我的问题与三星 840 Evo SSD 的硬件加密有关(也许还有其他型号):
理论:三星指定他们的 SSD 默认使用 AES 加密每个数据。因此,如果我在我的 bios 中选择一个 HDD 密码,我可以保护我的整个磁盘(而不是稍后加密我的个人数据文件夹)。如果我理解正确,那么使用这个硬盘密码不会改变 ssd 的性能,因为无论如何都会发生加密(无论有没有硬盘密码)。唯一的区别是我必须在 BIOS 启动时输入密码。
这似乎是一个很好的安全功能,因为所有数据都受到保护(例如防止小偷)并且没有性能差距。
不幸的是,我没有找到任何信息或测试来证实三星的说法。使用起来真的那么简单吗?有缺点吗?
顺便说一下?与可信计算有什么关系?老实说,我只听说过关于这个话题的坏话。
我也没有找到这样的信息,我不确定它是否可用。我最近使用了其中一张启用了硬盘密码的磁盘。这些磁盘上的 AES 加密使用起来非常简单,性能也非常出色。
但是没有办法验证它是否真的有效。这是黑盒加密。
不久前,我回答了一个关于旋转磁盘上这种加密的类似问题:
这是黑盒加密它是黑盒,因为尽管他们声称使用 AES128,但没有合理的方法来验证它。尽管他们声称做得很好,但没有办法检查他们的实施。
几年前,我给他们发了一个简单的问题……如果所有驱动器出厂时都打开了加密,那么他们如何为随机密钥播种?
我从未得到答案,也从未听到有人提供合理的解释。据我们所知,所有驱动器上的所有键都是相同的。除非你有办法绕过驱动电子设备来读取原始的加密盘片,否则你永远不会知道。即使您执行 ATA SE“安全擦除”功能来删除密钥,您也不知道新密钥是如何生成的。
作为一个新手,我最近一直在研究这个话题,并且可以分享我到目前为止的发现。
首先,利用 EVO 硬件加密的 ATA 密码很简单。我已经使用我的华擎 Extreme6 主板和他们更新的 1.07B BIOS 完成了它。
从那台机器中取出并放在另一台机器上的驱动器完全无法读取,即使是我拥有的一些基本的取证软件也是如此。它也很快,虽然我没有进行广泛的测试,但我没有看到性能受到影响。
我同意三星加密是黑匣子:似乎没有人知道他们做了什么。
它的缺点是双重的:
它是安全的;如此安全,以至于如果您忘记了密码,数据就会消失。没有软件破解或后门。
这种加密基于 SSD 中的单个控制器芯片,如果该芯片发生故障,您将再次被淹没。因此,保留非加密备份(在安全的地方锁定异地)似乎是一个好主意。
再说一遍,这些缺点是相对的:你想要的东西如此安全以至于无法破解,而软件故障也可能使软件加密变得糟糕。
我可以确认硬件加密驱动器的性能比软件加密要好得多。事实上,我发现软件加密对性能的影响很大,几乎无法忍受像使用虚拟机、编译软件等“繁重”的工作。
这些驱动器的设计似乎基本正确。它们基于 TrueCrypt 之类的密码模型,而不是 BitLocker 之类的 TPM 模型,这很好——只要你使用一个好的密码。
我没有任何理由不相信三星的说法。但是,我个人还没有看到任何关于他们加密的直接证据。要检查这一点,需要进行一些相当严肃的工作,因为您需要从驱动器中移除控制器板并将其换成非加密的。好吧,这就是你对硬盘驱动器所做的,我不知道这是否适用于 SSD。无论如何,这不是我要尝试的事情。
这些类型的驱动器与“可信计算”无关。BitLocker(微软的磁盘加密)将密钥存储在与可信计算相关的 TPM 中。对此的看法各不相同,我对 TPM 没有内在的反对意见,但对于采用 BIOS 密码的驱动器来说,它们是无关紧要的。
默认情况下,SSD 实际上会加密所有数据。该驱动器具有硬编码到设备固件中的加密密钥。所有数据都使用此密钥加密/解密。即使您没有在 Bios 中设置硬盘密码,原始磁盘上的数据仍然是加密的。
您的 bios 密码的唯一目的是限制对存储在固件中的加密密钥的访问。只有在启动时输入正确的硬盘密码后,才能检索加密密钥并开始加密/解密。在 bios 中设置 HDD 密码可以将 SSD 与 bios 紧密结合,从而提高数据访问的安全性。任何有权访问您的系统的人都必须首先输入硬盘密码才能从驱动器启动。