Data: 2018-11-05 13:35:48 | |
Autor: Mateusz Viste | |
Szyfrowanie sprzętowe SSD | |
On Sun, 04 Nov 2018 13:36:07 +0100, the_foe wrote:
i za Chiny nie mogę znaleźć jak działa takie rozwiązanie w przypadku Działa bardzo dobrze. Czy w ogole działa? Oczywiście. Na ogół jak się nie chwalą to sie nie da :) Albo szkoda im energii na tłumaczenia których ogól i tak nie zrozumie. Jak ja to widzę i jakie rozwiązanie dla mnie by było strzałem w 10: Żadnego firmware nie potrzeba, wsparcie ma być w BIOS. Komputer się uruchamia, BIOS widzi że dysk jest zablokowany hasłem i pyta użytkownika o hasło. b) uruchamiam go jako systemowy to z dysku uruchamia się wbudowany soft Żadnego softu tam nie ma, ochrona hasłem jest częścią standardu ATA. Natomiast jeśli BIOS nie wspiera odblokowywania takiego dysku podczas boot, to nie ma opcji by korzystać z takiego dysku dla systemu. Jako pomocniczy to i owszem, pod warunkiem że OS pozwala przesłać dyskowi stosowne polecenie ATA (a jak nie to pewno da się załatwić jakimś programem - w praktyce robiłem to tylko kilka razy i to jeszcze w DOS). limitu prób - jak ją przekroczymy dysk usuwa klucz i bye-bye. Dzięki Takiego czegoś to nie ma, aczkolwiek większość dysków pozwala na próby odkluczenia tylko przez krótki czas po starcie. Czy to działa tylko przez jakiś moduł BIOS, jak tak to jaki? Podałem wyżej - jeśli BIOS wspiera tzw. ATA password to nie ma problemu. Jeśli nie wspiera, to z zahasłowanego dysku nie da się wystartować, trzeba go odhasłować już z poziomu systemu operacyjnego (w Linuksie np. via hdparm, w DOS za pomocą ATAPWD, a dla Windows zapewne też coś istnieje ale jeśli chodzi o Windows to nie wiem, nie znam się, nie orientuję się i w ogóle zarobiony jestem). Mateusz |
|
Data: 2018-11-06 02:14:25 | |
Autor: Marcin Debowski | |
Szyfrowanie sprzętowe SSD | |
On 2018-11-05, Mateusz Viste <mateusz@nie.pamietam> wrote:
Podałem wyżej - jeśli BIOS wspiera tzw. ATA password to nie ma problemu. Przy UEFI da się chyba mieszać więcej. Np. jest taka dodatkowa funkcjonalność SED, od której zdaje się zaczął Seagate: wystarczy nadpisac miejsce z kluczem i dane bedą niedostępne (pierwotna funkcjonalność - ochrona danych przy utylizacji dysku). Ale można to też traktowac w ten sposób, że póki w tym miejscu jest poprawny klucz to dane będą dostępne. Takie coś raczej łatwo zaimplementowac na poziomie firmware uefi z ochroną typu password i jak tak googlam po tym specyficznym Kongstonie to chyba parę firm to robi. -- Marcin |
|
Data: 2018-11-09 18:45:42 | |
Autor: the_foe | |
Szyfrowanie sprzętowe SSD | |
W dniu 2018-11-05 o 14:35, Mateusz Viste pisze:
Podałem wyżej - jeśli BIOS wspiera tzw. ATA password to nie ma problemu. Wielkie dzięki. W BIOSie nie widze takiej opcji jak ATA password, ale może pojawi się jak będzie odpowiedni dysk? Tyle co wiem, ze MB (MSI) ma moduł TPM - jesli to coś daje. W intrernetach coś tam bredzą ze ATA password jest do obejścia. Czy to ględzenie tylko? Poza tym czytam coś takiego na wykopie: ===================== CYTAT ======================================= Kupiłem MX200, jako że szyfruję zawsze wszystkie dyski i ten zaszyfrowałem VeraCrypt. Niestety spadek prędkości był o 50% na odczycie i zapisie sekwencyjnym. I ponad 10x razy wolniej na 4k-64thrd. Po małym research-u okazało się że ten SSD wspiera standard Opal 2.0. Czyli SED - "Self-Encrypting Drive", czyli samo szyfrujące się dyski. Tak wiec zamiast używać szyfrowania programowego lepiej włączyć sprzętowe. Nie tracimy nic na wydajności, szyfrowanie jest przezroczyste dla systemu itp. Można używać programów do partycjonowania, klonowania itp bez żadnego problemu. Jak również instalować dowolny system na dysku. Standardowo wszystkie dyski obsługujące Opal 2.0 maja włączone szyfrowanie domyślnie. Jedynie nie pytają o hasło przy uruchomieniu komputera. Programem sedutil ustawiamy własne hasło, i włączamy szyfrowanie tym naszym kluczem. Cała operacja trwa 2-3 sekundy, sedutil zainstaluje program rozruchowy w specjalnym miejscu na dysku zwanym Shadow MBR. Które to nie jest dostępne dla systemu. Komputer po uruchomieniu załaduję ten program zwany "PBA - pre-boot authorization". W którym to podajemy swoje hasło, po poprawnym podaniu hasła, komputer się zresetuje i dysk będzie normalnie dostępny. Rozpocznie się ładowanie systemu, napęd będzie odblokowany do momentu odcięcia zasilania. Tak wiec możemy kompa resetować itp, i cały czas dysk będzie odblokowany. Po wyłączeniu komputera dysk dopiero się zablokuję. Opal 2.0 dostępny jest dla większości dysków Crucial, Samsung np 840/850 oraz kilku Intela, czy twój obsługuje musisz sprawdzić sam. ===================== KONIEC CYTATU ================================== -- @foe_pl |
|
Data: 2018-11-09 18:01:49 | |
Autor: Mateusz Viste | |
Szyfrowanie sprzętowe SSD | |
On Fri, 09 Nov 2018 18:45:42 +0100, the_foe wrote:
W intrernetach coś tam bredzą ze ATA password jest do obejścia. Czy to Da się obejść relatywnie łatwo w przypadku dysków magnetycznych, które nie szyfrują swojej zawartości a jedynie pytają o hasło podczas startu. Wystarczy przełożyć elektronikę, albo przeprogramować chip dysku i po ptakach. W przypadku SSD poprzeczka znajduje się zdecydowanie wyżej. Przy czym idealne zabezpieczenia nie istnieją, wszystko jest kwestią ceny. Poza tym czytam coś takiego na wykopie: Tutaj mowa o szyfrowaniu software. I zgadza się - takie szyfrowanie może mieć narzut (czasem spory) na wydajność, a także na czas pracy na aku. Tak wiec zamiast używać szyfrowania programowego lepiej włączyć O tym pisałem wcześniej. Programem sedutil ustawiamy własne hasło, i włączamy szyfrowanie tym O tym pierwsze słyszę. Ale ja generalnie mało na czasie jestem, a z postępem różne cuda ludzie wymyślają. Z opisu brzmi fajnie - znaczyłoby, że nawet i bez wsparcia w BIOS/UEFI da się szyfrować dysk via hardware. Mateusz |
|
Data: 2019-06-25 13:52:09 | |
Autor: Ĺ | |
Szyfrowanie sprzętowe SSD | |
Zwykle myślałem, że przy restarcie szczególnie laptopa jednak jest przerwa w zasilaniu.
-- -- - napęd będzie odblokowany do momentu odcięcia zasilania. |