Hårdvarubaserad kryptering på SSD (SED/FDE).Tex Crucial MX

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Dec 2004

Hårdvarubaserad kryptering på SSD (SED/FDE).Tex Crucial MX

Det har ju börjat komma en hel del konsument diskar som stödjer hårdvarubaserad "Full Disk Encryption". Såkallade Self Encrypting Drives.
Bla Samsungs 840/850 Pro och Crucials MX100
Har kört med mjukvarubaserad kryptering tidigare (TrueCrypt) men tycker att SED's verkar vara bättre på många sätt.
+Inga prestanda förluster
+Inga problem om Windows filer blir skadade och måste repareras, el dylikt
+Ingen risk att Windows är och formaterar krypterade diskar
+Ingen risk att disken slits extra mycket, problem med TRIM osv

Har sökt runt efter information hur man praktiskt tillämpar och aktiverar dessa system. Men har inte blivit riktigt klar på hur det fungerar ännu.
Det verkar finnas två sätt att implementera funktionen. Antingen via ett sk. "ATA.password" eller via "OPAL"

OPAL verkar vara tänkt mest åt företag mm eller om operativet (tex windows 8) ska utnyttja funktionerna.

ATA-password verkar vara det "enkla" sättet. Man får skriva in ett lösen i BIOS/UEFI för att låsa upp disken. Däremot verkar stödet för ATA-password vara väldigt lågt hos moderkort.

Det jag undrar är om det finns någon ordentlig guide som beskriver hur det fungerar, praktiska tillämpningar och praktiska guider?

Hur vet man vilka moderkort som stödjer ATA-password?
Kan jag som bara har Win7 Home nyttja krypteringen på en disk via ett ATA-password? (System disk)
Hur säkert är det att bara förlita sig på ett ATA-password?
Hur säker är dessa SED's?

Hoppas någon kan kasta lite ljus och sammanhängande information om detta ämne

Tydligare rubrik, mindre förkortningar

Any society that would give up a little liberty to gain a little security will deserve neither and lose both.
PS. Detta meddelande har granskats av FRA, Säpo, Polisen och NSA . (Med reservation för att ha utelämnat flertalet okända yttligare övervakare) .DS

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Okt 2008

Jag har haft samma funderingar som du sedan 2011 men har tyvärr fortfarande inte kommit någon vart med detta...

Stöd för ATA Password är fortfarande i princip obefintligt på desktopmoderkort. Moderkort med Intels Q-chipset (som är riktade till företagsbruk för enklare kontorsmaskiner) kan ha det, men det är bäst att undersöka noga.

Generellt sett verkar ATA Password hursomhelst inte vara någon särskilt bra lösning - jag har vid något tillfälle snubblat förbi uppgifter om att vissa idiotiska implementationer lagrar lösenordet i klartext i BIOS, vilket förstås är ett gigantiskt säkerhetshål, men det kan ju vara FUD.

TCG Opal är en bättre lösning, men det kräver tredjepartsprogramvara som lägger in ett minibootoperativ i s.k. "shadow MBR", men dessa verkar alla vara 100% företagsinriktade och skitdyra (eller saknar prisuppgift, dvs sannolikt idiotiskt skitdyra):

https://en.wikipedia.org/wiki/Opal_Storage_Specification#List...

När jag grävde vidare tidigare under dagen så stötte jag dock på ett intressant gratis open source-projekt, MSED:

http://vxlabs.com/2015/02/11/use-the-hardware-based-full-disk...
https://github.com/r0m30/msed
http://www.r0m30.com/msed

Det verkar till synes fungera, men har i dagsläget två viktiga begränsningar:

1. Kräver BIOS, fungerar ej med (U)EFI.
2. Saknar stöd för S3 sleep, dvs traditionell standby (med ström till RAM), så man måste använda hibernate (eller shutdown förstås)

Alldeles för experimentellt för min smak, men man kan ju hoppas att det blir något bra av det framöver.

Sen finns ju Microsoft eDrive, dvs hårdvaruaccelererad (TCG Opal 2.0) BitLocker, men det finns bara i Windows 8 och senare. Anandtech har testat:

http://www.anandtech.com/show/6891/hardware-accelerated-bitlo...

Personligen är jag allmänt skeptisk till BitLocker dock, det stinker NSA om det.

Jag fortsätter med TrueCrypt så länge (jag kör fullständig kryptering av hela systemet + alla övriga diskar, både ssd och mekaniska, på alla mina maskiner sedan flera år tillbaka utan ett enda problem någonsin). Det är ordentligt välbeprövat, fungerar klockrent och har extremt liten prestandapåverkan om man har en cpu med AES-NI.

1800X, 1080 SLI, 4K

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Okt 2008

En annan fråga jag inte hittar något svar på, är hur det är tänkt att man ska kunna mounta Opal-krypterade icke-systemdiskar (alltså, om man bootar på sin Opal-systemdisk och sedan även vill mounta en Opal-kryterad lagringsdisk). Utan lösning på det problemet så kommer det aldrig bli Opal för mig.

1800X, 1080 SLI, 4K

Trädvy Permalänk
Medlem
Plats
SweClockers forum
Registrerad
Aug 2012

Jag är rätt säker på att BitLocker fungerar med MX100.

EDIT: Hårdvarukrypterat då alltså.

Guide: Roota din HTC - BB-Kod-knappar på Prisjakt

              Min burk - Kvävekyld till 80%
Phenom II X4 965@3900MHz (Sommarklock)
GTX 760@1111MHz

Ibland har jag fel, men då är det någon annans fel.

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Sep 2010

Jag hittade detta:
Adding the ATA Security eXtension BIOS to AMIBIOS
ATA Security eXtension BIOS

Funkar troligtvis bara med BIOS och lite småpilligt, speciellt om man har AMI BIOS. Dock är det lite intressant för mig med Award BIOS

Edit:
ATA Security eXtension BIOS funkar tydligen inte med AHCI

Hittade dock detta som är liknande och som ska funka med AHCI:
AHCI BIOS Security Extension

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Trädvy Permalänk
Inaktiv
Registrerad
Nov 2014

använd truecrypt 7.1a

litar absolut inte på bitlocker eftersom microsoft och NSA arbetar tillsammans

Trädvy Permalänk
Medlem
Plats
STHLM
Registrerad
Apr 2008
Skrivet av pepparkakor:

använd truecrypt 7.1a

litar absolut inte på bitlocker eftersom microsoft och NSA arbetar tillsammans

Är NSA de enda man vill skydda sin information ifrån?

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Sep 2010
Skrivet av pepparkakor:

använd truecrypt 7.1a

Jag använder redan Truecrypt och har gjort det i många år. För systemdisken, som är en SSD, så vill jag hellre använda FDE om det går.

Prestandan på en Truecrypt krypterad disk är rejält mycket sämre än på en okrypterad disk när det kommer till IO intensiva arbeten.

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Okt 2008
Skrivet av Hurtigbullen:

Prestandan på en Truecrypt krypterad disk är rejält mycket sämre än på en okrypterad disk när det kommer till IO intensiva arbeten.

Det har jag inte upplevt, men så har jag iofs inte kört benchmarks heller. Har du cpu med AES-NI?

1800X, 1080 SLI, 4K

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Sep 2010
Skrivet av backfeed:

Det har jag inte upplevt, men så har jag iofs inte kört benchmarks heller. Har du cpu med AES-NI?

Nej, inte på den burken, med det gör ingen stor skillnad när multipla processer läser och skriver disken. Det finns en ganska bra artikel om det som jag tror det länkas till i någon tråd har på SweC. Kan inte leta upp den just nu, men jag ska försöka komma ihåg att kolla efter den ikväll.

Uppdatering
Och det gör nog skillnad, men man får likval en ganska stor prestandaförsämriing. Ska kolla på den andra burken hemma som också har system encryption på SSDn. Hade för mig att den har AES-NI, men det kanske den inte har.

Här är iaf länkarna:
SSDs and TrueCrypt: durability and performance issues
Truecrypt 7.0a FDE on SSD

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"