Bagaimana cara mengaktifkan Enkripsi Perangkat Keras pada SSD seperti Samsung 840 EVO?

20

Ubuntu 14.04 baru berjalan di Zotac Zbox CI320. Saya ingin mengaktifkan enkripsi perangkat keras Samsung 840 yang disertakan dengan hard drive ini, tetapi saya tidak tahu caranya.

Apakah ada orang yang dapat membantu saya mengatur ini? Sangat dihargai.

pengguna312082
sumber

Jawaban:

12

Ada berbagai jenis enkripsi perangkat keras pada SSD, lihat SSD dengan enkripsi disk penuh berbasis perangkat keras yang dapat digunakan untuk penjelasan mendalam.

Anda bertanya tentang Samsung 840 EVO secara khusus. Itu selalu mengenkripsi data Anda dan dibuka dengan kata sandi ATA HDD yang diatur dalam BIOS, yang defaultnya kosong. Kemudian Anda dapat memindahkan SSD ke mesin baru dan memasukkan kata sandi ATA HDD melalui BIOS di sana untuk membukanya. Tidak ada yang terlibat dalam membuka kunci yang disimpan di luar drive itu sendiri.

Sebagai pengguna Linux, saya lebih suka solusi ini daripada enkripsi drive berbasis perangkat lunak. Tidak ada penalti kinerja dan mudah diatur dan digunakan.

Mark Stosberg
sumber
Hai Mark! Pertama, tautan yang Anda berikan sangat menarik, terima kasih! Saya punya pertanyaan untuk Anda, kata sandi SSD BIOS laptop saya paling panjang 10 karakter. Ini akan menjadi kata sandi yang agak lemah jika kata sandi bisa diserang "brute force". Maksud saya, jika ada sesuatu yang membatasi berapa kali per detik penyerang dapat mencoba kata sandi baru; hanya dengan 10 kata sandi kata sandi pasti akan aman. Apakah Anda memiliki wawasan tentang kata sandi singkat SSD BIOS yang mengejutkan ini? Kalau-kalau berguna bagi siapa pun, saya punya Toshiba Satellite P50t-B dengan Samsung SSD 850 Pro.
jespestana
1
Lihat juga artikel yang lebih baru ini. Gunakan enkripsi disk penuh berbasis perangkat keras SSD TCG Opal Anda dengan msed - yang diuji pada Ubuntu Trusty. Ini seharusnya berguna karena SSD berbasis Opal 2 tampaknya berubah menjadi standar de-facto. Versi program msed yang lebih baru ada di sini . Keterbatasan utama dari solusi saat ini adalah mereka mencegah fitur sleep / suspend (S3) yang sangat penting pada laptop.
sxc731
1
@ jespestana perbedaan dengan kata sandi BIOS adalah tidak dapat * diakses melalui jaringan, menjadikan serangan lebih default. * (Mungkin kecuali Anda memiliki koneksi serial-ke-jaringan di komputer, yang tidak mungkin pada desktop atau laptop)
Mark Stosberg
@ sxc731 Saya tidak punya komputer cadangan untuk mencoba msed, saya mungkin akan melakukannya sebaliknya. Terima kasih untuk informasi!
jespestana
@ Markarkosberg Ok, maksud Anda selama penyerang tidak memiliki akses fisik ke mesin saya akan aman. Itu agak meyakinkan. Namun saya masih tidak mengerti mengapa Toshiba memutuskan pembatasan kata sandi BIOS singkat ini ...
jespestana
3

Saya menemukan pertanyaan serupa berikut:

Sepengetahuan saya, pengaturan SED yang berfungsi membutuhkan Modul Platform Tepercaya (TPM), tetapi Zbox sepertinya tidak memiliki fitur atau mendukung TPM ( 1 , 2 ).

Sementara jawaban dalam salah satu pertanyaan di atas menawarkan solusi yang bahkan mungkin berhasil dalam kasus Anda, Anda harus mempertimbangkan yang berikut:

  • Jika data Anda dienkripsi menggunakan TPM dan perangkat keras Anda entah bagaimana rusak, data Anda hilang. Selama-lamanya.
  • Biasanya pengguna Linux lebih memilih enkripsi disk berbasis perangkat lunak dan RAID berbasis perangkat lunak, karena teknologi non-standar atau proprietary terbukti tidak dapat diandalkan dalam hal keamanan data dan pemulihan data. Jika Anda bermaksud menggunakan solusi perangkat lunak gratis seperti Linux untuk keamanan data atau redundansi, rencanakan juga sumber daya komputasi yang diperlukan.
  • Ada laporan serangan yang berhasil seperti Warm Replug Attacks di beberapa perangkat atau setup.

Sunting: Michael Larabel memposting artikel di Phoronix di mana dia berspekulasi bahwa dukungan SED / OPAL mungkin akan segera datang ke Linux, kalau-kalau ada orang yang tersandung pada posting ini dari masa lalu mencari lebih banyak informasi terkini.

LiveWireBT
sumber