10

У меня новый Samsung 850 pro, который рекламирует аппаратное шифрование. В соответствии с этой страницей я должен просто зайти в свой BIOS и установить пароль жесткого диска (без проблем). Единственная соответствующая тема, которую я нашел по этому вопросу, также говорит что-то в том же духе. У меня нет такой опции в моем BIOS (у меня есть плата Gigabyte с чипсетом Z87, номер модели ускользает от меня в это время). Если бы мне пришлось купить новую материнскую плату, чтобы она заработала, какие функции должна поддерживать плата?

5 ответов5

8

Как «кто-то», работающий с "msed", теперь он имеет возможность включить блокировку OPAL, записать PBA на диск OPAL 2.0 и выполнить цепную загрузку реальной ОС после разблокировки диска на материнских платах на основе BIOS. Никакой специальной поддержки материнской платы не требуется. Да, он все еще находится на ранней стадии своего цикла разработки и в настоящее время не поддерживает переход в режим сна, поскольку для этого требуются перехватчики ОС.

6

Зависит от того, что вы подразумеваете под "заставить это работать". Этот накопитель поддерживает OPAL 2.0, который позволяет различным программно-управляемым схемам шифрования использовать аппаратно-ускоренное шифрование. Он также позволяет выполнять проверку подлинности перед загрузкой (PBA) для шифрования, например схемы BIOS/EFI. Если вы хотите использовать PBA (то есть пароль / пин-код в BIOS/EFI), вам придется переключиться на материнскую плату, которая его поддерживает (я не могу сказать, что, поскольку я не использую PBA, я использую BitLocker, что я очень рекомендую в среде Windows).

TL; DR Если вы используете Windows, используйте BitLocker, он автоматически использует аппаратное ускорение.

Редактировать:
По состоянию на апрель 2014 года OPAL не поддерживается Linux. Был кто-то, кто работал над "msed", но он не был закончен или не достоин производства. Я не знаю текущий статус или будущее поддержки OPAL в Linux.

Изменить 2:
Существуют также различные продукты UEFI, которые могут управлять OPAL-совместимыми дисками, позволяющими использовать различные PBA, если ваш BIOS/EFI не поддерживает их напрямую. Единственный, с которым я смутно знаком, позволяет компаниям устанавливать серверы аутентификации для PBA через Интернет. Это может работать и с локальными учетными данными, я не уверен. Это также очень дорого. Пища для размышлений, если ничего другого.

2

TexasDex правильно. BIOS вашей материнской платы должен поддерживать параметр пароля ATA (он отличается от пароля BIOS). Теперь интересное немного. , , никто не упоминает эту функцию. Не в обзорах mobo, сравнениях и, конечно, не в рекламных объявлениях и списках производителей mobo. Почему бы и нет? Миллионы на миллионы твердотельных накопителей Samsung EVO и Intel готовы к использованию сверхбыстрого и сверхбезопасного аппаратного шифрования, все, что им нужно, - это BIOS с поддержкой паролей ATA.

Единственный ответ, который я смог найти, заключается в том, что создатели Mobo боятся, что несколько нубов забудут свои пароли, и, поскольку это шифрование настолько надежно, никто ВСЕ не сможет помочь.

У меня был ASRock Extreme6 mobo, и я подумал, что это был последний и самый лучший вариант, конечно, он будет иметь эту функцию. Не. Тем не менее, я написал ASRock на Тайване, и через неделю они прислали мне по электронной почте версию BIOS на 1.70B с опцией ATA Password. Тем не менее, он все еще не доступен на их веб-сайте, вы должны спросить его (?!). Это может иметь место и с вашими создателями мобо.

1

Можно использовать команду hdparm в Linux, чтобы включить ATA Security Extensions, который установит пароль AT на диск, тем самым зашифровав его.

К сожалению, если ваш BIOS не поддерживает пароли жесткого диска, то после этого вы не сможете загрузиться, так как вы не можете использовать команду разблокировки hdparm до тех пор, пока не закончите загрузку, и вы не сможете разблокировать и загрузить диск до тех пор, пока вы не разблокируете его. Вид курицы / яйца. Вот почему они иногда помещают поддержку пароля диска в BIOS, чтобы он мог работать без ОС.

Если у вас есть раздел /boot или / на отдельном устройстве, вы можете установить скрипт, который использует команду hdparm где-то в процессе инициализации. Это нелегко, и в некотором роде поражает цель иметь SSD для быстрой загрузки и тому подобное.

Моя единственная другая идея - иметь флэш-накопитель с супер-минимальным дистрибутивом Linux, который ничего не делает, кроме запроса пароля, запускает команду hdparm ata unlock и перезагружается, позволяя ОС загружаться с разблокированного диска (я полагаю, мягкие перезагрузки обычно не блокируют диски). Это не идеально, но это лучшее доступное решение, если ваша материнская плата не поддерживает пароли ATA.

0
  • Тип хранения должен быть ACHI.
  • Компьютер всегда должен загружаться из UEFI.
  • На компьютере должен быть отключен модуль поддержки совместимости (CSM) в UEFI.
  • Компьютер должен быть на основе UEFI 2.3.1 и иметь EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Этот протокол используется для того, чтобы программы, работающие в среде загрузочных служб EFI, могли отправлять команды протокола безопасности на диск).

  • Чип TPM не является обязательным.

  • Безопасная загрузка не обязательна.
  • GPT и MBR оба поддерживаются.
  • Если есть программное обеспечение / драйверы RST, это должна быть как минимум версия 13.2.4.1000.

Это можно сделать с двумя дисками или одним.

Из установки Windows, которая соответствует вышеуказанным критериям:

  • Установите состояние готовности к включению через Samsung Magician.
  • Сделай безопасное стирание USB (для DOS).
  • Перезагрузите компьютер, измените режим загрузки на загрузку BIOS (для безопасного стирания USB)
  • Загрузиться в безопасное стирание, стереть
  • Перезагрузите компьютер, снова измените настройки загрузки BIOS на EFI. (Не позволяйте ПК начать загрузку с накопителя, иначе вы можете начать процесс с самого начала.)
  • Загрузитесь обратно на диск Windows и проверьте с помощью мастера Samsung или установите Windows на защищенный удаленный диск.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .