我昨天买了一台三星 850 EVO 250GB,准备在上面安装 Arch。但在开始之前我有一些问题。
我的 SSD 支持加密(加密支持:AES 256 位加密(0 级)TCG/Opal IEEE1667(加密驱动器))。这是什么意思?我可以通过 PC 中的 BIOS(支持 ATA 密码设置)加密 SSD,而不在其上设置 dm-crypt 或任何第三方加密软件吗?我读到有关启用 SSD 的 TRIM 功能和 dm-crypt/LUKS 的安全问题。如果我在 SSD 上使用 dm-crypt 进行全盘加密并执行定期 TRIM,而不是连续,这会阻止“潜在的安全影响”还是会影响两者以及定期 TRIM 和连续 TRIM?
关于在 SSD 上安装 Arch,您还有什么额外的技巧吗?
谢谢你!:)
答案1
支持加密的 SSD 意味着您可以在 BIOS 上设置 ATA 密码,以确保磁盘中存储的数据由硬件透明加密,所有操作均由磁盘电路完成。这可确保您的数据无法通过物理分析磁盘来恢复。这也意味着如果您忘记密码,数据就会丢失。如果您尝试在另一台计算机上使用该磁盘,则必须在 BIOS 上将其设置为使用密码解锁。
或者,您可以对磁盘进行 dm 加密,这根本不是问题。如今,软件加密层非常高效。通过选择 dm-crypt,您可以获得灵活性,但不一定是安全性。而且你也不会失去任何东西。
拥有硬件和 dm-crypt 不会给你带来任何优势。
我不知道目前关于 TRIM 与 dm-crypt 的研究。
Arch Linux 在有或没有硬件加密、有或没有 dm-crypt 的 SSD 下都可以正常工作。