Samsung SSD 840 Evo Disk-Encryption

Non ho trovato informazioni come questa, e non sono sicuro che sia disponibile. Recentemente ho usato uno di questi dischi con la password di hard disk abilitata. La crittografia AES su questi dischi è questa semplice da usare e funziona in modo eccellente.

Ma non c'è modo di verificare che funzioni effettivamente. È la crittografia della scatola nera.

Qualche tempo fa ho risposto a una domanda simile su questo tipo di crittografia su dischi rotanti:

Sblocca il disco rigido contro la crittografia del disco intero

This is black-box encryption It's black-box because although they claim to use AES128, there's no reasonable way to verify it. And although they claim to do it properly, there's no way to inspect their implementation.

A few years ago I sent them a simple question... if all the drives ship from the factory with encryption turned on, then how do they seed their random key?

I never got an answer and I never heard anyone provide a reasonable explanation. For all we know, all the keys on all the drives are identical. Unless you have a method to bypass the drive electronics to read the raw, encrypted platters, you will never know. Even if you execute a ATA SE "secure erase" function to delete the key, you don't know how the new key is being generated.

Recentemente mi sono occupato di questo argomento da principiante e posso condividere quello che ho trovato finora.

Innanzitutto, le password ATA per sfruttare la crittografia hardware EVO sono semplici. L'ho fatto usando il mio mobo ASRock Extreme6 e il loro BIOS 1.07B aggiornato.

Il drive quando viene estratto da quella macchina e messo su un'altra macchina è completamente illeggibile, anche per alcune cose di software forense di base che ho. È anche veloce, non ho visto alcun risultato, anche se non ho fatto test approfonditi.

Sono d'accordo sul fatto che la crittografia Samsung sia una scatola nera: nessuno sembra sapere cosa hanno fatto.
Gli svantaggi sono duplici:

1. È sicuro; così sicuro, che se si dimentica la password i dati vengono tostati. Non ci sono crepe o backdoor del software.

2. Questa crittografia è basata su un singolo chip del controller nell'SSD e, se il chip va, tu verrai nuovamente colpito. Quindi mantenere i backup NON criptati (chiuso fuori sede in un posto sicuro) sembra una buona idea.

Quindi, ancora una volta, questi aspetti negativi sono relativi: vuoi qualcosa di così sicuro da non essere incrinato, e i problemi software potrebbero rendere la crittografia del software andare a male.

Posso confermare che le prestazioni delle unità con crittografia hardware sono molto meglio della crittografia del software. In effetti, trovo che la crittografia del software ostacola così tanto le prestazioni, è quasi insopportabile fare "heavy lifting" come usare macchine virtuali, software di compilazione, ecc.

Il design di queste unità sembra fondamentalmente corretto. Si basano sul modello di password come TrueCrypt, piuttosto che sul modello TPM come BitLocker, il che va bene, purché si usi una buona password.

Non ho motivo di non credere alle affermazioni di Samsung. Tuttavia, non ho visto personalmente alcuna prova diretta della loro crittografia. Per verificare ciò, è necessario un lavoro moderatamente serio, in quanto è necessario rimuovere la scheda controller da un'unità e sostituirla con una non crittografica. Bene, è quello che faresti per un disco rigido, non so se è possibile per un SSD. Ad ogni modo, non è qualcosa che tenterò.

Questi tipi di unità non hanno nulla a che fare con "trusted computing". BitLocker (crittografia del disco di Microsoft) memorizza le chiavi nel TPM, che è correlato al trusted computing. Le opinioni su questo argomento variano e non ho alcuna obiezione intrinseca al TPM, ma per un disco che richiede una password BIOS sono irrilevanti.

L'SSD attualmente crittografa tutti i dati per impostazione predefinita. L'unità ha una chiave di crittografia codificata nel firmware del dispositivo. Tutti i dati sono crittografati / decifrati con questa chiave. Anche se non si imposta una password HDD in Bios, i dati sono ancora crittografati sul disco raw.

L'unico scopo della password del bios è limitare l'accesso alla chiave di crittografia memorizzata nel firmware. Solo dopo aver immesso la password HDD corretta all'avvio, viene recuperata la chiave di crittografia e viene avviata la crittografia / decrittografia. L'impostazione della password dell'HDD in modalità bios accoppia strettamente il tuo SSD con il tuo bios che aumenta la sicurezza dell'accesso ai dati. Chiunque abbia accesso al tuo sistema deve prima digitare la password dell'HDD per avviarsi dall'unità.