我刚买了一个三星 EVO 840,支持AES-256加密。
阅读我能找到的有关 SSD 加密的极少量文档后,我发现我必须进入 BIOS,转到“安全”选项卡,选择“HDD 加密”,然后设置密码。问题是我的 BIOS Medionpc MS-7728 在“安全”选项卡下只有两个选项:管理员密码和用户密码。
我找不到该 BIOS 的任何规格,无法读取它是否不支持 HDD 加密,或者如果它支持,我只需要更新控制器。
我是否必须更新控制器以便 BIOS 识别 HDD 加密?如果不行,我还有什么其他方法可以为我的 SSD 设置密码?
答案1
我认为您的 Medion 主板/BIOS 不支持它。我认为您需要更新的 BIOS 或主板,而且笔记本电脑似乎更有可能支持它。
我确实找到了medion.com 上的 BIOS 更新页面Version:2.09 , System:Win 7 64bit , Release date:11.01.2012
但它三星 SSD 840 EVO 似乎于 2013 年发布,所以您的主板更新可能也不支持它……
但VxLabs 的 SSD 具有可用的内置基于硬件的全盘加密页面告诉我:
有关此信息极难找到
在某些情况下,制造商使用 HDD 密码或 ATA 密码(可通过许多笔记本电脑 BIOS 配置,很少有台式机 BIOS, 或者ATASX BIOS 扩展) 来加密 AES 密钥。
最后一个链接听起来像是一个解决方案,至少对于 AMI-BIOS 来说是这样。我不认为你得到的是这个,所以我认为你无法启用它或许已经是已启用,但您无法更改密码,因此它始终处于“解锁”状态 :-(
这是我在得出上述结论的过程中挖掘出的一些误导性信息。
我想法它是软件加密程序可以使用的功能,例如 dm-crypt/cryptsetup/BitLocker/FileVault/truecrypt 等...阅读之后,它听起来几乎与 LUKS 卷相同,其中“随机”密钥用于加密整个驱动器,并且可以设置用户密码和主密码来解锁驱动器,并且擦除“随机”密钥会导致驱动器“永远”被有效锁定。
但是,阅读您链接上的安全加密手册(里面充斥着大量“营销术语”)后,我认为它与 BIOS 设置或计算机上的任何设置都无关。我甚至不确定您在打开它时是否会输入密码,它听起来更像是一个远程管理系统,其中密钥由远程服务器设置和验证,因此只有“安全”驱动器才允许解密和工作,任何试图在错误的时间或地点打开的驱动器都将被锁定。
宣传册上写道:
三星提供自加密驱动器 (SED),它采用硬件加密,可自动加密或解密传输到 SSD 和从 SSD 传输的所有数据。
所以这听起来似乎与正在运行的任何软件都没有任何关系。但除非你使用实际的物理钥匙来解锁驱动器,否则这没有多大意义,而且这也不太方便。继续阅读:
硬件加密直接内置于驱动器电子设备中,用户无法察觉,可最大程度地提高性能。相比之下,软件加密会加重中央处理器 (CPU) 的负担并降低性能。基于硬件的 SED 加密包括控制器芯片中的内置电路,可自动加密传输到存储设备的所有数据。使用基于硬件的加密,驱动器控制器可加密和解密所有数据
...
基于硬件的加密在实际硬件中执行,并且用户身份验证由驱动器在解锁之前执行,独立于操作系统(OS)。
...
与合作独立软件供应商 (ISV)为 SED 提供安全管理工具的公司,三星提供的 SED 符合可信计算组织 (Trusted Computing Group) 开发的 TCG Opal 规范和 IEEE 1667 标准,例如由微软 BitLocker在 Windows 8 中。
...
使用 Wave Cloud 和 Wave Embassy 远程管理服务器 (ERAS) 保护数据访问
Wave Systems 是一家 ISV提供移动平台上安全的数据访问控制、云访问以及用户个人设备的安全网络登录。Wave System 解决方案通过管理授权用户对驱动器和数据的访问来增强三星 SED 安全技术,这正是 Wave 的用武之地。
因此,这听起来像是一个大型商业/企业级系统。但阅读三星白皮书 06- 保护您的隐私 - 安全和加密基础知识内容如下:
虽然 840 和 840 Pro 系列 SSD 确实采用了 SED 技术,但它们不支持 OPAL 存储规范管理接口。OPAL 驱动器面向需要管理安全协议并希望对身份验证进行高级控制的企业。借助第三方软件支持,IT 经理可以设置详细的安全规定,以通过分区、笔记本电脑的物理位置等来限制访问。任何对这种级别的安全管理感兴趣的人都应该研究企业级 TCG/OPAL SED 选项。
但是,如果想要管理个人计算机或中小企业(这些企业依赖员工处理大部分 IT 支持),三星 840 和 840 Pro 系列 SSD 的 SED 功能非常适合他们的需求。这些 SSD 以最少的精力和费用提供基本但强大的安全性。
启用 AES 加密
AES 加密在 840 或 840 Pro 系列 SSD 上始终处于活动状态。但是,为了利用加密功能,用户必须启用 ATA 密码来限制对数据的访问。不这样做将导致 AES 加密无效 - 类似于拥有保险箱但门却敞开着。要设置 ATA 密码,只需访问 BIOS,导航到“安全”菜单,启用“启动时密码”并设置“HDD 密码”。管理员还可以选择设置“主密码”,这可以允许恢复丢失的用户密码(“HDD 密码”)。“主密码”还可用于解锁和/或擦除驱动器(取决于设置),从而有效地销毁并保护数据,但允许重复使用驱动器。设置过程可能略有不同,具体取决于特定机器上安装的 BIOS 版本。最好查阅用户手册如果有任何混淆。
- 可能没什么帮助,但是联想 ThinkPad当存在合格驱动器时,应该自动在其 BIOS 中显示硬盘加密选项,并且有一个实用程序可以强制显示这些选项。