Apakah enkripsi disk penuh berbasis perangkat keras dimungkinkan pada Mac?

21

Apakah mungkin untuk menggunakan enkripsi disk penuh berbasis perangkat keras (mungkin pada Samsung 840 Pro SSD) pada Mac, khususnya Macbook Pro 8,2? Jika ya, bagaimana caranya?

Pemahaman saya adalah bahwa ini akan ditangani di BIOS atau mungkin EFI, namun saya pikir EFI Apple pada umumnya cukup terkunci.

Saya tidak mencari solusi berbasis perangkat lunak seperti FileVault 2 atau TrueCrypt. Saya dual boot dan masalah akan lebih mudah jika ditangani dalam perangkat keras.

macos macbook encryption efi Eric Marsh
sumber
3
Meskipun saya mengerti bahwa enkripsi berbasis perangkat keras lebih disukai jika memungkinkan, saya ingin mempertanyakan motivasi Anda: Enkripsi disk dari berbagai vendor perangkat keras tampaknya tidak terdokumentasi dengan baik. Hanya sedikit informasi yang disediakan tetapi diperlukan untuk menjaga kerahasiaan implementasi. FileVault 2 di sisi lain saat ini sedang menjalani sertifikasi FIPS 140-2 [1 ] - standar NIST untuk modul kriptografi.
Gentmatt
1
Dalam pengalaman pribadi saya, enkripsi disk penuh berbasis perangkat lunak dalam pengaturan boot ganda dengan Windows 7 tidak masalah jika saya hanya mengenkripsi volume startup OS X dengan FileVault 2 (ini adalah setup saya saat ini). Jika Anda juga ingin mengenkripsi volume Windows atau Linux Anda, banyak hal menjadi berantakan - jadi saya sudah mendengarnya tetapi tidak mencoba sendiri.
gentmatt
Yah, saya sebenarnya menggunakan Ubuntu terutama dengan OSX di samping. Saya juga memiliki partisi bersama, meskipun mungkin itu bisa ditangani dengan TrueCrypt. Sepertinya lebih sedikit masalah dan akan membutuhkan lebih sedikit perangkat lunak jika saya dapat memiliki satu kata sandi saat boot.
Eric Marsh
Sudahkah Anda menggunakan Filevault 2 bersama dengan enkripsi disk lengkap Ubuntu? Apakah itu berhasil? Saya hanya ingin tahu karena saya ingin parit partisi Windows saya untuk Ubuntu 12.04.
Gentmatt
Tidak, maaf saya belum mencobanya. Saya tidak berpikir itu akan menjadi masalah selama Anda tidak ingin membaca satu partisi saat boot ke yang lain. Saya berharap mungkin Anda bisa mengatasinya dengan menggunakan TrueCrypt untuk keduanya. Saya telah menggunakan TrueCrypt sedikit, bukan seorang ahli sekalipun
Eric Marsh

Jawaban:

3

Saya bertanya pada diri sendiri hal yang sama persis seperti saya juga membeli Samsung 840 Pro untuk MacBook Pro saya. Setelah beberapa penelitian saya menemukan posting ini menunjukkan bahwa enkripsi perangkat keras 840 Pro membutuhkan dukungan TPM, dan itu hanya ditemukan di BIOS PC, bukan di EFI Mac (U). Yang pasti, saya sudah meminta dukungan Samsung yang mana dari standar "ATA-Security", "Seagate DriveTrust" dan "TCG OPAL" yang didukung oleh 840 Pro, dan jawabannya adalah:

Pelanggan yang terhormat,

Terima kasih telah menghubungi dukungan Samsung SSD terkait pertanyaan Anda. Menanggapi pertanyaan Anda, satu-satunya dari 3 yang didukung unit adalah fitur Keamanan ATA. Sedangkan untuk enkripsi, 840 Pro Series SSD hanya mendukung enkripsi level perangkat keras AES 256 bit tetapi mengharuskan BIOS untuk diaktifkan TPM.

Jadi tidak ada cara untuk mengaktifkan enkripsi perangkat keras 840 Pro di Mac.

Namun, ada juga M500 Krusial yang mendukung TCG's Opal . Dalam hubungannya dengan perangkat lunak manajemen Opal khusus seperti WinMagic ini SecureDoc untuk Mac itu terdengar seperti apakah itu mungkin untuk mendapatkan enkripsi hardware untuk bekerja pada Mac.

BTW, perhatikan bahwa menurut Sophos mendukung SafeGuard mereka, hanya mendukung Opal pada Windows, bukan pada Mac OS. Juga, T&J Umum McAfee untuk negara bagian Opal

T: Apakah drive Opal didukung pada Mac OS X?

A: Tidak. Apple saat ini tidak mengirimkan perangkat mereka dengan drive Opal sehingga Opal tidak didukung pada Enkripsi Endpoint untuk Mac.

Tapi tentu saja itu tidak mengatakan apa-apa tentang hal itu terjadi jika Anda hanya memasukkan drive Opal ke Mac sendiri.

sschuberth
sumber
TPM tidak diperlukan. Pada instalasi Windows 8.1 saya, saya dapat mengaktifkan enkripsi-diri dari drive ini tanpa menggunakan TPM - Anda hanya perlu mengubah pengaturan BitLocker di gpedit.msc. Jadi secara teori ini dimungkinkan pada OS X, juga, jika OS mendukungnya.
Sarge Borsch
Maukah Anda berbagi pengaturan mana yang sebenarnya Anda ubah di gpedit.msc?
sschuberth
howtogeek.com/howto/6229/…
Sarge Borsch
Artikel itu sangat mirip dengan BitLocker yang akan menggunakan enkripsi perangkat lunak dalam kasus itu, yaitu en- / dekripsi dilakukan oleh CPU alih-alih hard drive itu sendiri. Terutama karena mereka merekomendasikan TrueCrypt sebagai alternatif.
sschuberth
saya tidak mengatakan bagian lain sudah benar. btw, panduan paling lengkap ada di sini: superuser.com/a/700251/161593
Sarge Borsch
2

Memperluas jawaban sschuberth, pada Desember 2013, Samsung 840 EVO (tetapi tidak PRO) juga memiliki firmware yang secara langsung mendukung TCG OPAL. Ini adalah taruhan yang baik bahwa pembaruan firmware 840 Pro untuk melakukan hal yang sama akan segera hadir.

Anda memerlukan beberapa perangkat lunak untuk mengelola drive SED, jika tidak Anda mendapat sedikit manfaat atau tidak sama sekali dari keamanan bawaan.

WinMagic SecureDoc akan mengelola drive, tetapi tidak untuk setiap rilis OS X di luar sana (bukti anekdotal menunjukkan 10.8.1: ok, 10.8.2: tidak ok).

Anda harus menjalankan perangkat lunak perusahaan WinMagic juga, saya percaya. Walaupun mereka memiliki edisi mandiri SecureDoc untuk mendukung SED, tampaknya itu hanya tersedia untuk Windows.

CATATAN: SecureDoc tidak memerlukan TPM untuk SED, juga 840 EVO tidak berjalan dalam mode Opal TCG. SecureDoc dapat mendukung penggunaan TPM jika Anda memilikinya dan mengaktifkan fitur (hanya Windows).

Larry
sumber
1

Ini adalah pertanyaan yang bagus dan - ya - menemukan jawabannya hampir tidak mungkin. Samsung mengirim ke dukungan Apple. Saya berharap mendengar dari Apple bahwa itu tidak mungkin.

Enkripsi cakram penuh HW vs FileVault - perbedaan kinerja terlihat. Jika Anda bukan pengguna bisnis dengan persyaratan enkripsi yang ketat, maka kami perlu mencari solusi Samsung berbasis HW. Tapi bagaimana cara mengaktifkannya di Mac - sakit untuk mengetahuinya.

woy
sumber
1
Dengan CPU baru-baru ini, FileVault2 menggunakan perangkat keras AES, dan memiliki dampak yang dapat diabaikan pada kinerja menurut beberapa laporan: osxdaily.com/2011/08/10/…
Alan Shutko
Kami bukan pengguna biasa-biasa saja. Saya lebih suka menggunakan HW FDE karena ini adalah solusi yang elegan dan "benar", terutama ketika dual boot dengan partisi bersama.
Eric Marsh
1

Ya, jajaran produk Eclypt Viasat bekerja dengan Mac (EFI) dan menyediakan enkripsi perangkat keras cakram penuh, disetujui FIPS.

Lihat: Hard Drive Internal Eclypt Core Self-Encrypting

Lembar data untuk rangkaian produk Eclypt belum mutakhir (tetapi Mac OS X 10.5+ didukung seperti halnya Apple UEFI). Anda dapat melihat produk spesifik di http://www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4 . Anda juga dapat melihat blog ini http://robert-palmer.net/category/eclypt-protects/ sebagai buktinya. Atau hubungi alternatif Viasat UK secara langsung.

Denzil Dexter
sumber
Hmm, lembar datanya tidak menyebutkan apa-apa tentang EFI atau Mac, hanya Windows.
sschuberth