Samsung Evo 840 SSDを暗号化するにはどうすればよいですか？

Windows 8.1 ProにアップグレードしたHP Envy 15-j005eaラップトップを購入しました。また、HDDを取り外し、1TB Samsung Evo 840 SSDに交換しました。現在、ドライブを暗号化して会社のソースコードと個人文書を保護したいのですが、どうすればよいのか、それが可能かどうかはわかりません。

SSDでTruecryptを使用することは推奨されていませんが、間違っている場合は修正してください。また、840 Evoには256ビットAES暗号化が組み込まれているので、それを使用することをお勧めします。

Evoは最新のEXT0BB6Qファームウェアに更新されており、最新のSamsung Magicianを持っています。私が持っているUEFIレベルはわかりませんが、このマシンは2013年12月に製造され、Insyde製のF.35 BIOSを持っていることは知っています。

これは私が試したものです：

• Bitlocker。最新のSamsungファームウェアはおそらくWindows 8.1 eDriveと互換性があるため、Anandtechの記事に記載されている指示に従いました。まず第一に、ラップトップにはTPMチップがないように見えるので、TPMなしでBitlockerを動作させる必要がありました。それが終わったら、Bitlockerをオンにしようとしました。Anandtechは、「すべてがeDriveに準拠している場合、ドライブのすべてまたは一部を暗号化するかどうかを尋ねられることはありません。初期設定を行うと、BitLockerが有効になります。追加の暗号化段階はありません（データSSDで既に暗号化されています。何か間違ったことをした場合、またはシステムの一部がeDriveに準拠していない場合、進行状況インジケーターとやや長いソフトウェア暗号化プロセスが表示されます。」残念ながら私は ドライブの全部または一部を暗号化するかどうかを尋ねられたので、キャンセルしました。

• BIOSでATAパスワードを設定します。BIOSにはこのようなオプションはないようで、管理者パスワードと起動パスワードのみがあります。

• マジシャンを使用します。[データセキュリティ]タブがありますが、オプションが完全に理解されておらず、適用できるものはないと思われます。

この質問と回答の情報は役に立ちましたが、私の質問には答えませんでした。

明らかに、私が知りたいのは、HP Envy 15でソリッドステートドライブをどのように暗号化すればいいのでしょうか、それとも実際には運が悪いのでしょうか？代替オプションはありますか、暗号化せずに生きるか、ラップトップを返却する必要がありますか？

Anandtechにも同様の質問がありますが、未回答のままです。

パスワードは、BIOSのATAセキュリティ拡張の下で設定する必要があります。通常、BIOSメニューには「セキュリティ」というタイトルのタブがあります。認証はBIOSレベルで行われるため、このソフトウェア「ウィザード」は認証の設定に影響を与えません。以前にサポートされていなかった場合、BIOSアップデートでHDDパスワードが有効になることはほとんどありません。

暗号化を設定していると言うのは誤解を招く恐れがあります。問題は、ドライブがチップに書き込むすべてのビットを常に暗号化していることです。ディスクコントローラーはこれを自動的に行います。ドライブにHDDパスワードを設定すると、セキュリティレベルが0からほとんど解読不能になります。悪意を持って作成されたハードウェアキーロガーまたはNSA-sprungリモートBIOSエクスプロイトのみがパスワードを取得して認証することができました;-) <-推測します。BIOSに対して何ができるかはまだわかりません。ポイントは、完全に乗り越えられないということではありませんが、キーがドライブに保存される方法に応じて、現在利用可能なハードドライブ暗号化の最も安全な方法です。とはいえ、それは完全にやり過ぎです。BitLockerは、ほとんどの消費者セキュリティニーズにおそらく十分です。

セキュリティに関しては、質問は次のとおりだと思います。

ハードウェアベースのフルディスク暗号化は、TrueCryptのようなソフトウェアレベルのフルディスク暗号化よりも数桁安全です。また、SSDのパフォーマンスを妨げないという利点もあります。SSDがビットを格納する方法は、ソフトウェアソリューションの問題につながることがあります。ハードウェアベースのFDEは、それほど面倒ではなく、よりエレガントで安全なオプションですが、貴重なデータを暗号化することに十分な注意を払っている人の間でも「捕まって」いません。まったく難しいことではありませんが、残念ながら多くのBIOSは単に「HDDパスワード」機能をサポートしていません（アマチュアが回避できる単純なBIOSパスワードと混同しないでください）。BIOSを確認しなくても、オプションがまだ見つからない場合はBIOSが表示されないことを保証できます。それをサポートしていないと、あなたは運が悪い。これはファームウェアの問題であり、hdparmのようなBIOSをフラッシュする以外の機能を追加するためにできることは何もありません。ドライブまたは付属のソフトウェアとは関係ありません。これはマザーボード固有の問題です。

ATAはBIOSの一連の指示にすぎません。設定しようとしているのは、HDDユーザーおよびマスターパスワードです。これらは、ドライブに安全に保存されている一意のキーの認証に使用されます。「ユーザー」パスワードにより、ドライブのロックを解除し、通常どおりに起動することができます。「マスター」と同じこと。違いは、BIOSでパスワードを変更したり、ドライブ内の暗号化キーを消去したりするために「マスター」パスワードが必要であるため、すべてのデータにすぐにアクセスできず、回復できないことです。これは「セキュア消去」機能と呼ばれます。プロトコルでは、32ビットの文字列、つまり32文字のパスワードがサポートされています。BIOSでHDDパスワードの設定をサポートしている数少ないラップトップメーカーのうち、ほとんどの文字は7または8に制限されています。それをサポートすることは私を超えています。たぶん、ストールマンはプロプライエタリのBIOSについて正しかったのでしょう。

唯一のラップトップ（HDDパスワードをサポートするデスクトップBIOSはほとんどありません）では、フルレングスの32ビットHDDユーザーを設定できるようになり、マスターパスワードはLenovo ThinkPad T-またはW-シリーズです。最後に、一部のASUSノートブックにはBIOSにそのようなオプションがあると聞きました。デルは、HDDパスワードを弱い8文字に制限しています。

私は、SamsungよりもIntel SSDのキーストレージに精通しています。インテルは、ドライブ、320シリーズなどでオンチップFDEを提供した最初の製品だと思います。それはAES 128ビットでしたが。このSamsungシリーズがキーストレージをどのように実装しているかについては詳しく調べていませんが、現時点では誰も知りません。明らかに顧客サービスはあなたにとって何の助けにもなりませんでした。どのハイテク企業でも、彼らが販売しているハードウェアについて実際に何かを知っているのは5〜6人だけだという印象を受けます。Intelは詳細を調べるのを嫌がっているように見えたが、最終的には会社の担当者がフォーラムのどこかで答えた。ドライブメーカーにとって、この機能は完全に後付けであることに留意してください。彼らはそれについて何も知らないか気にしませんし、顧客の99.9％パーセントもしません。これは、箱の裏にあるもう1つの広告の箇条書きです。

お役に立てれば！

私はついに今日これを機能させるようになり、あなたのように、BIOSにもATAパスワードが設定されていないと思います（少なくとも私にはわかりません）。BIOSユーザー/管理者パスワードを有効にしましたが、PCにはTPMチップが搭載されていますが、BitLockerは1つ（USBキー）なしでも機能するはずです。あなたのように、私もBitLockerプロンプトでまったく同じ場所で立ち往生しました。データまたはディスク全体のみを暗号化しますか。

私の問題は、マザーボードがUEFIをサポートしているにもかかわらず、WindowsのインストールがUEFIではないことでした。msinfo32runコマンドを入力し、BIOSモードを確認することで、インストールを確認できます。それ以外のものを読み取る場合はUEFI、ウィンドウを最初から再インストールする必要があります。

このフォーラムの関連記事で、Samsung SSDを暗号化するためのステブバイステップ手順ガイドを参照してください。

ソフトウェア暗号化

TrueCrypt 7.1aはSSDでの使用には適していますが、ドライブはHDDの10倍以上のIOPを実行しますが、IOPのパフォーマンスはかなり低下する可能性が高いことに注意してください。そのため、Magicianにリストされているオプションを使用できない場合、TrueCryptはドライブを暗号化するためのオプションですが、Windows 8以降のファイルシステムではうまく機能しないことが報告されています。このため、これらのオペレーティングシステムでは、フルディスク暗号化を備えたBitLockerの方が適しています。

TCGオパール

TCG Opalは、基本的に、ドライブの起動を許可し、ドライブへのアクセスを許可するためのパスワードをユーザーに提示することのみを目的とする、ドライブの予約部分に一種のミニオペレーティングシステムをインストールできる標準です。 。この機能をインストールするために利用できるさまざまなツールがあり、その中には安定性のあるオープンソースプロジェクトも含まれていますが、Windows 8以降のBitLockerはこの機能をサポートする必要があります。

私はWindows 8以降を持っていないので、これを設定する方法についての指示を提供することはできませんが、私の読書では、これはWindowsのインストール時にのみ利用可能であり、インストール後では利用できないことを示しています。経験豊富なユーザーは私を修正してください。

ATAパスワード

ATAパスワードロックは、Samsung 840以降のシリーズのドライブ、および他の何千ものドライブでサポートされているATA標準のオプション機能です。この標準はBIOSに関連していないため、さまざまな方法でアクセスできます。BIOSがATA規格に適切に準拠していない可能性があるため、ATAパスワードの設定または管理にBIOSを使用することはお勧めしません。この機能をサポートしているように見えますが、実際には準拠していない自分のハードウェアの経験があります。

この機能を検索すると、データを保護するためにATAロック機能を安全と見なすべきではないと主張する多くの議論が生まれることに注意してください。これは通常、自己暗号化ドライブ（SED）でもないHDDに対してのみ正しいです。Samsung 840およびそれ以降のシリーズのドライブはSSDおよびSEDであるため、これらの説明は単に当てはまりません。この質問で説明されているように、ATAパスワードでロックされたSamsung 840シリーズ以降は、使用するのに十分安全です。

BIOSがATAパスワードロックされたドライブのロック解除をサポートできることを確認する最良の方法は、ドライブをロックし、コンピューターにインストールし、コンピューターを起動して、パスワードを要求するかどうか、および入力したパスワードがドライブをロック解除できるかどうかを確認することです。

このテストは、失いたくないデータがあるドライブでは実行しないでください。

幸いなことに、テストドライブはSamsungドライブである必要はありません。ATA標準セキュリティセットをサポートし、ターゲットコンピューターにインストールできるドライブであれば、どのドライブでもかまいません。

ドライブのATA機能にアクセスするための最良の方法は、Linuxコマンドラインユーティリティを使用することhdparmです。Linuxを搭載したコンピューターを持っていなくても、インストールディスクイメージがインストールメディアからOSを「ライブ」で実行することをサポートしているディストリビューションが多数あります。たとえば、Ubuntu 16.04 LTSは、大多数のコンピューターに簡単かつ迅速にインストールする必要があり、同じイメージをフラッシュメディアに書き込んで、光学ドライブのないシステムで実行することもできます。

ATAパスワードセキュリティを有効にする方法の詳細な説明はこの質問の範囲外ですが、このチュートリアルはこのタスクに最適なものの1つであることがわかりました。

自己暗号化SSDでのATAセキュリティの有効化

パスワードの最大長は32文字であることに注意してください。BIOSが標準を正しくサポートしていることを確認するために、32文字のパスワードでテストを行うことをお勧めします。

ターゲットコンピュータの電源を切り、ドライブATAパスワードをロックした状態で、ドライブをインストールしてシステムを起動します。BIOSがドライブのロックを解除するためのパスワードを要求しない場合、BIOSはATAパスワードのロック解除をサポートしません。また、パスワードを完全に正しく入力しているように見えても、ドライブのロックが解除されていない場合は、BIOSがATA規格を適切にサポートしていない可能性があるため、信頼できません。

オペレーティングシステムをインストールして適切にロードするか、テストドライブをロードしてマウントできるOSドライブと一緒にインストールするなど、システムがロック解除されたドライブを適切に読み取っているかどうかを確認する方法があるとよいでしょう問題なくファイルを読み書きします。

テストが成功し、手順を繰り返すことに自信がある場合、OSがインストールされているドライブを含むドライブでATAパスワードを有効にしても、ドライブのデータ部分は何も変更されないため、 BIOSのパスワード。

これを見たか修正したかはまだわかりませんが、EVO 840上のサムスンからのリンクはここにあります 。http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/ about / whitepaper06.html

基本的に、ssdに組み込まれたハードウェアAES暗号化を有効にするために彼らが言うことは、システムBIOSでHDDパスワードを設定することです。「User / Admin / Setup」パスワードはまさにそれです。ただし、HDDパスワードの設定はSSDにパススルーする必要があります。これには、コンピューターの電源を入れるたびに手動でパスワードを入力する必要があり、TPMチップまたはその他のPassKeyでは機能しません。また、十分に強調することはできません。暗号化を使用する人はだれでも、データを確実にバックアップする必要があります。故障した/破損した暗号化ドライブからデータを回復することは、専門のサービスを経ることなくほとんど不可能です。

「NSAに対応したセキュリティレベルは必要ありません」

それは無料ですので、とにかくそれを使用しないのはなぜですか？

コンピューターセキュリティとコンピューターフォレンジックの大学院クラスを受講した後、ドライブを暗号化することにしました。私は多くのオプションを見て、DiskCryptを選択したことを非常に嬉しく思います。インストールが簡単で使いやすく、提供されているPGP署名付きのオープンソース、exeがソースと一致するように自分でコンパイルする方法、ドライブが自動マウントされる、起動前のPWプロンプトなどを設定できます-pwアクション。AES-256を使用します。

最新のCPUは、単一のマシン命令でラウンドのAES暗号化を行います（セクターのデータを暗号化するには、数十ラウンドかかります）。私自身のベンチマークでは、AESはソフトウェアで実装されたフグなどの暗号よりも11倍高速です。DiskCryptorは、PCがディスクからデータを読み書きできるよりも何倍も速くデータを暗号化できます。測定可能なオーバーヘッドはありません。

私はTECで冷却され、速度を上げられた5 GHzの速度のマシンを走らせているので、あなたの走行距離は変化しますが、それほどではありません。暗号化/復号化に必要なCPU時間は、測定するには低すぎました（つまり、1％未満）。

一度設定すると、完全に忘れることができます。唯一の顕著な効果は、起動時にPWを入力する必要があることです。

SSDで暗号化を使用しないことに関しては、これは聞いたことがありません。それも保証されていません。暗号化されたデータは、通常のデータとまったく同じようにドライブで読み書きされます。データバッファ内のビットのみがスクランブルされます。暗号化されたドライブでchkdsk / fを実行し、他のディスクユーティリティを実行できます。

ところで、他のプログラムとは異なり、ディスクキーパーはあなたのメモリをメモリに保持しません。暗号化に一方向ハッシュキーを使用し、メモリ内の誤って入力されたpwdを上書きし、PWの入力および検証中にページングファイルに乗らないようにするために非常に長くなります。

https://diskcryptor.net/wiki/Main_Page

これについてはスーパーユーザーの別の場所に投稿しましたが、これは私が自分自身を教育するために使用したスレッドであったため、ここでもベースに触れたいと思いました。

Samsung 840/850 EVOおよびIntel SSDのフルディスク暗号化用のATAパスワードとソフトウェア暗号化

長所：シンプル、パフォーマンスヒットなし、非常に安全：ATAパスワードがない他のマシンではディスクを読み取れません

短所：ATAパスワードオプションを備えたBIOSが必要です（HPおよびLenovoラップトップにはこれがあるようですが、ほとんどのデスクトップモボにはありません。例外：ASRockは最近、Extremeシリーズ用に1.07B BIOSを作成しました。また、パスワードを紛失した場合、データは回復不能なほど安全です。誰によっても、そうです。最後に、SSD上の1つのコントローラーチップにすべて依存しており、そのチップが故障した場合、データは処理されます。永遠に。

これが議論に加わることを願っています。

BIOSでATAパスワードを設定します。BIOSにはこのようなオプションはないようで、管理者パスワードと起動パスワードのみがあります。残念ですが、これはあなたが持っている最も簡単なオプションです。

2つ目は8.1 + bitlockerに勝つことですが、全体の再配置は面倒です

foss tcg opal swを知らないので、有料版にはおそらくかなりの費用がかかります

truecryptは機能しますが、CPUにAES-NIがない場合、speeのヒットが顕著になる可能性があります

ストラフをバックアップすることを忘れないでください。暗号化されたデータは回復するのがはるかに困難です

多くのLinuxディストリビューションをインストールする場合、/ homeフォルダーを暗号化するオプションが提供されます。その時点で/ homeフォルダー（マウントポイント）の暗号化を選択すると、パスワードを2回入力するよう求められます（必須）。

基本的に1つが完了し、/ homeフォルダーは暗号化されます。

サムスンは工場で「事前に暗号化」されているはずでした。

これは通常、パスワードなしではハードドライブの情報にアクセスできないことを意味します。

上記は私がやったことです。運がよければ、Linuxソフトウェア暗号化の別のレイヤーを使用したSamsung暗号化により、ほとんどの悪名高い個人、企業、政府から比較的安全になります。

BIOS経由でハードドライブのパスワードを設定する必要性を感じませんでした。

すでに複数のパスワードを記憶するのは十分困難です。その点で、KeepassXはある程度役立つかもしれません。

本当に妄想的なのは、BIOSでSamsung EVOのパスワードを設定し、インストール時にLinuxを使用してドライブをソフトウェア暗号化してから、オープンソース暗号化プログラムを使用することです（バックドアや脆弱性が疑われるため、truecryptではありません）。

KeepassXを使用して、長く複雑なパスワードを記憶し、そのフラッシュドライブをパスワードで保護することもできます。

あなたが何らかの犯罪者であるか、あなたがそれほど多くのセキュリティを必要とするほど貴重なものを持っているのでなければ、ほとんどは時間の無駄です。

IronKeyのような暗号化されたフラッシュドライブにソースコードを保持しておくと、パフォーマンスが低下したり、ドライブに問題が発生したりすることがなくなります。個人文書もそこに行くことができます。