Samsung SSD 850 EVO. Il modo migliore per proteggere i dati personali dai ladri

7

Mi chiedo quale sia il modo migliore per proteggere i miei dati personali memorizzati su Samsung SSD 850 EVO in Linux?

Ho fatto qualche ricerca e l'ho trovato.

To set an ATA password, simply access the BIOS, navigate to the “Security” menu, enable “Password on boot” and set an “HDD Password.” Administrators also have the option of setting a “Master Password,” which can allow a lost user password (“HDD Password) to be recovered. The “Master Password” may also be used to unlock and/or erase the drive (depending on the settings), effectively destroying, and thus protecting, the data but allowing the drive to be reused.

( link )

I steal your laptop. You have a password set on the hard drive. Oh well looky here i have another PC that support this kind of hard drive password encryption (Not all do and most desktop's don't support it except for business class like the dell optiplex which is what i did all my testing on). I go into my BIOS. I set an Admin password on my BIOS. I turn off my PC, plug in your drive, turn it on, go into BIOS. But you are thinking WAIT! it ask for the hard drive password before you can even get into the BIOS! Errrr WRONG! I use MY admin password for your hard drive and I am in my BIOS. Now i go to the hard drive password, and change it using MY ADMIN PASSWORD AND THE CURRENT PASSWORD, and then either set no password or changed it. I reboot, I'm in, your files are mine.

( link )

In altri casi, posso usare il software OPAL aggiuntivo msed ( link ) o utilizza utilità di crittografia basate su software come TrueCrypt e accetta tutti i problemi di prestazioni.

In altre parole - È davvero facile decifrare la password del disco rigido Samsung EVO 850? - L'utilizzo di ms sarà più sicuro nel mio caso o TrueCrypt è l'unica soluzione?

    
posta ytterrr 13.12.2015 - 17:02
fonte

2 risposte

9

Per le unità Samsung 850 e altri SSD, l'opzione migliore e più sicura è utilizzare la crittografia OPAL full-disk abilitando una password dell'unità nel BIOS del sistema.

Il modo in cui la crittografia su questi SSD funziona è che l'unità è sempre crittografata - viene prodotta in fabbrica con una chiave di crittografia generata e impostata. Tutti i dati che scrive e legge sono crittografati / decrittografati con questa chiave, nulla è scritto in chiaro.

Quando si imposta una password nel BIOS, l'unità crittografa la chiave di crittografia (memorizzata nel controller dell'unità) con la password fornita dall'utente. Pertanto, finché non si immette la password e si fornisce all'unità la chiave necessaria per decrittografare la propria chiave di crittografia, tutti i dati sono illeggibili, anche per l'SSD stesso. Inoltre, non è possibile emettere comandi SATA o persino formattare / riutilizzare l'unità senza fornire questa password.

Si noti che questo è trasparente per il sistema operativo: la crittografia viene gestita a livello hardware e la decrittografia all'avvio tramite il BIOS. Il sistema operativo, indipendentemente da cosa sia, vedrà solo un normale SSD e interagirà normalmente con esso.

Quando si utilizza il software Samsung per eseguire una "cancellazione sicura" di un SSD, in realtà non "cancella" nulla nel puro senso della parola. Con gli SSD, ogni scrittura / riscrittura di un settore può essere facilmente recuperata tramite analisi forense. Se tali dati sono stati crittografati, è comunque possibile ripristinarli, purché si disponga della chiave di crittografia. Che cosa fa la funzione "cancellazione sicura" è reimpostare la chiave di crittografia AES interna dell'unità su una nuova; resettare efficacemente il drive. Pertanto, tutte le vecchie informazioni sull'unità che potrebbero essere recuperate dalla scientifica sono ora crittografate / illeggibili persino sull'unità stessa, rendendo il recupero dei dati esponenzialmente più impegnativo se non impossibile.

Lo stesso controller dell'unità gestisce la password. Se il BIOS supporta le unità OPAL o SED, non è possibile ignorare la crittografia dell'unità utilizzando la password del supervisore del BIOS per modificare la password del disco. Anche se si accede al BIOS con una password supervisore, non sarà possibile modificare la password su un SSD OPAL / SED (se il BIOS lo supporta correttamente) senza fornire la password SSD esistente. Se è possibile, ciò significa che il BIOS non ha mai comunicato con l'unità per impostare la password in primo luogo. In questo caso, il BIOS non supporta OPAL e potresti anche semplicemente collegare l'SSD a un altro computer e visualizzare i dati senza impedimenti. La maggior parte dei produttori di dischi offre strumenti che è possibile utilizzare per verificare ciò e vedere se lo stato dell'unità è "crittografato", ovvero è stata impostata una password.

Si noti che TrueCrypt è stato ritirato e ci sono speculazioni sfrenate sul fatto che la base di codice del progetto possa essere stata compromessa da qualche entità come un'agenzia governativa; o se i creatori si sono semplicemente ritirati. Ecco un articolo con alcune informazioni.

Si noti inoltre che la vulnerabilità della crittografia completa del disco è che i dati sono protetti quando i dati crittografati non sono in uso / la chiave di crittografia non è in memoria, ovvero quando il computer è acceso e in uso. Se un avversario si è impossessato del tuo computer mentre era in esecuzione, è possibile (anche se difficile) recuperare la chiave dal BIOS di sistema / dalla memoria del controller dell'unità.

Naturalmente, anche la crittografia completa del disco non ti proteggerà dagli effetti di malware o altri compromessi quando il sistema è in esecuzione.

Link

Sito di marketing di Samsung che rileva la crittografia OPAL di Samsung 850 SSD

Samsung SSD White Paper spiega come funziona la crittografia

    
risposta data 13.12.2015 - 19:27
fonte
3

Non so per il modello specifico, ma questa risposta è adatta per la maggior parte dei dispositivi con crittografia automatica:

Per gli SSD, il vantaggio dell'utilizzo della crittografia SED incorporata è che può sfruttare la funzione di assetto (livellamento dell'usura).

Alcuni anni fa una grande rivista di computer tedesca ha mostrato che molte funzioni di auto-crittografia incorporate di hard disk sono state implementate male link link e può essere facilmente decodificato (se il i dati sono persino crittografati e non solo protetti da password!). Alcuni di loro hanno affermato di utilizzare AES, ma hanno utilizzato solo AES per crittografare la chiave, ma hanno utilizzato la crittografia XOR non sicura per i dati. Inoltre, quando si utilizza AES per i dati, possono sbagliare utilizzandolo nella modalità / combinazione sbagliata. OPAL sembra utilizzare solo le funzioni integrate dal mio primo sguardo.

Non so se sia possibile aggirare la crittografia come nel tuo secondo link, ma sarebbe un pessimo segnale per la crittografia.

Quindi fondamentalmente la domanda è quanto sia importante la crittografia dei dati per te e quanto ti fidi della crittografia integrata. Se non esiste un controllo di sicurezza per esatto modello da una società di sicurezza esterna affidabile, non lo userei per più importante della lista dei regali di Natale per tua moglie.

Per qualsiasi altra cosa vorrei usare una crittografia indipendente come TrueCrypt / LUKS / EncFS / .... Quando si utilizza la crittografia completa del disco su SSD, lasciare uno spazio inutilizzato per il livellamento dell'usura. Quando si utilizza la crittografia basata su file come EncFS, un utente malintenzionato può ottenere informazioni sulla struttura di file / cartelle e le dimensioni dei file. Per alcuni questo è un problema, per alcuni no.

    
risposta data 13.12.2015 - 20:34
fonte