当我打开笔记本电脑时,它要求我输入解锁 BIOS 的密码,然后要求我输入解锁硬盘驱动器的密码。
在提供的保护方面,这个“解锁硬盘驱动器的密码”与所谓的全盘加密有何不同?
如果鉴于此硬盘驱动器密码本身已在 BIOS 中设置,那么有人可以重置 BIOS(据说即使密码保护也很容易),那么此人是否无法访问驱动器?我不确定这个锁是否意味着加密。
因为如果它像 Xander 建议的那样工作,那么关于在全盘加密中使用什么软件的整个讨论似乎很愚蠢,因为解决方案就像在 BIOS 中设置密码一样简单。
我糊涂了。:)
启动时身份验证有(通常)三种类型:
BIOS 启动密码只是 BIOS 芯片内部的逻辑检查,可以通过手动刷新 BIOS 或更换芯片来绕过。这是一种软保护机制。
全盘加密是一种适当的安全机制,它涉及主动加密整个磁盘,并在启动时使用密码或其他身份验证材料解密磁盘数据。这通常通过第 3 方软件执行,但也可以集成到磁盘硬件中。
驱动器锁定机制(通常)是某些笔记本电脑的专有功能,例如 HP DriveLock。这些涉及加密硬盘的低扇区,即包含遥测和坏扇区映射之类的扇区。当这些被加扰时,传统的驱动器控制器无法访问磁盘。这不会加密磁盘的数据。可以从一组已知的遥测数据中对扇区进行完整的硬件级映像,然后手动将文件系统划分出来,但这是一个重要的屏障,可以抵御除装备最好的攻击者之外的所有攻击者。
过去,它是对物理驱动器的逻辑控制。即使更换驱动器电子设备也无法绕过密码,因此需要使用高级工具或破解硬件来绕过密码。
大约 5 年前左右,他们开始对磁盘本身进行 AES 加密,运送加密的磁盘并在您使用 ATA 安全扩展设置时使用您的密码加密密钥。
日立对此有一个很好的常见问题解答:
其他制造商也在 HDD 和 SSD 上提供类似的功能
http://en.wikipedia.org/wiki/Hardware-based_full_disk_encryption
也就是说,有几点需要注意:
这是黑盒,因为尽管他们声称使用 AES128,但没有合理的方法来验证它。尽管他们声称做得很好,但没有办法检查他们的实施。
几年前,我给他们发了一个简单的问题……如果所有驱动器出厂时都打开了加密,那么他们如何为随机密钥播种?
我从未得到答案,也从未听到有人提供合理的解释。据我们所知,所有驱动器上的所有键都是相同的。除非你有办法绕过驱动电子设备来读取原始的加密盘片,否则你永远不会知道。即使您执行 ATA SE“安全擦除”功能来删除密钥,您也不知道新密钥是如何生成的。
因此,我不依赖这项技术来保护系统。
解锁硬盘的密码可能是工作中的全盘加密。您输入的用于解锁硬盘的密码是用于加密密钥的密码,该密钥又用于加密驱动器的内容。因此,如果您将驱动器从它所在的机器中取出并将其连接到另一台计算机上,您可能只会找到一个加密卷。
关于 SED 如何工作的传言有很多。我完全同意 mgjk 的观点,即它是黑匣子。你必须相信制造商他做了他声称要做的事情。甚至很难获得有关它应该如何工作的详细信息。我研究了互联网和制造商的网站,以获取有关如何在三星的 840 SSD 上启用加密的信息。到目前为止,我一直未能成功启用它。不幸的是,我笔记本的 BIOS 不支持 ATA 安全密码。即使它这样做了,我也不能确定它是否也启用了加密,因为没有来自制造商的官方信息。一些第三方网站声称它应该符合 OPAL。所以我尝试了声称能够初始化 OPAL 驱动器的软件 - 即 Wave' s Embassy Security Center 和 WinMagic 的 SecureDoc。这些都没有起到作用——它们都回到了软件加密,几乎没有关于原因的信息。两者都几乎没有关于如何初始化 SED 的文档。所以现在,我卡住了。