Per le unità Samsung 850 e altri SSD, l'opzione migliore e più sicura è utilizzare la crittografia OPAL full-disk abilitando una password dell'unità nel BIOS del sistema.
Il modo in cui la crittografia su questi SSD funziona è che l'unità è sempre crittografata - viene prodotta in fabbrica con una chiave di crittografia generata e impostata. Tutti i dati che scrive e legge sono crittografati / decrittografati con questa chiave, nulla è scritto in chiaro.
Quando si imposta una password nel BIOS, l'unità crittografa la chiave di crittografia (memorizzata nel controller dell'unità) con la password fornita dall'utente. Pertanto, finché non si immette la password e si fornisce all'unità la chiave necessaria per decrittografare la propria chiave di crittografia, tutti i dati sono illeggibili, anche per l'SSD stesso. Inoltre, non è possibile emettere comandi SATA o persino formattare / riutilizzare l'unità senza fornire questa password.
Si noti che questo è trasparente per il sistema operativo: la crittografia viene gestita a livello hardware e la decrittografia all'avvio tramite il BIOS. Il sistema operativo, indipendentemente da cosa sia, vedrà solo un normale SSD e interagirà normalmente con esso.
Quando si utilizza il software Samsung per eseguire una "cancellazione sicura" di un SSD, in realtà non "cancella" nulla nel puro senso della parola. Con gli SSD, ogni scrittura / riscrittura di un settore può essere facilmente recuperata tramite analisi forense. Se tali dati sono stati crittografati, è comunque possibile ripristinarli, purché si disponga della chiave di crittografia. Che cosa fa la funzione "cancellazione sicura" è reimpostare la chiave di crittografia AES interna dell'unità su una nuova; resettare efficacemente il drive. Pertanto, tutte le vecchie informazioni sull'unità che potrebbero essere recuperate dalla scientifica sono ora crittografate / illeggibili persino sull'unità stessa, rendendo il recupero dei dati esponenzialmente più impegnativo se non impossibile.
Lo stesso controller dell'unità gestisce la password. Se il BIOS supporta le unità OPAL o SED, non è possibile ignorare la crittografia dell'unità utilizzando la password del supervisore del BIOS per modificare la password del disco. Anche se si accede al BIOS con una password supervisore, non sarà possibile modificare la password su un SSD OPAL / SED (se il BIOS lo supporta correttamente) senza fornire la password SSD esistente. Se è possibile, ciò significa che il BIOS non ha mai comunicato con l'unità per impostare la password in primo luogo. In questo caso, il BIOS non supporta OPAL e potresti anche semplicemente collegare l'SSD a un altro computer e visualizzare i dati senza impedimenti. La maggior parte dei produttori di dischi offre strumenti che è possibile utilizzare per verificare ciò e vedere se lo stato dell'unità è "crittografato", ovvero è stata impostata una password.
Si noti che TrueCrypt è stato ritirato e ci sono speculazioni sfrenate sul fatto che la base di codice del progetto possa essere stata compromessa da qualche entità come un'agenzia governativa; o se i creatori si sono semplicemente ritirati. Ecco un articolo con alcune informazioni.
Si noti inoltre che la vulnerabilità della crittografia completa del disco è che i dati sono protetti quando i dati crittografati non sono in uso / la chiave di crittografia non è in memoria, ovvero quando il computer è acceso e in uso. Se un avversario si è impossessato del tuo computer mentre era in esecuzione, è possibile (anche se difficile) recuperare la chiave dal BIOS di sistema / dalla memoria del controller dell'unità.
Naturalmente, anche la crittografia completa del disco non ti proteggerà dagli effetti di malware o altri compromessi quando il sistema è in esecuzione.
Link
Sito di marketing di Samsung che rileva la crittografia OPAL di Samsung 850 SSD
Samsung SSD White Paper spiega come funziona la crittografia