So aktivieren Sie die hardwarebasierte Verschlüsselung auf dem Samsung 850 Pro

22501
ErlVolton

Ich habe ein neues Samsung 850 Pro, das hardwarebasierte Verschlüsselung ankündigt . Gemäß dieser Seite sollte ich einfach in mein BIOS gehen und ein Festplattenkennwort festlegen (kein Problem). Der einzige relevante Thread, den ich zu diesem Thema gefunden habe, sagt auch etwas in die gleiche Richtung. Ich habe keine solche Option in meinem BIOS (ich habe eine Gigabyte-Platine mit einem Z87-Chipsatz, wobei mir die Modellnummer derzeit entgeht). Welche Funktion (en) muss das Board unterstützen, wenn ich ein neues Motherboard kaufen würde, damit dies funktioniert?

10

5 Antworten auf die Frage

8
Michael Romeo

Als "Jemand", der an "msed" arbeitet, hat er nun die Möglichkeit, die OPAL-Sperre zu aktivieren, eine PBA auf ein OPAL 2.0-Laufwerk zu schreiben und das echte Betriebssystem nach dem Entriegeln des Laufwerks auf Bios-basierten Motherboards zu laden. Es ist keine spezielle Motherboard-Unterstützung erforderlich. Ja, es befindet sich noch zu einem frühen Zeitpunkt im Entwicklungszyklus, und derzeit wird der Ruhezustand des RAM nicht unterstützt, da hierfür OS-Hooks erforderlich sind.

6
Chris S

Kommt drauf an, was Sie mit "Get this to work" meinen. Dieses Laufwerk unterstützt OPAL 2.0, wodurch verschiedene durch Software verwaltete Verschlüsselungsverfahren die hardwarebeschleunigte Verschlüsselung verwenden können. Es ermöglicht auch die Pre-Boot-Authentifizierung (PBA) für die Verschlüsselung, z. B. BIOS / EFI-Schemata. Wenn Sie PBA (z. B. ein Kennwort / PIN im BIOS / EFI) verwenden möchten, müssen Sie zu einem Motherboard wechseln, das dies unterstützt. (Ich kann nicht sagen, welches PBA nicht verwendet wird. Ich verwende BitLocker.) was ich sehr empfehle in Windows-Umgebungen).

TL; DR Wenn Sie Windows verwenden, verwenden Sie BitLocker. Die Hardware-Beschleunigung wird automatisch verwendet.

Edit :
Ab April 2014 wird OPAL nicht von Linux unterstützt. Es gab jemanden, der an "msed" arbeitete, aber es war noch nicht fertig oder die Produktion verdient. Ich kenne den aktuellen Status oder die Zukunft der OPAL-Unterstützung in Linux nicht.

Edit 2 :
Es gibt auch verschiedene UEFI-Produkte, die OPAL-kompatible Laufwerke verwalten können. Dies ermöglicht eine Vielzahl von PBAs, wenn Ihr BIOS / EFI dies nicht direkt unterstützt. Der einzige, mit dem ich nur vage vertraut bin, ermöglicht es Unternehmen, Authentifizierungsserver für PBA über das Internet einzurichten. Es könnte auch mit lokalen Anmeldeinformationen funktionieren, ich bin mir nicht sicher. Es ist auch sehr teuer. Denkanstoß, wenn nichts anderes.

Ausgezeichnet. Ich benutze kein Windows, es ist Ubuntu 14 mit aktivierter LVM-Verschlüsselung über die Installationsoption. Vielleicht nutzt das ja schon die Hardwarebeschleunigung und die Antwort ist nichts und Profit? ErlVolton vor 10 Jahren 0
Siehe Bearbeiten, keine guten Nachrichten für Sie. Chris S vor 10 Jahren 0
2
Al Winston

TexasDex ist richtig. Das BIOS Ihres Motherboards muss eine ATA-Kennwortoption unterstützen (diese ist eindeutig und zusätzlich zum BIOS-Kennwort). Nun das interessante Stück. . . niemand erwähnt diese Funktion. Nicht in Mobo-Reviews, Vergleichen und schon gar nicht in Anzeigen und Listings der Mobo-Hersteller. Warum nicht? Millionen von Samsung EVO- und Intel-SSDs von Samsung sind bereit für die Aktivierung der ultraschnellen und ultraschnellen Hardwareverschlüsselung. Sie benötigen lediglich ein BIOS mit ATA-Passwort-Unterstützung.

Die einzige Antwort, die ich finden konnte, ist, dass Mobo-Hersteller befürchten, dass ein paar Noobs ihre Passwörter vergessen werden. Da diese Verschlüsselung so zuverlässig ist, kann niemand überhaupt helfen.

Ich hatte ein ASRock Extreme6 Mobo und dachte, es sei das Neueste und das Beste, natürlich hätte es diese Funktion. Nicht. Ich schrieb jedoch an ASRock in Taiwan und in einer Woche wurde mir die 1.70B-Version ihres BIOS mit einer ATA-Kennwortoption per E-Mail gesendet. Es ist jedoch immer noch nicht auf ihrer Website verfügbar, Sie müssen danach fragen (?!). Dies kann auch bei Ihren Mobo-Machern der Fall sein.

Unterstützt dieses BIOS den Ruhezustand im RAM-Modus? Entsperrt es das Laufwerk, während es aus dem Ruhezustand wieder aufgenommen wird? ZAB vor 9 Jahren 0
1
TexasDex

Es ist möglich, den Befehl hdparm in Linux zu verwenden, um ATA Security Extensions zu aktivieren. Dadurch wird das AT-Kennwort auf der Festplatte festgelegt und damit verschlüsselt.

Wenn Ihr BIOS keine Festplattenkennwörter unterstützt, gibt es leider keine Möglichkeit, danach zu booten, da Sie den Befehl hdparm unlock erst dann verwenden können, wenn Sie mit dem Booten fertig sind, und Sie können nicht entsperren und booten das Laufwerk bis nach dem Entsperren. Irgendwie ein Hühner- / Eierproblem. Aus diesem Grund setzen sie manchmal Festplattenkennwortunterstützung im BIOS, sodass sie ohne Betriebssystem ausgeführt werden kann.

Wenn Sie / boot oder / partition auf einem separaten Gerät haben, können Sie möglicherweise ein Skript einrichten, das den Befehl hdparm irgendwo im init-Prozess verwendet. Dies ist nicht einfach, und der Zweck, die SSD für ein schnelles Booten und ähnliches zu verwenden, ist in gewisser Weise unterlegen.

Meine einzige andere Idee wäre, einen USB-Stick mit einer super-minimalen Linux-Distribution zu haben, der lediglich zur Eingabe des Kennworts auffordert, den Befehl hdparm ata unlock ausführt und den Rechner neu startet, damit das Betriebssystem von Ihrem nicht gesperrten Laufwerk geladen werden kann (glaube ich Soft-Neustarts sperren im Allgemeinen keine Laufwerke. Dies ist nicht ideal, aber die beste verfügbare Lösung, wenn Ihr Motherboard keine ATA-Passwörter unterstützt.

0
Shadowws Shadoww
  • Der Speichertyp muss ACHI sein.
  • Der Computer muss immer von UEFI aus gestartet werden.
  • Auf dem Computer muss das Compatibility Support Module (CSM) in UEFI deaktiviert sein.
  • Der Computer muss auf UEFI 2.3.1 basieren und über das definierte EFI_STORAGE_SECURITY_COMMAND_PROTOCOL verfügen. (Dieses Protokoll wird verwendet, um Programmen zu erlauben, die in der Umgebung der EFI-Boot-Services ausgeführt werden, um Sicherheitsprotokollbefehle an das Laufwerk zu senden.)

  • TPM-Chip ist optional.

  • Sicherer Start ist optional.
  • GPT und MBR werden beide unterstützt.
  • Wenn RST-Software / -Treiber vorhanden sind, muss es mindestens Version 13.2.4.1000 sein.

Dies kann mit 2 oder einer Platte erfolgen.

Von einer Windows-Installation, die die oben genannten Kriterien erfüllt:

  • Stellen Sie den Status auf "Bereit", um über Samsung Magician aktiviert zu werden.
  • Machen Sie ein sicheres Löschen von USB (für DOS).
  • PC neu starten, Bootmodus auf BIOS-Boot umstellen (für das sichere Löschen von USB)
  • Booten Sie in sicheres Löschen, löschen
  • PC neu starten, BIOS-Boot-Einstellungen erneut in EFI ändern. (Lassen Sie den PC nicht von der Festplatte starten, sonst starten Sie den Vorgang von Anfang an.)
  • Starten Sie die Windows-Festplatte erneut und prüfen Sie sie mit einem Samsung-Magier oder installieren Sie Windows auf Ihrer sicheren gelöschten Festplatte.