我买了一个惠普 Envy 15-j005ea我已经将笔记本电脑升级到 Windows 8.1 Pro。我还移除了 HDD,并将其替换为 1TB Samsung Evo 840 SSD。我现在希望加密驱动器以保护我公司的源代码和我的个人文档,但我不知道如何做,也不知道这是否可行。
我认为是不建议在 SSD 上使用 Truecrypt但如果我说错了,请纠正我。我还知道 840 Evo 内置了 256 位 AES 加密,因此建议使用它。
Evo 已更新至最新版本EXT0BB6Q 固件我有最新的三星 Magician。我不知道我的 UEFI 级别是多少,但我知道这台机器是 2013 年 12 月制造的,有 Insyde 制造的 F.35 BIOS。
这是我尝试过的:
Bitlocker。三星最新的固件据称与 Windows 8.1 eDrive 兼容,因此我按照在Anandtech 文章。首先,笔记本电脑似乎没有 TPM 芯片,所以我必须允许 Bitlocker 在没有 TPM 的情况下工作。完成此操作后,我尝试打开 Bitlocker。Anandtech 说“如果一切都符合 eDrive 标准,则不会询问您是否要加密整个或部分驱动器,完成初始设置后,BitLocker 就会启用。没有额外的加密阶段(因为数据已在 SSD 上加密)。如果您做错了什么,或者系统的某些部分不符合 eDrive 标准,您将获得进度指示器和相当冗长的软件加密过程。”不幸的是,我曾是询问我是否要加密全部或部分驱动器,因此我取消了。
在 BIOS 中设置 ATA 密码。BIOS 中似乎没有这样的选项,只有管理员密码和启动密码。
使用 Magician。它有一个“数据安全”选项卡,但我不完全了解这些选项,并且怀疑没有一个适用。
信息这个问题和答案有帮助,但没有回答我的问题。
那么,显然我想知道的是,如何加密 HP Envy 15 中的固态硬盘,或者我实际上运气不佳?还有其他选择吗?或者我必须放弃加密或退回笔记本电脑?
有一个Anandtech 上的类似问题但仍未得到解答。
答案1
密码必须在 BIOS 中的 ATA 安全扩展下设置。BIOS 菜单中通常有一个标签,标题为“安全”。身份验证将在 BIOS 级别进行,因此此软件“向导”所做的任何事情都与设置身份验证无关。如果以前不支持 HDD 密码,则 BIOS 更新不太可能启用 HDD 密码。
说您正在设置加密是误导。事实是驱动器始终会加密写入芯片的每个位。磁盘控制器会自动执行此操作。为驱动器设置 HDD 密码会将您的安全级别从零提升到几乎牢不可破。只有恶意植入的硬件键盘记录器或 NSA 发起的远程 BIOS 漏洞才能检索密码以进行身份验证 ;-) <-- 我猜。我还不确定他们能对 BIOS 做什么。关键是它不是完全不可逾越的,但根据密钥在驱动器上的存储方式,它是目前可用的最安全的硬盘加密方法。话虽如此,但它完全是小题大做。BitLocker 可能足以满足大多数消费者的安全需求。
当谈到安全时,我想问题是:你想要多少?
基于硬件的全盘加密比 TrueCrypt 等软件级全盘加密安全几个数量级。它还具有不影响 SSD 性能的额外优势。SSD 存储数据的方式有时会导致软件解决方案出现问题。基于硬件的 FDE 只是不那么混乱,更优雅、更安全,但它甚至没有在那些足够关心加密其宝贵数据的人中“流行起来”。这并不难,但不幸的是,许多 BIOS 根本不支持“HDD 密码”功能(不要与简单的 BIOS 密码混淆,业余爱好者可以绕过它)。我几乎可以保证,甚至无需查看您的 BIOS,如果您还没有找到该选项,您的 BIOS 就不支持它,您就倒霉了。这是一个固件问题,除了使用 hdparm 之类的东西刷新您的 BIOS 之外,您无法添加任何功能,这是一种非常不负责任的行为,甚至我都不会尝试。这与驱动器或附带的软件无关。这是主板特有的问题。
ATA 只不过是一组针对 BIOS 的指令。您要设置的是 HDD 用户和主密码,这些密码将用于对安全存储在驱动器上的唯一密钥进行身份验证。“用户”密码将允许驱动器解锁并正常启动。“主”密码也是一样。不同之处在于,需要“主”密码才能更改 BIOS 中的密码或擦除驱动器中的加密密钥,这会使驱动器的所有数据立即无法访问和恢复。这称为“安全擦除”功能。根据该协议,支持 32 位字符串,即 32 个字符的密码。在支持在 BIOS 中设置 HDD 密码的少数笔记本电脑制造商中,大多数将字符限制为 7 或 8 个。我无法理解为什么每个 BIOS 公司都不支持它。也许 Stallman 对专有 BIOS 的看法是正确的。
我知道的唯一一款笔记本电脑(几乎没有台式机 BIOS 支持硬盘密码)允许您设置全长 32 位硬盘用户和主密码,它就是联想 ThinkPad T 系列或 W 系列。我听说一些华硕笔记本电脑的 BIOS 中有这样的选项。戴尔将硬盘密码限制为 8 个弱字符。
我对英特尔 SSD 中的密钥存储比三星更熟悉。我相信英特尔是第一个在其驱动器(320 系列及以后)中提供片上 FDE 的公司。尽管那是 AES 128 位。我还没有深入研究过三星系列如何实现密钥存储,目前没有人真正知道。显然客户服务对你没有帮助。我感觉任何科技公司中只有五六个人真正了解他们销售的硬件。英特尔似乎不愿意透露具体细节,但最终公司代表在论坛上回答了这个问题。请记住,对于驱动器制造商来说,此功能完全是事后才想到的。他们对此一无所知或不关心,99.9% 的客户也是如此。这只是盒子背面的另一个广告要点。
希望这可以帮助!
答案2
我今天终于让它工作了,和你一样,我相信我在 BIOS 中也没有设置 ATA 密码(至少我看不到)。我确实启用了 BIOS 用户/管理员密码,我的电脑确实有 TPM 芯片,但 BitLocker 应该不需要 TPM 芯片(USB 密钥)就可以工作。和你一样,我也被困在 BitLocker 提示符下的同一个位置,我想加密数据还是整个磁盘。
我的问题是,我的 Windows 安装不是 UEFI,尽管我的主板支持 UEFI。您可以通过输入msinfo32
运行命令并检查 Bios 模式来检查您的安装。如果它读取了除此以外的任何内容,那么UEFI
您需要从头开始重新安装 Windows。
看到这个加密三星固态硬盘 (SSD) 的分步说明本论坛相关帖子中的指南。
答案3
软件加密
TrueCrypt 7.1a 非常适合用于 SSD,但请注意,它可能会大幅降低 IOP 性能,尽管驱动器的 IOP 性能仍将比 HDD 高 10 倍以上。因此,如果您无法使用 Magician 中列出的选项,TrueCrypt 是加密驱动器的一种选择,但据报道它在 Windows 8 及更高版本的文件系统上运行效果不佳。因此,对于这些操作系统,具有全盘加密功能的 BitLocker 是更好的选择。
TCG 蛋白石
TCG Opal 基本上是一种标准,允许将一种微型操作系统安装到驱动器的保留部分,该部分仅用于允许驱动器启动并向用户提供密码以授予对驱动器的访问权限。有各种工具可用于安装此功能,包括一些据称稳定的开源项目,但 Windows 8 及更高版本的 BitLocker 应该支持此功能。
我没有 Windows 8 或更高版本,因此无法提供如何设置的说明,但我的阅读表明这仅在安装 Windows 时可用,而不是在安装后可用。有经验的用户请随时纠正我。
ATA 密码
ATA 密码锁定是三星 840 及更高系列驱动器以及数千种其他驱动器支持的 ATA 标准的可选功能。此标准与 BIOS 无关,可以通过多种方法访问。我不建议使用 BIOS 设置或管理 ATA 密码,因为 BIOS 可能不符合 ATA 标准。我曾遇到过自己的硬件似乎支持该功能,但实际上不符合的情况。
请注意,搜索此功能将产生大量讨论,声称 ATA 锁定功能不应被视为安全的数据保护功能。这通常仅适用于非自加密驱动器 (SED) 的 HDD。由于三星 840 及更高系列的驱动器是 SSD 和 SED,因此这些讨论根本不适用。正如本问题所述,ATA 密码锁定的三星 840 系列及更高版本应该足够安全以供您使用。
确保您的 BIOS 可以支持解锁 ATA 密码锁定驱动器的最佳方法是锁定驱动器,将其安装到计算机中,然后启动计算机并查看它是否要求输入密码以及输入的密码是否可以解锁驱动器。
不应在包含您不想丢失的数据的驱动器上执行此测试。
幸运的是,测试驱动器不一定是三星驱动器,因为它可以是任何支持 ATA 标准安全设置并可安装在目标计算机上的驱动器。
我发现访问驱动器的 ATA 功能的最佳方式是使用 Linux 命令行实用程序hdparm
。即使您的计算机没有安装 Linux,也有许多发行版的安装磁盘映像支持从安装介质“实时”运行操作系统。例如,Ubuntu 16.04 LTS 应该可以轻松快速地安装到绝大多数计算机上,并且相同的映像也可以写入闪存介质以在没有光驱的系统上运行。
有关如何启用 ATA 密码安全性的详细说明超出了本问题的范围,但我发现本教程是完成这项任务的最佳教程之一。
请注意,密码的最大长度为 32 个字符。我建议使用 32 个字符的密码进行测试,以确保 BIOS 正确支持该标准。
在目标计算机断电且驱动器 ATA 密码锁定的情况下,安装驱动器并启动系统。如果 BIOS 没有要求输入密码来解锁驱动器,则 BIOS 不支持 ATA 密码解锁。此外,如果您似乎完全正确地输入了密码,但驱动器却没有解锁,则可能是 BIOS 未正确支持 ATA 标准,因此不应信任。
最好有某种方法来验证系统是否正确读取未锁定的驱动器,比如安装并正确加载操作系统,或者与可加载的操作系统驱动器一起安装,并可安装测试驱动器并无问题地读写文件。
如果测试成功并且您有信心重复这些步骤,则在驱动器(包括安装了操作系统的驱动器)上启用 ATA 密码不会更改驱动器数据部分的任何内容,因此在 BIOS 中输入密码后它应该可以正常启动。
答案4
“我不需要 NSA 级别的安全保护”
好吧,既然它是免费的,为什么不使用它呢?
在研究生院学习了计算机安全和计算机取证课程后,我决定加密我的驱动器。我查看了许多选项,非常高兴我选择了 DiskCrypt。它易于安装、易于使用、开源,提供 PGP 签名,并提供了如何自行编译以确保 exe 与源文件匹配的说明,它会自动安装驱动器,您可以设置预启动 PW 提示和错误密码操作,并且它将使用 AES-256。
任何现代 CPU 都可以在一条机器指令中完成一轮 AES 加密(加密一个扇区的数据需要几十轮)。根据我自己的基准测试,AES 的运行速度比软件实现的密码(如 blowfish)快 11 倍。DiskCryptor 加密数据的速度比 PC 从磁盘读取和写入数据的速度快很多倍。没有可衡量的开销。
我运行的是一台 TEC 冷却、升级版、速度频率为 5 GHz 的机器,因此您的里程可能会有所不同,但差别不大。加密/解密所需的 CPU 时间太短,无法测量(即低于 1%)。
一旦设置好,你就可以完全忘记它了。唯一明显的影响是你必须在启动时输入你的密码,我很高兴这样做。
至于不使用 SSD 加密,这是我以前从未听说过的传言。这也是没有根据的。加密数据的写入和读取与普通数据完全一样。只有数据缓冲区中的位是乱码的。您可以在加密驱动器上运行 chkdsk/f 和任何其他磁盘实用程序。
顺便说一句,与其他程序不同,Diskkeeper 不会将您的密码保存在内存中。它使用单向哈希密钥进行加密,覆盖内存中您输入错误的密码,并竭尽全力确保在输入和验证密码期间,它不会在页面文件中丢失。