¿Cómo verifico que mi SSD FAL / SED Opal está cifrado?

Question

¿Cómo verifico que mi SSD FAL / SED Opal está cifrado?

#1 de flakeshake (2 votos)
#2 de Al Winston (0 votos)

1

... ¿preferiblemente sin tener que retirar la unidad de la computadora portátil?

Me gustaría probar explícitamente que los datos están realmente cifrados en reposo en mi SSD pero no puedo pensar en una forma; por ejemplo: incluso si arranco mi laptop desde una llave USB de Linux sin ingresar la contraseña del disco duro, simplemente no veré la unidad. ¿Alguien puede recomendar una prueba infalible?

Antecedentes: tengo una nueva computadora portátil (ThinkPad X1 Carbon gen 5), que se supone que viene con un Opal SSD. Según tengo entendido, basado en alguna documentación del fabricante bastante escasa , es que un Opal SSD se cifra en todo momento (supuestamente no es posible apagarlo) y para evitar el acceso no autorizado, debería establecer una "Contraseña del disco duro1".

Uno de los problemas que tengo es que el fabricante de SSD (Samsung) ni siquiera se molesta en proporcionar información sobre la capacidad de Opal de la unidad, por lo que sé, podría perfectamente almacenar todo en texto plano.

disk-encryption ssd

pregunta sxc731 13.05.2017 - 19:20

fuente

2 respuestas

Lea otras preguntas en las etiquetas disk-encryption ssd

¿Debo preocuparme por las cuentas falsas registradas en mi sitio web? Reutilización de clave privada SSL (ataque DROWN)

score 2 · Answer 1

Usted no puede verificar de forma independiente la función de cifrado de las unidades OPAL porque

el cifrado y la obtención de contraseñas se realizan de forma transparente: o bien tiene una contraseña protegida Disco que no permite solicitudes de lectura o puede R / W libremente después de desbloquear con la contraseña correcta. Todo sucede dentro del disco. Incluso el controlador BIOS / SATA no tiene acceso al flujo de datos cifrado, a los hashes de contraseña, a las claves maestras, etc. etc.
el firmware que maneja el almacenamiento de contraseñas, la obtención de claves y la configuración de cifrado es de alto secreto
los fabricantes no publican detalles técnicos o informes sobre sus implementaciones por razones desconocidas

El cifrado de disco completo del software (VeraCrypt, BitLocker) es rápido, probado y confiable, y es la única mitigación para los verdaderamente paranoicos.

score 0 · Answer 2

Dado que los métodos de Opal y ATA Drive Password (a través de BIOS) funcionan aprovechando la capacidad inherente del SSD para cifrar el hardware, no solo son confiables (suponiendo que no exista una "anulación de contraseña maestra" en el fabricante de SSD o en el fabricante de BIOS nivel), pero son imposibles de descifrar una vez que se apaga el SSD. Sin embargo, no es tan seguro si el SSD está en modo de suspensión.

Los SSD como EVO, Intel y similares esencialmente siempre están 'encriptados' a través de sus chips de controlador ... esencialmente los datos entran, el controlador 'al azar' coloca los datos en algún lugar de la unidad. Sin embargo, sin agregar una contraseña, este cifrado está abierto (está en una caja fuerte, pero la puerta se deja abierta) y no es seguro. Claro, agregar una contraseña de disco ATA en el BIOS no le dará ningún impacto en el rendimiento del disco y una seguridad ridícula (hasta el punto en que pierde la contraseña, está jodido ... a menos que el fabricante del BIOS tenga una contraseña maestra en algún lugar). El problema con el enfoque de ATA Drive PW: si su máquina se fríe, debe encontrar otra con un BIOS compatible para ingresar la contraseña. Para divertirse, haga una búsqueda de qué Mobo tiene BIOS que sean compatibles con las contraseñas de ATA Drive. Algunos lo hacen, pero nadie se molesta en mencionar si lo hacen o no. Extraño. En cuanto a Opal, uso Symantec Desktop Encryption para un solo Win7 x64 Ultimate (Sophos WinMagic falló, Bitlocker era demasiado delicado para funcionar, las placas están llenas de problemas al iniciarlo en Win7 ultimate, aunque puede ser más fácil en Win7) - ya que funciona en el arranque previo, hay una ventana de carga de desaceleración de 5 segundos, y ese es el único éxito de rendimiento, ya que usa el cifrado de hardware en el SED Samsung 840 EVO.

En conclusión, la seguridad del hardware de SED es tan sólida que no puede confirmar el cifrado porque está demasiado bien cifrado. Esta es la razón por la que los fabricantes de Mobo están nerviosos por hacer que las contraseñas de ATA BIOS estén disponibles ... si la contraseña se pierde, todos los datos desaparecen para siempre.