web-dev-qa-db-fra.com

Comment chiffrer un SSD Samsung Evo 840?

J'ai acheté un ordinateur portable HP Envy 15-j005ea que j'ai mis à niveau vers Windows 8.1 Pro. J'ai également retiré le disque dur et l'ai remplacé par un disque SSD Samsung Evo 840 de 1 To. Je souhaite maintenant chiffrer le lecteur pour protéger le code source de mon entreprise et mes documents personnels, mais je ne sais pas comment le faire ni si c'est même possible.

Je suppose que ce n’est pas recommandé d’utiliser Truecrypt sur un SSD mais corrigez-moi si je me trompe. Je comprends également que le 840 Evo intègre un cryptage AES 256 bits, il est donc recommandé de l’utiliser.

L'Evo a été mis à jour avec le dernier firmware EXT0BB6Q et j'ai le dernier Samsung Magician. Je ne connais pas mon niveau UEFI, mais je sais que la machine a été construite en décembre 2013 et que le BIOS F.35 est fabriqué par Insyde.

C'est ce que j'ai essayé:

  • Bitlocker. Le dernier firmware de Samsung est censé être compatible avec Windows 8.1 eDrive. J'ai donc suivi les instructions que j'ai trouvées dans un article sur Anandtech . Tout d'abord, il semblerait que l'ordinateur portable ne possède pas de puce TPM, j'ai donc dû permettre à Bitlocker de fonctionner sans TPM. Une fois cela fait, j'ai essayé d'activer Bitlocker. Anandtech a déclaré: "Si tout est conforme à l'eDrive, on ne vous demandera pas si vous souhaitez chiffrer tout ou partie du lecteur. Une fois que vous aurez terminé la configuration initiale, BitLocker sera simplement activé. Il n'y a pas d'étape de chiffrement supplémentaire est déjà crypté sur votre SSD). Si vous avez commis une erreur ou si une partie de votre système n’est pas conforme à la norme eDrive, vous obtenez un indicateur de progression et un processus de cryptage logiciel relativement long. " Malheureusement, j'ai demandé si je veux chiffrer tout ou partie du lecteur, alors j'ai annulé cette opération.

  • Définition du mot de passe ATA dans le BIOS. Je ne semble pas avoir une telle option dans le BIOS, seulement un mot de passe administrateur et un mot de passe de démarrage.

  • Utilisation de magicien. Il comporte un onglet "Sécurité des données", mais je ne comprends pas bien les options et je soupçonne qu’aucune n’est applicable.

enter image description here

L'information dans cette question et la réponse ont aidé mais n'ont pas répondu à ma question.

Il est donc clair que je voudrais savoir comment chiffrer mon disque SSD dans le HP Envy 15 ou si je n’ai pas de chance? Existe-t-il d'autres options ou dois-je vivre sans chiffrement ou retourner l'ordinateur portable?

Il y a une question similaire sur Anandtech mais elle reste sans réponse.

14
Stephen Kennedy

J'ai finalement réussi à faire fonctionner cela aujourd'hui et, comme vous, je ne dispose pas non plus d'un mot de passe ATA dans le BIOS (du moins, pas que je puisse le voir). J'ai activé les mots de passe utilisateur/administrateur du BIOS et mon ordinateur est équipé d'une puce TPM mais BitLocker devrait fonctionner sans clé (clé USB). Comme vous, j'étais également coincé exactement au même endroit à l'invite BitLocker. Est-ce que je veux chiffrer uniquement les données ou le disque entier?.

Mon problème était que mon installation de Windows n'était pas UEFI bien que ma carte mère supporte UEFI. Vous pouvez vérifier votre installation en tapant msinfo32 dans la commande d'exécution et en cochant Mode Bios. S'il lit autre chose que UEFI, vous devez réinstaller Windows à partir de zéro.


Voir ce instructions détaillées pour chiffrer un disque dur SSD Samsung dans un message connexe sur ce forum. .

8
Igor

Le mot de passe doit être défini dans le BIOS sous l’extension ATA-security. Il y a généralement un onglet dans le menu du BIOS intitulé "Sécurité". L’authentification se produisant au niveau du BIOS, aucune tâche de cet "assistant" n’a d’incidence sur la configuration de l’authentification. Il est peu probable qu'une mise à jour du BIOS active le mot de passe du disque dur s'il n'a pas déjà été pris en charge.

Dire que vous configurez le cryptage est trompeur. Le fait est que le lecteur crypte TOUJOURS chaque bit écrit sur les puces. Le contrôleur de disque le fait automatiquement. La définition d’un ou de plusieurs mots de passe de disque dur sur le lecteur est ce qui fait passer votre niveau de sécurité de zéro à quasiment incassable. Seul un enregistreur de frappe matériel installé de manière malveillante ou un exploit du BIOS distant NSA-sprung peut récupérer le mot de passe pour s'authentifier ;-) <- Je suppose. Je ne sais pas encore ce qu'ils peuvent faire pour le BIOS. Le fait est que ce n'est pas totalement insurmontable, mais selon la manière dont la clé est stockée sur le lecteur, il s'agit de la méthode de chiffrement de disque dur la plus sécurisée actuellement disponible. Cela dit, c'est une surexploitation totale. BitLocker est probablement suffisant pour la plupart des besoins de sécurité des consommateurs.

En matière de sécurité, je suppose que la question est la suivante: combien voulez-vous?

Le chiffrement intégral du disque basé sur le matériel est de plusieurs ordres de grandeur plus sûr que le chiffrement intégral du disque au niveau logiciel tel que TrueCrypt. Il présente également l’avantage supplémentaire de ne pas entraver les performances de votre SSD. La manière dont les disques SSD rangent leurs bits peut parfois entraîner des problèmes avec les solutions logicielles. FDE basé sur le matériel est une option moins désordonnée, plus élégante et plus sûre, mais elle n’a pas "attrapé", même parmi ceux qui s’intéressent suffisamment à chiffrer leurs précieuses données. Ce n'est pas compliqué à faire du tout, mais malheureusement, de nombreux BIOS ne prennent tout simplement pas en charge la fonction "mot de passe disque dur" (à ne PAS confondre avec un simple mot de passe BIOS, qui peut être contourné par des amateurs). Je peux pratiquement vous garantir, sans même regarder dans votre BIOS, que si vous n’avez pas encore trouvé l’option, votre BIOS ne la supporte pas et que vous n’avez pas de chance. C'est un problème de micrologiciel et vous ne pouvez rien ajouter à la fonctionnalité qui consiste à faire clignoter votre BIOS avec quelque chose comme hdparm, qui est tellement irresponsable que même moi, je ne l'essayerais pas. Cela n'a rien à voir avec le lecteur ou le logiciel fourni. Ceci est un problème spécifique à la carte mère.

ATA n'est rien de plus qu'un ensemble d'instructions pour le BIOS. Ce que vous essayez de définir est un mot de passe utilisateur et maître du disque dur, qui sera utilisé pour s’authentifier auprès de la clé unique stockée de manière sécurisée sur le lecteur. Le mot de passe "utilisateur" permet de déverrouiller le lecteur et de démarrer normalement. Même chose avec "Master". La différence est qu’un mot de passe "maître" est nécessaire pour modifier les mots de passe dans le BIOS ou effacer la clé de cryptage du lecteur, ce qui rend toutes ses données inaccessibles et irrécupérables instantanément. C'est ce qu'on appelle la fonctionnalité "Secure Erase". En vertu du protocole, une chaîne de caractères de 32 bits est prise en charge, ce qui signifie un mot de passe de 32 caractères. Parmi les quelques fabricants d'ordinateurs portables qui prennent en charge la définition d'un mot de passe de disque dur dans le BIOS, la plupart limitent les caractères à 7 ou 8. Les raisons pour lesquelles chaque société de BIOS ne le prend pas en charge me dépassent. Peut-être que Stallman avait raison à propos du BIOS propriétaire.

Le seul ordinateur portable (pratiquement aucun BIOS de bureau ne prend en charge le mot de passe du disque dur), je le sais, vous permettra de définir un disque dur utilisateur 32 bits de pleine longueur et un mot de passe principal est un Lenovo ThinkPad série T ou W. Dernièrement, j'ai entendu dire que certains ordinateurs portables ASUS avaient une telle option dans leur BIOS. Dell limite le mot de passe du disque dur à 8 caractères faibles.

Je connais beaucoup mieux le stockage des clés dans les SSD d’Intel que chez Samsung. Je pense qu'Intel a été le premier à offrir la technologie FDE intégrée dans leurs lecteurs, la série 320 et plus. Bien que ce soit AES 128 bits. Je n'ai pas beaucoup étudié la manière dont cette série Samsung implémente le stockage de clés, et personne ne le sait vraiment pour l'instant. De toute évidence, le service clientèle ne vous a pas aidé. J'ai l'impression que seules cinq ou six personnes, dans une entreprise de technologie, ne savent rien du matériel qu'elles vendent. Intel semblait réticent à expliquer tous les détails, mais un représentant de la société a finalement répondu quelque part sur un forum. Gardez à l'esprit que pour les fabricants de disques, cette fonctionnalité est une réflexion après coup totale. Ils ne savent rien ni ne s'en soucient, pas plus que 99,9% de leurs clients. C'est juste un autre point de balle publicitaire au dos de la boîte.

J'espère que cela t'aides!

8
Rinny T. Tinfoil

logiciel de cryptage

TrueCrypt 7.1a convient parfaitement aux disques SSD, mais notez que cela réduira considérablement les performances des IOP, même si le disque fonctionnera toujours plus de 10 fois mieux que le disque dur. Par conséquent, si vous ne pouvez pas utiliser les options répertoriées dans Magician, TrueCrypt est une option permettant de chiffrer le lecteur, mais il ne fonctionnerait apparemment pas très bien avec les systèmes de fichiers Windows 8 et ultérieurs. Pour cette raison, BitLocker avec chiffrement intégral du disque est une meilleure option pour ces systèmes d'exploitation.

Opal TCG

TCG Opal est à la base une norme qui permet l’installation d’une sorte de mini système d’exploitation sur une partie réservée du lecteur dans le seul but de permettre au lecteur de démarrer et de fournir à l’utilisateur un mot de passe pour l’octroi de l’accès au lecteur. . Divers outils sont disponibles pour l’installation de cette fonctionnalité, notamment des projets Open Source réputés stables, mais Windows 8 et les versions ultérieures de BitLocker devraient prendre en charge cette fonctionnalité.

Je ne dispose pas de Windows 8 ou version ultérieure, je ne peux donc pas vous expliquer comment le configurer, mais ma lecture indique que cela n’est disponible que lors de l’installation de Windows, et non après son installation. Les utilisateurs expérimentés se sentent libres de me corriger.

mot de passe ATA

Le verrouillage du mot de passe ATA est une fonctionnalité optionnelle de la norme ATA prise en charge par les disques Samsung 840 et ultérieurs, ainsi que par des milliers d'autres. Cette norme n'est pas liée à un BIOS et peut être consultée à l'aide de plusieurs méthodes. Je ne recommande pas d'utiliser un BIOS pour définir ou gérer le mot de passe ATA car il est possible que le BIOS ne soit pas conforme à la norme ATA. J'ai de l'expérience avec mon propre matériel qui semble prendre en charge la fonctionnalité, mais qui n'est pas en conformité.

Notez que la recherche sur cette fonctionnalité entraînera de nombreuses discussions affirmant que la fonctionnalité de verrouillage ATA ne devrait pas être considérée comme sûre pour la protection des données. Ceci est généralement correct uniquement pour les disques durs qui ne sont pas également des disques à auto-chiffrement (SED). Les disques de la série Samsung 840 et ultérieurs étant des disques SSD et SED, ces discussions ne sont tout simplement pas applicables. Le mot de passe ATA verrouillé Samsung 840 series et versions ultérieures doit être suffisamment sécurisé pour votre utilisation, comme décrit dans cette question.

Le meilleur moyen de vous assurer que votre BIOS peut prendre en charge le déverrouillage d'un lecteur verrouillé par un mot de passe ATA est de verrouiller un lecteur, de l'installer sur l'ordinateur, puis de le démarrer et de voir s'il demande un mot de passe et si le mot de passe entré peut déverrouiller le lecteur.

Ce test ne doit pas être effectué sur un lecteur contenant des données que vous ne voulez pas perdre.

Heureusement, le lecteur de test ne doit pas obligatoirement être le lecteur Samsung, car il peut s'agir de tout lecteur prenant en charge le jeu de sécurité standard ATA et pouvant être installé sur l'ordinateur cible.

Le meilleur moyen que j'ai trouvé d'accéder aux fonctionnalités ATA d'un lecteur est l'utilitaire de ligne de commande Linux hdparm. Même si vous n'avez pas d'ordinateur sous Linux, il existe de nombreuses distributions dont l'image de disque d'installation prend également en charge l'exécution du système d'exploitation "en direct" à partir du support d'installation. Ubuntu 16.04 LTS, par exemple, devrait s’installer facilement et rapidement sur la grande majorité des ordinateurs et la même image peut également être écrite sur un support flash pour une exécution sur des systèmes ne disposant pas de lecteur optique.

Des instructions détaillées sur l'activation de la sécurité par mot de passe ATA dépassent le cadre de cette question, mais j'ai trouvé ce tutoriel l'un des meilleurs pour cette tâche.

Activation de la sécurité ATA sur un SSD à chiffrement automatique

Notez que la longueur maximale du mot de passe est de 32 caractères. Je vous recommande de faire le test avec un mot de passe de 32 caractères pour vous assurer que le BIOS prend correctement en charge la norme.

Avec l'ordinateur cible mis hors tension et le mot de passe ATA du lecteur verrouillé, installez le lecteur et démarrez le système. Si le BIOS ne demande pas de mot de passe pour déverrouiller le lecteur, il ne prend pas en charge le déverrouillage du mot de passe ATA. De plus, s'il semble que le mot de passe ait été saisi correctement, mais qu'il ne déverrouille pas le lecteur, il est possible que le BIOS ne prenne pas correctement en charge le standard ATA et ne doit donc pas être approuvé.

Il peut être judicieux de vérifier que le système lit correctement le lecteur déverrouillé, par exemple en installant et en chargeant correctement un système d’exploitation, ou en installant à côté d’un lecteur de système d’exploitation qui charge et peut monter le lecteur de test. lire et écrire des fichiers sans problème.

Si le test réussit et que vous êtes en mesure de répéter les étapes, l'activation du mot de passe ATA sur un lecteur, y compris celui sur lequel un système d'exploitation est installé, ne modifiera rien dans la partie de données du lecteur. Par conséquent, il devrait normalement démarrer après avoir entré le mot de passe. mot de passe dans le BIOS.

2
Paul

"Je n'ai pas besoin de niveaux de sécurité conformes à la NSA"

Pourquoi ne pas l’utiliser quand même, puisque c’est gratuit?

Après avoir suivi des études supérieures en sécurité informatique et en criminalistique informatique, j'ai décidé de chiffrer mon lecteur. J'ai examiné de nombreuses options et je suis TRÈS content d'avoir choisi DiskCrypt. Il est facile à installer, à utiliser, open source avec les signatures PGP fournies, des instructions sur la façon de le compiler vous-même pour vous assurer que l'exe correspond à la source, il monte automatiquement les lecteurs, vous pouvez définir l'invite PW de pré-démarrage et la valeur incorrecte. -pw action, et il utilisera AES-256.

Tout processeur moderne effectuera un tour de chiffrement AES dans une instruction machine SINGLE (le chiffrement de données d’un secteur prend quelques dizaines de tours). Selon mes propres critères, AES est onze fois plus rapide que les chiffreurs implémentés par logiciel, tels que blowfish. DiskCryptor peut chiffrer les données plusieurs fois plus rapidement que le PC ne peut les lire et les écrire à partir du disque. Il n'y a pas de frais généraux mesurables.

J'utilise une machine à 5 GHz à la vitesse de pointe, refroidie par le TEC, de sorte que votre kilométrage varie, mais pas de beaucoup. Le temps de calcul nécessaire pour chiffrer/déchiffrer était trop faible pour être mesuré (c'est-à-dire inférieur à 1%).

Une fois que vous l'avez configuré, vous pouvez totalement l'oublier. Le seul effet notable est que vous devez taper votre PW au démarrage, ce que je suis ravi de faire.

Pour ce qui est de ne pas utiliser le cryptage sur les SSD, c'est une rumeur que je n'ai jamais entendue auparavant. C'est aussi injustifié. Les données cryptées sont écrites et lues à partir du lecteur exactement comme des données normales. Seuls les bits du tampon de données sont embrouillés. Vous pouvez chkdsk/f et exécuter tout autre utilitaire de disque sur un lecteur chiffré.

Et BTW, contrairement aux autres programmes, Diskkeeper ne garde pas votre pw en mémoire. Il utilise une clé unidirectionnelle hachée pour le cryptage, écrase vos pwds mal orthographiés en mémoire et fait tout ce qui est en son pouvoir pour s'assurer qu'il ne passe pas sur un fichier d'échange lors de la saisie et de la validation de PW.

https://diskcryptor.net/wiki/Main_Page

1

Je ne sais pas si vous avez déjà vu ceci ou résolu ce problème, mais voici un lien spécialement de Samsung sur votre EVO 840. http://www.samsung.com/global/business/semiconductor /minisite/SSD/global/html/about/whitepaper06.html

Pour activer le crypteur AES matériel intégré à la SSD, il suffit de définir le mot de passe du disque dur dans le BIOS du système. Les mots de passe "User/Admin/Setup" ne sont que cela. Cependant, la définition du mot de passe du disque dur devrait passer au SSD. Pour ce faire, vous devrez entrer manuellement le mot de passe chaque fois que vous allumez l'ordinateur. Cela ne fonctionne pas avec les puces TPM ou d'autres clés de passe. En outre, je ne saurais trop insister sur le fait que TOUTE personne qui utilise le cryptage doit s’assurer que leurs données sont sauvegardées. La récupération de données à partir d'un lecteur chiffré en panne/corrompu est pratiquement impossible sans passer par un service spécialisé.

1
Roger

J'ai posté sur ce sujet ailleurs dans Super User, mais comme c'était un fil que j'avais l'habitude d'éduquer moi-même, je voulais toucher à la base ici aussi.

Mot de passe ATA et cryptage logiciel pour Full Disk Encryption dans les SSD Samsung 840/850 EVO et Intel

Avantages: simple, sans impact sur les performances, extrêmement sécurisé: les disques sont illisibles sur d'autres machines sans mot de passe ATA

Inconvénients: vous avez besoin d'un BIOS doté de l'option de mot de passe ATA (les ordinateurs portables HP et Lenovo semblent le posséder, mais pas la plupart des ordinateurs de bureau. Exception: ASRock a récemment écrit son BIOS 1.07B pour sa série Extreme, et cela fonctionne). En outre, il est si sécurisé que si vous perdez le mot de passe, les données sont irrécupérables. Par n'importe qui, semble-t-il. Enfin, tout dépend d'une puce de contrôleur sur le SSD, et si cette puce tourne mal, les données sont terminées. Pour toujours.

J'espère que cela ajoute à la discussion.

0
Al Winston