jest np. taki dysk
https://www.kingston.com/pl/ssd/business/suv500

i za Chiny nie mogę znaleźć jak działa takie rozwiązanie w przypadku dysku systemowego? Czy w ogole działa? Na ogół jak się nie chwalą to sie nie da :)
Jak ja to widzę i jakie rozwiązanie dla mnie by było strzałem w 10:
a) wkładam dysk jako pomocniczy instaluje jakiś tam firmowy soft i ustawiam szyfrowanie hasłem.
b) uruchamiam go jako systemowy to z dysku uruchamia się wbudowany soft do odblokowania - prosi o hasło. Fajnie by było gdyby była możliwość limitu prób - jak ją przekroczymy dysk usuwa klucz i bye-bye. Dzięki temu możnaby ustawić nawet bardzo krótkie hasło.
c) przy poprawnym wklepaniu następuje reboot komputera i wtedy już dysk odpala się przez BIOS normalnie i tak az do wyłączenia komputera.

Jest coś takiego?
Czy to działa tylko przez jakiś moduł BIOS, jak tak to jaki?

--
@foe_pl

On Sun, 04 Nov 2018 13:36:07 +0100, the_foe wrote:

i za Chiny nie mogę znaleźć jak działa takie rozwiązanie w przypadku
dysku systemowego?

Działa bardzo dobrze.

Czy w ogole działa?

Oczywiście.

Na ogół jak się nie chwalą to sie nie da :)

Albo szkoda im energii na tłumaczenia których ogól i tak nie zrozumie.

Jak ja to widzę i jakie rozwiązanie dla mnie by było strzałem w 10:
a) wkładam dysk jako pomocniczy instaluje jakiś tam firmowy soft i
ustawiam szyfrowanie hasłem.

Żadnego firmware nie potrzeba, wsparcie ma być w BIOS. Komputer się uruchamia, BIOS widzi że dysk jest zablokowany hasłem i pyta użytkownika o hasło.

b) uruchamiam go jako systemowy to z dysku uruchamia się wbudowany soft
do odblokowania - prosi o hasło. Fajnie by było gdyby była możliwość

Żadnego softu tam nie ma, ochrona hasłem jest częścią standardu ATA. Natomiast jeśli BIOS nie wspiera odblokowywania takiego dysku podczas boot, to nie ma opcji by korzystać z takiego dysku dla systemu. Jako pomocniczy to i owszem, pod warunkiem że OS pozwala przesłać dyskowi stosowne polecenie ATA (a jak nie to pewno da się załatwić jakimś programem - w praktyce robiłem to tylko kilka razy i to jeszcze w DOS).

limitu prób - jak ją przekroczymy dysk usuwa klucz i bye-bye. Dzięki
temu możnaby ustawić nawet bardzo krótkie hasło.

Takiego czegoś to nie ma, aczkolwiek większość dysków pozwala na próby odkluczenia tylko przez krótki czas po starcie.

Czy to działa tylko przez jakiś moduł BIOS, jak tak to jaki?

Podałem wyżej - jeśli BIOS wspiera tzw. ATA password to nie ma problemu. Jeśli nie wspiera, to z zahasłowanego dysku nie da się wystartować, trzeba go odhasłować już z poziomu systemu operacyjnego (w Linuksie np. via hdparm, w DOS za pomocą ATAPWD, a dla Windows zapewne też coś istnieje ale jeśli chodzi o Windows to nie wiem, nie znam się, nie orientuję się i w ogóle zarobiony jestem).

Mateusz

On 2018-11-05, Mateusz Viste <mateusz@nie.pamietam> wrote:

Podałem wyżej - jeśli BIOS wspiera tzw. ATA password to nie ma problemu.

Przy UEFI da się chyba mieszać więcej. Np. jest taka dodatkowa funkcjonalność SED, od której zdaje się zaczął Seagate: wystarczy nadpisac miejsce z kluczem i dane bedą niedostępne (pierwotna funkcjonalność - ochrona danych przy utylizacji dysku). Ale można to też traktowac w ten sposób, że póki w tym miejscu jest poprawny klucz to dane będą dostępne. Takie coś raczej łatwo zaimplementowac na poziomie firmware uefi z ochroną typu password i jak tak googlam po tym specyficznym Kongstonie to chyba parę firm to robi.

--
Marcin

W dniu 2018-11-05 o 14:35, Mateusz Viste pisze:

Podałem wyżej - jeśli BIOS wspiera tzw. ATA password to nie ma problemu.
Jeśli nie wspiera, to z zahasłowanego dysku nie da się wystartować,
trzeba go odhasłować już z poziomu systemu operacyjnego (w Linuksie np.
via hdparm, w DOS za pomocą ATAPWD, a dla Windows zapewne też coś
istnieje ale jeśli chodzi o Windows to nie wiem, nie znam się, nie
orientuję się i w ogóle zarobiony jestem).

Wielkie dzięki.
W BIOSie nie widze takiej opcji jak ATA password, ale może pojawi się jak będzie odpowiedni dysk? Tyle co wiem, ze MB (MSI) ma moduł TPM - jesli to coś daje.
W intrernetach coś tam bredzą ze ATA password jest do obejścia. Czy to ględzenie tylko?
Poza tym czytam coś takiego na wykopie:

===================== CYTAT =======================================
Kupiłem MX200, jako że szyfruję zawsze wszystkie dyski i ten zaszyfrowałem VeraCrypt.

Niestety spadek prędkości był o 50% na odczycie i zapisie sekwencyjnym. I ponad 10x razy wolniej na 4k-64thrd.


Po małym research-u okazało się że ten SSD wspiera standard Opal 2.0. Czyli SED - "Self-Encrypting Drive", czyli samo szyfrujące się dyski.


Tak wiec zamiast używać szyfrowania programowego lepiej włączyć sprzętowe. Nie tracimy nic na wydajności, szyfrowanie jest przezroczyste dla systemu itp. Można używać programów do partycjonowania, klonowania itp bez żadnego problemu. Jak również instalować dowolny system na dysku.


Standardowo wszystkie dyski obsługujące Opal 2.0 maja włączone szyfrowanie domyślnie. Jedynie nie pytają o hasło przy uruchomieniu komputera.

Programem sedutil ustawiamy własne hasło, i włączamy szyfrowanie tym naszym kluczem. Cała operacja trwa 2-3 sekundy, sedutil zainstaluje program rozruchowy w specjalnym miejscu na dysku zwanym Shadow MBR. Które to nie jest dostępne dla systemu. Komputer po uruchomieniu załaduję ten program zwany "PBA - pre-boot authorization". W którym to podajemy swoje hasło, po poprawnym podaniu hasła, komputer się zresetuje i dysk będzie normalnie dostępny.
Rozpocznie się ładowanie systemu, napęd będzie odblokowany do momentu odcięcia zasilania. Tak wiec możemy kompa resetować itp, i cały czas dysk będzie odblokowany. Po wyłączeniu komputera dysk dopiero się zablokuję.


Opal 2.0 dostępny jest dla większości dysków Crucial, Samsung np 840/850 oraz kilku Intela, czy twój obsługuje musisz sprawdzić sam.

===================== KONIEC CYTATU ==================================



--
@foe_pl

On Fri, 09 Nov 2018 18:45:42 +0100, the_foe wrote:

W intrernetach coś tam bredzą ze ATA password jest do obejścia. Czy to
ględzenie tylko?

Da się obejść relatywnie łatwo w przypadku dysków magnetycznych, które nie szyfrują swojej zawartości a jedynie pytają o hasło podczas startu. Wystarczy przełożyć elektronikę, albo przeprogramować chip dysku i po ptakach. W przypadku SSD poprzeczka znajduje się zdecydowanie wyżej. Przy czym idealne zabezpieczenia nie istnieją, wszystko jest kwestią ceny.

Poza tym czytam coś takiego na wykopie:

===================== CYTAT =======================================
Kupiłem MX200, jako że szyfruję zawsze wszystkie dyski i ten
zaszyfrowałem VeraCrypt.

Niestety spadek prędkości był o 50% na odczycie i zapisie sekwencyjnym.
I ponad 10x razy wolniej na 4k-64thrd.

Tutaj mowa o szyfrowaniu software. I zgadza się - takie szyfrowanie może mieć narzut (czasem spory) na wydajność, a także na czas pracy na aku.

Tak wiec zamiast używać szyfrowania programowego lepiej włączyć
sprzętowe. Nie tracimy nic na wydajności, szyfrowanie jest przezroczyste
dla systemu itp. Można używać programów do partycjonowania, klonowania
itp bez żadnego problemu. Jak również instalować dowolny system na
dysku.

O tym pisałem wcześniej.

Programem sedutil ustawiamy własne hasło, i włączamy szyfrowanie tym
naszym kluczem. Cała operacja trwa 2-3 sekundy, sedutil zainstaluje
program rozruchowy w specjalnym miejscu na dysku zwanym Shadow MBR.
Które to nie jest dostępne dla systemu. Komputer po uruchomieniu
załaduję ten program zwany "PBA - pre-boot authorization". W którym to
podajemy swoje hasło, po poprawnym podaniu hasła, komputer się zresetuje
i dysk będzie normalnie dostępny.

O tym pierwsze słyszę. Ale ja generalnie mało na czasie jestem, a z postępem różne cuda ludzie wymyślają. Z opisu brzmi fajnie - znaczyłoby, że nawet i bez wsparcia w BIOS/UEFI da się szyfrować dysk via hardware.

Mateusz

Zwykle myślałem, że przy restarcie szczególnie laptopa jednak jest przerwa w zasilaniu.


-- -- -

napęd będzie odblokowany do momentu odcięcia zasilania.
Tak wiec możemy kompa resetować itp, i cały czas dysk będzie odblokowany.
Po wyłączeniu komputera dysk dopiero się zablokuje

Użytkownik "the_foe"  napisał w wiadomości grup dyskusyjnych:prmp3o$lu6$1@node2.news.atman.pl...

Czy to działa tylko przez jakiś moduł BIOS, jak tak to jaki?

Tak, w BIOSie pojawia się dodatkowa opcja. U siebie mam BIOS PASSWORD oraz SYSTEM PASSWORD standardowo. Gdy włożę dysk SSD ze sprzętowym szyfrowaniem, pojawia się dodatkowa opcja DISK PASSWORD. Działa wyśmienicie i nie zżera mocy obliczeniowej CPU

On Sun, 4 Nov 2018 13:36:07 +0100, the_foe <the_foe@costamcostam.pl>
wrote:

He, he, he:

https://zaufanatrzeciastrona.pl/post/uwaga-na-dyski-ssd-z-wbudowanym-szyfrowaniem-to-moze-byc-pulapka/
--
Grzegorz Krukowski

On 2018-11-06, Grzegorz Krukowski <registered.user@op.pl> wrote:

On Sun, 4 Nov 2018 13:36:07 +0100, the_foe <the_foe@costamcostam.pl>
wrote:

He, he, he:

https://zaufanatrzeciastrona.pl/post/uwaga-na-dyski-ssd-z-wbudowanym-szyfrowaniem-to-moze-byc-pulapka/

No he he he faktycznie :)
Art. ładnie w temat dyskusji w sąsiednim watku.

Nie tyle jest zaskakująca dziurawość firmware - bo ta jest powszechna, i równie powszechne zostawianie jtag'ów, co że takie numery robią producenci urządzeń komputerowych z produktami sprzedawanych jako ekstra bezpieczne.

--
Marcin