Kryptering av NVME Systemdisk (eDrive/OPAL/Bitlocker/VeraCrypt?)

Jag kör enbart VeraCrypt.

Problemet med OPAL (eller SEDs generellt) är att om sätter ett lösenord och låser upp dem är de olåsta ända tills strömmen bryts, d.v.s. att om du sätter datorn i strömsparläge eller liknande är det bara för eventuell angripare att koppla in en mobil strömförsörjning för att få tillgång till allt innehåll på disken okrypterat.

BitLocker skulle jag personligen inte lita på då det är Microsofts proprietära lösning där det mycket väl kan finnas säkerhetshål eller bakdörrar.

Med VeraCrypt eller annan mjukvarukryptering kan du enkelt avmontera din sekundära enhet utan att du behöver bryta strömmen till disken. Det fungerar dock av uppenbara skäl inte på din systempartition.

Det går självklart också att köra båda två i kombination, alltså att du kör både hårdvarukryptering och mjukvarukryptering. Det stora problemet med SEDs är oftast inte att diskarna inte stödjer t.ex. OPAL utan att BIOS/UEFI inte stödjer att sätta ett lösenord. Om jag har förstått det hela rätt är hårdvarukryptering alltid igång med nyare diskar, problemet är som ovan att inget lösenord är satt för att begränsa åtkomst. Att krypteringen är påslagen utan lösenord har dock fördelen att användare kan använda vad som oftast kallas SecureErase vilket i korthet innebär att din enhet genererar en ny krypteringsnyckel och kastar den gamla. Det gör all data oläsbar på bara några sekunder utan att behöva köra destrueringsprogram som tar timmar eller dagar att genomföra.

"eDrive is a security storage specification defined by Microsoft for use with BitLocker. It is based on the TCG OPAL and IEEE 1667 specifications."

Källa:
What is eDrive?

Vad jag kan förstå, så använder eDrive sig av BitLocker, så ja det krävs Win 10 Pro, för att kunna använda sig av det.

How to enable Windows eDrive encryption for SSDs

Alla amerikanska företag har en påtvingat bakdörr/försvagning på något sätt i sina produkter och tjänster - punkt.

allt annat är blåögt att tro - detta gäller också andra nationer produkter från tex öst och deras länders respektive säkerhetstjänster.

Den som vill läsa kan alltid söka och läsa om Juniper-routrar/switchar och hur dessa firmware blev hackade av annan makt för att NSA påtvingat användningen av deras variant av elliptiska slumptalsgeneratorer som default slumptals-källa (detta för att NSA skulle kunna hacka SSL och TLS-kopplingar (läs https: mfl. ) löpande och läsa innehållet som flödade utan allt för mycket svett), att tro att Cisco och andra stora tillverkare av Internets infrastruktur inte skulle ha samma 'tryck' och tvingats implementera vägar är blåögt att tro... - vad som hände var annan makt nyttjade svagheten i slumptalsgeneratorn (vars vägar i hur man kunde kunde göra kunde utläsas av patenthandlingar som designen bakom denna algoritm hade lämnat in och fått beviljat - nyckeln i hur man kunde angripa slumptalsgeneratorn fans alltså hos USA patentkontor... - och ingen kollade det, uppenbarligen inte ens NSA...) och via Juniper-utrustningen som användes själva av Juniper även inom företaget, hackade sig in till till källkoden för firmwaren för dessa switchar/routrar och modifierade konstanterna i nämnda ECC-slumptalsgeneratorn på mycket smart sätt så att det såg ut som kommentarer men kompilerades in och på så sätt fick in en slumptalsgenerator som stängde NSA ute och öppnade för en annan makt att 'äga' dessa routrar/switchar och förstås lyssna på trafik löpande även i krypterade länkar.

den här typen av 'krig' pågår hela tiden, 24/7 mellan olika nationer och ivern att ha kontroll och kunna lyssna på sina befolkningar när de känner för det.

Samma sak med olika självkrypterande enheter oavsett FIPS och andra certifikat - för även certifikat/standarder så vävs det in sprickor i systemen (dvs det som avsiktligt utelämnas och hoppas ingen noterar) för att myndigheter skall ha mindre svåra vägar in.

kort sagt är man mån om sin egen säkerhet så får man lösa det själv - inklusive att använda sig av publika, med öppen källkod tillgängliga krypto-produkter.

all 'hack' utifrån angriper inte själva chiphern (AES mfl) då dessa _är_ robusta - det man ger sig på är nyckelhanteringen och slumptalen som senare används som nyckel i krypteringarna - och det finns alltid svagheter i detta, särskilt om det skall vara lättanvänt på slutanvändarsidan.

nu förvisso några år gamma studie om SED-enheter kan man läsa i

https://eprint.iacr.org/2015/1002.pdf

Det är inte särskilt smickrande för WD och dess externa 2.5" USB-diskar och att dagens SED-enheter skulle vara bättre i interna snurrdiskar och i SSD är högst tveksamt, fast ingen säger detta så är många av dessa svagheter beställningsverk av olika myndigheter av olika nationer i utformning att det skall se ut som programmeringsbuggar - och finns det på externa diskar så finns sådant också på interna diskar och SSD.

Nej, du kan inte sätta ett lösenord med ett program (mjukvara) för att låsa upp din SED eftersom ingenting kan laddas in innan lösenordet är inmatat via BIOS/UEFI därför att din disk inte kommer dekryptera någonting utan det.

Poängen med SecureErase är att människor/företag som behöver kassera diskar inte ska behöva fysiskt förstöra dem eller slösa massa tid på att skriva över hela diskarna flera gånger, utan datan blir oläsbar med en knapptryckning trots att någon utomstående eventuellt kommer över lösenorden på diskarna.

Nej, alla amerikanska företag har inte en påtvingad försvagning i sina produkter. Jag använder dock inte amerikanska proprietära av andra skäl, bl.a. gag orders och USAs datalagar.

Jag är fullt medveten om att NIST och NSA smög in bakdörrar i vissa elliptiska kurvor. Du har också helt rätt i att FIPS och andra certifieringar utfärdade av myndigheter eller andra armar av stater inte är att lita på.

Vilket är varför jag föredrar att antingen använda mjukvarubaserad kryptering som VeraCrypt, LUKS, Cryptomator m.m. eller hårdvaru + mjukvarukryptering.

@Zensig:

Om moderkortet/datorn har en TPM så kan man kryptera datorn med bitlocker även om man har Windows 10 Home, det har jag gjort på min laptop. Kanske behöver man koppla sitt MS-konto till datorn, lite osäker på just den biten.

Huruvida bilocker är säkert nog får man väl fråga sig själv.
Men tänk så här: om FBI, NSA, KGB eller stålmannen vill ha tag på din data så får dom det oavsett kryptering. Det är helt enkelt så att dom under vissa omständigheter bara ställer frågan till ägaren av datorn vad hen har för lösenord till sin så oerhört attraktiva dator.

Men blir datorn stulen så är det högst osannolikt att tjuven är i kraft att knäcka krypteringar, se bara till att ha ett någorlunda säkert lösenord.

Gör inte saken mer krånglig än den behöver vara.