我目前正在考虑购买一台 ThinkPad X201 并为其配备一个 SSD 驱动器。现在,为了保护我的数据,我总是在笔记本电脑上使用带有 LUKS 全盘加密的 Linux。但是,正如另一篇 SuperUser 帖子所述,这将禁用对 TRIM 的支持 - 因此对于 SSD 驱动器来说,这似乎不是一个好主意。
我读到过,基于 SandForce-1200 的 SSD 提供与 BIOS 密码绑定的集成 AES 加密。但我找不到有关此内容的正确文档。问题:
- 这种方法有什么普遍的缺点吗?
- 我认为这需要 BIOS 支持该功能 - 如何确定它是否可以在 X201 上运行?
- 旧版 BIOS 仅支持短密码(如 6 位或 8 位字符),这种情况是否有所改善,从而为磁盘加密提供足够的安全性?
更新:此来源说你甚至不能在这些驱动器上设置任何密码。啊?这没有道理,当你不允许使用密钥时,你为什么还要进行复杂的 AES 操作?
感谢您对此事的任何专家建议:)
答案1
回答我自己的问题,这是我在网上搜索几个小时后发现的:
- SandForce 设备默认启用 AES 加密,但存在一些问题(见下文)
- 如果你使用 ATA 安全删除功能将驱动器清零,则密钥将被擦除并在稍后重新生成,因此旧数据将无法再访问 - 当你准备出售或丢弃 SSD 时,这是一个可接受的解决方案
- 但是,无法设置用户密码来阻止窃取装有 SandForce SSD 的笔记本电脑的人读取您的数据
- 加密密钥是不是与 ATA 安全和/或 BIOS 相关联
- 设置用户密码会如果有工具的话,这是可能的。OCZ 承诺在他们的支持论坛上推出一款名为“工具箱”的程序,可以经常实现这一点,但当它最终于 2010 年 10 月发布时,它仍然没有这个功能(直到今天仍然没有)
- 我猜想即使您可以使用工具箱设置密码,也无法再将该设备用作启动设备,因为您无法从 BIOS 中解锁它。
- 在 SSD 上使用软件全盘加密会严重影响驱动器的性能 - 甚至可能比普通硬盘慢。
来源了解这方面的一些信息。
更新:如果你感兴趣的话,我在专门的博客文章。
答案2
磁盘加密是为 Sandforce 提供的,不是为你提供的。如果你的驱动器出现故障,你必须使用他们“认可”的供应商之一,他们会向他们提供密钥,并收取 5-6 千美元的数据恢复费用。这也称为扣留你的数据以赚钱。