Samsung Evo 840 SSDを暗号化するにはどうすればよいですか?


14

Windows 8.1 ProにアップグレードしたHP Envy 15-j005eaラップトップを購入しました。また、HDDを取り外し、1TB Samsung Evo 840 SSDに交換しました。現在、ドライブを暗号化して会社のソースコードと個人文書を保護したいのですが、どうすればよいのか、それが可能かどうかはわかりません。

SSDでTruecryptを使用することは推奨されていませんが、間違っている場合は修正してください。また、840 Evoには256ビットAES暗号化が組み込まれているので、それを使用することをお勧めします。

Evoは最新のEXT0BB6Qファームウェアに更新されており、最新のSamsung Magicianを持っています。私が持っているUEFIレベルはわかりませんが、このマシンは2013年12月に製造され、Insyde製のF.35 BIOSを持っていることは知っています。

これは私が試したものです:

  • Bitlocker。最新のSamsungファームウェアはおそらくWindows 8.1 eDriveと互換性があるため、Anandtechの記事に記載されている指示に従いました。まず第一に、ラップトップにはTPMチップがないように見えるので、TPMなしでBitlockerを動作させる必要がありました。それが終わったら、Bitlockerをオンにしようとしました。Anandtechは、「すべてがeDriveに準拠している場合、ドライブのすべてまたは一部を暗号化するかどうかを尋ねられることはありません。初期設定を行うと、BitLockerが有効になります。追加の暗号化段階はありません(データSSDで既に暗号化されています。何か間違ったことをした場合、またはシステムの一部がeDriveに準拠していない場合、進行状況インジケーターとやや長いソフトウェア暗号化プロセスが表示されます。」残念ながら私 ドライブの全部または一部を暗号化するかどうかを尋ねられたので、キャンセルしました。

  • BIOSでATAパスワードを設定します。BIOSにはこのようなオプションはないようで、管理者パスワードと起動パスワードのみがあります。

  • マジシャンを使用します。[データセキュリティ]タブがありますが、オプションが完全に理解されておらず、適用できるものはないと思われます。

ここに画像の説明を入力してください

この質問と回答の情報は役に立ちましたが、私の質問には答えませんでした。

明らかに、私が知りたいのは、HP Envy 15でソリッドステートドライブをどのように暗号化すればいいのでしょうか、それとも実際には運が悪いのでしょうか?代替オプションはありますか、暗号化せずに生きるか、ラップトップを返却する必要がありますか?

Anandtechに同様の質問がありますが、未回答のままです。


SSDの暗号化は、ウェアレベリングのために問題があります。詳細はわかりませんが、Security.SEで関連する質問が役立つ場合があります。(これは実装ではなくセキュリティの観点からです。)
ジョナサンガーバー

SSD暗号化に関する私の投稿のコメントをお読みください:vxlabs.com/2012/12/22/…-SSD FDEに興味のある人々のためのディスカッションボードになっています。あなたが見せたTCG Opalは面白いかもしれません。
チャールボサ

それは良い議論ですチャール、私はそれに目を光らせておきます。あなたの訪問者は誰もまだこれをクラックしていないようです。WinMagic SecureDoc Standalone for Windowsが紹介されていますが、これは私にとって初めてのことですが...パスワードを設定する特権のためだけに100ドルを支払うかどうかはわかりません!
スティーブンケネディ

回答:


8

パスワードは、BIOSのATAセキュリティ拡張の下で設定する必要があります。通常、BIOSメニューには「セキュリティ」というタイトルのタブがあります。認証はBIOSレベルで行われるため、このソフトウェア「ウィザード」は認証の設定に影響を与えません。以前にサポートされていなかった場合、BIOSアップデートでHDDパスワードが有効になることはほとんどありません。

暗号化を設定していると言うのは誤解を招く恐れがあります。問題は、ドライブがチップに書き込むすべてのビットを常に暗号化していることです。ディスクコントローラーはこれを自動的に行います。ドライブにHDDパスワードを設定すると、セキュリティレベルが0からほとんど解読不能になります。悪意を持って作成されたハードウェアキーロガーまたはNSA-sprungリモートBIOSエクスプロイトのみがパスワードを取得して認証することができました;-) <-推測します。BIOSに対して何ができるかはまだわかりません。ポイントは、完全に乗り越えられないということではありませんが、キーがドライブに保存される方法に応じて、現在利用可能なハードドライブ暗号化の最も安全な方法です。とはいえ、それは完全にやり過ぎです。BitLockerは、ほとんどの消費者セキュリティニーズにおそらく十分です。

セキュリティに関しては、質問は次のとおりだと思います。

ハードウェアベースのフルディスク暗号化は、TrueCryptのようなソフトウェアレベルのフルディスク暗号化よりも数桁安全です。また、SSDのパフォーマンスを妨げないという利点もあります。SSDがビットを格納する方法は、ソフトウェアソリューションの問題につながることがあります。ハードウェアベースのFDEは、それほど面倒ではなく、よりエレガントで安全なオプションですが、貴重なデータを暗号化することに十分な注意を払っている人の間でも「捕まって」いません。まったく難しいことではありませんが、残念ながら多くのBIOSは単に「HDDパスワード」機能をサポートしていません(アマチュアが回避できる単純なBIOSパスワードと混同しないでください)。BIOSを確認しなくても、オプションがまだ見つからない場合はBIOSが表示されないことを保証できます。それをサポートしていないと、あなたは運が悪い。これはファームウェアの問題であり、hdparmのようなBIOSをフラッシュする以外の機能を追加するためにできることは何もありません。ドライブまたは付属のソフトウェアとは関係ありません。これはマザーボード固有の問題です。

ATAはBIOSの一連の指示にすぎません。設定しようとしているのは、HDDユーザーおよびマスターパスワードです。これらは、ドライブに安全に保存されている一意のキーの認証に使用されます。「ユーザー」パスワードにより、ドライブのロックを解除し、通常どおりに起動することができます。「マスター」と同じこと。違いは、BIOSでパスワードを変更したり、ドライブ内の暗号化キーを消去したりするために「マスター」パスワードが必要であるため、すべてのデータにすぐにアクセスできず、回復できないことです。これは「セキュア消去」機能と呼ばれます。プロトコルでは、32ビットの文字列、つまり32文字のパスワードがサポートされています。BIOSでHDDパスワードの設定をサポートしている数少ないラップトップメーカーのうち、ほとんどの文字は7または8に制限されています。それをサポートすることは私を超えています。たぶん、ストールマンはプロプライエタリのBIOSについて正しかったのでしょう。

唯一のラップトップ(HDDパスワードをサポートするデスクトップBIOSはほとんどありません)では、フルレングスの32ビットHDDユーザーを設定できるようになり、マスターパスワードはLenovo ThinkPad T-またはW-シリーズです。最後に、一部のASUSノートブックにはBIOSにそのようなオプションがあると聞きました。デルは、HDDパスワードを弱い8文字に制限しています。

私は、SamsungよりもIntel SSDのキーストレージに精通しています。インテルは、ドライブ、320シリーズなどでオンチップFDEを提供した最初の製品だと思います。それはAES 128ビットでしたが。このSamsungシリーズがキーストレージをどのように実装しているかについては詳しく調べていませんが、現時点では誰も知りません。明らかに顧客サービスはあなたにとって何の助けにもなりませんでした。どのハイテク企業でも、彼らが販売しているハードウェアについて実際に何かを知っているのは5〜6人だけだという印象を受けます。Intelは詳細を調べるのを嫌がっているように見えたが、最終的には会社の担当者がフォーラムのどこかで答えた。ドライブメーカーにとって、この機能は完全に後付けであることに留意してください。彼らはそれについて何も知らないか気にしませんし、顧客の99.9%パーセントもしません。これは、箱の裏にあるもう1つの広告の箇条書きです。

お役に立てれば!


それは素敵な答え「Mr Tinfoil」です。たくさんの情報、私が知っていたもの、そして確かに知らなかったもの:)私はすでにあなたが指摘しているように、BIOSとドライブのような恥のために運が悪いと結論付けていましたアウト、すでにデータを暗号化しています!NSAに対応したレベルのセキュリティは必要ありません。ラップトップを紛失した場合、ソースコード(および個人ファイル)が安全である可能性が十分であると自分と雇用主を満足させるのに十分です。私はすでに外出中で、しばらくの間Bitkeeper(ソフトウェアレベルの暗号化)を使用しました。再度、感謝します。
スティーブンケネディ14年

6
「ハードウェアベースのフルディスク暗号化は、TrueCryptのようなソフトウェアレベルのフルディスク暗号化よりも数桁安全です。」引用が必要です。
Abdull 14

ハードウェアの暗号化がソフトウェアの暗号化よりも安全であるという主張は、ハードウェアが何をしているかを正確に知ることができないため、改ざんできません。TrueCryptなどのオープンソースソフトウェアは、いくつかの監査を行うことができるため、ユーザーは使用しているものを正確に知ることができます。ハードウェアベースのセキュリティに関するこの問題は新しいものではなく、TPMに対する標準的な批判です。
ポール

@Paul-おそらくTrueCryptは、そのソフトウェアにセキュリティ上の欠陥があり、そのためにサポートされなくなったため、最良の例ではありません。
イゴール

1
@Igor TrueCryptは、いくつかの監査を通じて生き残り、大きな欠陥は発見されていません。schneier.com/blog/archives/2015/04/truecrypt_secur.html
ポール

8

私はついに今日これを機能させるようになり、あなたのように、BIOSにもATAパスワードが設定されていないと思います(少なくとも私にはわかりません)。BIOSユーザー/管理者パスワードを有効にしましたが、PCにはTPMチップが搭載されていますが、BitLockerは1つ(USBキー)なしでも機能するはずです。あなたのように、私もBitLockerプロンプトでまったく同じ場所で立ち往生しました。データまたはディスク全体のみを暗号化しますか。

私の問題は、マザーボードがUEFIをサポートしているにもかかわらず、WindowsのインストールがUEFIではないことでした。msinfo32runコマンドを入力し、BIOSモードを確認することで、インストールを確認できます。それ以外のものを読み取る場合はUEFI、ウィンドウを最初から再インストールする必要があります。


このフォーラムの関連記事で、Samsung SSDを暗号化するためのステブバイステップ手順ガイドを参照してください。


素晴らしい答えのように見えます!私もそのようなSSDを入手するときにチェックします。
表示名14

ちょうどチェックし、それは本当にこのように動作します
表示名

1
ATAパスワードはBIOSとは関係ありません。システムによっては、BIOSインターフェイスからのATAパスワードの設定をサポートしている場合がありますが、ATAパスワード自体はBIOSとは関係ありません。たとえば、hdparmLinuxコマンドラインユーティリティを使用して、ATA標準を使用したセキュリティ機能、および標準の他の管理可能な機能を管理できます。多くのBIOS開発者がATAパスワード機能の完全なユーティリティを許可していないことに注意することが重要です。例えば、私は標準が32まで可能にもかかわらず、パスワードのみに含まれる15文字まで可能にデルを持っている
ポール・

2

ソフトウェア暗号化

TrueCrypt 7.1aはSSDでの使用には適していますが、ドライブはHDDの10倍以上のIOPを実行しますが、IOPのパフォーマンスはかなり低下する可能性が高いことに注意してください。そのため、Magicianにリストされているオプションを使用できない場合、TrueCryptはドライブを暗号化するためのオプションですが、Windows 8以降のファイルシステムではうまく機能しないことが報告されています。このため、これらのオペレーティングシステムでは、フルディスク暗号化を備えたBitLockerの方が適しています。

TCGオパール

TCG Opalは、基本的に、ドライブの起動を許可し、ドライブへのアクセスを許可するためのパスワードをユーザーに提示することのみを目的とする、ドライブの予約部分に一種のミニオペレーティングシステムをインストールできる標準です。 。この機能をインストールするために利用できるさまざまなツールがあり、その中には安定性のあるオープンソースプロジェクトも含まれていますが、Windows 8以降のBitLockerはこの機能をサポートする必要があります。

私はWindows 8以降を持っていないので、これを設定する方法についての指示を提供することはできませんが、私の読書では、これはWindowsのインストール時にのみ利用可能であり、インストール後では利用できないことを示しています。経験豊富なユーザーは私を修正してください。

ATAパスワード

ATAパスワードロックは、Samsung 840以降のシリーズのドライブ、および他の何千ものドライブでサポートされているATA標準のオプション機能です。この標準はBIOSに関連していないため、さまざまな方法でアクセスできます。BIOSがATA規格に適切に準拠していない可能性があるため、ATAパスワードの設定または管理にBIOSを使用することはお勧めしません。この機能をサポートしているように見えますが、実際には準拠していない自分のハードウェアの経験があります。

この機能を検索すると、データを保護するためにATAロック機能を安全と見なすべきではないと主張する多くの議論が生まれることに注意してください。これは通常、自己暗号化ドライブ(SED)でもないHDDに対してのみ正しいです。Samsung 840およびそれ以降のシリーズのドライブはSSDおよびSEDであるため、これらの説明は単に当てはまりません。この質問で説明されているように、ATAパスワードでロックされたSamsung 840シリーズ以降は、使用するのに十分安全です。

BIOSがATAパスワードロックされたドライブのロック解除をサポートできることを確認する最良の方法は、ドライブをロックし、コンピューターにインストールし、コンピューターを起動して、パスワードを要求するかどうか、および入力したパスワードがドライブをロック解除できるかどうかを確認することです。

このテストは、失いたくないデータがあるドライブでは実行しないでください。

幸いなことに、テストドライブはSamsungドライブである必要はありません。ATA標準セキュリティセットをサポートし、ターゲットコンピューターにインストールできるドライブであれば、どのドライブでもかまいません。

ドライブのATA機能にアクセスするための最良の方法は、Linuxコマンドラインユーティリティを使用することhdparmです。Linuxを搭載したコンピューターを持っていなくても、インストールディスクイメージがインストールメディアからOSを「ライブ」で実行することをサポートしているディストリビューションが多数あります。たとえば、Ubuntu 16.04 LTSは、大多数のコンピューターに簡単かつ迅速にインストールする必要があり、同じイメージをフラッシュメディアに書き込んで、光学ドライブのないシステムで実行することもできます。

ATAパスワードセキュリティを有効にする方法の詳細な説明はこの質問の範囲外ですが、このチュートリアルはこのタスクに最適なものの1つであることがわかりました。

自己暗号化SSDでのATAセキュリティの有効化

パスワードの最大長は32文字であることに注意してください。BIOSが標準を正しくサポートしていることを確認するために、32文字のパスワードでテストを行うことをお勧めします。

ターゲットコンピュータの電源を切り、ドライブATAパスワードをロックした状態で、ドライブをインストールしてシステムを起動します。BIOSがドライブのロックを解除するためのパスワードを要求しない場合、BIOSはATAパスワードのロック解除をサポートしません。また、パスワードを完全に正しく入力しているように見えても、ドライブのロックが解除されていない場合は、BIOSがATA規格を適切にサポートしていない可能性があるため、信頼できません。

オペレーティングシステムをインストールして適切にロードするか、テストドライブをロードしてマウントできるOSドライブと一緒にインストールするなど、システムがロック解除されたドライブを適切に読み取っているかどうかを確認する方法があるとよいでしょう問題なくファイルを読み書きします。

テストが成功し、手順を繰り返すことに自信がある場合、OSがインストールされているドライブを含むドライブでATAパスワードを有効にしても、ドライブのデータ部分は何も変更されないため、 BIOSのパスワード。


TrueCrypt 7.1a is just fine for use on SSDs->いいえ!オプションではないものとしてリストされるべきではありません。TrueCryptは安全ではないため、サポートされなくなりました。それに応じて投稿を編集してください。参照TrueCryptを
イゴール

ところで、これは新しいものではなく、サポートは2014年5月に停止されました(2年以上前
イゴール

TrueCryptの「サポート」の終了も、プロジェクトが新しい(Windows 8)ファイルシステムで動作するために大幅な改訂を必要としたために発生しました。TrueCrypt 7.1aは非常に詳細な監査を行っており、暗号化の品質に影響を与えないコードに関する軽微な問題のみを発見しました。Crypto Audit Project TrueCypt Cryptographic Reviewを開きます。これは、暗号が良好であることがわかっていることの検証です。同じレベルの検証を誇る他のプロジェクトは知りません。
ポール

TrueCryptはオープンソースプロジェクトであったため、「サポートされなくなった」と主張することは実際には誤解を招きます。変更されたのは、もはや積極的に開発されていないことです。
ポール

@Igor TrueCrypt 7.1aによって提供される暗号化が受け入れられないという何らかの証拠を提供できない限り、その側面に関する私の答えを編集しません。
ポール

1

これを見たか修正したかはまだわかりませんが、EVO 840上のサムスンからのリンクはここにあります 。http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/ about / whitepaper06.html

基本的に、ssdに組み込まれたハードウェアAES暗号化を有効にするために彼らが言うことは、システムBIOSでHDDパスワードを設定することです。「User / Admin / Setup」パスワードはまさにそれです。ただし、HDDパスワードの設定はSSDにパススルーする必要があります。これには、コンピューターの電源を入れるたびに手動でパスワードを入力する必要があり、TPMチップまたはその他のPassKeyでは機能しません。また、十分に強調することはできません。暗号化を使用する人はだれでも、データを確実にバックアップする必要があります。故障した/破損した暗号化ドライブからデータを回復することは、専門のサービスを経ることなくほとんど不可能です。


1

「NSAに対応したセキュリティレベルは必要ありません」

それは無料ですので、とにかくそれを使用しないのはなぜですか?

コンピューターセキュリティとコンピューターフォレンジックの大学院クラスを受講した後、ドライブを暗号化することにしました。私は多くのオプションを見て、DiskCryptを選択したことを非常に嬉しく思います。インストールが簡単で使いやすく、提供されているPGP署名付きのオープンソース、exeがソースと一致するように自分でコンパイルする方法、ドライブが自動マウントされる、起動前のPWプロンプトなどを設定できます-pwアクション。AES-256を使用します。

最新のCPUは、単一のマシン命令でラウンドのAES暗号化を行います(セクターのデータを暗号化するには、数十ラウンドかかります)。私自身のベンチマークでは、AESはソフトウェアで実装されたフグなどの暗号よりも11倍高速です。DiskCryptorは、PCがディスクからデータを読み書きできるよりも何倍も速くデータを暗号化できます。測定可能なオーバーヘッドはありません。

私はTECで冷却され、速度を上げられた5 GHzの速度のマシンを走らせているので、あなたの走行距離は変化しますが、それほどではありません。暗号化/復号化に必要なCPU時間は、測定するには低すぎました(つまり、1%未満)。

一度設定すると、完全に忘れることができます。唯一の顕著な効果は、起動時にPWを入力する必要があることです。

SSDで暗号化を使用しないことに関しては、これは聞いたことがありません。それも保証されていません。暗号化されたデータは、通常のデータとまったく同じようにドライブで読み書きされます。データバッファ内のビットのみがスクランブルされます。暗号化されたドライブでchkdsk / fを実行し、他のディスクユーティリティを実行できます。

ところで、他のプログラムとは異なり、ディスクキーパーはあなたのメモリをメモリに保持しません。暗号化に一方向ハッシュキーを使用し、メモリ内の誤って入力されたpwdを上書きし、PWの入力および検証中にページングファイルに乗らないようにするために非常に長くなります。

https://diskcryptor.net/wiki/Main_Page


じゃあ、それで。SSDの暗号化に明らかに関連しているにもかかわらず、私の投稿を削除し、そうするようにソフトウェアに提案し、暗号化がSSDを傷つけるという提案に応答し、私が話していることを明らかに知っている(私がそうでなかったとしても)コンピュータセキュリティの大学院生)。私が戻ってきて、他の誰かを助けるかどうかを確認してください。
フェイケインガールブレイン14

暗号化がやや悪い理由は、重複排除に関係しています。ssdがこれを行うかどうかはわかりませんが、書き込みを下げる方法として使用する場合、ドライブに書き込まれる同じものは重複排除ではなく完全に書き込まれる必要があるため、暗号化は寿命の低下につながります。だから、それは単なるビットの問題ではありません。はい、一度暗号化解除すると同じように見えますが、チップ自体では異なる話です。
birdman3131

@ birdman3131 SSDは、大多数のユースケースの書き込みからSSDの寿命を心配する必要がある時点を過ぎていると思います。SSDに機能として提供される圧縮/重複排除がない場合、それが欠けていると安全に想定できると思います。ファイルシステムレベルの機能である場合、これは下位レベルが暗号化されているかどうかに関して違いはありません。
-Phizes

0

これについてはスーパーユーザーの別の場所に投稿しましたが、これは私が自分自身を教育するために使用したスレッドであったため、ここでもベースに触れたいと思いました。

Samsung 840/850 EVOおよびIntel SSDのフルディスク暗号化用のATAパスワードとソフトウェア暗号化

長所:シンプル、パフォーマンスヒットなし、非常に安全:ATAパスワードがない他のマシンではディスクを読み取れません

短所:ATAパスワードオプションを備えたBIOSが必要です(HPおよびLenovoラップトップにはこれがあるようですが、ほとんどのデスクトップモボにはありません。例外:ASRockは最近、Extremeシリーズ用に1.07B BIOSを作成しました。また、パスワードを紛失した場合、データは回復不能なほど安全です。誰によっても、そうです。最後に、SSD上の1つのコントローラーチップにすべて依存しており、そのチップが故障した場合、データは処理されます。永遠に。

これが議論に加わることを願っています。


-1

BIOSでATAパスワードを設定します。BIOSにはこのようなオプションはないようで、管理者パスワードと起動パスワードのみがあります。残念ですが、これはあなたが持っている最も簡単なオプションです。

2つ目は8.1 + bitlockerに勝つことですが、全体の再配置は面倒です

foss tcg opal swを知らないので、有料版にはおそらくかなりの費用がかかります

truecryptは機能しますが、CPUにAES-NIがない場合、speeのヒットが顕著になる可能性があります

ストラフをバックアップすることを忘れないでください。暗号化されたデータは回復するのがはるかに困難です


「FOSS TCG Opalソフトウェア」のWeb検索では、結果とFOSS TCGプロジェクトのリンクおよびチュートリアルが提供されます。大多数のユーザーは、ハードウェアアクセラレータなしでTrueCryptを使用することによるパフォーマンスへのわずかな影響を感じません(実際、HDDを搭載した古いDule-CoreラップトップにTrueCryptをインストールしましたが、パフォーマンスへの影響は感じられませんでした)。暗号化されたデータのバックアップは、少なくとも同じレベルのセキュリティを備えたデバイスに対して行う必要があります。そうしないと、暗号化の目的が失われます。
ポール

-1

多くのLinuxディストリビューションをインストールする場合、/ homeフォルダーを暗号化するオプションが提供されます。その時点で/ homeフォルダー(マウントポイント)の暗号化を選択すると、パスワードを2回入力するよう求められます(必須)。

基本的に1つが完了し、/ homeフォルダーは暗号化されます。

サムスンは工場で「事前に暗号化」されているはずでした。

これは通常、パスワードなしではハードドライブの情報にアクセスできないことを意味します。

上記は私がやったことです。運がよければ、Linuxソフトウェア暗号化の別のレイヤーを使用したSamsung暗号化により、ほとんどの悪名高い個人、企業、政府から比較的安全になります。

BIOS経由でハードドライブのパスワードを設定する必要性を感じませんでした。

すでに複数のパスワードを記憶するのは十分困難です。その点で、KeepassXはある程度役立つかもしれません。

本当に妄想的なのは、BIOSでSamsung EVOのパスワードを設定し、インストール時にLinuxを使用してドライブをソフトウェア暗号化してから、オープンソース暗号化プログラムを使用することです(バックドアや脆弱性が疑われるため、truecryptではありません)。

KeepassXを使用して、長く複雑なパスワードを記憶し、そのフラッシュドライブをパスワードで保護することもできます。

あなたが何らかの犯罪者であるか、あなたがそれほど多くのセキュリティを必要とするほど貴重なものを持っているのでなければ、ほとんどは時間の無駄です。

IronKeyのような暗号化されたフラッシュドライブにソースコードを保持しておくと、パフォーマンスが低下したり、ドライブに問題が発生したりすることがなくなります。個人文書もそこに行くことができます。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.