Samsung SSD 850 EVO. Le meilleur moyen de protéger les données personnelles contre les voleurs
Je me demande quelle est la meilleure façon de protéger mes données personnelles stockées sur Samsung SSD 850 EVO sous Linux?
J'ai fait des recherches et j'ai trouvé ça.
Pour définir un mot de passe ATA, accédez simplement au BIOS, accédez au menu "Sécurité", activez "Mot de passe au démarrage" et définissez un "Mot de passe du disque dur". Les administrateurs ont également la possibilité de définir un "mot de passe principal", qui peut permettre de récupérer un mot de passe utilisateur perdu ("mot de passe du disque dur"). Le "mot de passe principal" peut également être utilisé pour déverrouiller et/ou effacer le lecteur (selon les paramètres), détruisant efficacement et donc protégeant les données mais permettant de réutiliser le lecteur.
Je vole ton ordinateur portable. Un mot de passe est défini sur le disque dur. Eh bien, regardez ici, j'ai un autre PC qui prend en charge ce type de cryptage du mot de passe du disque dur (tous ne le font pas et la plupart des ordinateurs de bureau ne le prennent pas en charge, sauf pour la classe affaires comme l'optiplex de Dell, sur lequel j'ai fait tous mes tests). J'entre dans mon BIOS. J'ai défini un mot de passe administrateur sur mon BIOS. J'éteins mon PC, branchez votre lecteur, allumez-le, allez dans le BIOS. Mais vous pensez ATTENDRE! il demande le mot de passe du disque dur avant même de pouvoir accéder au BIOS! Errrr WRONG! J'utilise MON mot de passe administrateur pour votre disque dur et je suis dans mon BIOS. Maintenant, je vais sur le mot de passe du disque dur, et je le change en utilisant MON MOT DE PASSE ADMIN ET LE MOT DE PASSE ACTUEL, puis je ne définis aucun mot de passe ou je le change. Je redémarre, je suis dedans, vos fichiers sont à moi.
( http://www.tomshardware.co.uk/answers/id-2813442/encryption-samsung-840-ev0-ssd.html )
Dans d'autres cas, je peux utiliser un logiciel OPAL supplémentaire msed ( https://vxlabs.com/2015/02/11/use-the-hardware-based-full-disk-encryption-your-tcg-opal-ssd -with-msed / ) ou utilisez des utilitaires de chiffrement basés sur logiciel comme TrueCrypt et acceptez tous les problèmes de performances.
En d'autres termes - est-il vraiment si facile de déchiffrer le mot de passe du disque dur Samsung EVO 850? - l'utilisation de msed sera-t-elle plus sécurisée dans mon cas ou TrueCrypt est la seule solution?
Pour les lecteurs Samsung 850 et autres SSD, votre option la meilleure et la plus sécurisée consiste à utiliser le chiffrement OPAL du disque complet en activant un mot de passe de lecteur dans le BIOS de votre système.
La façon dont le cryptage sur ces SSD fonctionne est que le lecteur est toujours crypté - il vient de l'usine avec une clé de cryptage générée et définie. Toutes les données qu'il écrit et lit sont chiffrées/déchiffrées avec cette clé, rien n'est écrit non chiffré.
Lorsque vous définissez un mot de passe dans le BIOS, le lecteur chiffre la clé de chiffrement (stockée dans le contrôleur de lecteur) avec le mot de passe que vous fournissez. Ainsi, jusqu'à ce que vous saisissiez le mot de passe et donniez au lecteur la clé dont il a besoin pour déchiffrer sa propre clé de chiffrement, toutes les données sont illisibles - même pour le SSD lui-même. De plus, vous ne pouvez pas émettre de commandes SATA ni même formater/réutiliser le disque sans fournir ce mot de passe.
Notez que cela est transparent pour le système d'exploitation - le cryptage est géré au niveau matériel et le décryptage au démarrage via le BIOS. Le système d'exploitation, quel qu'il soit, ne verra qu'un SSD standard et interagira normalement avec lui.
Lorsque vous utilisez le logiciel Samsung pour effectuer un "effacement sécurisé" d'un SSD, il n'efface en fait rien au sens pur du terme. Avec les disques SSD, chaque écriture/réécriture d'un secteur peut être facilement récupérée grâce à une analyse judiciaire. Si ces données ont été chiffrées, vous pouvez toujours les récupérer - tant que vous avez la clé de chiffrement. La fonction "d'effacement sécurisé" réinitialise la clé de chiffrement AES interne du lecteur sur une nouvelle; réinitialiser efficacement le lecteur. Ainsi, toutes les anciennes informations sur le lecteur qui pourraient être récupérées par la médecine légale sont désormais cryptées/illisibles, même pour le lecteur lui-même, ce qui rend la récupération des données exponentiellement plus difficile, voire impossible.
Le contrôleur de lecteur gère lui-même le mot de passe. Si votre BIOS prend en charge les lecteurs OPAL ou SED, vous ne pouvez pas contourner le chiffrement de lecteur à l'aide du mot de passe superviseur du BIOS pour modifier le mot de passe du disque. Même si vous êtes connecté au BIOS avec un mot de passe superviseur, vous ne pourrez pas changer le mot de passe sur un SSD OPAL/SED (si votre BIOS le prend correctement en charge) sans fournir le mot de passe SSD existant. Si vous le pouvez, cela signifie que votre BIOS n'a jamais communiqué avec le lecteur pour définir le mot de passe en premier lieu. Si tel était le cas, le BIOS ne prend pas en charge OPAL et vous pouvez également simplement connecter le SSD à un autre ordinateur et visualiser les données sans entrave. La plupart des fabricants de disques proposent des outils que vous pouvez utiliser pour vérifier cela et voir si l'état du disque est "chiffré", ce qui signifie qu'un mot de passe a été défini.
Notez que TrueCrypt a maintenant été retiré et il y a des spéculations rampantes quant à savoir si la base de code du projet peut avoir été compromise par une entité comme une agence gouvernementale; ou si les créateurs se sont simplement retirés. Voici un article avec quelques informations.
Notez également que la vulnérabilité du chiffrement complet du disque est que vos données sont protégées lorsque les données chiffrées ne sont pas utilisées/que la clé de chiffrement n'est pas en mémoire - c'est-à-dire lorsque votre ordinateur est allumé et utilisé. Si un adversaire a saisi votre ordinateur alors qu'il était en cours d'exécution, il est possible (bien que difficile) de récupérer la clé de la mémoire du BIOS/contrôleur de lecteur du système.
Bien sûr, le chiffrement complet du disque ne vous protégera pas non plus des effets des logiciels malveillants ou d'autres compromis lorsque le système fonctionne également.
Liens
Le site marketing de Samsung notant le support du cryptage OPAL du Samsung 850 SSD
Livre blanc Samsung SSD détaillant le fonctionnement du cryptage
Je ne sais pas pour le modèle spécifique, mais cette réponse convient à la plupart des appareils à chiffrement automatique:
Pour les SSD, l'avantage d'utiliser le cryptage SED intégré est qu'il peut tirer parti de la fonction de trim (nivellement d'usure).
Il y a quelques années, un grand magazine informatique allemand a montré que de nombreuses fonctions d'auto-chiffrement intégrées des disques durs étaient mal implémentées http://www.heise.de/security/artikel/Windige-Festplattenverschluesselung-270702.html - http://www.heise.de/security/artikel/Verschusselt-statt-verschluesselt-270058.html et peut très facilement être déchiffré (si les données sont même chiffrées et pas seulement protégées par mot de passe!). Certains d'entre eux ont déclaré utiliser AES, mais uniquement AES pour crypter la clé, mais ont utilisé le cryptage XOR non sécurisé pour les données. De plus, lorsque vous utilisez AES pour les données, ils peuvent le faire mal en l'utilisant dans le mauvais mode/combinaison. OPAL semble utiliser uniquement les fonctions intégrées de mon premier coup d'œil.
Je ne sais pas si c'est possible de contourner le cryptage comme dans votre deuxième lien, mais ce serait un très mauvais signe pour le cryptage.
Donc, fondamentalement, la question est de savoir à quel point le cryptage des données est important pour vous et à quel point vous faites confiance au cryptage intégré. S'il n'y a pas d'audit de sécurité pour exactement ce modèle d'une entreprise de sécurité externe de confiance, je ne l'utiliserais pas pour plus important que la liste secrète des cadeaux de Noël pour votre femme.
Pour toute autre chose, j'utiliserais un cryptage indépendant comme truecrypt/LUKS/EncFS/.... Lorsque vous utilisez le chiffrement complet du disque sur les SSD, laissez un espace non spécifié pour le nivellement de l'usure. Lors de l'utilisation du chiffrement basé sur des fichiers comme EncFS, un attaquant peut obtenir des informations sur la structure des fichiers/dossiers et la taille des fichiers. Pour certains, c'est un problème, pour certains non.