Come faccio a verificare che il mio SSD opale FDE / SED sia effettivamente crittografato

Question

Come faccio a verificare che il mio SSD opale FDE / SED sia effettivamente crittografato

#1 da (2 voti)
#2 da (0 voti)

1

... preferibilmente senza dover rimuovere l'unità dal laptop?

Mi piacerebbe testare esplicitamente che i dati siano effettivamente crittografati a riposo sul mio SSD ma non riesco a pensare a un modo; ad esempio: anche se avvio il mio portatile da una chiave USB Linux senza inserire la password del disco fisso, non vedrò l'unità. Qualcuno può consigliare un test a prova di idiota?

Background: ho un nuovo laptop (ThinkPad X1 Carbon gen 5), che è supposto venire con un Opal SSD. La mia comprensione - basata su una documentazione del produttore piuttosto concisa - è che un Opal SSD crittografa in ogni momento (si presume che non sia possibile disattivarlo) e che per impedire l'accesso non autorizzato, dovrei impostare una "Password disco rigido1".

Uno dei problemi che ho riscontrato è che il produttore di SSD (Samsung) non si preoccupa nemmeno di fornire alcuna informazione sulla capacità Opal del drive, quindi per quanto ne so, potrebbe perfettamente memorizzare tutto in testo in chiaro.

ssd disk-encryption

posta sxc731 13.05.2017 - 19:20

fonte

2 risposte

0

Poiché entrambi i metodi Opal e ATA Drive Password (tramite BIOS) funzionano sfruttando la capacità intrinseca dell'hardware SSD di crittografare l'hardware, non solo tali metodi sono affidabili (supponendo che non sia presente "master override master" sul produttore di SSD o sul BIOS maker livello), ma sono impossibili da decifrare una volta spento l'SSD. Non così sicuro se l'SSD è in modalità sleep, comunque.

Gli SSD come EVO, Intel e simili essenzialmente stanno sempre "crittografando" tramite i loro chip controller ... essenzialmente i dati arrivano, il controller "casualmente" colloca i dati in qualche posto sul drive. Tuttavia, senza aggiungere una password, questa crittografia è aperta (è in una cassastrong, ma la porta è lasciata aperta) e non è sicura. Certo, l'aggiunta di una password ATA Drive nel BIOS non ti darà alcun risultato in termini di prestazioni sull'unità e sicurezza ridicola (al punto in cui perdi la password, sei fregato ... a meno che il produttore del BIOS non abbia una password principale da qualche parte). Il problema con l'approccio ATA Drive PW: se la tua macchina è fritta, devi trovare un altro con un BIOS compatibile per inserire la password. Per divertimento, fai una ricerca per la quale Mobo ha BIOS che supportano le password di ATA Drive. Alcuni lo fanno, ma nessuno si preoccupa di dire se lo fanno o no. Strano. Per quanto riguarda Opal, utilizzo Symantec Desktop Encryption per un singolo Win7 x64 Ultimate (Sophos WinMagic fallito, Bitlocker era troppo pignolo per funzionare, le schede sono piene di problemi nell'avvio in Win7 ultimate, anche se potrebbe essere più facile in Win7) - dal momento che funziona nel pre-avvio, c'è un rallentamento di 5 secondi per il caricamento delle finestre, ed è l'unico risultato in termini di prestazioni, dal momento che utilizza la crittografia hardware sul SED Samsung 840 EVO.

In conclusione, la sicurezza hardware di SED è talmente solida che non è possibile confermare la crittografia perché è troppo crittografata. Questo è il motivo per cui i produttori di Mobo sono preoccupati di rendere disponibili le password del BIOS ATA ... se la password viene persa, tutti i dati sono andati per sempre.

risposta data 08.09.2017 - 19:20
fonte

Leggi altre domande sui tag ssd disk-encryption

Proxying MetaSploit tramite BurpSuite WannaCry Ransomware influenza le macchine virtuali collegate in rete? [chiuso]

score 2 · Answer 1

non puoi verificare in modo indipendente la funzione di crittografia delle unità OPAL perché

la crittografia e la derivazione della password avvengono in modo trasparente: o hai una password protetta disco che non consente richieste di lettura o è possibile R / W liberamente dopo lo sblocco con la password corretta. Tutto accade all'interno del disco. Anche il controller BIOS / SATA non ha accesso al datastream crittografato, agli hash delle password, alle chiavi principali ecc.

il firmware che gestisce l'archiviazione delle password, la derivazione delle chiavi e l'impostazione della crittografia è top secret

i produttori non pubblicano dettagli tecnici o white paper sulle loro implementazioni per motivi sconosciuti

La crittografia del disco completo del software (VeraCrypt, BitLocker) è veloce, comprovata e affidabile e l'unica soluzione per i veri paranoici.

score 0 · Answer 2

Poiché entrambi i metodi Opal e ATA Drive Password (tramite BIOS) funzionano sfruttando la capacità intrinseca dell'hardware SSD di crittografare l'hardware, non solo tali metodi sono affidabili (supponendo che non sia presente "master override master" sul produttore di SSD o sul BIOS maker livello), ma sono impossibili da decifrare una volta spento l'SSD. Non così sicuro se l'SSD è in modalità sleep, comunque.

Gli SSD come EVO, Intel e simili essenzialmente stanno sempre "crittografando" tramite i loro chip controller ... essenzialmente i dati arrivano, il controller "casualmente" colloca i dati in qualche posto sul drive. Tuttavia, senza aggiungere una password, questa crittografia è aperta (è in una cassastrong, ma la porta è lasciata aperta) e non è sicura. Certo, l'aggiunta di una password ATA Drive nel BIOS non ti darà alcun risultato in termini di prestazioni sull'unità e sicurezza ridicola (al punto in cui perdi la password, sei fregato ... a meno che il produttore del BIOS non abbia una password principale da qualche parte). Il problema con l'approccio ATA Drive PW: se la tua macchina è fritta, devi trovare un altro con un BIOS compatibile per inserire la password. Per divertimento, fai una ricerca per la quale Mobo ha BIOS che supportano le password di ATA Drive. Alcuni lo fanno, ma nessuno si preoccupa di dire se lo fanno o no. Strano. Per quanto riguarda Opal, utilizzo Symantec Desktop Encryption per un singolo Win7 x64 Ultimate (Sophos WinMagic fallito, Bitlocker era troppo pignolo per funzionare, le schede sono piene di problemi nell'avvio in Win7 ultimate, anche se potrebbe essere più facile in Win7) - dal momento che funziona nel pre-avvio, c'è un rallentamento di 5 secondi per il caricamento delle finestre, ed è l'unico risultato in termini di prestazioni, dal momento che utilizza la crittografia hardware sul SED Samsung 840 EVO.

In conclusione, la sicurezza hardware di SED è talmente solida che non è possibile confermare la crittografia perché è troppo crittografata. Questo è il motivo per cui i produttori di Mobo sono preoccupati di rendere disponibili le password del BIOS ATA ... se la password viene persa, tutti i dati sono andati per sempre.