was ich sehr empfehle in Windows-Umgebungen).
TL; DR Wenn Sie Windows verwenden, verwenden Sie BitLocker. Die Hardware-Beschleunigung wird automatisch verwendet.
Bearbeiten : Seit April 2014 wird OPAL nicht von Linux unterstützt. Es gab jemanden, der an "msed" arbeitete, aber es war noch nicht fertig oder die Produktion verdient. Ich kenne den aktuellen Status oder die Zukunft der OPAL-Unterstützung in Linux nicht.
Bearbeiten 2 : Es gibt auch verschiedene UEFI-Produkte, die OPAL-kompatible Laufwerke verwalten können. Dies ermöglicht eine Vielzahl von PBAs, wenn Ihr BIOS / EFI dies nicht direkt unterstützt. Der einzige, mit dem ich nur vage vertraut bin, ermöglicht es Unternehmen, Authentifizierungsserver für PBA über das Internet einzurichten. Es könnte auch mit lokalen Anmeldeinformationen funktionieren, ich bin mir nicht sicher. Es ist auch sehr teuer. Denkanstoß, wenn nichts anderes.
Ausgezeichnet. Ich benutze kein Windows, es ist Ubuntu 14 mit aktivierter LVM-Verschlüsselung über die Installationsoption. Vielleicht nutzt das ja schon die Hardwarebeschleunigung und die Antwort ist, nichts zu tun und zu profitieren?
ErlVolton
Siehe Bearbeiten, keine guten Nachrichten für Sie.
Chris S
8
Als "Jemand", der an "msed" arbeitet, kann er nun die OPAL-Sperre aktivieren, eine PBA auf ein OPAL 2.0-Laufwerk schreiben und nach dem Entriegeln des Laufwerks auf Bios-basierten Motherboards das echte Betriebssystem verketten. Es ist keine spezielle Unterstützung für das Motherboard erforderlich. Ja, es befindet sich noch zu einem frühen Zeitpunkt im Entwicklungszyklus, und derzeit wird der Ruhezustand des RAM nicht unterstützt, da dies Betriebssystem-Hooks erfordert.
TexasDex ist richtig. Das BIOS Ihres Motherboards muss eine ATA-Kennwortoption unterstützen (diese ist eindeutig und zusätzlich zum BIOS-Kennwort). Nun das interessante Stück. . . niemand erwähnt diese Funktion. Nicht in Mobo-Reviews, Vergleichen und schon gar nicht in Anzeigen und Listings der Mobo-Hersteller. Warum nicht? Millionen von Samsung EVO- und Intel-SSDs von Samsung sind für die Aktivierung der ultraschnellen und ultraschnellen Hardwareverschlüsselung bereit. Sie benötigen lediglich ein BIOS mit ATA-Passwort-Unterstützung.
Die einzige Antwort, die ich finden konnte, ist, dass Mobo-Hersteller befürchten, dass ein paar Noobs ihre Passwörter vergessen werden. Da diese Verschlüsselung so zuverlässig ist, kann niemand überhaupt helfen.
Ich hatte ein ASRock Extreme6-Mobo und dachte, es sei das neueste und beste, natürlich hätte es diese Funktion. Nicht. Ich schrieb jedoch an ASRock in Taiwan und in einer Woche wurde mir die 1.70B-Version ihres BIOS mit einer ATA-Kennwortoption per E-Mail gesendet. Es ist jedoch immer noch nicht auf ihrer Website verfügbar, Sie müssen danach fragen (?!). Dies kann auch bei Ihren Mobo-Machern der Fall sein.
Unterstützt dieses BIOS den Ruhezustand im RAM? Entsperrt es das Laufwerk, während es aus dem Ruhezustand wieder aufgenommen wird?
ZAB
1
Sie können den Befehl hdparm unter Linux verwenden, um die ATA Security Extensions zu aktivieren, die das AT-Kennwort für das Laufwerk festlegen und dadurch verschlüsseln.
Unglücklicherweise, Wenn Ihr BIOS keine Festplattenkennwörter unterstützt, können Sie nicht booten Nachdem Sie dies getan haben, können Sie den Befehl hdparm unlock erst verwenden, nachdem Sie mit dem Booten fertig sind, und Sie können das Laufwerk erst entsperren, wenn Sie es entsperrt haben. Irgendwie ein Hühner- / Eierproblem. Aus diesem Grund setzen sie manchmal Festplattenkennwortunterstützung im BIOS, sodass sie ohne Betriebssystem ausgeführt werden kann.
Wenn Sie / boot oder / partition auf einem separaten Gerät haben, können Sie möglicherweise ein Skript einrichten, das den Befehl hdparm irgendwo im init-Prozess verwendet. Dies ist nicht einfach und besiegt in gewisser Weise den Zweck, die SSD für schnelles Booten und dergleichen zu verwenden.
Meine einzige andere Idee wäre, einen USB-Stick mit einer super-minimalen Linux-Distribution zu haben, der lediglich zur Eingabe des Kennworts auffordert, den Befehl hdparm ata unlock ausführt und einen Neustart ausführt, damit das Betriebssystem von Ihrem nicht gesperrten Laufwerk geladen werden kann (glaube ich Soft-Neustarts sperren im Allgemeinen keine Laufwerke. Dies ist nicht ideal, aber die beste verfügbare Lösung, wenn Ihr Motherboard keine ATA-Passwörter unterstützt.
Der Computer muss immer von UEFI aus gestartet werden.
Auf dem Computer muss das Compatibility Support Module (CSM) in UEFI deaktiviert sein.
Der Computer muss auf UEFI 2.3.1 basieren und das definierte EFI_STORAGE_SECURITY_COMMAND_PROTOCOL haben. (Dieses Protokoll wird verwendet, um Programmen zu erlauben, die in der Umgebung der EFI-Boot-Services ausgeführt werden, um Sicherheitsprotokollbefehle an das Laufwerk zu senden.)
TPM-Chip ist optional.
Sicherer Start ist optional.
GPT und MBR werden beide unterstützt.
Wenn es RST-Software / Treiber gibt, muss es mindestens Version 13.2.4.1000 sein.
Dies kann mit 2 oder einer Platte erfolgen.
Von einer Windows-Installation, die die oben genannten Kriterien erfüllt:
Setzen Sie den Status auf "Bereit", um ihn über Samsung Magician zu aktivieren.
Machen Sie ein sicheres Löschen von USB (für DOS).
PC neu starten, Bootmodus auf BIOS-Boot umstellen (für das sichere Löschen von USB)
Starten Sie in sicheres Löschen, löschen
Starten Sie den PC neu, und ändern Sie die BIOS-Starteinstellungen erneut in EFI. (Lassen Sie den PC nicht von der Festplatte starten, sonst starten Sie den Vorgang von Anfang an.)
Starten Sie die Windows-Festplatte erneut, und überprüfen Sie sie mit einem Samsung-Magier oder installieren Sie Windows auf Ihrer sicheren gelöschten Festplatte.
Als "Jemand", der an "msed" arbeitet, kann er nun die OPAL-Sperre aktivieren, eine PBA auf ein OPAL 2.0-Laufwerk schreiben und nach dem Entriegeln des Laufwerks auf Bios-basierten Motherboards das echte Betriebssystem verketten. Es ist keine spezielle Unterstützung für das Motherboard erforderlich. Ja, es befindet sich noch zu einem frühen Zeitpunkt im Entwicklungszyklus, und derzeit wird der Ruhezustand des RAM nicht unterstützt, da dies Betriebssystem-Hooks erfordert.
quelle
TexasDex ist richtig. Das BIOS Ihres Motherboards muss eine ATA-Kennwortoption unterstützen (diese ist eindeutig und zusätzlich zum BIOS-Kennwort). Nun das interessante Stück. . . niemand erwähnt diese Funktion. Nicht in Mobo-Reviews, Vergleichen und schon gar nicht in Anzeigen und Listings der Mobo-Hersteller. Warum nicht? Millionen von Samsung EVO- und Intel-SSDs von Samsung sind für die Aktivierung der ultraschnellen und ultraschnellen Hardwareverschlüsselung bereit. Sie benötigen lediglich ein BIOS mit ATA-Passwort-Unterstützung.
Die einzige Antwort, die ich finden konnte, ist, dass Mobo-Hersteller befürchten, dass ein paar Noobs ihre Passwörter vergessen werden. Da diese Verschlüsselung so zuverlässig ist, kann niemand überhaupt helfen.
Ich hatte ein ASRock Extreme6-Mobo und dachte, es sei das neueste und beste, natürlich hätte es diese Funktion. Nicht. Ich schrieb jedoch an ASRock in Taiwan und in einer Woche wurde mir die 1.70B-Version ihres BIOS mit einer ATA-Kennwortoption per E-Mail gesendet. Es ist jedoch immer noch nicht auf ihrer Website verfügbar, Sie müssen danach fragen (?!). Dies kann auch bei Ihren Mobo-Machern der Fall sein.
quelle
Sie können den Befehl hdparm unter Linux verwenden, um die ATA Security Extensions zu aktivieren, die das AT-Kennwort für das Laufwerk festlegen und dadurch verschlüsseln.
Unglücklicherweise, Wenn Ihr BIOS keine Festplattenkennwörter unterstützt, können Sie nicht booten Nachdem Sie dies getan haben, können Sie den Befehl hdparm unlock erst verwenden, nachdem Sie mit dem Booten fertig sind, und Sie können das Laufwerk erst entsperren, wenn Sie es entsperrt haben. Irgendwie ein Hühner- / Eierproblem. Aus diesem Grund setzen sie manchmal Festplattenkennwortunterstützung im BIOS, sodass sie ohne Betriebssystem ausgeführt werden kann.
Wenn Sie / boot oder / partition auf einem separaten Gerät haben, können Sie möglicherweise ein Skript einrichten, das den Befehl hdparm irgendwo im init-Prozess verwendet. Dies ist nicht einfach und besiegt in gewisser Weise den Zweck, die SSD für schnelles Booten und dergleichen zu verwenden.
Meine einzige andere Idee wäre, einen USB-Stick mit einer super-minimalen Linux-Distribution zu haben, der lediglich zur Eingabe des Kennworts auffordert, den Befehl hdparm ata unlock ausführt und einen Neustart ausführt, damit das Betriebssystem von Ihrem nicht gesperrten Laufwerk geladen werden kann (glaube ich Soft-Neustarts sperren im Allgemeinen keine Laufwerke. Dies ist nicht ideal, aber die beste verfügbare Lösung, wenn Ihr Motherboard keine ATA-Passwörter unterstützt.
quelle
Der Computer muss auf UEFI 2.3.1 basieren und das definierte EFI_STORAGE_SECURITY_COMMAND_PROTOCOL haben. (Dieses Protokoll wird verwendet, um Programmen zu erlauben, die in der Umgebung der EFI-Boot-Services ausgeführt werden, um Sicherheitsprotokollbefehle an das Laufwerk zu senden.)
TPM-Chip ist optional.
Dies kann mit 2 oder einer Platte erfolgen.
Von einer Windows-Installation, die die oben genannten Kriterien erfüllt:
quelle