Enkripsi SSD SandForce - keamanan dan dukungan

12

Saat ini saya sedang berpikir untuk membeli ThinkPad X201 dan melengkapinya dengan drive SSD. Sekarang, untuk melindungi data saya, saya selalu menggunakan Linux dengan enkripsi disk penuh LUKS pada laptop saya. Namun, seperti yang dinyatakan dalam posting SuperUser lain, ini akan menonaktifkan dukungan untuk TRIM - sehingga tampaknya bukan ide yang baik dengan drive SSD.

Saya telah membaca bahwa SSD berbasis SandForce-1200 menawarkan enkripsi AES terintegrasi yang dikaitkan dengan kata sandi BIOS. Namun saya tidak dapat menemukan dokumentasi yang tepat mengenai hal ini. Pertanyaan:

  • Adakah kelemahan umum dari pendekatan ini?
  • Saya kira ini akan memerlukan dukungan BIOS untuk fitur - bagaimana mencari tahu apakah berfungsi pada X201?
  • Versi BIOS lama hanya mendukung kata sandi pendek (seperti 6 atau 8 karakter), sudahkah situasi ini ditingkatkan untuk memberikan keamanan yang cukup untuk enkripsi disk?

Pembaruan: Sumber ini mengatakan Anda bahkan tidak dapat mengatur kata sandi apa pun pada drive ini. Hah? Itu tidak masuk akal, mengapa Anda bahkan melakukan operasi AES yang rumit ketika Anda tidak mengizinkan untuk menggunakan kunci?

Terima kasih atas saran ahli tentang masalah ini :)

linux ssd thinkpad c089
sumber

Jawaban:

11

Menjawab pertanyaan saya sendiri, inilah yang saya temukan setelah mencari di internet selama beberapa jam:

  • Perangkat SandForce memiliki enkripsi AES diaktifkan secara default, tetapi ada masalah dengan ini (lihat di bawah)
  • Jika Anda memundurkan drive menggunakan ATA Secure Delete, kunci akan dihapus dan kemudian dibuat ulang sehingga data lama tidak akan dapat diakses lagi - menjadikan ini solusi yang dapat diterima ketika Anda akan menjual atau menghancurkan SSD Anda
  • Namun, tidak mungkin untuk menetapkan kata sandi pengguna yang akan mencegah seseorang yang mencuri laptop Anda dengan SSD SandForce dari membaca data Anda
  • Kunci enkripsi tidak terkait dengan keamanan ATA dan / atau BIOS
  • Mengatur kata sandi pengguna akan dimungkinkan jika ada alat untuk ini. OCZ menjanjikan sebuah program yang disebut "kotak alat" mereka yang akan memungkinkan ini sangat sering di forum dukungan mereka, tetapi ketika akhirnya dirilis pada Oktober 2010, itu masih tidak memiliki fungsi (dan masih belum hari ini)
  • Saya kira bahkan jika Anda dapat mengatur kata sandi menggunakan toolbox, itu tidak akan mungkin untuk menggunakan perangkat sebagai perangkat boot lagi karena Anda tidak dapat membuka kunci dari bios.
  • Menggunakan perangkat lunak enkripsi-disk penuh pada SSD berdampak serius terhadap kinerja drive - sampai pada titik di mana ia bisa lebih lambat daripada hard disk biasa.

Sumber untuk beberapa informasi ini.

Pembaruan: Jika Anda tertarik, saya menulis sedikit lebih banyak tentang masalah di posting blog khusus .

c089
sumber
Pelambatan enkripsi disk lengkap hanya berlaku untuk pengontrol Sandforce yang mengandalkan kompresi untuk kecepatannya.
Zan Lynx
Saya sedang melalui penelitian yang sama sekarang ketika saya mencari tahu apa yang harus dilakukan dengan SSD onboard HP Folio 13 saya yang baru. Saya benar-benar menemukan posting blog Anda bermanfaat - memberi +1 pada jawaban yang Anda posting. Terima kasih!
TARehman
Anda memblokir membutuhkan kata sandi. Apakah masuk akal untuk beriklan di sini?
maaartinus
oops maaf tentang itu, saya entah bagaimana berhasil mengatur akun wordpress yang salah menjadi pribadi saat mengerjakan yang berbeda;)
c089
0

Enkripsi disk untuk Sandforce, bukan untuk Anda. Jika drive Anda gagal, Anda harus menggunakan salah satu vendor "disetujui" mereka yang mereka berikan kunci kepada siapa yang mengenakan biaya $ 5-6k untuk pemulihan data. Juga dikenal sebagai menahan sandera data Anda untuk menghasilkan uang.

Jimbo Jones
sumber
Anda juga dapat mengaktifkan TRIM dari dalam wadah LUKS. Lihat di sini untuk petunjuk: blog.christophersmart.com/2013/06/05/trim-on-lvm-on-luks-on-ssd
Jimbo Jones