web-dev-qa-db-fra.com

Comment activer le cryptage matériel sur Samsung 850 Pro

J'ai un nouveau Samsung 850 pro qui dénonce le cryptage matériel . Selon cette page, je devrais simplement aller dans mon bios et définir un mot de passe pour le disque dur (pas de problème, juste) Le seul fil pertinent J'ai trouvé sur le problème dit aussi quelque chose dans le même sens. Je n'ai pas cette option dans mon BIOS (j'ai une carte Gigabyte avec un chipset Z87, le numéro de modèle m'échappant pour le moment). Si je devais acheter une nouvelle carte mère pour que cela fonctionne, quelles fonctions la carte doit-elle prendre en charge?

10
ErlVolton

Cela dépend de ce que vous entendez par "faire fonctionner cela". Ce lecteur prend en charge OPAL 2.0, qui permet à divers schémas de chiffrement gérés par logiciel d’utiliser un chiffrement accéléré. Il permet également une authentification avant démarrage (PBA) pour le chiffrement, telle que les schémas BIOS/EFI. Si vous voulez utiliser PBA (c'est-à-dire un mot de passe/une broche au BIOS/EFI), vous devrez passer à une carte mère qui le supporte (je ne saurais dire lequel, car je n'utilise pas PBA, j'utilise BitLocker, que je recommande fortement dans les environnements Windows).

TL; DR Si vous utilisez Windows, utilisez BitLocker, il utilisera automatiquement l'accélération matérielle.

Edit:
Depuis avril 2014, Linux n’est plus compatible avec OPAL. Il y avait quelqu'un qui travaillait sur "msed", mais ce n'était pas fini ou une production digne. Je ne connais ni l'état actuel ni l'avenir du support OPAL sous Linux.

Edit 2:
Il existe également divers produits UEFI pouvant gérer des disques compatibles OPAL permettant une variété de PBA si votre BIOS/EFI ne le prend pas en charge directement. Le seul que je connaisse vaguement permet aux entreprises de configurer un serveur d’authentification pour PBA sur Internet. Cela pourrait également fonctionner avec les informations d'identification locales, je ne suis pas sûr. C'est aussi très cher. Matière à réflexion si rien d’autre.

6
Chris S

En tant que "personne" travaillant sur "msed", il a maintenant la capacité d'activer le verrouillage OPAL, d'écrire une PBA sur un lecteur OPAL 2.0 et de charger en chaîne le système d'exploitation réel après avoir déverrouillé le lecteur sur des cartes mères basées sur le BIOS. Aucun support spécial de carte mère n'est nécessaire. Oui, il est encore au début de son cycle de développement et ne prend pas en charge le sommeil de manière dynamique, car cela nécessite des points d'ancrage du système d'exploitation.

8
Michael Romeo

TexasDex est correct. Le BIOS de votre carte mère doit prendre en charge une option de mot de passe ATA (distincte et s'ajoutant au mot de passe du BIOS). Maintenant le bit intéressant. . . personne ne mentionne cette fonctionnalité. Pas dans les revues, les comparaisons et certainement pas dans les publicités et les listes des fabricants de mobo. Pourquoi pas? Des millions de millions de disques SSD Samsung EVO et Intel sont prêts à activer le cryptage matériel ultra-rapide et ultra-sécurisé. Tout ce dont ils ont besoin, c'est d'un BIOS prenant en charge les mots de passe ATA.

La seule réponse que j’ai pu trouver, c’est que les fabricants de Mobo craignent que quelques-uns n'oublient leur mot de passe et, comme ce cryptage est si fiable, personne AT ne pourra vous aider.

J'avais un mobo ASRock Extreme6, et pensant que c'était le dernier et le meilleur, il aurait bien sûr cette fonctionnalité. Ne pas. Cependant, j’ai écrit à ASRock à Taïwan et une semaine plus tard, ils m’ont envoyé la version 1.70B de leur BIOS avec une option de mot de passe ATA. Cependant, il n'est toujours pas disponible sur leur site web, vous devez le demander (?!). Cela peut être également le cas de vos responsables de la mobo.

2
Al Winston

Il est possible d'utiliser la commande hdparm sous Linux pour activer les extensions de sécurité ATA, qui définiront le mot de passe AT sur le lecteur, ce qui le chiffrera.

Malheureusement, si votre BIOS ne prend pas en charge les mots de passe d'accès au disque dur, aucun moyen de démarrer après l'avoir fait, car vous ne pouvez pas utiliser la commande hdparm unlock tant que vous n'avez pas fini de démarrer, et vous ne pouvez pas déverrouiller et démarrer le lecteur tant que vous ne l'avez pas déverrouillé. Genre de problème poulet/œuf. C'est pourquoi ils insèrent parfois dans le BIOS la prise en charge des mots de passe du disque, de sorte que celui-ci puisse fonctionner sans système d'exploitation.

Si vous avez le répertoire/boot ou/partition sur un périphérique distinct, vous pourrez peut-être configurer un script qui utilise la commande hdparm quelque part dans le processus init. Ce n'est pas facile, et empêche en quelque sorte le SSD d'avoir un démarrage rapide, etc.

Ma seule autre idée serait d’avoir une clé USB avec une distribution super minimale de Linux qui ne demande que le mot de passe, lance la commande hdparm ata unlock et redémarre, permettant ainsi au système d’exploiter de se charger à partir de votre lecteur non verrouillé (je crois. Les redémarrages progressifs ne verrouillent généralement pas les lecteurs). Ce n’est pas idéal, mais c’est la meilleure solution disponible si votre carte mère ne prend pas en charge les mots de passe ATA.

1
TexasDex
  • Le type de stockage doit être ACHI.
  • L'ordinateur doit toujours démarrer en mode natif à partir de UEFI.
  • Le module de prise en charge de la compatibilité (CSM) doit être désactivé dans UEFI.
  • L'ordinateur doit être basé sur UEFI 2.3.1 et avoir défini EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Ce protocole est utilisé pour permettre aux programmes s'exécutant dans l'environnement des services de démarrage EFI d'envoyer des commandes de protocole de sécurité au lecteur).

  • La puce TPM est facultative.

  • Le démarrage sécurisé est facultatif.
  • GPT et MBR sont tous deux pris en charge.
  • S'il existe des logiciels/pilotes RST, il doit s'agir au moins de la version 13.2.4.1000.

Cela peut être fait avec 2 disques ou un.

A partir d'une installation Windows répondant aux critères ci-dessus:

  • Définissez l'état sur Prêt à activer via Samsung Magician.
  • Faites un effacement sécurisé USB (pour DOS).
  • Redémarrez le PC, changez le mode de démarrage en démarrage du BIOS (pour l'effacement sécurisé USB)
  • Démarrer en effacement sécurisé, effacer
  • Redémarrez l'ordinateur, modifiez à nouveau les paramètres de démarrage du BIOS sur EFI. (Ne laissez pas le PC démarrer à partir du lecteur, sinon vous pourriez recommencer le processus depuis le début.)
  • Redémarrez sur le disque Windows et vérifiez via Samsung Magician ou installez Windows sur votre disque sécurisé effacé.
0
Shadowws Shadoww