Saya telah membeli laptop HP Envy 15-j005ea yang telah saya tingkatkan ke Windows 8.1 Pro. Saya juga melepas HDD dan menggantinya dengan Samsung Evo 840 SSD 1TB. Saya sekarang ingin mengenkripsi drive untuk melindungi kode sumber perusahaan saya dan dokumen pribadi saya, tetapi saya tidak dapat menemukan cara melakukannya atau jika itu mungkin.
Saya mengetahui bahwa tidak disarankan untuk menggunakan Truecrypt pada SSD, tetapi mohon perbaiki jika saya salah. Saya juga mengerti bahwa 840 Evo memiliki enkripsi AES 256 bit built-in sehingga disarankan untuk menggunakannya.
Evo telah diperbarui ke firmware EXT0BB6Q terbaru dan saya memiliki Samsung Magician terbaru. Saya tidak tahu level UEFI apa yang saya miliki tetapi saya tahu bahwa mesin itu dibangun pada Desember 2013 dan memiliki BIOS F.35 buatan Insyde.
Inilah yang saya coba:
Bitlocker. Firmware Samsung terbaru seharusnya Windows 8.1 eDrive kompatibel, jadi saya mengikuti instruksi yang saya temukan di artikel Anandtech . Pertama-tama tampaknya laptop tidak memiliki chip TPM, jadi saya harus mengizinkan Bitlocker bekerja tanpa TPM. Setelah saya selesai melakukannya saya mencoba untuk menghidupkan Bitlocker. Anandtech mengatakan bahwa "Jika semuanya sesuai eDrive, Anda tidak akan ditanya apakah Anda ingin mengenkripsi semua atau sebagian drive, setelah Anda melalui pengaturan awal, BitLocker hanya akan diaktifkan. Tidak ada tahap enkripsi tambahan (karena data sudah dienkripsi pada SSD Anda). Jika Anda melakukan kesalahan, atau bagian dari sistem Anda tidak sesuai dengan eDrive, Anda akan mendapatkan indikator kemajuan dan proses enkripsi perangkat lunak yang agak panjang. " Sayangnya saya adalah ditanya apakah saya ingin mengenkripsi semua atau sebagian drive sehingga saya membatalkannya.
Mengatur Kata Sandi ATA di BIOS. Sepertinya saya tidak memiliki opsi seperti itu di BIOS, hanya kata sandi admin dan kata sandi boot-up.
Menggunakan Pesulap. Ini memiliki tab "Keamanan Data", tetapi saya tidak sepenuhnya memahami opsi dan curiga tidak ada yang berlaku.
Info dalam pertanyaan dan jawaban ini membantu tetapi tidak menjawab pertanyaan saya.
Jelas, yang ingin saya ketahui adalah bagaimana cara mengenkripsi solid state drive saya di HP Envy 15 atau apakah saya sebenarnya kurang beruntung? Apakah ada opsi alternatif atau apakah saya harus hidup tanpa enkripsi atau mengembalikan laptop?
Ada pertanyaan serupa tentang Anandtech tetapi tetap tidak terjawab.
sumber
Jawaban:
Kata sandi harus diatur dalam BIOS di bawah ekstensi keamanan-ATA. Biasanya ada tab di menu BIOS berjudul "Keamanan". Otentikasi akan terjadi pada tingkat BIOS, jadi tidak ada yang dilakukan "penyihir" perangkat lunak ini yang berkaitan dengan pengaturan otentikasi. Tidak mungkin pembaruan BIOS akan mengaktifkan kata sandi HDD jika sebelumnya tidak didukung.
Untuk mengatakan bahwa Anda sedang menyiapkan enkripsi itu menyesatkan. Masalahnya adalah bahwa drive SELALU mengenkripsi setiap bit yang ditulisnya ke chip. Pengontrol disk melakukan ini secara otomatis. Mengatur kata sandi HDD ke drive adalah apa yang membuat tingkat keamanan Anda dari nol menjadi tidak bisa dipecahkan. Hanya keylogger perangkat keras yang ditanam dengan berbahaya atau eksploit BIOS jarak-jauh NSA yang dapat mengambil kata sandi untuk mengotentikasi ;-) <- Saya rasa. Saya belum yakin apa yang dapat mereka lakukan pada BIOS. Intinya itu tidak sepenuhnya dapat diatasi, tetapi tergantung pada bagaimana kunci disimpan pada drive, itu adalah metode enkripsi hard drive yang paling aman saat ini tersedia. Yang mengatakan, itu total berlebihan. BitLocker mungkin cukup untuk sebagian besar kebutuhan keamanan konsumen.
Ketika datang ke keamanan, saya kira pertanyaannya adalah: Berapa banyak yang Anda inginkan?
Enkripsi cakram penuh berbasis perangkat keras adalah beberapa urutan besarnya lebih aman daripada enkripsi cakram penuh tingkat perangkat lunak seperti TrueCrypt. Ini juga memiliki keuntungan tambahan karena tidak menghalangi kinerja SSD Anda. Cara SSD menyimpan bitnya kadang-kadang dapat menyebabkan masalah dengan solusi perangkat lunak. FDE berbasiskan perangkat keras tidak begitu berantakan dan lebih elegan dan aman dari suatu pilihan tetapi FDE tidak "menarik" bahkan di antara mereka yang cukup peduli untuk mengenkripsi data berharga mereka. Sama sekali tidak sulit untuk dilakukan, tetapi sayangnya banyak BIOS tidak mendukung fungsi "HDD password" (BUKAN dikacaukan dengan kata sandi BIOS sederhana, yang dapat dielakkan oleh para amatir). Saya dapat menjamin Anda bahkan tanpa melihat di BIOS Anda bahwa jika Anda belum menemukan opsi, BIOS Anda tidak t mendukungnya dan Anda kurang beruntung. Ini adalah masalah firmware dan tidak ada yang dapat Anda lakukan untuk menambahkan fitur singkat dari flashing BIOS Anda dengan sesuatu seperti hdparm yang merupakan sesuatu yang sangat tidak bertanggung jawab bahkan saya tidak akan mencobanya. Tidak ada hubungannya dengan drive atau perangkat lunak yang disertakan. Ini adalah masalah khusus motherboard.
ATA tidak lebih dari sekumpulan instruksi untuk BIOS. Apa yang Anda coba atur adalah Pengguna HDD dan kata sandi Master, yang akan digunakan untuk mengautentikasi ke kunci unik yang disimpan dengan aman di drive. Kata sandi "Pengguna" akan memungkinkan drive untuk dibuka dan boot untuk melanjutkan seperti biasa. Hal yang sama dengan "Tuan". Perbedaannya adalah bahwa kata sandi "Master" diperlukan untuk mengubah kata sandi di BIOS atau menghapus kunci enkripsi di drive, yang membuat semua data tidak dapat diakses dan tidak dapat dipulihkan secara instan. Ini disebut fitur "Hapus Aman". Di bawah protokol, string 32-bit karakter didukung, yang berarti kata sandi 32-karakter. Dari beberapa produsen laptop yang mendukung pengaturan kata sandi HDD di BIOS, sebagian besar membatasi karakter hingga 7 atau 8. Mengapa setiap perusahaan BIOS tidak t mendukung itu di luar saya. Mungkin Stallman benar tentang BIOS eksklusif.
Satu-satunya laptop (hampir tidak ada BIOS desktop yang mendukung kata sandi HDD) Saya tahu akan memungkinkan Anda untuk mengatur Pengguna HDD 32-bit penuh dan kata sandi Master adalah Lenovo ThinkPad T- atau W- series. Terakhir saya mendengar beberapa notebook ASUS memiliki opsi seperti itu di BIOS mereka. Dell membatasi kata sandi HDD hingga 8 karakter yang lemah.
Saya jauh lebih akrab dengan penyimpanan kunci di Intel SSD daripada Samsung. Intel adalah saya percaya yang pertama menawarkan FDE on-chip dalam drive mereka, seri 320 dan seterusnya. Meskipun itu adalah AES 128-bit. Saya belum melihat secara ekstensif bagaimana seri Samsung ini mengimplementasikan penyimpanan kunci, dan tidak ada yang benar-benar tahu pada saat ini. Jelas layanan pelanggan tidak membantu Anda. Saya mendapat kesan hanya lima atau enam orang di perusahaan teknologi mana pun yang benar-benar tahu tentang perangkat keras yang mereka jual. Intel tampaknya enggan untuk membahas secara spesifik, tetapi akhirnya perwakilan perusahaan menjawab di suatu tempat di forum. Perlu diingat bahwa untuk drive-pabrikan fitur ini adalah total renungan. Mereka tidak tahu atau peduli tentang hal itu dan 99,9% pelanggan mereka juga tidak. Ini hanyalah titik peluru iklan di bagian belakang kotak.
Semoga ini membantu!
sumber
Saya akhirnya dapat bekerja hari ini dan seperti Anda, saya percaya saya tidak memiliki pengaturan kata sandi ATA di BIOS (setidaknya tidak saya bisa melihat). Saya memang mengaktifkan kata sandi pengguna / admin BIOS dan PC saya memang memiliki chip TPM tetapi BitLocker harus bekerja tanpa satu (kunci USB). Seperti Anda, saya juga terjebak di tempat yang sama persis di prompt BitLocker, apakah saya ingin mengenkripsi hanya data atau seluruh disk.
Masalah saya adalah instalasi Windows saya bukan UEFI meskipun Motherboard saya mendukung UEFI. Anda dapat memeriksa instalasi Anda dengan mengetikkan
msinfo32
perintah jalankan dan memeriksa Mode Bios. Jika terbaca selain dariUEFI
itu, Anda perlu menginstal ulang windows dari awal.Lihat Petunjuk Steb-demi-Langkah ini untuk Mengenkripsi panduan Samsung SSD di pos terkait di forum ini.
sumber
hdparm
utilitas baris perintah Linux dapat digunakan untuk mengelola fitur keamanan menggunakan standar ATA, serta fitur yang dapat dikelola lainnya dalam standar. Penting untuk dicatat bahwa banyak pengembang BIOS tidak mengizinkan utilitas penuh dari fitur kata sandi ATA. Misalnya, saya memiliki Dell yang hanya memungkinkan hingga 15 karakter untuk dimasukkan ke dalam kata sandi, meskipun standar memungkinkan hingga 32.Enkripsi Perangkat Lunak
TrueCrypt 7.1a baik-baik saja untuk digunakan pada SSD, tetapi perhatikan bahwa itu kemungkinan akan mengurangi kinerja TIO dengan jumlah yang cukup besar, meskipun drive masih akan melakukan TIO lebih dari 10 kali lebih baik daripada HDD. Jadi, jika Anda tidak dapat menggunakan opsi yang tercantum dalam Magician, TrueCrypt adalah opsi untuk mengenkripsi drive, tetapi dilaporkan tidak berfungsi dengan baik dengan Windows 8 dan sistem file yang lebih baru. Untuk alasan ini, BitLocker dengan enkripsi disk penuh adalah pilihan yang lebih baik untuk sistem operasi ini.
TCG Opal
TCG Opal pada dasarnya adalah standar yang memungkinkan semacam sistem operasi mini untuk diinstal ke bagian yang dicadangkan dari drive yang hanya untuk tujuan memungkinkan drive untuk boot dan menyajikan kata sandi kepada pengguna untuk memberikan akses ke drive. . Ada berbagai alat yang tersedia untuk menginstal fitur ini, termasuk beberapa proyek open source yang dilaporkan stabil, tetapi Windows 8 dan yang lebih baru BitLocker harus mendukung fitur ini.
Saya tidak memiliki Windows 8 atau yang lebih baru, jadi saya tidak dapat memberikan instruksi tentang cara mengatur ini, tetapi bacaan saya menunjukkan bahwa ini hanya tersedia ketika menginstal Windows, dan tidak setelah itu diinstal. Pengguna berpengalaman merasa bebas untuk memperbaiki saya.
ATA Password
Penguncian kata sandi ATA adalah fitur opsional dari standar ATA yang didukung oleh Samsung 840 dan drive seri yang lebih baru, serta ribuan lainnya. Standar ini tidak terkait dengan BIOS dan dapat diakses melalui sejumlah metode. Saya tidak merekomendasikan menggunakan BIOS untuk mengatur atau mengelola kata sandi ATA karena BIOS mungkin tidak sesuai dengan standar ATA. Saya memiliki pengalaman dengan perangkat keras saya sendiri yang muncul untuk mendukung fitur ini, tetapi sebenarnya tidak sesuai.
Perhatikan bahwa pencarian pada fitur ini akan menghasilkan banyak diskusi yang mengklaim bahwa fitur kunci ATA tidak boleh dianggap aman untuk melindungi data. Ini umumnya hanya benar untuk HDD yang bukan juga Self Encrypting Drives (SED). Karena Samsung 840 dan drive seri yang lebih baru adalah SSD dan SED, diskusi ini tidak dapat diterapkan. Kata sandi ATA mengunci Samsung 840 series dan yang lebih baru harus cukup aman untuk penggunaan Anda, seperti yang dijelaskan dalam pertanyaan ini.
Cara terbaik untuk memastikan BIOS Anda dapat mendukung membuka kunci drive terkunci kata sandi ATA adalah dengan mengunci drive, instal ke dalam komputer, kemudian boot komputer dan lihat apakah ia meminta kata sandi dan apakah kata sandi yang dimasukkan dapat membuka kunci drive.
Tes ini tidak boleh dilakukan pada drive dengan data yang Anda tidak ingin kehilangan.
Untungnya, test drive tidak harus berupa drive Samsung, karena dapat berupa drive apa pun yang mendukung set keamanan standar ATA dan dapat diinstal di komputer target.
Cara terbaik yang saya temukan untuk mengakses fitur ATA drive adalah dengan utilitas baris perintah Linux
hdparm
. Bahkan jika Anda tidak memiliki komputer dengan Linux, ada banyak distribusi yang memasang image disk juga mendukung menjalankan OS 'live' dari media instal. Ubuntu 16.04 LTS, misalnya, harus dengan mudah dan cepat menginstal ke sebagian besar komputer dan gambar yang sama juga dapat ditulis ke media flash untuk berjalan pada sistem tanpa drive optik.Instruksi terperinci tentang cara mengaktifkan keamanan kata sandi ATA berada di luar cakupan pertanyaan ini, tetapi saya menemukan tutorial ini menjadi salah satu yang terbaik untuk tugas ini.
Mengaktifkan Keamanan ATA pada SSD Self-Encrypting
Perhatikan bahwa panjang kata sandi maksimum adalah 32 karakter. Saya merekomendasikan melakukan tes dengan kata sandi 32-karakter untuk memastikan bahwa BIOS mendukung standar dengan benar.
Dengan komputer target dimatikan dan drive ATA kata sandi terkunci, instal drive dan boot sistem. Jika BIOS tidak meminta kata sandi untuk membuka kunci drive, maka BIOS tidak mendukung pembukaan kunci kata sandi ATA. Juga, jika Anda memasukkan kata sandi sepenuhnya dengan benar, tetapi tidak membuka kunci drive, mungkin karena BIOS tidak mendukung standar ATA dengan benar, dan karenanya tidak boleh dipercaya.
Mungkin ada baiknya untuk memverifikasi bahwa sistem membaca dengan benar drive yang tidak terkunci, seperti dengan memasang sistem operasi dan memuat dengan benar, atau memasang di samping drive OS yang memuat dan dapat memasang drive tes dan baca dan tulis file tanpa masalah.
Jika tes ini berhasil dan Anda merasa yakin dalam mengulangi langkah-langkah tersebut, mengaktifkan kata sandi ATA pada drive, termasuk yang menggunakan OS terpasang, tidak akan mengubah apa pun di bagian data drive, sehingga harus boot secara normal setelah memasukkan kata sandi di BIOS.
sumber
TrueCrypt 7.1a is just fine for use on SSDs
-> Tidak! Seharusnya tidak terdaftar sebagai bukan pilihan. TrueCrypt tidak aman dan tidak lagi didukung, silakan edit posting Anda sesuai. Lihat TrueCryptSaya tidak tahu apakah Anda melihat ini atau belum memperbaikinya, tetapi ini adalah tautan khusus dari Samsung pada EVO 840 Anda. Http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/ tentang / whitepaper06.html
Pada dasarnya apa yang mereka katakan untuk mengaktifkan peranti penangkap keras AES yang dibangun ke dalam SSD adalah mengatur HDD Password di bawah System BIOS. Kata sandi "Pengguna / Admin / Penyiapan" hanyalah itu. Namun, pengaturan Kata Sandi HDD harus melewati SSD. Ini akan mengharuskan Anda untuk memasukkan kata sandi secara manual setiap kali Anda menyalakan komputer, dan tidak bekerja dengan chip TPM atau PassKeys lainnya. Juga, saya tidak bisa cukup menekankan, SIAPA PUN yang menggunakan enkripsi perlu memastikan bahwa data mereka didukung. Memulihkan data dari drive terenkripsi yang gagal / rusak hampir tidak mungkin dilakukan tanpa melalui layanan khusus.
sumber
Yah kenapa tidak menggunakannya, karena gratis?
Setelah mengambil kelas sekolah menengah dalam keamanan komputer dan forensik komputer, saya memutuskan untuk mengenkripsi drive saya. Saya melihat banyak pilihan dan SANGAT senang saya memilih DiskCrypt. Sangat mudah untuk menginstal, mudah digunakan, open source dengan tanda tangan PGP disediakan, instruksi tentang cara mengkompilasinya sendiri untuk memastikan bahwa exe cocok dengan sumbernya, ia memasang drive secara otomatis, Anda dapat mengatur prompt PW pre-boot dan salah -pw action, dan itu akan menggunakan AES-256.
Setiap CPU modern akan melakukan satu putaran enkripsi AES dalam instruksi mesin TUNGGAL (mengenkripsi nilai sektor data membutuhkan beberapa lusin putaran). Pada tolok ukur saya sendiri, AES berjalan sebelas kali lebih cepat daripada cipher yang diimplementasikan perangkat lunak seperti blowfish. DiskCryptor dapat mengenkripsi data berkali-kali lebih cepat daripada PC dapat membaca dan menulisnya dari disk. Tidak ada overhead yang dapat diukur.
Saya menjalankan mesin TEC-cooled, melompat, freq kecepatan 5 GHz, sehingga jarak tempuh Anda akan bervariasi, tetapi tidak banyak. Waktu CPU yang diperlukan untuk mengenkripsi / mendekripsi terlalu rendah untuk diukur (yaitu, di bawah 1%).
Setelah Anda mengaturnya, Anda benar-benar bisa melupakannya. Satu-satunya efek yang terlihat adalah Anda harus mengetik PW Anda saat boot, yang saya senang lakukan.
Sedangkan untuk tidak menggunakan enkripsi pada SSD, itu rumor yang belum pernah saya dengar sebelumnya. Itu juga tidak beralasan. Data terenkripsi ditulis dan dibaca dari drive persis seperti data normal. Hanya bit dalam buffer data yang diacak. Anda dapat chkdsk / f dan menjalankan utilitas disk lain pada drive yang dienkripsi.
Dan BTW, tidak seperti program lain, pemilik disk tidak menyimpan pw Anda di memori. Ini menggunakan kunci hash satu arah untuk enkripsi, menimpa cacat salah ketik Anda dalam memori, dan berusaha keras untuk memastikan bahwa itu tidak naik pada file paging selama entri PW dan validasi.
https://diskcryptor.net/wiki/Main_Page
sumber
Saya sudah memposting ini di Super User, tetapi karena ini adalah utas yang saya gunakan untuk mendidik diri saya sendiri, saya juga ingin menyentuh basis di sini.
Enkripsi ATA Kata Sandi vs perangkat lunak untuk Enkripsi Disk Penuh di Samsung 840/850 EVO dan Intel SSD
Pro: Sederhana, tidak ada performa yang berhasil, sangat aman: cakram tidak dapat dibaca di mesin lain tanpa ATA Password
Cons: Anda memerlukan BIOS yang memiliki opsi ATA Password (laptop HP dan Lenovo tampaknya memiliki ini, tetapi sebagian besar mobo desktop tidak. Pengecualian: ASRock baru-baru ini menulis 1.07B BIOS untuk seri Extreme mereka, dan berfungsi). Juga, sangat aman sehingga jika Anda kehilangan kata sandi, data tidak dapat dipulihkan. Oleh siapa pun, tampaknya. Terakhir, itu semua tergantung pada satu chip pengontrol pada SSD, dan jika chip itu rusak, data selesai. Selama-lamanya.
Semoga ini menambah diskusi.
sumber
Kedua adalah win 8.1 + bitlocker tetapi seluruh hal yang diinstal ulang mengganggu
Saya tidak mengetahui adanya opc tcg fosil dan versi berbayar mungkin biaya banyak
truecrypt berfungsi tetapi jika cpu Anda tidak memiliki AES-NI klik spees dapat terlihat
dan jangan lupa buat cadangan struff Anda, data terenkripsi jauh lebih sulit untuk dipulihkan
sumber
Saat memasang banyak Distribusi Linux Anda diberikan opsi untuk mengenkripsi folder / home. Pada saat itu ketika Anda memilih untuk mengenkripsi folder / home (alias mount point), Anda diminta (diminta) untuk memasukkan kata sandi dua kali.
Pada dasarnya satu selesai, folder / home Anda dienkripsi.
Samsung seharusnya 'pra-enkripsi' di pabrik.
Ini biasanya berarti bahwa tidak ada akses ke informasi hard drive dapat dilakukan tanpa kata sandi.
Di atas adalah apa yang telah saya lakukan. Jika saya beruntung, enkripsi Samsung dengan lapisan lain dari enkripsi perangkat lunak Linux seharusnya membuat saya relatif aman dari kebanyakan individu, perusahaan, dan pemerintah yang jahat.
Saya tidak merasa perlu untuk membuat password hard drive melalui BIOS.
Cukup sulit untuk mengingat banyak kata sandi. KeepassX mungkin berguna dalam hal itu.
Untuk yang benar-benar paranoid, Anda dapat membuat kata sandi Samsung EVO di BIOS, menggunakan Linux saat instalasi untuk perangkat lunak mengenkripsi drive, kemudian menggunakan program enkripsi Open Source (bukan truecrypt karena dicurigai pintu belakang dan kerentanan).
Anda dapat menggunakan KeepassX untuk mengingat kata sandi lama yang rumit dan bahkan kata sandi melindungi flash drive itu juga.
Kecuali jika Anda adalah penjahat atau memiliki sesuatu yang sangat berharga sehingga Anda membutuhkan keamanan sebanyak itu, sebagian besar adalah buang-buang waktu.
Mungkin lebih mudah untuk menyimpan kode sumber Anda di flash drive terenkripsi seperti IronKey sehingga Anda tidak mengambil hit kinerja atau memiliki masalah drive. Dokumen pribadi dapat pergi ke sana juga.
sumber