Comment activer le chiffrement matériel sur les SSD comme le Samsung 840 EVO?


20

Je viens de lancer Ubuntu 14.04 sur une Zotac Zbox CI320. Je veux activer le cryptage matériel Samsung 840 fourni avec ce disque dur, mais je ne sais pas comment.

Y a-t-il quelqu'un qui peut m'aider à mettre cela en place? Très appréciée.

Réponses:


12

Il existe différents types de chiffrement matériel sur les SSD, voir SSD avec chiffrement intégral du disque intégré et utilisable pour une explication approfondie.

Vous avez posé des questions sur le Samsung 840 EVO en particulier. Il crypte toujours vos données et est déverrouillé par le mot de passe du disque dur ATA défini dans le BIOS, qui par défaut est vide. Plus tard , vous pouvez déplacer le SSD à une nouvelle machine et entrez le mot de passe du disque dur ATA via le BIOS il pour le déverrouiller. Aucun élément impliqué dans le déverrouillage n'est stocké à l'extérieur du lecteur lui-même.

En tant qu'utilisateur Linux, je préfère cette solution au chiffrement de lecteur basé sur un logiciel. Il n'y a aucune pénalité de performance et il est simple à configurer et à utiliser.


Salut Mark! Tout d'abord, le lien que vous avez fourni est très intéressant, merci! J'ai une question pour vous, le mot de passe du SSD du BIOS de mon ordinateur portable est au maximum de 10 caractères. Ce serait un mot de passe plutôt faible si le mot de passe pouvait être attaqué par "force brute". Je veux dire que s'il y a quelque chose qui limite le nombre de fois par seconde, un attaquant peut essayer un nouveau mot de passe; ce n'est qu'alors que le mot de passe à 10 caractères serait définitivement sûr. Avez-vous une idée de ces mots de passe SSD du BIOS étonnamment courts? Au cas où cela serait utile à n'importe qui, j'ai un Toshiba Satellite P50t-B avec un Samsung SSD 850 Pro.
jespestana

1
Consultez également cet article plus récent. Utilisez le chiffrement matériel complet du disque de votre SSD TCG Opal avec msed - testé sur Ubuntu Trusty. Cela devrait être utile car les SSD basés sur Opal 2 semblent devenir une norme de facto. Les nouvelles versions du programme msed sont ici . Une limitation clé des solutions actuelles est qu'elles empêchent la fonction veille / suspension (S3) qui est assez essentielle sur les ordinateurs portables.
sxc731

1
@jespestana la différence avec le mot de passe du BIOS est qu'il * n'est pas accessible sur le réseau, ce qui rend l'attaque plus par défaut. * (Peut-être à moins que vous n'ayez une connexion série-réseau sur l'ordinateur, ce qui est peu probable sur un ordinateur de bureau ou portable)
Mark Stosberg

@ sxc731 Je n'ai pas d'ordinateur de rechange pour essayer msed, j'irais probablement dans le cas contraire. Merci pour l'information!
jespestana

@MarkStosberg Ok, vous voulez dire que tant que l'attaquant n'a pas d'accès physique à la machine, je serais en sécurité. C'est quelque peu rassurant. Je ne comprends toujours pas pourquoi Toshiba déciderait de cette courte limitation du mot de passe du BIOS ...
jespestana

3

J'ai trouvé les questions similaires suivantes:

À ma connaissance, une configuration SED fonctionnelle nécessite un module de plateforme sécurisée (TPM), mais la Zbox ne ressemble pas à une fonctionnalité ou à une prise en charge de TPM ( 1 , 2 ).

Bien qu'une réponse à l'une des questions ci-dessus offre une solution qui pourrait même fonctionner dans votre cas, vous devriez considérer les éléments suivants:

  • Si vos données sont chiffrées à l'aide du TPM et que votre matériel se brise d'une manière ou d'une autre, vos données ont disparu. Pour toujours.
  • Les utilisateurs de Linux préfèrent généralement le chiffrement de disque basé sur logiciel et le RAID basé sur logiciel, car la technologie non standardisée ou propriétaire s'est avérée peu fiable en termes de sécurité et de récupération des données. Si vous avez l'intention d'utiliser des solutions logicielles gratuites comme Linux pour la sécurité ou la redondance des données, prévoyez également les ressources informatiques requises.
  • Il y a eu des rapports d'attaques réussies telles que des attaques à chaud par reconnexion sur certains appareils ou configurations.

Edit: Michael Larabel a publié des articles sur Phoronix où il spécule que le support SED / OPAL pourrait bientôt arriver sur Linux, juste au cas où quelqu'un trébucherait sur ce post du passé à la recherche d'informations plus à jour.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.