Comment chiffrer un SSD Samsung Evo 840?

J'ai acheté un ordinateur portable HP Envy 15-j005ea que j'ai mis à niveau vers Windows 8.1 Pro. J'ai également retiré le disque dur et l'ai remplacé par un SSD Samsung Evo 840 de 1 To. Je souhaite maintenant crypter le lecteur pour protéger le code source de mon entreprise et mes documents personnels, mais je ne peux pas savoir comment le faire ou si c'est même possible.

Je suppose qu'il n'est pas recommandé d'utiliser Truecrypt sur un SSD, mais veuillez me corriger si je me trompe. Je comprends également que le 840 Evo a un cryptage AES 256 bits intégré, il est donc recommandé de l'utiliser.

L'Evo a été mis à jour avec le dernier firmware EXT0BB6Q et j'ai le dernier Samsung Magician. Je ne sais pas quel niveau UEFI j'ai mais je sais que la machine a été construite en décembre 2013 et possède le BIOS F.35 fabriqué par Insyde.

Voici ce que j'ai essayé:

• Bitlocker. Le dernier firmware Samsung est censé être compatible avec Windows 8.1 eDrive, j'ai donc suivi les instructions que j'ai trouvées dans un article d'Anandtech . Tout d'abord, il semblerait que l'ordinateur portable ne possède pas de puce TPM, j'ai donc dû permettre à Bitlocker de fonctionner sans TPM. Une fois que j'ai fait cela, j'ai essayé d'activer Bitlocker. Anandtech dit que "si tout est conforme à eDrive, on ne vous demandera pas si vous souhaitez chiffrer tout ou partie du lecteur, après avoir effectué la configuration initiale, BitLocker sera simplement activé. Il n'y a pas d'étape de chiffrement supplémentaire (puisque les données est déjà chiffré sur votre SSD). Si vous avez fait quelque chose de mal ou qu'une partie de votre système n'est pas conforme à eDrive, vous obtiendrez un indicateur de progression et un processus de chiffrement logiciel quelque peu long. " Malheureusement , j'étais m'a demandé si je voulais chiffrer tout ou partie du disque, j'ai donc annulé cela.

• Définition du mot de passe ATA dans le BIOS. Je ne semble pas avoir une telle option dans le BIOS, seulement un mot de passe administrateur et un mot de passe de démarrage.

• Utilisation de magicien. Il a un onglet "Sécurité des données", mais je ne comprends pas complètement les options et je pense qu'aucune n'est applicable.

Les informations dans cette question et réponse ont aidé mais n'ont pas répondu à ma question.

De toute évidence, ce que je voudrais savoir, c'est comment chiffrer mon disque SSD dans le HP Envy 15 ou suis-je en fait malchanceux? Existe-t-il des options alternatives ou dois-je vivre sans cryptage ou retourner l'ordinateur portable?

Il y a une question similaire sur Anandtech mais elle reste sans réponse.

Le mot de passe doit être défini dans le BIOS sous l'extension de sécurité ATA. Habituellement, il y a un onglet dans le menu du BIOS intitulé "Sécurité". L'authentification se produira au niveau du BIOS, donc rien de cet "assistant" logiciel n'a de rapport avec la configuration de l'authentification. Il est peu probable qu'une mise à jour du BIOS active le mot de passe du disque dur s'il n'était pas pris en charge auparavant.

Dire que vous configurez le cryptage est trompeur. Le fait est que le lecteur crypte TOUJOURS chaque bit qu'il écrit sur les puces. Le contrôleur de disque le fait automatiquement. La définition d'un ou de plusieurs mots de passe de disque dur sur le lecteur fait passer votre niveau de sécurité de zéro à pratiquement incassable. Seul un enregistreur de frappe matériel implanté de manière malveillante ou un exploit de BIOS distant issu de la NSA pourrait récupérer le mot de passe pour l'authentification ;-) <- Je suppose. Je ne sais pas encore ce qu'ils peuvent faire pour le BIOS. Le fait est que ce n'est pas totalement insurmontable, mais selon la façon dont la clé est stockée sur le disque, c'est la méthode de cryptage de disque dur la plus sûre actuellement disponible. Cela dit, c'est une surpuissance totale. BitLocker est probablement suffisant pour la plupart des besoins de sécurité des consommateurs.

En matière de sécurité, je suppose que la question est: combien voulez-vous?

Le chiffrement complet du disque basé sur le matériel est de plusieurs ordres de grandeur plus sûr que le chiffrement complet du disque au niveau logiciel comme TrueCrypt. Il a également l'avantage supplémentaire de ne pas entraver les performances de votre SSD. La façon dont les disques SSD rangent leurs bits peut parfois entraîner des problèmes avec les solutions logicielles. Le FDE basé sur le matériel est juste moins compliqué et plus élégant et sécurisé d'une option, mais il n'a pas "pris" même parmi ceux qui se soucient suffisamment de crypter leurs précieuses données. Ce n'est pas compliqué à faire du tout, mais malheureusement, de nombreux BIOS ne prennent tout simplement pas en charge la fonction "mot de passe du disque dur" (à ne pas confondre avec un simple mot de passe BIOS, qui peut être contourné par les amateurs). Je peux à peu près vous garantir sans même regarder dans votre BIOS que si vous n'avez pas encore trouvé l'option, votre BIOS ne fonctionne pas t le soutenir et vous n'avez pas de chance. C'est un problème de micrologiciel et il n'y a rien que vous puissiez faire pour ajouter la fonctionnalité à moins de flasher votre BIOS avec quelque chose comme hdparm qui est quelque chose de si irresponsable que même je ne tenterais pas. Cela n'a rien à voir avec le lecteur ou le logiciel inclus. Il s'agit d'un problème spécifique à la carte mère.

L'ATA n'est rien d'autre qu'un ensemble d'instructions pour le BIOS. Ce que vous essayez de définir est un mot de passe utilisateur et maître du disque dur, qui sera utilisé pour s'authentifier auprès de la clé unique stockée en toute sécurité sur le lecteur. Le mot de passe "Utilisateur" permettra de déverrouiller le lecteur et de démarrer normalement. Même chose avec "Master". La différence est qu'un mot de passe "maître" est nécessaire pour changer les mots de passe dans le BIOS ou effacer la clé de cryptage dans le lecteur, ce qui rend toutes ses données inaccessibles et irrécupérables instantanément. C'est ce qu'on appelle la fonction «Secure Erase». Selon le protocole, une chaîne de caractères de 32 bits est prise en charge, ce qui signifie un mot de passe de 32 caractères. Parmi les rares fabricants d'ordinateurs portables qui prennent en charge la définition d'un mot de passe de disque dur dans le BIOS, la plupart des caractères sont limités à 7 ou 8. Pourquoi chaque entreprise de BIOS ne le fait pas? t soutenir cela me dépasse. Peut-être que Stallman avait raison sur le BIOS propriétaire.

Le seul ordinateur portable (à peu près aucun BIOS de bureau ne prend en charge le mot de passe du disque dur) que je connais vous permettra de définir un mot de passe utilisateur et maître HDD 32 bits complet est un Lenovo ThinkPad série T ou W. Enfin, j'ai entendu que certains ordinateurs portables ASUS avaient une telle option dans leur BIOS. Dell limite le mot de passe du disque dur à 8 caractères faibles.

Je connais beaucoup mieux le stockage des clés des SSD Intel que Samsung. Intel a été, je crois, le premier à proposer des FDE sur puce dans leurs lecteurs, la série 320 et plus. Bien que ce soit AES 128 bits. Je n'ai pas beaucoup étudié comment cette série Samsung implémente le stockage de clés, et personne ne sait vraiment à ce stade. De toute évidence, le service client ne vous a pas été utile. J'ai l'impression que seulement cinq ou six personnes dans une entreprise de technologie connaissent réellement le matériel qu'elles vendent. Intel semblait réticent à tousser, mais finalement un représentant de l'entreprise a répondu quelque part dans un forum. Gardez à l'esprit que pour les fabricants de disques, cette fonctionnalité est une réflexion après coup. Ils n'en savent rien ni s'en soucient, tout comme 99,9% de leurs clients. C'est juste une autre puce publicitaire au dos de la boîte.

J'espère que cela t'aides!

J'ai finalement réussi à le faire fonctionner aujourd'hui et comme vous, je crois que je n'ai pas non plus de configuration de mot de passe ATA dans le BIOS (du moins pas que je puisse voir). J'ai activé les mots de passe utilisateur / administrateur du BIOS et mon PC a une puce TPM mais BitLocker devrait fonctionner sans (clé USB). Comme vous, j'étais également coincé exactement au même endroit à l'invite BitLocker si je veux chiffrer uniquement les données ou le disque entier.

Mon problème était que mon installation Windows n'était pas UEFI bien que ma carte mère supporte UEFI. Vous pouvez vérifier votre installation en tapant msinfo32la commande run et en vérifiant le mode Bios. S'il lit autre chose que UEFIvous devez réinstaller Windows à partir de zéro.

Consultez ce guide pas à pas pour crypter le SSD Samsung dans un article connexe sur ce forum.

Cryptage logiciel

TrueCrypt 7.1a est très bien pour une utilisation sur les SSD, mais notez qu'il réduira probablement considérablement les performances des IOP, bien que le lecteur exécute toujours des IOP 10 fois meilleures que les disques durs. Donc, si vous ne pouvez pas utiliser les options répertoriées dans Magician, TrueCrypt est une option pour crypter le lecteur, mais il ne fonctionnerait pas très bien avec Windows 8 et les systèmes de fichiers ultérieurs. Pour cette raison, BitLocker avec chiffrement complet du disque est une meilleure option pour ces systèmes d'exploitation.

TCG Opal

TCG Opal est fondamentalement une norme qui permet d'installer une sorte de mini système d'exploitation sur une partie réservée du lecteur uniquement dans le but de permettre au lecteur de démarrer et de présenter à l'utilisateur un mot de passe pour accorder l'accès au lecteur . Il existe divers outils disponibles pour installer cette fonctionnalité, y compris certains projets open source prétendument stables, mais Windows 8 et versions ultérieures BitLocker devrait prendre en charge cette fonctionnalité.

Je n'ai pas Windows 8 ou version ultérieure, donc je ne peux pas fournir d'instructions sur la façon de configurer cela, mais ma lecture indique que cela n'est disponible que lors de l'installation de Windows, et non après son installation. Les utilisateurs expérimentés se sentent libres de me corriger.

Mot de passe ATA

Le verrouillage par mot de passe ATA est une fonctionnalité optionnelle de la norme ATA prise en charge par les lecteurs Samsung 840 et ultérieurs, ainsi que par des milliers d'autres. Cette norme n'est pas liée à un BIOS et est accessible par un certain nombre de méthodes. Je ne recommande pas d'utiliser un BIOS pour définir ou gérer le mot de passe ATA car le BIOS peut ne pas être correctement conforme à la norme ATA. J'ai de l'expérience avec mon propre matériel qui semble prendre en charge la fonctionnalité, mais qui n'est pas conforme.

Notez que la recherche sur cette fonctionnalité produira de nombreuses discussions affirmant que la fonction de verrouillage ATA ne doit pas être considérée comme sûre pour la protection des données. Ceci n'est généralement correct que pour les disques durs qui ne sont pas également des disques à cryptage automatique (SED). Étant donné que les lecteurs Samsung 840 et ultérieurs sont des SSD et SED, ces discussions ne sont tout simplement pas applicables. Le mot de passe ATA verrouillé Samsung 840 series et versions ultérieures doit être suffisamment sécurisé pour votre utilisation, comme décrit dans cette question.

La meilleure façon de vous assurer que votre BIOS peut prendre en charge le déverrouillage d'un lecteur verrouillé par mot de passe ATA est de verrouiller un lecteur, de l'installer dans l'ordinateur, puis de démarrer l'ordinateur et de voir s'il demande un mot de passe et si le mot de passe entré peut déverrouiller le lecteur.

Ce test ne doit pas être effectué sur un lecteur contenant des données que vous ne souhaitez pas perdre.

Heureusement, le lecteur de test ne doit pas nécessairement être le lecteur Samsung, car il peut s'agir de tout lecteur prenant en charge le jeu de sécurité standard ATA et pouvant être installé sur l'ordinateur cible.

Le meilleur moyen que j'ai trouvé pour accéder aux fonctionnalités ATA d'un lecteur est l'utilitaire de ligne de commande Linux hdparm. Même si vous n'avez pas d'ordinateur avec Linux, il existe de nombreuses distributions dont l'image du disque d'installation prend également en charge l'exécution du système d'exploitation en direct à partir du support d'installation. Ubuntu 16.04 LTS, par exemple, devrait s'installer facilement et rapidement sur la grande majorité des ordinateurs et la même image peut également être écrite sur un support flash pour fonctionner sur des systèmes sans lecteurs optiques.

Les instructions détaillées sur la façon d'activer la sécurité par mot de passe ATA dépassent le cadre de cette question, mais j'ai trouvé que ce didacticiel était l'un des meilleurs pour cette tâche.

Activation de la sécurité ATA sur un SSD à chiffrement automatique

Notez que la longueur maximale du mot de passe est de 32 caractères. Je recommande de faire le test avec un mot de passe de 32 caractères pour être sûr que le BIOS prend correctement en charge la norme.

Avec l'ordinateur cible hors tension et le mot de passe ATA du lecteur verrouillé, installez le lecteur et démarrez le système. Si le BIOS ne demande pas de mot de passe pour déverrouiller le lecteur, le BIOS ne prend pas en charge le déverrouillage par mot de passe ATA. De plus, s'il semble que vous saisissez le mot de passe complètement correctement, mais qu'il ne déverrouille pas le lecteur, il se peut que le BIOS ne prenne pas correctement en charge la norme ATA et ne devrait donc pas être approuvé.

Il peut être judicieux d’avoir un moyen de vérifier que le système lit correctement le lecteur déverrouillé, par exemple en installant et en chargeant correctement un système d’exploitation, ou en installant à côté un lecteur de système d’exploitation qui charge et peut monter le lecteur de test et lire et écrire des fichiers sans problème.

Si le test réussit et que vous vous sentez sûr de répéter les étapes, l'activation du mot de passe ATA sur un lecteur, y compris celui avec un système d'exploitation installé, ne changera rien dans la partie données du lecteur, il devrait donc démarrer normalement après avoir entré le mot de passe dans le BIOS.

Je ne sais pas si vous l'avez vu ou corrigé, mais voici un lien spécifique de Samsung sur votre EVO 840. http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/ about / whitepaper06.html

Essentiellement, ce qu'ils disent pour activer le chiffreur AES matériel intégré dans le SSD est de définir le mot de passe du disque dur dans le BIOS du système. Les mots de passe "Utilisateur / Admin / Configuration" ne sont que cela. Cependant, la définition du mot de passe du disque dur doit être transmise au SSD. Cela vous obligera à entrer manuellement le mot de passe à chaque fois que vous allumez l'ordinateur, et ne fonctionne pas avec les puces TPM ou autres PassKeys. De plus, je ne saurais trop insister, TOUTE personne qui utilise le cryptage doit s'assurer que ses données sont sauvegardées. La récupération de données à partir d'un lecteur chiffré défectueux / corrompu est presque impossible sans passer par un service spécialisé.

"Je n'ai pas besoin de niveaux de sécurité à l'épreuve de la NSA"

Eh bien pourquoi ne pas l'utiliser quand même, car c'est gratuit?

Après avoir suivi des cours de troisième cycle en sécurité informatique et en criminalistique informatique, j'ai décidé de chiffrer mon disque. J'ai regardé de nombreuses options et suis TRÈS heureux d'avoir sélectionné DiskCrypt. Il est facile à installer, facile à utiliser, open source avec les signatures PGP fournies, des instructions sur la façon de le compiler vous-même pour vous assurer que l'exe correspond à la source, il monte automatiquement les lecteurs, vous pouvez définir l'invite PW de pré-démarrage et incorrecte -pw action, et il utilisera AES-256.

Tout processeur moderne effectuera un cycle de cryptage AES dans une instruction machine UNIQUE (le cryptage de la valeur d'un secteur prend quelques dizaines de cycles). Sur mes propres repères, AES fonctionne onze fois plus rapidement que les chiffrements implémentés par logiciel comme Blowfish. DiskCryptor peut crypter les données plusieurs fois plus rapidement que le PC ne peut les lire et les écrire à partir du disque. Il n'y a AUCUN frais généraux mesurables.

J'utilise une machine à fréquence frigorifique 5 GHz, refroidie par TEC, donc votre kilométrage varie, mais pas beaucoup. Le temps processeur requis pour chiffrer / déchiffrer était trop faible pour être mesuré (c'est-à-dire inférieur à 1%).

Une fois que vous l'avez configuré, vous pouvez totalement l'oublier. Le seul effet notable est que vous devez taper votre PW au démarrage, ce que je suis ravi de faire.

Quant à ne pas utiliser le cryptage sur les SSD, c'est une rumeur que je n'ai jamais entendue auparavant. C'est également injustifié. Les données cryptées sont écrites et lues à partir du lecteur exactement comme les données normales. Seuls les bits du tampon de données sont brouillés. Vous pouvez chkdsk / f et exécuter tout autre utilitaire de disque sur un lecteur chiffré.

Et BTW, contrairement à d'autres programmes, diskkeeper ne garde pas votre pw en mémoire. Il utilise une clé de hachage unidirectionnelle pour le chiffrement, écrase vos pwds mal tapés en mémoire et fait de grands efforts pour s'assurer qu'il ne chevauche pas sur un fichier d'échange pendant l'entrée et la validation PW.

https://diskcryptor.net/wiki/Main_Page

J'ai posté à ce sujet ailleurs dans Super User, mais comme c'était un fil que j'ai utilisé pour m'instruire, je voulais également toucher la base ici.

Mot de passe ATA vs chiffrement logiciel pour le chiffrement complet du disque dans les SSD Samsung 840/850 EVO et Intel

Avantages: Simple, sans performances, extrêmement sécurisé: les disques sont illisibles sur d'autres machines sans mot de passe ATA

Inconvénients: Vous avez besoin d'un BIOS qui a l'option de mot de passe ATA (les ordinateurs portables HP et Lenovo semblent avoir cela, mais la plupart des mobos de bureau n'en ont pas. Exception: ASRock a récemment écrit leur BIOS 1.07B pour leur série Extreme, et cela fonctionne). De plus, il est si sûr que si vous perdez le mot de passe, les données ne sont pas récupérables. Par n'importe qui, semble-t-il. Enfin, tout dépend d'une seule puce de contrôleur sur le SSD, et si cette puce tourne mal, les données sont terminées. Pour toujours.

J'espère que cela ajoute à la discussion.

Définition du mot de passe ATA dans le BIOS. Je ne semble pas avoir une telle option dans le BIOS, seulement un mot de passe administrateur et un mot de passe de démarrage. Dommage, c'est l'option la plus simple que vous ayez.

La seconde est la victoire 8.1 + bitlocker, mais tout le problème de la réinstallation est ennuyeux

je ne suis pas au courant de tout op tcg fossile sw et les versions payantes coûtent probablement beaucoup

truecrypt fonctionne mais si votre processeur n'a pas AES-NI, le nombre de spees atteint peut être perceptible

et n'oubliez pas de sauvegarder vos données, les données chiffrées sont beaucoup plus difficiles à récupérer

Lors de l'installation de nombreuses distributions Linux, vous avez la possibilité de crypter le dossier / home. À ce moment, lorsque vous choisissez de crypter le dossier / home (alias point de montage), vous êtes invité (requis) à entrer un mot de passe deux fois.

Essentiellement terminé, votre dossier / home est crypté.

Samsung était censé être «pré crypté» en usine.

Cela signifie généralement qu'aucun accès aux informations du disque dur ne peut se faire sans le mot de passe.

Ce qui précède est ce que j'ai fait. Si j'ai de la chance, le cryptage Samsung avec une autre couche de cryptage logiciel Linux devrait me mettre relativement à l'abri des individus, des entreprises et des gouvernements les plus néfastes.

Je n'ai pas ressenti le besoin de mot de passe du disque dur via le BIOS.

Il est déjà assez difficile de se souvenir de plusieurs mots de passe. KeepassX peut être d'une certaine utilité à cet égard.

Pour les vraiment paranoïaques, vous pouvez mot de passe Samsung EVO dans le BIOS, utiliser Linux lors de l'installation pour crypter le logiciel par le logiciel puis utiliser un programme de cryptage Open Source (pas truecrypt en raison de soupçons de portes dérobées et de vulnérabilités).

Vous pouvez utiliser KeepassX pour vous souvenir des longs mots de passe compliqués et même protéger par mot de passe ce lecteur flash.

À moins que vous ne soyez un criminel ou que vous ayez quelque chose de si précieux que vous ayez besoin de tant de sécurité, la plupart est une perte de temps.

Il pourrait être plus facile de conserver votre code source sur un lecteur flash crypté comme IronKey afin de ne pas prendre de résultats de performance ou de problèmes de lecteur. Les documents personnels peuvent également y aller.