Samsung Evo 840 SSD를 어떻게 암호화합니까?

Windows 8.1 Pro로 업그레이드 한 HP Envy 15-j005ea 노트북을 구입했습니다 . 또한 HDD를 제거하고 1TB Samsung Evo 840 SSD로 교체했습니다. 이제 회사의 소스 코드와 개인 문서를 보호하기 위해 드라이브를 암호화하려고하지만 어떻게해야하는지 또는 가능한 경우에는 해결할 수 없습니다.

나는 것을 수집 SSD를에의 TrueCrypt를 사용하지 않는 것이 좋습니다 하지만 내가 틀렸다면 수정하시기 바랍니다. 또한 840 Evo에는 256 비트 AES 암호화 기능이 내장되어 있으므로 사용하는 것이 좋습니다.

Evo는 최신 EXT0BB6Q 펌웨어 로 업데이트되었으며 최신 Samsung Magician이 있습니다. 나는 어떤 UEFI 레벨을 가지고 있는지 모르지만,이 기계는 2013 년 12 월에 지어졌으며 Insyde가 만든 F.35 BIOS를 가지고 있다는 것을 알고 있습니다.

이것이 내가 시도한 것입니다.

• Bitlocker. 최신 삼성 펌웨어는 Windows 8.1 eDrive와 호환되는 것으로 생각되므로 Anandtech 기사 에서 찾은 지침을 따랐습니다 . 우선 랩톱에 TPM 칩이없는 것처럼 보이므로 BitPMer가 TPM없이 작동하도록해야했습니다. 일단 완료하면 Bitlocker를 켜려고했습니다. Anandtech는 "모든 것이 eDrive와 호환되는 경우 초기 설정을 수행 한 후 BitLocker를 사용하도록 설정 한 후 드라이브 전체 또는 일부를 암호화할지 묻는 메시지가 표시되지 않습니다. 데이터 이후 암호화 단계가 없습니다. 문제가 발생했거나 시스템의 일부가 eDrive와 호환되지 않는 경우 진행 표시기와 다소 긴 소프트웨어 암호화 프로세스가 표시됩니다. " 불행하게도, 난 이었다 드라이브의 전부 또는 일부를 암호화 할 것인지 물었으므로 취소했습니다.

• BIOS에서 ATA 암호 설정 BIOS에 그러한 옵션이없는 것 같습니다. 관리자 암호와 부팅 암호 만 있습니다.

• 마술사 사용하기. "데이터 보안"탭이 있지만 옵션을 완전히 이해하지 못하고 해당 사항이 없다고 생각합니다.

이 질문과 답변 의 정보가 도움이되었지만 내 질문에 대답하지 못했습니다.

분명히, 내가 알고 싶은 것은 HP Envy 15에서 솔리드 스테이트 드라이브를 어떻게 암호화합니까 아니면 실제로 운이 좋지 않습니까? 대체 옵션이 있습니까? 아니면 암호화없이 살거나 랩톱을 반납해야합니까?

거기에있다 Anandtech에 비슷한 질문을 하지만 답이 남아있다.

BIOS에서 ATA-security 확장명으로 암호를 설정해야합니다. 일반적으로 BIOS 메뉴에는 "보안"이라는 탭이 있습니다. 인증은 BIOS 수준에서 발생하므로이 소프트웨어 "마법사"는 인증 설정과 관련이 없습니다. 이전에 지원되지 않은 BIOS 업데이트로 HDD 암호를 활성화 할 가능성은 거의 없습니다.

암호화를 설정한다고 말하는 것은 잘못된 것입니다. 문제는 드라이브가 칩에 쓰는 모든 비트를 항상 암호화한다는 것입니다. 디스크 컨트롤러가이를 자동으로 수행합니다. HDD 암호를 드라이브로 설정하면 보안 수준이 0에서 거의 깨지지 않는 수준으로 변경됩니다. 악의적으로 설치된 하드웨어 키로거 또는 NSA- 스프 렁 원격 BIOS 익스플로잇 만이 암호를 검색하여 인증 할 수 있습니다. ;-) <-나는 추측합니다. 그들이 BIOS로 무엇을 할 수 있는지 잘 모르겠습니다. 요점은 완전히 극복 할 수는 없지만 키가 드라이브에 저장되는 방식에 따라 현재 사용 가능한 가장 안전한 하드 드라이브 암호화 방법입니다. 즉, 그것은 총 과잉입니다. BitLocker는 대부분의 소비자 보안 요구에 충분합니다.

보안과 관련하여 문제는 다음과 같습니다. 얼마나 원하십니까?

하드웨어 기반 전체 디스크 암호화는 TrueCrypt와 같은 소프트웨어 수준 전체 디스크 암호화보다 몇 배나 더 안전합니다. 또한 SSD 성능을 방해하지 않는 이점이 있습니다. SSD가 비트를 저장하는 방식은 때때로 소프트웨어 솔루션에 문제를 일으킬 수 있습니다. 하드웨어 기반 FDE는 덜 지저분하고 더 우아하고 옵션이 안전하지만 귀중한 데이터를 충분히 암호화하는 데 관심이있는 사람들 사이에서도 "잡히지"않았습니다. 전혀 까다 롭지는 않지만 불행히도 많은 BIOS는 단순히 "HDD 암호"기능을 지원하지 않습니다 (아마도 우회 할 수있는 간단한 BIOS 암호와 혼동해서는 안됩니다). 아직 BIOS를 보지 않아도 옵션을 아직 찾지 못하면 BIOS가 그것을 지원하지 않으면 운이 없다. 그것은 펌웨어 문제이며 hdparm과 같은 BIOS로 플래시 기능이 부족한 기능을 추가하기 위해 할 수있는 일은 없습니다. 이것은 너무 무책임해서 시도조차하지 않습니다. 드라이브 나 포함 된 소프트웨어와는 아무런 관련이 없습니다. 이것은 마더 보드 특정 문제입니다.

ATA는 BIOS에 대한 지시 사항에 지나지 않습니다. 설정하려는 것은 HDD 사용자 및 마스터 비밀번호입니다.이 비밀번호는 드라이브에 안전하게 저장된 고유 키를 인증하는 데 사용됩니다. "사용자"암호를 사용하면 드라이브 잠금을 해제하고 정상적으로 부팅 할 수 있습니다. "마스터"도 마찬가지입니다. 차이점은 BIOS에서 비밀번호를 변경하거나 드라이브에서 암호화 키를 지우려면 "마스터"비밀번호가 필요하므로 모든 데이터에 즉시 액세스 할 수없고 복구 할 수 없게됩니다. 이것을 "보안 지우기"기능이라고합니다. 프로토콜에서 32 비트 문자열이 지원되며 이는 32 자 암호를 의미합니다. BIOS에서 HDD 암호 설정을 지원하는 소수의 랩톱 제조업체 중에서 대부분 문자를 7 또는 8로 제한합니다. 왜 모든 BIOS 회사가 그것은 나를 넘어 지원합니다. 아마도 Stallman이 독점 BIOS에 대해 맞았을 것입니다.

유일하게 랩톱 (데스크탑 BIOS가 HDD 암호를 지원하지 않음)은 전체 길이의 32 비트 HDD 사용자를 설정할 수 있으며 마스터 암호는 Lenovo ThinkPad T- 또는 W- 시리즈입니다. 마지막으로 일부 ASUS 노트북에는 BIOS에 이러한 옵션이 있다고 들었습니다. Dell은 HDD 암호를 약한 8 자로 제한합니다.

나는 삼성보다 인텔 SSD의 주요 스토리지에 훨씬 익숙합니다. 인텔은 드라이브, 320 시리즈 등에서 온칩 FDE를 최초로 제공한다고 생각했습니다. 비록 AES 128 비트였습니다. 필자는이 삼성 시리즈가 키 스토리지를 구현하는 방법을 광범위하게 조사하지 않았으며, 현재로서는 아무도 모른다. 분명히 고객 서비스는 당신에게 도움이되지 않았습니다. 기술 회사의 5 ~ 6 명만이 실제로 판매하는 하드웨어에 대해 알고 있다는 인상을받습니다. 인텔은 구체적인 내용을 밝히기를 꺼려했지만 결국 회사 담당자가 포럼 어딘가에 대답했다. 드라이브 제조업체의 경우이 기능은 완전히 고려해야합니다. 그들은 그것에 대해 아무것도 모르거나 신경 쓰지 않으며 고객의 99.9 %를 차지하지 않습니다. 상자 뒷면에있는 또 다른 광고 글 머리 기호 일뿐입니다.

도움이 되었기를 바랍니다!

나는 이것이 오늘 작동하도록 마침내 얻었고 당신처럼 나는 BIOS에 ATA 암호가 설정되어 있지 않다고 생각한다 (적어도 내가 볼 수는 없다). BIOS 사용자 / 관리자 암호를 활성화했는데 PC에 TPM 칩이 있지만 BitLocker가 하나 (USB 키)없이 작동해야합니다. 당신과 마찬가지로 BitLocker 프롬프트에서 정확히 같은 지점에 갇혀 있었으므로 데이터 또는 전체 디스크 만 암호화하고 싶습니다.

내 문제는 내 마더 보드가 UEFI를 지원하지만 Windows 설치가 UEFI가 아니라는 것입니다. msinfo32run 명령 을 입력 하고 Bios Mode를 확인하여 설치를 확인할 수 있습니다 . 그 이외의 것을 읽는 경우 UEFI창을 처음부터 다시 설치해야합니다.

이 포럼의 관련 게시물에서 Samsung SSD 암호화에 대한 단계별 지침 가이드를 참조하십시오 .

소프트웨어 암호화

TrueCrypt 7.1a는 SSD에서 사용하기에 적합하지만 드라이브는 여전히 HDD보다 10 배 이상 우수한 IOP를 수행하지만 IOP 성능을 상당히 저하시킬 수 있습니다. 따라서 Magician에 나열된 옵션을 사용할 수없는 경우 TrueCrypt는 드라이브를 암호화하는 옵션이지만 Windows 8 이상 파일 시스템에서는 제대로 작동하지 않습니다. 이러한 이유로 전체 디스크 암호화를 사용하는 BitLocker가 이러한 운영 체제에 더 적합한 옵션입니다.

TCG 오팔

TCG Opal은 기본적으로 일종의 미니 운영 체제를 드라이브의 예약 된 부분에 설치하여 드라이브를 부팅하고 드라이브에 대한 액세스 권한을 부여하기위한 암호를 사용자에게 제공하기위한 목적으로 만 사용됩니다. . 보고 된 안정적인 오픈 소스 프로젝트를 포함하여이 기능을 설치하는 데 사용할 수있는 다양한 도구가 있지만 Windows 8 이상 BitLocker가이 기능을 지원해야합니다.

Windows 8 이상이 없으므로이를 설정하는 방법에 대한 지침을 제공 할 수 없지만, 읽은 내용은 Windows를 설치할 때만 사용할 수 있으며 설치 한 후에는 사용할 수 없다는 내용입니다. 숙련 된 사용자는 자유롭게 시정하십시오.

ATA 비밀번호

ATA 암호 잠금은 Samsung 840 이상 시리즈 드라이브와 수천 개의 기타 드라이브에서 지원하는 ATA 표준의 선택적 기능입니다. 이 표준은 BIOS와 관련이 없으며 여러 방법을 통해 액세스 할 수 있습니다. BIOS가 ATA 표준을 제대로 준수하지 않을 수 있으므로 ATA 암호 설정 또는 관리에 BIOS를 사용하지 않는 것이 좋습니다. 이 기능을 지원하는 것처럼 보이지만 실제로는 준수하지 않는 하드웨어에 대한 경험이 있습니다.

이 기능을 검색하면 ATA 잠금 기능이 데이터 보호를 위해 안전한 것으로 간주되어서는 안된다는 주장이 많이 제기됩니다. 이는 일반적으로 자체 암호화 드라이브 (SED)가 아닌 HDD에만 해당됩니다. Samsung 840 이상의 시리즈 드라이브는 SSD 및 SED이므로 이러한 논의는 해당되지 않습니다. 이 질문에 설명 된대로 ATA 암호로 잠긴 Samsung 840 시리즈 이상은 사용하기에 충분히 안전해야합니다.

BIOS가 ATA 암호 잠금 드라이브 잠금 해제를 지원할 수있는 가장 좋은 방법은 드라이브를 잠그고 컴퓨터에 설치 한 다음 컴퓨터를 부팅하여 암호를 묻는 지 여부와 입력 한 암호가 드라이브 잠금을 해제 할 수 있는지 확인하는 것입니다.

이 테스트는 손실하지 않으려는 데이터가있는 드라이브에서 수행하면 안됩니다.

다행히 테스트 드라이브는 ATA 표준 보안 세트를 지원하고 대상 컴퓨터에 설치할 수있는 모든 드라이브 일 수 있으므로 Samsung 드라이브 일 필요는 없습니다.

드라이브의 ATA 기능에 액세스하는 가장 좋은 방법은 Linux 명령 줄 유틸리티를 사용하는 것 hdparm입니다. Linux가 설치된 컴퓨터가 없어도 설치 디스크 이미지는 설치 미디어에서 OS '실시간'실행을 지원하는 많은 배포판이 있습니다. 예를 들어, Ubuntu 16.04 LTS는 대다수의 컴퓨터에 쉽고 빠르게 설치해야하며 광학 드라이브가없는 시스템에서 실행하기 위해 동일한 이미지를 플래시 미디어에 쓸 수도 있습니다.

ATA 암호 보안을 활성화하는 방법에 대한 자세한 지침은이 질문의 범위를 벗어 났지만이 자습서가이 작업에 가장 적합한 것으로 나타났습니다.

자체 암호화 SSD에서 ATA 보안 활성화

최대 비밀번호 길이는 32 자입니다. BIOS가 표준을 올바르게 지원하는지 확인하려면 32 자 암호로 테스트하는 것이 좋습니다.

대상 컴퓨터의 전원을 끄고 드라이브 ATA 암호를 잠근 상태에서 드라이브를 설치하고 시스템을 부팅하십시오. BIOS에서 드라이브 잠금을 해제하기 위해 암호를 요구하지 않으면 BIOS는 ATA 암호 잠금 해제를 지원하지 않습니다. 또한 암호를 완전히 입력 한 것으로 보이지만 드라이브 잠금을 해제하지 않는 경우 BIOS가 ATA 표준을 제대로 지원하지 않아 신뢰할 수없는 것일 수 있습니다.

운영 체제를 올바르게 설치하고로드하거나 테스트 드라이브를로드하고 마운트 할 수있는 OS 드라이브와 함께 설치하는 등 시스템이 잠금 해제 된 드라이브를 올바르게 읽고 있는지 확인하는 것이 좋습니다. 문제없이 파일을 읽고 씁니다.

테스트에 성공하고 단계를 반복 할 것으로 확신하는 경우, OS가 설치된 암호를 포함하여 드라이브에서 ATA 암호를 활성화해도 드라이브의 데이터 부분에는 아무런 변화가 없으므로 입력 한 후 정상적으로 부팅해야합니다. BIOS에서 비밀번호.

당신이 이것을 보았거나 아직 고쳤는지 모르겠지만, 여기 EVO 840에 대한 Samsung의 링크가 있습니다. http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/ about / whitepaper06.html

본질적으로 ssd에 내장 된 하드웨어 AES 암호화기를 활성화하기 위해 말하는 것은 시스템 BIOS에서 HDD 암호를 설정하는 것입니다. "사용자 / 관리자 / 설정"암호는 바로 그 것입니다. 그러나 HDD 암호 설정은 SSD를 통과해야합니다. 컴퓨터를 켤 때마다 암호를 수동으로 입력해야하며 TPM 칩이나 다른 암호 키와는 작동하지 않습니다. 또한 암호화를 사용하는 사람이라면 누구나 데이터를 백업해야합니다. 전문 서비스를 거치지 않고는 실패 / 손상된 암호화 된 드라이브에서 데이터를 복구 할 수 없습니다.

"NSA 인증 수준의 보안이 필요하지 않습니다"

어쨌든 무료이기 때문에 왜 사용하지 않습니까?

컴퓨터 보안 및 컴퓨터 법의학에서 대학원 수업을들은 후 드라이브를 암호화하기로 결정했습니다. 많은 옵션을 살펴본 결과 DiskCrypt를 선택한 것이 매우 기쁩니다. PGP 서명이 제공되는 설치, 사용하기 쉽고 오픈 소스, EXE가 소스와 일치하는지 확인하기 위해 직접 컴파일하는 방법에 대한 지침, 드라이브를 자동 마운트, 부팅 전 PW 프롬프트를 잘못 설정할 수 있습니다. -pw 작업을 수행하면 AES-256이 사용됩니다.

최신 CPU는 SINGLE 머신 명령어에서 AES 암호화 라운드를 수행합니다 (섹터의 데이터를 암호화하는 데는 수십 라운드가 소요됨). 필자의 벤치 마크에서 AES는 복어와 같은 소프트웨어 구현 암호보다 11 배 빠르게 실행됩니다. DiskCryptor는 PC가 디스크에서 읽고 쓰는 것보다 몇 배나 빠르게 데이터를 암호화 할 수 있습니다. 측정 가능한 오버 헤드가 없습니다.

나는 TEC- 냉각, 홉핑, 고속 주파수 5 GHz 기계를 사용하고 있기 때문에 마일리지는 다양하지만 많이는 아닙니다. 암호화 / 암호 해독에 필요한 CPU 시간이 너무 낮아 측정 할 수 없습니다 (즉, 1 % 미만).

일단 설정하면 완전히 잊을 수 있습니다. 눈에 띄는 유일한 효과는 부팅 할 때 PW를 입력해야한다는 것입니다.

SSD에서 암호화를 사용하지 않는 것은 이전에 들어 보지 못한 소문입니다. 또한 보증되지 않습니다. 암호화 된 데이터는 일반 데이터와 똑같이 드라이브에서 쓰고 읽습니다. 데이터 버퍼의 비트 만 스크램블됩니다. chkdsk / f를 수행하고 암호화 된 드라이브에서 다른 디스크 유틸리티를 실행할 수 있습니다.

그리고 BTW는 다른 프로그램과 달리 디스크 키퍼는 암호를 메모리에 유지하지 않습니다. 암호화에 단방향 해시 키를 사용하고, 메모리에 잘못 입력 된 암호를 덮어 쓰고, PW 입력 및 유효성 검사 중에 페이징 파일을 사용하지 않도록 많은 시간을 투자합니다.

https://diskcryptor.net/wiki/Main_Page

나는 수퍼 유저의 다른 곳에 이것을 게시했지만, 이것은 내가 스스로를 교육하는 데 사용되는 실이기 때문에 여기에 기반을두고 싶었습니다.

Samsung 840/850 EVO 및 Intel SSD의 전체 디스크 암호화를위한 ATA 암호 및 소프트웨어 암호화

장점 : 단순하고 성능 저하가 없으며 매우 안전합니다. ATA 암호가없는 다른 컴퓨터에서는 디스크를 읽을 수 없습니다

단점 : ATA 암호 옵션이있는 BIOS가 필요합니다 (HP 및 Lenovo 랩탑에는이 기능이있는 것 같지만 대부분의 데스크탑 mobo에는 없습니다. 예외 : ASRock은 최근 1.07B BIOS를 Extreme 시리즈 용으로 작성했으며 작동합니다). 또한 비밀번호를 잊어 버린 경우 데이터를 복구 할 수 없도록 안전합니다. 누구나 볼 수 있습니다. 마지막으로, 그것은 모두 SSD의 하나의 컨트롤러 칩에 의존하며 그 칩이 잘못되면 데이터가 수행됩니다. 영원히.

이것이 토론에 추가되기를 바랍니다.

BIOS에서 ATA 암호 설정 BIOS에 그러한 옵션이없는 것 같습니다. 관리자 암호와 부팅 암호 만 있습니다. 너무 나쁘다, 이것이 가장 간단한 옵션이다.

두 번째는 8.1 + bitlocker 승리이지만 전체 reinnstall은 성가시다.

나는 foss tcg opal sw를 모른다. 유료 버전은 아마도 많은 비용이 든다.

truecrypt는 작동하지만 CPU에 AES-NI가 없으면 스파이가 적중 할 수 있습니다.

스트 러프를 백업하는 것을 잊지 마십시오. 암호화 된 데이터는 복구하기가 훨씬 어렵습니다.

많은 Linux 배포판을 설치할 때 / home 폴더를 암호화하는 옵션이 제공됩니다. 이때 / home 폴더 (일명 마운트 지점)를 암호화하기로 선택한 경우 암호를 두 번 입력하라는 메시지가 표시됩니다 (필수).

기본적으로 하나의 완성 된 / home 폴더가 암호화됩니다.

삼성은 공장에서 '사전 암호화'되어 있어야했습니다.

이것은 일반적으로 암호 없이는 하드 드라이브 정보에 액세스 할 수 없음을 의미합니다.

위는 내가 한 일입니다. 운이 좋으면 다른 Linux 소프트웨어 암호화 계층을 사용하여 Samsung 암호화를 사용하면 대부분의 사악한 개인, 회사 및 정부로부터 비교적 안전해야합니다.

BIOS를 통해 하드 드라이브에 암호를 입력 할 필요가 없다고 생각했습니다.

이미 여러 개의 비밀번호를 기억하기는 어렵습니다. KeepassX는 그런 점에서 유용 할 수 있습니다.

진정한 편집증을 위해 BIOS에서 Samsung EVO의 암호를 지정하고 설치시 Linux를 사용하여 드라이브를 소프트웨어로 암호화 한 다음 오픈 소스 암호화 프로그램을 사용하십시오 (백도어 및 취약성이 의심되므로 truecrypt가 아님).

KeepassX를 사용하면 길고 복잡한 암호를 기억하고 암호로도 플래시 드라이브를 보호 할 수 있습니다.

당신이 일종의 범죄자이거나 그렇게 많은 보안이 필요한 귀중한 것을 가지고 있지 않는 한, 대부분은 시간 낭비입니다.

IronKey와 같은 암호화 된 플래시 드라이브에 소스 코드를 유지하는 것이 더 쉬워서 성능 저 하나 드라이브 문제가 발생하지 않습니다. 개인 문서도 거기에 갈 수 있습니다.