Macではハードウェアベースのフルディスク暗号化が可能ですか？

21

それは使用することができ、ハードウェアベースのフルディスク暗号化を特にMacBookのは8,2のPro、Mac上で（おそらくサムスン840 ProのSSDに）？もしそうなら、どのように？

私の理解では、これはBIOSまたはおそらくEFIで処理されますが、AppleのEFIは一般にかなりロックダウンされていると思います。

FileVault 2やTrueCryptなどのソフトウェアベースのソリューションは探していません。デュアルブートで、ハードウェアで処理されると問題はより簡単になります。

3

可能であれば、ハードウェアベースの暗号化が望ましいことを理解していますが、私はあなたの動機に疑問を持ちたいと思います。情報はほとんど提供されませんが、実装の機密性を確保するために必要です。一方、FileVault 2は現在、暗号化モジュールのNIST標準であるFIPS 140-2認定[1 ]を受けています。

— ゲントマット

1

私個人の経験では、Windows 7でのデュアルブートセットアップでのソフトウェアベースのフルディスク暗号化は、FileVault 2でOS X起動ボリュームを暗号化するだけであれば問題ありません（これが現在のセットアップです）。WindowsまたはLinuxボリュームも暗号化する場合は、状況が面倒になります-聞いたことがありますが、自分でテストしていません。

— ゲントマット

まあ、私は実際に主にOSXと一緒にUbuntuを使用しています。また、共有パーティションがありますが、おそらくTrueCryptで処理できます。起動時のパスワードを1つにすれば、トラブルが少なくなり、必要なソフトウェアも少なくなります。

— エリックマーシュ

Filevault 2をUbuntuのフルディスク暗号化とともに使用しましたか？それはうまくいきましたか？Ubuntu 12.04のWindowsパーティションを捨てたいので、興味があります。

— ゲントマット

いいえ、申し訳ありませんが、試していません。あるパーティションを他のパーティションからブートする間は読みたくない限り、問題になるとは思いません。両方にTrueCryptを使用することで、それを回避できると思います。私は専門家ではないものの、TrueCryptの少しを使用しました

— エリック・マーシュ

3

MacBook Pro用にSamsung 840 Proを購入したのとまったく同じことを自問しました。いくつかの後、研究私が見つけたこのポスト 840 Proのハードウェア暗号化は、TPMのサポートが必要であることを示しているが、それだけではないMacの（U）EFIで、PCのBIOSで見つかっています。確かに、Samsungのサポートに「ATA-Security」、「Seagate DriveTrust」、「TCG OPAL」のどの規格が840 Proでサポートされているかを尋ねましたが、その答えは次のとおりです。

お客様各位、

お問い合わせについてSamsung SSDサポートにお問い合わせいただきありがとうございます。お問い合わせへの回答として、ユニットがサポートしている3つのうちの1つはATAセキュリティ機能のみです。暗号化に関しては、840 ProシリーズSSDはAES 256ビットハードウェアレベルの暗号化のみをサポートしますが、BIOSでTPMを有効にする必要があります。

したがって、Macで840 Proのハードウェア暗号化を有効にする方法はありません。

ただし、TCGのオパールをサポートするCrucial M500もあります。WinMagicのSecureDoc for Macのような特別なOpal管理ソフトウェアと組み合わせて、Macでハードウェア暗号化を動作させることができるように聞こえます。

ところで、ソフォスのサポートによると、SafeGuardはMac OSではなくWindowsでのみOpalをサポートします。また、McAfeeのオパールのための一般的なQ＆A状態

Q：Mac OS XでOpalドライブはサポートされますか？

A：いいえ。Appleは現在、Opalドライブを搭載したデバイスを出荷していないため、MacのEndpoint EncryptionではOpalはサポートされていません。

しかしもちろん、Opalドライブを自分でMacに入れただけでは何も起こらないということです。

— シューベルト
ソース

TPMは必要ありません。Windows 8.1のインストールでは、TPMを使用せずにこのドライブの自己暗号化を有効にできました。gpedit.mscのBitLocker設定を変更するだけです。したがって、OSがサポートしていれば、理論的にはOS Xでもこれが可能です。

— サルゲボルシュ

gpedit.mscで変更した設定を正確に共有してもらえますか？

— sschuberth

howtogeek.com/howto/6229/...

— Sargeのボルシチ

その記事では、BitLockerがソフトウェア暗号化を使用しているように見えます。つまり、暗号化/復号化は、ハードドライブ自体ではなくCPUによって行われます。特に、代替としてTrueCryptを推奨しているためです。

— sschuberth

他の部分が正しいとは言いませんでした。ところで、最も完全なガイドはこちらです：superuser.com/a/700251/161593

— Sarge Borsch

2

sschuberthの答えを拡張して、2013年12月現在、Samsung 840 EVO（PROではない）にはTCG OPALを直接サポートするファームウェアもあります。同じことを行うための840 Proファームウェアのアップデートがすぐに来ることは間違いないでしょう。

SEDドライブを管理するためにいくつかのソフトウェアが必要です。そうしないと、組み込みのセキュリティのメリットがほとんどまたはまったく得られません。

WinMagic SecureDocはドライブを管理しますが、そこにあるすべてのOS Xリリースについてはそうではありません（事例証拠は10.8.1：OK、10.8.2：OKではないことを示唆しています）。

WinMagicエンタープライズソフトウェアも実行する必要があると思います。SEDをサポートするSecureDocのスタンドアロンエディションがありますが、Windowsでのみ利用できるようです。

注：SecureDocはSEDにTPMを必要とせず、840 EVOをTCG Opalモードで実行する必要もありません。SecureDocは、TPMがあれば、TPMの使用をサポートし、機能を有効にできます（Windowsのみ）。

— ラリー
ソース

1

これは良い質問です。そして、はい、それに対する答えを見つけることはほとんど不可能です。SamsungはAppleサポートに送信します。Appleからそれは不可能だと聞くと期待しています。

フルディスク暗号化HW対FileVault-パフォーマンスの違いは顕著です。厳格な暗号化要件のビジネスユーザーでない場合は、HWベースのSamsungソリューションを探す必要があります。しかし、Macでそれを有効にする方法-見つけるのは苦痛。

— 泣く
ソース

1

最近のCPUを搭載した、FileVault2は、いくつかの報道によると、ハードウェアAESを使用し、パフォーマンスにほとんど影響を持っていますosxdaily.com/2011/08/10/...

— アランShutko

私たちは本当に平均的なユーザーではありません。HW FDEはエレガントな「正しい」ソリューションであるため、特に共有パーティションでデュアルブートする場合にHW FDEを使用することを好みます。

— エリックマーシュ

1

はい、ViasatのEclypt製品範囲はMac（EFI）で動作し、フルディスク、FIPS承認済み、ハードウェア暗号化を提供します。

参照：Eclypt Core Self-Encrypting Internal Hard Drive

Eclypt製品範囲のデータシートはまだ最新ではありません（ただし、Mac OS X 10.5+はApple UEFIと同様にサポートされています）。特定の製品は、http：//www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4で確認できます。また、このブログhttp://robert-palmer.net/category/eclypt-protects/で証拠を見ることができます。または、Viasat UKに直接お問い合わせください。

— デンジルデクスター
ソース

うーん、そのデータシートにはEFIやMacについては何も言及されておらず、Windowsだけが言及されています。

— sschuberth