it-swarm-ja.com

Samsung Evo 840 SSDを暗号化するにはどうすればよいですか?

Windows 8.1 Proにアップグレードした HP Envy 15-j005ea ラップトップを購入しました。 HDDも取り外して、1 TBのSamsung Evo 840 SSDに交換しました。ドライブを暗号化して会社のソースコードと個人のドキュメントを保護したいのですが、その方法や、それが可能かどうかを判断できません。

SSDでTruecryptを使用することはお勧めしません ですが、間違っている場合は修正してください。また、840 Evoには256ビットのAES暗号化が組み込まれているので、それを使用することをお勧めします。

Evoは最新の EXT0BB6Qファームウェア に更新され、最新のSamsung Magicianを使用しています。自分のUEFIレベルはわかりませんが、マシンが2013年12月に製造され、Insyde製のF.35 BIOSが搭載されていることはわかります。

これは私が試したものです:

  • Bitlocker。最新のSamsungファームウェアはWindows 8.1 eDriveと互換性があると思われるため、 Anandtechの記事 にある指示に従いました。まず第一に、ラップトップにはTPMチップがないように見えるので、TPMなしでBitlockerを動作させる必要がありました。それが終わったら、Bitlockerをオンにしようとしました。 Anandtechは、「すべてがeDriveに準拠している場合、初期設定を行った後、ドライブのすべてまたは一部を暗号化するかどうかを尋ねられることはありません。BitLockerが有効になるだけです。追加の暗号化ステージはありません(データはすでにSSDで暗号化されています。何か間違ったことをしたり、システムの一部がeDriveに準拠していない場合は、進捗インジケーターとやや長いソフトウェア暗号化プロセスが表示されます。」残念ながら、私ドライブのすべてまたは一部を暗号化するかどうかを尋ねられたので、キャンセルしました。

  • BIOSでATAパスワードを設定します。 BIOSにはこのようなオプションがないようです。管理者パスワードと起動パスワードのみです。

  • マジシャンの使用。 [データセキュリティ]タブがありますが、オプションを完全に理解していないため、該当するものはないと思われます。

enter image description here

この質問と回答 の情報は役に立ちましたが、私の質問には回答しませんでした。

明らかに、私が知りたいのは、HP Envy 15でソリッドステートドライブを暗号化する方法ですか、それとも実際に不運なのですか?代替オプションはありますか、それとも暗号化なしで生活するか、ラップトップを返却する必要がありますか?

Anandtechで同様の質問 がありますが、未回答のままです。

14
Stephen Kennedy

私はようやくこれを今日動作させることができました。あなたのように、BIOSにもATAパスワードが設定されていないと思います(少なくとも、私には見えません)。 BIOSのユーザー/管理者パスワードを有効にしましたが、私のPCにはTPMチップがありますが、BitLockerはTPMチップなしで動作するはずです(USBキー)。あなたと同じように、BitLockerプロンプトでもまったく同じ場所で立ち往生していました。データだけまたはディスク全体を暗号化しますか。

私のマザーボードはUEFIをサポートしていますが、私のWindowsインストールはUEFIではないという問題がありました。インストールを確認するには、runコマンドにmsinfo32と入力し、Biosモードを確認します。 UEFI以外のものを読み取る場合は、ウィンドウを最初から再インストールする必要があります。


このフォーラムの関連する投稿で、このSamsung SSDを暗号化するためのステップバイステップの説明ガイドを参照してください。

8
Igor

パスワードは、ATAセキュリティ拡張機能の下のBIOSで設定する必要があります。通常、BIOSメニューには「セキュリティ」というタイトルのタブがあります。認証はBIOSレベルで行われるため、このソフトウェアの「ウィザード」が認証の設定に関係することはありません。以前にサポートされていなかった場合、BIOSアップデートでHDDパスワードが有効になることはほとんどありません。

暗号化を設定していると言うのは誤解を招くものです。問題は、ドライブが常にチップに書き込むすべてのビットを暗号化していることです。ディスクコントローラはこれを自動的に行います。 HDDパスワードをドライブに設定すると、セキュリティレベルがゼロからほとんど破壊されなくなります。悪意を持って設置されたハードウェアキーロガーまたはNSAでスプリングされたリモートBIOSの悪用のみが、パスワードを取得して認証することができます;-) <-私は推測します。彼らがBIOSに対して何ができるかまだわかりません。ポイントは完全に克服できないわけではありませんが、キーがドライブに保存される方法に応じて、現在利用可能なハードドライブ暗号化の最も安全な方法です。とはいえ、それは完全に過剰です。 BitLockerは、ほとんどのコンシューマセキュリティニーズにおそらく十分です。

セキュリティに関して言えば、問題は次のとおりだと思います。

ハードウェアベースのフルディスク暗号化は、TrueCryptのようなソフトウェアレベルのフルディスク暗号化よりも数桁安全です。また、SSDのパフォーマンスを妨げないという利点もあります。 SSDがビットを格納する方法は、ソフトウェアソリューションで問題を引き起こす可能性があります。ハードウェアベースのFDEは、オプションの面倒な点が少なく、エレガントで安全ですが、貴重なデータを十分に暗号化することに関心がある人の間でも、「キャッチ」されていません。まったくトリッキーではありませんが、残念ながら多くのBIOSは「HDDパスワード」機能をサポートしていません(アマチュアが回避できる単純なBIOSパスワードと混同しないでください)。 BIOSを調べなくても、オプションをまだ見つけていない場合、BIOSはそれをサポートしておらず、運が悪いことを保証できます。これはファームウェアの問題であり、hdparmなどのBIOSをフラッシュする以外の機能を追加するためにできることは何もありません。ドライブや付属のソフトウェアとは関係ありません。これはマザーボード固有の問題です。

ATAは、BIOSの命令セットにすぎません。設定しようとしているのは、HDDユーザーとマスターのパスワードです。これは、ドライブに安全に保存されている一意のキーの認証に使用されます。 「ユーザー」パスワードを使用すると、ドライブのロックを解除して、通常どおりに起動することができます。 「マスター」も同じです。違いは、BIOSでパスワードを変更したり、ドライブ内の暗号化キーを消去したりするために「マスター」パスワードが必要なことです。これは「Secure Erase」機能と呼ばれます。プロトコルでは、32ビットの文字列、つまり32文字のパスワードがサポートされています。 BIOSでのHDDパスワードの設定をサポートするいくつかのラップトップメーカーのうち、ほとんどが7または8に文字を制限しています。なぜすべてのBIOS会社がそれをサポートしないのかは私を超えています。多分ストールマンはプロプライエタリBIOSについて正しかったのでしょう。

唯一のラップトップ(HDDパスワードをサポートするデスクトップBIOSはほとんどありません)は、フルレングスの32ビットHDDユーザーおよびマスターパスワードを設定できることを知っていますが、Lenovo ThinkPad TシリーズまたはWシリーズです。最後に、一部のASUSノートブックにはBIOSにそのようなオプションがあると聞きました。デルでは、HDDパスワードを弱い8文字に制限しています。

私は、SamsungよりもIntel SSDの主要なストレージに精通しています。 Intelは、自社のドライブ、320シリーズ以降でオンチップFDEを最初に提供したと思いました。それはAES 128ビットでしたが。私はこのサムスンシリーズがどのようにキーストレージを実装するかについては詳しく調べていません。現時点では誰も知りません。明らかに、顧客サービスはあなたの助けにはなりませんでした。どのテクノロジー企業でも、販売しているハードウェアについて実際に知っているのは5〜6人だけという印象を受けます。 Intelは具体的な内容の説明に消極的だったようですが、最終的には会社の担当者がフォーラムのどこかで回答しました。ドライブの製造元にとって、この機能は完全に後付けであることに注意してください。彼らはそれについて何も知りませんし、気にしませんし、顧客の99.9%パーセントもしません。これは、箱の裏側にあるもう1つの広告の箇条書きです。

お役に立てれば!

8

ソフトウェア暗号化

TrueCrypt 7.1aはSSDでの使用には問題ありませんが、IOPのパフォーマンスはかなり低下する可能性がありますが、ドライブはHDDよりも10倍以上優れたIOPを実行します。したがって、Magicianにリストされているオプションを利用できない場合、TrueCryptはドライブを暗号化するためのオプションですが、Windows 8以降のファイルシステムではうまく機能しないと報告されています。このため、フルディスク暗号化を使用するBitLockerは、これらのオペレーティングシステムに適したオプションです。

TCGオパール

TCG Opalは基本的に、ドライブの起動を許可し、ドライブへのアクセスを許可するためのパスワードをユーザーに提示することのみを目的とする、一種のミニオペレーティングシステムをドライブの予約済み部分にインストールできるようにする標準です。この機能をインストールするために利用できるさまざまなツールがあり、これには安定したオープンソースプロジェクトも含まれますが、Windows 8以降のBitLockerでこの機能をサポートする必要があります。

私はWindows 8以降を持っていないので、これをセットアップする方法の説明を提供することはできませんが、私の読んでいるところ、これはWindowsのインストール時にのみ利用可能で、インストール後は利用できません。経験豊富なユーザーは自由に私を修正してください。

ATAパスワード

ATAパスワードロックは、Samsung 840以降のシリーズのドライブや他の何千ものドライブでサポートされているATA標準のオプション機能です。この規格はBIOSとは関係がなく、さまざまな方法でアクセスできます。 BIOSがATA標準に適切に準拠していない可能性があるため、ATAパスワードの設定または管理にBIOSを使用することはお勧めしません。自分のハードウェアがこの機能をサポートしているように見えますが、実際には準拠していません。

この機能を検索すると、ATAロック機能をデータ保護のために安全であると見なすべきではないと主張する多くの議論が生じることに注意してください。これは通常、自己暗号化ドライブ(SED)ではないHDDに対してのみ正しいです。 Samsung 840以降のシリーズのドライブはSSDとSEDであるため、これらの説明は適用されません。この質問に記載されているように、サムスン840シリーズ以降をロックしたATAパスワードは、使用するのに十分安全である必要があります。

BIOSがATAパスワードロックドライブのロック解除を確実にサポートできるようにする最善の方法は、ドライブをロックしてコンピューターに取り付け、コンピューターを起動して、パスワードを要求するかどうか、および入力したパスワードでドライブのロックを解除できるかどうかを確認することです。

このテストは、失いたくないデータのあるドライブでは実行しないでください。

幸い、テストドライブはSamsungドライブである必要はありません。ATA標準のセキュリティセットをサポートし、ターゲットコンピューターにインストールできる任意のドライブを使用できるためです。

ドライブのATA機能にアクセスするために私が見つけた最良の方法は、Linuxコマンドラインユーティリティhdparmを使用することです。 Linuxを搭載したコンピュータがない場合でも、インストールメディアからOSを「ライブ」で実行することをサポートするインストールディスクイメージを持つディストリビューションが多数あります。たとえば、Ubuntu 16.04 LTSは、大多数のコンピューターに簡単かつ迅速にインストールでき、同じイメージをフラッシュメディアに書き込んで、光学ドライブのないシステムで実行することもできます。

ATAパスワードセキュリティを有効にする方法の詳細な説明はこの質問の範囲を超えていますが、このチュートリアルはこのタスクに最適なものの1つであることがわかりました。

自己暗号化SSDでのATAセキュリティの有効化

パスワードの最大長は32文字です。 BIOSが規格を正しくサポートしていることを確認するために、32文字のパスワードでテストを行うことをお勧めします。

ターゲットコンピュータの電源を切り、ドライブのATAパスワードをロックして、ドライブを取り付け、システムを起動します。 BIOSがドライブのロックを解除するためのパスワードを要求しない場合、BIOSはATAパスワードのロック解除をサポートしていません。また、パスワードを完全に正しく入力しているように見えても、ドライブのロックが解除されていない場合は、BIOSがATA標準を適切にサポートしていない可能性があるため、信頼できません。

オペレーティングシステムがインストールされて適切に読み込まれている、またはテストドライブを読み込んでマウントできるOSドライブと一緒にインストールされているなど、システムがロック解除されたドライブを正しく読み取っていることを確認する方法があるとよいでしょう。問題なくファイルを読み書きします。

テストが成功し、手順を繰り返すことに自信がある場合は、OSがインストールされているドライブを含むドライブでATAパスワードを有効にしても、ドライブのデータ部分は何も変更されないため、 BIOSのパスワード。

2
Paul

「NSAに耐えるレベルのセキュリティは必要ありません」

それは無料なので、とにかくそれを使用しないのはなぜですか?

コンピュータセキュリティとコンピュータフォレンジックの大学院クラスを受講した後、ドライブを暗号化することにしました。私は多くのオプションを検討し、DiskCryptを選択して非常に満足しています。インストールが簡単で、使いやすく、PGPシグネチャが提供されたオープンソース、exeがソースと一致することを確認するために自分でコンパイルする方法の説明、ドライブを自動マウントし、起動前のPWプロンプトを設定できます。 -pwアクション。AES-256を使用します。

最近のCPUは、SINGLEマシン命令でAES暗号化のラウンドを実行します(セクター相当のデータの暗号化には数十ラウンドかかります)。私自身のベンチマークでは、AESは、Blowfishのようなソフトウェアで実装された暗号よりも11倍速く実行されます。 DiskCryptorは、PCがディスクからデータを読み書きするよりも何倍も速くデータを暗号化できます。測定可能なオーバーヘッドはありません。

私はTEC冷却、ホップアップ、速度周波数5 GHzのマシンを実行しているので、走行距離はさまざまですが、それほどではありません。暗号化/復号化に必要なCPU時間は、測定するには低すぎました(つまり、1%未満)。

一度設定すると、完全に忘れることができます。唯一の顕著な効果は、起動時にPWを入力する必要があることです。

SSDで暗号化を使用しないことに関しては、これは私がこれまで聞いたことがない噂です。また、それは不当です。暗号化されたデータは、通常のデータとまったく同じようにドライブから読み書きされます。データバッファー内のビットのみがスクランブルされます。暗号化されたドライブでchkdsk/fを実行し、他のディスクユーティリティを実行できます。

ところで、他のプログラムとは異なり、ディスクキーパーはあなたのパスワードをメモリに保持しません。暗号化に一方向ハッシュキーを使用し、誤って入力したpwdをメモリに上書きし、PWエントリと検証中にページングファイルに乗らないように非常に長くなります。

https://diskcryptor.net/wiki/Main_Page

これを見たか修正したかはまだわかりませんが、ここでは具体的にEVO 840上のSamsungからのリンクを示します。 http://www.samsung.com/global/business/semiconductor /minisite/SSD/global/html/about/whitepaper06.html

基本的に、SSDに組み込まれたハードウェアAES暗号化機能を有効にするために彼らが言うことは、システムBIOSでHDDパスワードを設定することです。 「ユーザー/管理者/セットアップ」パスワードはそれだけです。ただし、HDDパスワードの設定はSSDにパススルーする必要があります。これにより、コンピューターの電源を入れるたびに手動でパスワードを入力する必要があり、TPMチップやその他のパスキーでは機能しません。また、十分に強調することはできません。暗号化を使用する人は、データがバックアップされていることを確認する必要があります。障害が発生した/破損した暗号化ドライブからデータを回復することは、専門のサービスを介さなければほとんど不可能です。

1
Roger

私はこれについてスーパーユーザーの別の場所に投稿しましたが、これは自分自身を教育するために使用したスレッドだったので、ここでもベースに触れたかったのです。

Samsung 840/850 EVOおよびIntel SSDでのフルディスク暗号化のためのATAパスワードとソフトウェア暗号化

長所:シンプル、パフォーマンスへの影響なし、非常に安全:ATAパスワードがないと、他のマシンではディスクを読み取れません

短所:ATAパスワードオプションを備えたBIOSが必要です(HPおよびLenovoラップトップはこれを備えているようですが、ほとんどのデスクトップモボは備えていません。例外:ASRockは最近、Extremeシリーズ用に1.07B BIOSを作成しましたが、動作します)。また、非常に安全なため、パスワードを紛失した場合、データは回復できません。誰もがそうです。最後に、それはすべてSSD上の1つのコントローラーチップに依存しており、そのチップが故障した場合、データは処理されます。永遠に。

これが議論に加わることを願っています。

0
Al Winston