Forum Datorkomponenter Lagring Tråd Inlägg

Hårdvarubaserad kryptering på SSD (SED/FDE).Tex Crucial MX

1
Skriv svar
Permalänk
Medlem

Hårdvarubaserad kryptering på SSD (SED/FDE).Tex Crucial MX

Det har ju börjat komma en hel del konsument diskar som stödjer hårdvarubaserad "Full Disk Encryption". Såkallade Self Encrypting Drives.
Bla Samsungs 840/850 Pro och Crucials MX100
Har kört med mjukvarubaserad kryptering tidigare (TrueCrypt) men tycker att SED's verkar vara bättre på många sätt.
+Inga prestanda förluster
+Inga problem om Windows filer blir skadade och måste repareras, el dylikt
+Ingen risk att Windows är och formaterar krypterade diskar
+Ingen risk att disken slits extra mycket, problem med TRIM osv

Har sökt runt efter information hur man praktiskt tillämpar och aktiverar dessa system. Men har inte blivit riktigt klar på hur det fungerar ännu.
Det verkar finnas två sätt att implementera funktionen. Antingen via ett sk. "ATA.password" eller via "OPAL"

OPAL verkar vara tänkt mest åt företag mm eller om operativet (tex windows 8) ska utnyttja funktionerna.

ATA-password verkar vara det "enkla" sättet. Man får skriva in ett lösen i BIOS/UEFI för att låsa upp disken. Däremot verkar stödet för ATA-password vara väldigt lågt hos moderkort.

Det jag undrar är om det finns någon ordentlig guide som beskriver hur det fungerar, praktiska tillämpningar och praktiska guider?

Hur vet man vilka moderkort som stödjer ATA-password?
Kan jag som bara har Win7 Home nyttja krypteringen på en disk via ett ATA-password? (System disk)
Hur säkert är det att bara förlita sig på ett ATA-password?
Hur säker är dessa SED's?

Hoppas någon kan kasta lite ljus och sammanhängande information om detta ämne

Senast redigerat Tydligare rubrik, mindre förkortningar
Visa signatur

Any society that would give up a little liberty to gain a little security will deserve neither and lose both.
PS. Detta meddelande har granskats av FRA, Säpo, Polisen och NSA . (Med reservation för att ha utelämnat flertalet okända yttligare övervakare) .DS

Redigera
Citera flera Citera
Permalänk
Medlem

Jag har haft samma funderingar som du sedan 2011 men har tyvärr fortfarande inte kommit någon vart med detta...

Stöd för ATA Password är fortfarande i princip obefintligt på desktopmoderkort. Moderkort med Intels Q-chipset (som är riktade till företagsbruk för enklare kontorsmaskiner) kan ha det, men det är bäst att undersöka noga.

Generellt sett verkar ATA Password hursomhelst inte vara någon särskilt bra lösning - jag har vid något tillfälle snubblat förbi uppgifter om att vissa idiotiska implementationer lagrar lösenordet i klartext i BIOS, vilket förstås är ett gigantiskt säkerhetshål, men det kan ju vara FUD.

TCG Opal är en bättre lösning, men det kräver tredjepartsprogramvara som lägger in ett minibootoperativ i s.k. "shadow MBR", men dessa verkar alla vara 100% företagsinriktade och skitdyra (eller saknar prisuppgift, dvs sannolikt idiotiskt skitdyra):

https://en.wikipedia.org/wiki/Opal_Storage_Specification#List...

När jag grävde vidare tidigare under dagen så stötte jag dock på ett intressant gratis open source-projekt, MSED:

http://vxlabs.com/2015/02/11/use-the-hardware-based-full-disk...
https://github.com/r0m30/msed
http://www.r0m30.com/msed

Det verkar till synes fungera, men har i dagsläget två viktiga begränsningar:

1. Kräver BIOS, fungerar ej med (U)EFI.
2. Saknar stöd för S3 sleep, dvs traditionell standby (med ström till RAM), så man måste använda hibernate (eller shutdown förstås)

Alldeles för experimentellt för min smak, men man kan ju hoppas att det blir något bra av det framöver.

Sen finns ju Microsoft eDrive, dvs hårdvaruaccelererad (TCG Opal 2.0) BitLocker, men det finns bara i Windows 8 och senare. Anandtech har testat:

http://www.anandtech.com/show/6891/hardware-accelerated-bitlo...

Personligen är jag allmänt skeptisk till BitLocker dock, det stinker NSA om det.

Jag fortsätter med TrueCrypt så länge (jag kör fullständig kryptering av hela systemet + alla övriga diskar, både ssd och mekaniska, på alla mina maskiner sedan flera år tillbaka utan ett enda problem någonsin). Det är ordentligt välbeprövat, fungerar klockrent och har extremt liten prestandapåverkan om man har en cpu med AES-NI.

Senast redigerat
Visa signatur

5950X, 3090

Redigera
Citera flera Citera
Permalänk
Medlem

En annan fråga jag inte hittar något svar på, är hur det är tänkt att man ska kunna mounta Opal-krypterade icke-systemdiskar (alltså, om man bootar på sin Opal-systemdisk och sedan även vill mounta en Opal-kryterad lagringsdisk). Utan lösning på det problemet så kommer det aldrig bli Opal för mig.

Visa signatur

5950X, 3090

Redigera
Citera flera Citera
Permalänk
Medlem

Jag är rätt säker på att BitLocker fungerar med MX100.

EDIT: Hårdvarukrypterat då alltså.

Senast redigerat
Visa signatur

Spela Swemantle! Du vet att du vill.

Ibland har jag fel, men då är det någon annans fel.

Redigera
Citera flera Citera
Permalänk
Medlem

Jag hittade detta:
Adding the ATA Security eXtension BIOS to AMIBIOS
ATA Security eXtension BIOS

Funkar troligtvis bara med BIOS och lite småpilligt, speciellt om man har AMI BIOS. Dock är det lite intressant för mig med Award BIOS

Edit:
ATA Security eXtension BIOS funkar tydligen inte med AHCI

Hittade dock detta som är liknande och som ska funka med AHCI:
AHCI BIOS Security Extension

Senast redigerat
Visa signatur

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Redigera
Citera flera Citera
Permalänk
Inaktiv

använd truecrypt 7.1a

litar absolut inte på bitlocker eftersom microsoft och NSA arbetar tillsammans

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pepparkakor:

använd truecrypt 7.1a

litar absolut inte på bitlocker eftersom microsoft och NSA arbetar tillsammans

Gå till inlägget

Är NSA de enda man vill skydda sin information ifrån?

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pepparkakor:

använd truecrypt 7.1a

Gå till inlägget

Jag använder redan Truecrypt och har gjort det i många år. För systemdisken, som är en SSD, så vill jag hellre använda FDE om det går.

Prestandan på en Truecrypt krypterad disk är rejält mycket sämre än på en okrypterad disk när det kommer till IO intensiva arbeten.

Visa signatur

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hurtigbullen:

Prestandan på en Truecrypt krypterad disk är rejält mycket sämre än på en okrypterad disk när det kommer till IO intensiva arbeten.

Gå till inlägget

Det har jag inte upplevt, men så har jag iofs inte kört benchmarks heller. Har du cpu med AES-NI?

Visa signatur

5950X, 3090

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av backfeed:

Det har jag inte upplevt, men så har jag iofs inte kört benchmarks heller. Har du cpu med AES-NI?

Gå till inlägget

Nej, inte på den burken, med det gör ingen stor skillnad när multipla processer läser och skriver disken. Det finns en ganska bra artikel om det som jag tror det länkas till i någon tråd har på SweC. Kan inte leta upp den just nu, men jag ska försöka komma ihåg att kolla efter den ikväll.

Uppdatering
Och det gör nog skillnad, men man får likval en ganska stor prestandaförsämriing. Ska kolla på den andra burken hemma som också har system encryption på SSDn. Hade för mig att den har AES-NI, men det kanske den inte har.

Här är iaf länkarna:
SSDs and TrueCrypt: durability and performance issues
Truecrypt 7.0a FDE on SSD

Senast redigerat
Visa signatur

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara