Wie verschlüssele ich eine Samsung Evo 840 SSD?

Ich habe einen HP Envy 15-j005ea- Laptop gekauft, den ich auf Windows 8.1 Pro aktualisiert habe. Ich habe auch die Festplatte entfernt und durch eine 1 TB Samsung Evo 840 SSD ersetzt. Ich möchte jetzt das Laufwerk verschlüsseln, um den Quellcode meines Unternehmens und meine persönlichen Dokumente zu schützen, aber ich kann nicht herausfinden, wie das geht oder ob es überhaupt möglich ist.

Ich habe festgestellt, dass es nicht empfohlen wird, Truecrypt auf einer SSD zu verwenden. Bitte korrigieren Sie mich, wenn ich mich irre. Ich verstehe auch, dass der 840 Evo über eine integrierte 256-Bit-AES-Verschlüsselung verfügt. Es wird daher empfohlen, diese zu verwenden.

Der Evo wurde auf die neueste EXT0BB6Q-Firmware aktualisiert und ich habe den neuesten Samsung Magician. Ich weiß nicht, welche UEFI-Stufe ich habe, aber ich weiß, dass die Maschine im Dezember 2013 gebaut wurde und das F.35-BIOS von Insyde hat.

Das habe ich versucht:

• Bitlocker. Die neueste Samsung-Firmware ist angeblich mit Windows 8.1 eDrive kompatibel. Daher habe ich die Anweisungen in einem Anandtech-Artikel befolgt und . Zunächst scheint der Laptop keinen TPM-Chip zu haben, daher musste ich Bitlocker erlauben, ohne TPM zu arbeiten. Nachdem ich das gemacht hatte, versuchte ich Bitlocker einzuschalten. Anandtech sagt: "Wenn alles mit eDrive kompatibel ist, werden Sie nicht gefragt, ob Sie das gesamte Laufwerk oder einen Teil davon verschlüsseln möchten, nachdem Sie die anfängliche Einrichtung durchgeführt haben. BitLocker wird nur aktiviert. Es gibt keine zusätzliche Verschlüsselungsstufe (seit den Daten) ist bereits auf Ihrer SSD verschlüsselt.) Wenn Sie etwas falsch gemacht haben oder ein Teil Ihres Systems nicht eDrive-kompatibel ist, erhalten Sie eine Fortschrittsanzeige und einen etwas längeren Software-Verschlüsselungsprozess. " Leider ich war Ich wurde gefragt, ob ich das gesamte Laufwerk oder einen Teil davon verschlüsseln möchte.

• Einstellen des ATA-Passworts im BIOS. Ich habe anscheinend keine solche Option im BIOS, nur ein Administratorkennwort und ein Startkennwort.

• Mit Magier. Es hat eine Registerkarte "Datensicherheit", aber ich verstehe die Optionen nicht vollständig und vermute, dass keine anwendbar sind.

Die Informationen in dieser Frage und Antwort haben geholfen, aber meine Frage nicht beantwortet.

Dann möchte ich wissen, wie ich mein Solid-State-Laufwerk im HP Envy 15 verschlüssle, oder habe ich tatsächlich Pech? Gibt es alternative Möglichkeiten oder muss ich entweder unverschlüsselt leben oder den Laptop zurückgeben?

Es gibt eine ähnliche Frage zu Anandtech, die jedoch weiterhin unbeantwortet bleibt.

Das Passwort muss im BIOS unter der ATA-Sicherheitserweiterung eingestellt werden. Normalerweise gibt es eine Registerkarte im BIOS-Menü mit dem Titel "Sicherheit". Die Authentifizierung findet auf BIOS-Ebene statt, daher hat dieser Software-Assistent keinerlei Einfluss auf die Einrichtung der Authentifizierung. Es ist unwahrscheinlich, dass ein BIOS-Update das Festplattenkennwort aktiviert, wenn es zuvor nicht unterstützt wurde.

Zu sagen, dass Sie die Verschlüsselung einrichten, ist irreführend. Die Sache ist, dass das Laufwerk IMMER jedes Bit verschlüsselt, das es auf die Chips schreibt. Der Festplattencontroller führt dies automatisch aus. Durch das Festlegen eines Festplattenkennworts für das Laufwerk wird die Sicherheitsstufe von null auf nahezu unzerbrechlich erhöht. Nur ein in böswilliger Absicht erstellter Hardware-Keylogger oder ein von NSA stammender Remote-BIOS-Exploit konnten das Passwort zur Authentifizierung abrufen ;-) <- Ich vermute. Ich bin nicht sicher, was sie mit dem BIOS noch machen können. Der Punkt ist, dass es nicht völlig unüberwindbar ist, aber je nachdem, wie der Schlüssel auf dem Laufwerk gespeichert ist, ist es die derzeit sicherste Methode zur Festplattenverschlüsselung. Das heißt, es ist total übertrieben. BitLocker ist wahrscheinlich für die meisten Sicherheitsanforderungen von Verbrauchern ausreichend.

Wenn es um Sicherheit geht, lautet die Frage vermutlich: Wie viel möchten Sie?

Die hardwarebasierte vollständige Festplattenverschlüsselung ist um mehrere Größenordnungen sicherer als die vollständige Festplattenverschlüsselung auf Software-Ebene wie TrueCrypt. Es hat auch den zusätzlichen Vorteil, dass die Leistung Ihrer SSD nicht beeinträchtigt wird. Die Art und Weise, wie SSDs ihre Teile verstauen, kann manchmal zu Problemen mit Softwarelösungen führen. Hardwarebasiertes FDE ist zwar weniger unübersichtlich, eleganter und sicherer, hat sich aber selbst bei denjenigen, die es für nötig halten, ihre wertvollen Daten zu verschlüsseln, nicht "durchgesetzt". Das ist überhaupt nicht schwierig, aber leider unterstützen viele BIOS einfach nicht die "HDD-Passwort" -Funktion (NICHT zu verwechseln mit einem einfachen BIOS-Passwort, das von Amateuren umgangen werden kann). Ich kann Ihnen so ziemlich garantieren, ohne in Ihrem BIOS nachzuschauen, dass Ihr BIOS nicht funktioniert, wenn Sie die Option noch nicht gefunden haben. ' Ich unterstütze es nicht und du hast kein Glück. Es ist ein Firmware-Problem und es gibt nichts, was Sie tun können, um die Funktion hinzuzufügen, außer Ihr BIOS mit etwas wie hdparm zu aktualisieren, was so unverantwortlich ist, dass selbst ich es nicht versuchen würde. Das hat nichts mit dem Laufwerk oder der mitgelieferten Software zu tun. Dies ist ein Motherboard-spezifisches Problem.

ATA ist nichts weiter als eine Reihe von Anweisungen für das BIOS. Was Sie festlegen möchten, ist ein Festplattenbenutzer- und -master-Kennwort, mit dem Sie sich bei dem eindeutigen Schlüssel authentifizieren können, der sicher auf dem Laufwerk gespeichert ist. Mit dem Benutzerpasswort kann das Laufwerk entsperrt und der Startvorgang wie gewohnt fortgesetzt werden. Gleiches gilt für "Master". Der Unterschied besteht darin, dass ein "Master" -Kennwort erforderlich ist, um Kennwörter im BIOS zu ändern oder den Verschlüsselungsschlüssel im Laufwerk zu löschen, wodurch alle Daten sofort unzugänglich und nicht wiederherstellbar sind. Dies wird als "Secure Erase" -Funktion bezeichnet. Unter dem Protokoll wird eine 32-Bit-Zeichenfolge unterstützt, dh ein 32-Zeichen-Kennwort. Von den wenigen Laptop-Herstellern, die das Festlegen eines Festplattenkennworts im BIOS unterstützen, sind die meisten Zeichen auf 7 oder 8 beschränkt. Es ist mir ein Rätsel. Vielleicht hatte Stallman recht mit dem proprietären BIOS.

Der einzige Laptop (so gut wie kein Desktop-BIOS unterstützt das Festplattenkennwort), mit dem Sie ein 32-Bit-Festplattenbenutzer- und -master-Kennwort in voller Länge festlegen können, ist ein Lenovo ThinkPad der T- oder W-Serie. Zuletzt habe ich gehört, dass einige ASUS-Notebooks eine solche Option in ihrem BIOS haben. Dell beschränkt das Festplattenkennwort auf schwache 8 Zeichen.

Ich kenne den Schlüsselspeicher von Intel-SSDs viel besser als Samsung. Intel war meines Erachtens das erste Unternehmen, das On-Chip-FDE in seinen Laufwerken, der 320-Serie und so weiter anbot. Obwohl das AES 128-Bit war. Ich habe mich nicht eingehend mit der Implementierung von Schlüsselspeichern in dieser Samsung-Serie befasst, und bis jetzt weiß es noch niemand so genau. Offensichtlich hat Ihnen der Kundenservice nicht weitergeholfen. Ich habe den Eindruck, dass nur fünf oder sechs Leute in einem Technologieunternehmen etwas über die Hardware wissen, die sie verkaufen. Intel schien sich zu sträuben, die Einzelheiten zu klären, aber irgendwann antwortete ein Unternehmensvertreter irgendwo in einem Forum. Denken Sie daran, dass diese Funktion für die Hersteller von Laufwerken völlig nachträglich ist. Sie wissen oder kümmern sich nicht darum und 99,9 Prozent ihrer Kunden auch nicht. Es ist nur ein weiterer Aufzählungspunkt auf der Rückseite der Schachtel.

Hoffe das hilft!

Ich habe es heute endlich geschafft und wie Sie glaube ich, dass ich auch kein ATA-Passwort-Setup im BIOS habe (zumindest nicht, was ich sehen kann). Ich habe die BIOS-Benutzer- / Administratorkennwörter aktiviert und mein PC verfügt über einen TPM-Chip, BitLocker sollte jedoch ohne einen (USB-Schlüssel) funktionieren. Wie Sie saß auch ich genau an der gleichen Stelle an der BitLocker-Eingabeaufforderung fest, um nur die Daten oder die gesamte Festplatte zu verschlüsseln.

Mein Problem war, dass meine Windows-Installation nicht UEFI war, obwohl mein Motherboard UEFI unterstützt. Sie können Ihre Installation überprüfen, indem Sie msinfo32den Befehl run eingeben und den Bios-Modus überprüfen. Wenn etwas anderes angezeigt UEFIwird, müssen Sie Windows von Grund auf neu installieren.

Lesen Sie diese schrittweise Anleitung zum Verschlüsseln von Samsung SSD in einem ähnlichen Beitrag in diesem Forum.

Software-Verschlüsselung

TrueCrypt 7.1a eignet sich gut für die Verwendung auf SSDs. Beachten Sie jedoch, dass es die IOP-Leistung wahrscheinlich um ein beträchtliches Maß verringert, obwohl das Laufwerk immer noch eine mehr als zehnmal bessere IOP-Leistung als die Festplatte aufweist. Wenn Sie die in Magician aufgelisteten Optionen nicht verwenden können, ist TrueCrypt eine Option zum Verschlüsseln des Laufwerks, die jedoch Berichten zufolge unter Windows 8 und späteren Dateisystemen nicht sehr gut funktioniert. Aus diesem Grund ist BitLocker mit vollständiger Festplattenverschlüsselung eine bessere Option für diese Betriebssysteme.

TCG Opal

TCG Opal ist im Grunde ein Standard, mit dem eine Art Mini-Betriebssystem auf einem reservierten Teil des Laufwerks installiert werden kann. Dies dient nur dazu, dem Laufwerk das Booten zu ermöglichen und dem Benutzer ein Kennwort zum Gewähren des Zugriffs auf das Laufwerk zu geben . Für die Installation dieser Funktion stehen verschiedene Tools zur Verfügung, darunter einige Berichten zufolge stabile Open Source-Projekte. Windows 8 und höher BitLocker sollten diese Funktion jedoch unterstützen.

Ich habe kein Windows 8 oder höher, daher kann ich keine Anleitung zum Einrichten dieser Funktion geben, aber meine Lektüre zeigt an, dass diese Funktion nur bei der Installation von Windows und nicht nach der Installation verfügbar ist. Erfahrene Benutzer können mich gerne korrigieren.

ATA-Passwort

Die ATA-Kennwortsperre ist eine optionale Funktion des ATA-Standards, der von Laufwerken der Samsung 840-Serie und höher sowie von Tausenden anderen unterstützt wird. Dieser Standard bezieht sich nicht auf ein BIOS und kann über eine beliebige Anzahl von Methoden aufgerufen werden. Ich empfehle nicht, ein BIOS zum Festlegen oder Verwalten des ATA-Kennworts zu verwenden, da das BIOS möglicherweise nicht dem ATA-Standard entspricht. Ich habe Erfahrung mit meiner eigenen Hardware, die diese Funktion offenbar unterstützt, aber tatsächlich nicht konform ist.

Beachten Sie, dass bei der Suche nach dieser Funktion viele Diskussionen darüber geführt werden, dass die ATA-Sperrfunktion zum Schutz von Daten nicht als sicher eingestuft werden sollte. Dies gilt im Allgemeinen nur für Festplatten, die keine selbstverschlüsselnden Laufwerke (Self Encrypting Drives, SED) sind. Da es sich bei den Samsung-Laufwerken der Serie 840 und höher um SSDs und SEDs handelt, sind diese Diskussionen einfach nicht anwendbar. Die mit einem ATA-Kennwort gesperrte Samsung 840-Serie und höher sollte für Ihre Verwendung sicher genug sein, wie in dieser Frage beschrieben.

Der beste Weg, um sicherzugehen, dass Ihr BIOS das Entsperren eines mit einem ATA-Kennwort gesperrten Laufwerks unterstützt, besteht darin, ein Laufwerk zu sperren, es auf dem Computer zu installieren, den Computer zu starten und zu prüfen, ob ein Kennwort angefordert wird und ob das eingegebene Kennwort das Laufwerk entsperren kann.

Dieser Test sollte nicht auf einem Laufwerk mit Daten durchgeführt werden, die Sie nicht verlieren möchten.

Glücklicherweise muss das Testlaufwerk nicht unbedingt das Samsung-Laufwerk sein, da es sich um ein beliebiges Laufwerk handeln kann, das den ATA-Standardsicherheitssatz unterstützt und auf dem Zielcomputer installiert werden kann.

Die beste Möglichkeit, auf die ATA-Funktionen eines Laufwerks zuzugreifen, ist das Linux-Befehlszeilenprogramm hdparm. Selbst wenn Sie keinen Computer mit Linux haben, gibt es viele Distributionen, deren Installations-Image auch das Ausführen des Betriebssystems "live" von den Installationsmedien unterstützt. Ubuntu 16.04 LTS sollte zum Beispiel auf den meisten Computern einfach und schnell installiert werden können und dasselbe Image kann auch auf Flash-Medien geschrieben werden, um auf Systemen ohne optische Laufwerke ausgeführt zu werden.

Ausführliche Anweisungen zum Aktivieren der ATA-Kennwortsicherheit werden in dieser Frage nicht behandelt. Ich fand jedoch, dass dieses Lernprogramm eines der besten für diese Aufgabe ist.

Aktivieren der ATA-Sicherheit auf einer selbstverschlüsselnden SSD

Beachten Sie, dass die maximale Kennwortlänge 32 Zeichen beträgt. Ich empfehle, den Test mit einem 32-stelligen Passwort durchzuführen, um sicherzustellen, dass das BIOS den Standard korrekt unterstützt.

Installieren Sie bei ausgeschaltetem Zielcomputer und gesperrtem Laufwerk-ATA-Kennwort das Laufwerk und starten Sie das System. Wenn das BIOS nicht nach einem Kennwort zum Entsperren des Laufwerks fragt, unterstützt das BIOS das Entsperren des ATA-Kennworts nicht. Wenn Sie das Kennwort anscheinend vollständig korrekt eingeben, das Laufwerk jedoch nicht entsperren, unterstützt das BIOS möglicherweise den ATA-Standard nicht ordnungsgemäß und sollte daher nicht als vertrauenswürdig eingestuft werden.

Es kann eine gute Idee sein, auf irgendeine Weise zu überprüfen, ob das System das entsperrte Laufwerk ordnungsgemäß liest, z. B. indem ein Betriebssystem installiert und ordnungsgemäß geladen wird oder neben einem Betriebssystemlaufwerk installiert wird, das das Testlaufwerk lädt und einbinden kann, und Lesen und Schreiben von Dateien ohne Probleme.

Wenn der Test erfolgreich ist und Sie sich sicher sind, die Schritte wiederholen zu können, ändert das Aktivieren des ATA-Kennworts auf einem Laufwerk, einschließlich eines Laufwerks mit installiertem Betriebssystem, nichts am Datenteil des Laufwerks. Daher sollte es nach dem Aufrufen von normal gestartet werden Passwort im BIOS.

Ich weiß nicht, ob Sie dies gesehen oder bereits behoben haben, aber hier ist ein Link speziell von Samsung zu Ihrem EVO 840. http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/ about / whitepaper06.html

Um den in der SSD integrierten Hardware-AES-Verschlüsseler zu aktivieren, müssen sie im Wesentlichen das Festplattenkennwort im System-BIOS festlegen. Die "User / Admin / Setup" -Passwörter sind genau das. Das Festlegen des Festplattenkennworts sollte jedoch an die SSD weitergeleitet werden. Dies erfordert die manuelle Eingabe des Kennworts bei jedem Einschalten des Computers und funktioniert nicht mit TPM-Chips oder anderen PassKeys. Außerdem kann ich nicht genug betonen, dass JEDER, der Verschlüsselung verwendet, sicherstellen muss, dass seine Daten gesichert werden. Das Wiederherstellen von Daten von einem ausgefallenen / beschädigten verschlüsselten Laufwerk ist nahezu unmöglich, ohne einen spezialisierten Dienst in Anspruch zu nehmen.

"Ich benötige keine NSA-Sicherheitsstufe"

Nun, warum sollte man es nicht trotzdem benutzen, da es kostenlos ist?

Nachdem ich Schulklassen für Computersicherheit und Computerforensik besucht hatte, entschloss ich mich, mein Laufwerk zu verschlüsseln. Ich habe mir viele Möglichkeiten angesehen und bin sehr froh, dass ich mich für DiskCrypt entschieden habe. Es ist einfach zu installieren, benutzerfreundlich, Open Source mit bereitgestellten PGP-Signaturen, Anweisungen, wie Sie es selbst kompilieren können, um sicherzustellen, dass die EXE-Datei mit der Quelle übereinstimmt, die Laufwerke automatisch gemountet werden und die Pre-Boot-PW-Eingabeaufforderung falsch eingestellt werden kann -pw Aktion, und es wird AES-256 verwenden.

Jede moderne CPU führt eine AES-Verschlüsselungsrunde in einem SINGLE-Maschinenbefehl durch (das Verschlüsseln der Daten eines Sektors dauert einige Dutzend Runden). Auf meinen eigenen Benchmarks läuft AES elfmal schneller als Software-implementierte Chiffren wie Blowfish. DiskCryptor kann Daten um ein Vielfaches schneller verschlüsseln, als der PC sie von der Festplatte lesen und schreiben kann. Es gibt KEINEN messbaren Overhead.

Ich verwende eine TEC-gekühlte, hochgefahrene 5-GHz-Maschine, sodass Ihre Laufleistung variieren würde, aber nicht sehr. Die für das Ver- / Entschlüsseln erforderliche CPU-Zeit war zu niedrig (dh unter 1%).

Sobald Sie es eingerichtet haben, können Sie es völlig vergessen. Der einzige spürbare Effekt ist, dass Sie Ihr PW beim Booten eingeben müssen, worüber ich mich sehr freue.

Das Gerücht, dass SSDs nicht verschlüsselt werden, habe ich noch nie gehört. Es ist auch nicht gerechtfertigt. Verschlüsselte Daten werden genau wie normale Daten vom Laufwerk geschrieben und gelesen. Es werden nur die Bits im Datenpuffer verschlüsselt. Sie können chkdsk / f und jedes andere Festplatten-Dienstprogramm auf einem verschlüsselten Laufwerk ausführen.

Und BTW, im Gegensatz zu anderen Programmen, hält Diskkeeper Ihren Pw nicht im Speicher. Es verwendet einen One-Way-Hash-Schlüssel für die Verschlüsselung, überschreibt Ihre falsch getippten Pwds im Speicher und unternimmt große Anstrengungen, um sicherzustellen, dass bei der PW-Eingabe und -Validierung keine Paging-Datei verloren geht.

https://diskcryptor.net/wiki/Main_Page

Ich habe dies an einer anderen Stelle in Super User gepostet, aber da dies ein Thread war, den ich verwendet habe, um mich weiterzubilden, wollte ich auch hier die Basis berühren.

ATA Password vs Software-Verschlüsselung für die vollständige Festplattenverschlüsselung in Samsung 840/850 EVO- und Intel-SSDs

Vorteile: Einfach, ohne Leistungseinbußen, extrem sicher: Discs können auf anderen Computern ohne ATA-Passwort nicht gelesen werden

Nachteile: Sie benötigen ein BIOS mit der ATA-Kennwortoption (HP- und Lenovo-Laptops scheinen dies zu haben, die meisten Desktop-Mobos jedoch nicht. Ausnahme: ASRock hat kürzlich ihr 1.07B-BIOS für die Extreme-Serie geschrieben und es funktioniert). Außerdem ist es so sicher, dass die Daten nicht wiederherstellbar sind, wenn Sie das Kennwort verlieren. Jedermann scheint es. Schließlich hängt alles von einem Controller-Chip auf der SSD ab, und wenn dieser Chip kaputt geht, sind die Daten fertig. Für immer.

Hoffe das trägt zur Diskussion bei.

Einstellen des ATA-Passworts im BIOS. Ich habe anscheinend keine solche Option im BIOS, nur ein Administratorkennwort und ein Startkennwort. Schade, das ist die einfachste Option, die Sie haben.

Zweitens ist Win 8.1 + Bitlocker, aber die ganze Neuinstallation ist ärgerlich

Mir ist kein foss tcg opal sw bekannt und die kostenpflichtigen Versionen kosten wahrscheinlich viel

truecrypt funktioniert, aber wenn Ihre CPU nicht über AES-NI verfügt, kann dies auffällig sein

Und vergessen Sie nicht, Ihre Daten zu sichern. Verschlüsselte Daten sind viel schwieriger wiederherzustellen

Bei der Installation vieler Linux-Distributionen haben Sie die Möglichkeit, den Ordner / home zu verschlüsseln. Zu diesem Zeitpunkt werden Sie beim Verschlüsseln des Ordners / home (auch als Bereitstellungspunkt bezeichnet) aufgefordert, ein Kennwort zweimal einzugeben (erforderlich).

Im Grunde genommen ist Ihr / home-Ordner verschlüsselt.

Samsung sollte werkseitig "vorverschlüsselt" werden.

Dies bedeutet normalerweise, dass ohne das Kennwort kein Zugriff auf die Festplatteninformationen möglich ist.

Das obige habe ich getan. Wenn ich Glück habe, sollte die Samsung-Verschlüsselung mit einer anderen Schicht von Linux-Software-Verschlüsselung mich vor den meisten schändlichen Personen, Unternehmen und Regierungen relativ sicher machen.

Ich hatte nicht das Bedürfnis, die Festplatte über das BIOS mit einem Passwort zu versehen.

Es ist schon schwer genug, sich mehrere Passwörter zu merken. KeepassX kann in dieser Hinsicht von Nutzen sein.

Für die wirklich Paranoiden könnten Sie das Samsung EVO im BIOS mit einem Passwort versehen, bei der Installation Linux verwenden, um das Laufwerk per Software zu verschlüsseln, und dann ein Open Source-Verschlüsselungsprogramm verwenden (nicht truecrypt wegen vermuteter Hintertüren und Sicherheitslücken).

Mit KeepassX können Sie sich die langen, komplizierten Passwörter merken und sogar das Flash-Laufwerk mit einem Passwort schützen.

Wenn Sie kein Verbrecher sind oder etwas so Wertvolles haben, dass Sie so viel Sicherheit benötigen, ist das Meiste Zeitverschwendung.

Es ist möglicherweise einfacher, Ihren Quellcode auf einem verschlüsselten Flash-Laufwerk wie IronKey zu belassen, damit Sie keine Leistungseinbußen hinnehmen oder Probleme mit dem Laufwerk haben. Auch persönliche Dokumente können dort abgelegt werden.