Samsung SSD 840 Evo Disk Encryption

Tampoco he encontrado información como esta y no estoy seguro de que esté disponible. Recientemente utilicé uno de estos discos con la contraseña del disco duro habilitada. El cifrado AES en estos discos es fácil de usar y tiene un excelente rendimiento.

Pero no hay manera de verificar que realmente esté funcionando. Es un cifrado de caja negra.

Hace un tiempo respondí una pregunta similar sobre este tipo de cifrado en discos giratorios:

Desbloqueo del disco duro vs cifrado de disco completo

  

Esto es cifrado de caja negra   Es una caja negra porque, aunque afirman utilizar AES128, no hay una forma razonable de verificarlo. Y aunque afirman hacerlo correctamente, no hay forma de inspeccionar su implementación.

     

Hace unos años les envié una pregunta simple ... si todas las unidades se envían de fábrica con el cifrado activado, ¿cómo pueden agregar su clave aleatoria?

     

Nunca obtuve una respuesta y nunca escuché a nadie proporcionar una explicación razonable. Por lo que sabemos, todas las claves en todas las unidades son idénticas. A menos que tenga un método para omitir la electrónica de la unidad para leer los platos crudos y encriptados, nunca lo sabrá. Incluso si ejecuta una función de "borrado seguro" de ATA SE para eliminar la clave, no sabe cómo se genera la nueva clave.

Recientemente he estado investigando este tema como novato y puedo compartir lo que he encontrado hasta ahora.

Primero, las contraseñas ATA para aprovechar el cifrado de hardware EVO es simple. Lo he hecho con mi ASRock Extreme6 mobo y su BIOS 1.07B actualizado.

La unidad cuando se saca de esa máquina y se coloca en otra máquina es completamente ilegible, incluso por algunas cosas de software forense básico que tengo. También es rápido, no vi ningún impacto en el rendimiento, aunque no hice pruebas exhaustivas.

Estoy de acuerdo en que el cifrado de Samsung es una caja negra: nadie parece saber lo que hicieron.
Las desventajas son dos:

1. Es seguro; tan seguro, que si olvida su contraseña los datos están tostados. No hay grietas de software o puertas traseras.

2. Este cifrado se basa en un único chip de controlador en el SSD, y si ese chip se apaga, nuevamente estará en suspenso. Por lo tanto, mantener las copias de seguridad no cifradas (bloqueadas fuera de las instalaciones en un lugar seguro) parece una buena idea.

Nuevamente, estas desventajas son relativas: quieres algo tan seguro que no se pueda rastrear, y las fallas en el software podrían hacer que el cifrado del software también sea malo.

Puedo confirmar que el rendimiento de las unidades de hardware cifradas es mucho mejor que el software de encriptación. De hecho, creo que el cifrado del software dificulta tanto el rendimiento, es casi insoportable hacer "trabajo pesado" como usar máquinas virtuales, compilar software, etc.

El diseño de estas unidades parece básicamente correcto. Se basan en el modelo de contraseña como TrueCrypt, en lugar del modelo TPM como BitLocker, lo cual está bien, siempre y cuando se use una buena contraseña.

No tengo ningún motivo para no creer las afirmaciones de Samsung. Sin embargo, personalmente no he visto ninguna evidencia directa de su cifrado. Para verificar esto se necesitaría un trabajo moderadamente serio, ya que necesitaría retirar la placa del controlador de una unidad e intercambiarla por una que no esté encriptada. Bueno, eso es lo que harías para un disco duro, no sé si eso es posible para un SSD. De todos modos, no es algo que intentaré.

Este tipo de unidades no tiene nada que ver con la "informática confiable". BitLocker (el cifrado de disco de Microsoft) almacena las claves en el TPM, que está relacionado con la informática de confianza. Las opiniones sobre esto varían, y no tengo ninguna objeción inherente a los TPM, pero para una unidad que toma una contraseña de BIOS son irrelevantes.

El SSD en realidad encripta todos los datos de forma predeterminada fuera de la caja. La unidad tiene una clave de cifrado codificada en el firmware del dispositivo. Todos los datos están cifrados / descifrados con esta clave. Incluso si no establece una contraseña de HDD en Bios, los datos todavía están cifrados en el disco sin formato.

El único propósito de su contraseña del BIOS es restringir el acceso a la clave de cifrado almacenada en el firmware. Solo después de ingresar la contraseña de HDD correcta en el arranque, se recupera la clave de cifrado y se inicia el cifrado / descifrado. La configuración de la contraseña de la unidad de disco duro en bios combina de forma unida su SSD con su bios, lo que aumenta la seguridad de acceso a los datos. Cualquier persona con acceso a su sistema debe ingresar primero la contraseña de la unidad de disco duro para iniciar desde la unidad.