Samsung SSD 850 EVO. La mejor manera de proteger los datos personales contra los ladrones.

Para las unidades Samsung 850 y otras SSD, su mejor y más segura opción es usar el cifrado de disco completo OPAL al habilitar una contraseña de unidad en el BIOS de su sistema.

La forma en que funciona el cifrado en estos SSD es que la unidad siempre está cifrada: viene de fábrica con una clave de cifrado generada y configurada. Todos los datos que escribe y lee están cifrados / descifrados con esta clave, nada se escribe sin cifrar.

Cuando configura una contraseña en BIOS, la unidad cifra la clave de cifrado (almacenada en el controlador de la unidad) con la contraseña que proporcionó. Por lo tanto, hasta que ingrese la contraseña y le dé a la unidad la clave que necesita para descifrar su propia clave de cifrado, todos los datos son ilegibles, incluso para la propia SSD. Además, no puede emitir ningún comando SATA o incluso formatear / reutilizar la unidad sin proporcionar esta contraseña.

Tenga en cuenta que esto es transparente para el sistema operativo: el cifrado se maneja a nivel de hardware y el descifrado al inicio a través del BIOS. No importa lo que sea, el sistema operativo solo verá un SSD normal e interactuará con él normalmente.

Cuando usa el software Samsung para realizar un "borrado seguro" de un SSD, en realidad no "borra" nada en el sentido puro de la palabra. Con los SSD, cada escritura / reescritura de un sector se puede recuperar fácilmente a través del análisis forense. Si esa información estaba encriptada, aún puede recuperarla, siempre y cuando tenga la clave de encriptación. Lo que hace el servicio de "borrado seguro" es restablecer la clave de cifrado AES interna de la unidad a una nueva; restableciendo efectivamente la unidad. Por lo tanto, toda la información antigua sobre la unidad que podría ser recuperada por el análisis forense ahora se cifra / no se puede leer incluso en la unidad, lo que hace que la recuperación de los datos sea exponencialmente más difícil, si no imposible.

El controlador de la unidad maneja la contraseña. Si su BIOS es compatible con las unidades OPAL o SED, no puede omitir el cifrado de la unidad utilizando la contraseña de supervisor de la BIOS para cambiar la contraseña del disco. Incluso si ha iniciado sesión en el BIOS con una contraseña de supervisor, no podrá cambiar la contraseña en un SSD OPAL / SED (si su BIOS lo admite correctamente) sin proporcionar la contraseña del SSD existente. Si puede, eso significa que su BIOS nunca se comunicó con la unidad para establecer la contraseña en primer lugar. Si este fuera el caso, el BIOS no es compatible con OPAL y también podría simplemente conectar el SSD a otra computadora e visualizar los datos sin obstáculos. La mayoría de los fabricantes de unidades ofrecen herramientas que puede usar para verificar esto y ver si el estado de la unidad está "encriptado", lo que significa que se ha establecido una contraseña.

Tenga en cuenta que TrueCrypt ahora se ha retirado y existe una gran especulación sobre si el código base del proyecto pudo haber sido comprometido por alguna entidad como una agencia gubernamental; O si los creadores simplemente se retiraban. Aquí hay un artículo con información.

También tenga en cuenta que la vulnerabilidad del cifrado completo del disco es que sus datos están protegidos cuando los datos cifrados no están en uso / la clave de cifrado no está en la memoria, es decir, cuando su computadora está encendida y en uso. Si un adversario se puso en contacto con su computadora mientras se estaba ejecutando, es posible (aunque difícil) recuperar la clave de la memoria del BIOS / controlador del disco.

Por supuesto, el cifrado completo del disco tampoco lo protegerá de los efectos del malware u otros compromisos cuando el sistema también se esté ejecutando.

Enlaces

El sitio de marketing de Samsung notando la compatibilidad del Samsung 850 SSD con encriptación OPAL

Libro Blanco de Samsung SSD que detalla cómo funciona el cifrado

No sé cuál es el modelo específico, pero esta respuesta es adecuada para la mayoría de los dispositivos con autocifrado:

Para los SSD, la ventaja de usar el cifrado SED incorporado es que puede aprovechar la función de ajuste (nivelación de desgaste).

Hace unos años, una gran revista informática alemana mostró que muchas funciones de autocifrado incorporadas en los discos duros estaban mal implementadas enlace enlace y se puede descifrar fácilmente (si los datos están incluso encriptados y no solo protegidos por contraseña!). Algunos de ellos afirmaron que usaban AES, pero solo usaban AES para cifrar la clave, pero usaban el cifrado XOR inseguro para los datos. También cuando se usa AES para los datos, pueden hacerlo mal al usarlo en el modo / combinación incorrectos. OPAL parece usar solo las funciones incorporadas desde mi primera mirada.

No sé si es posible evitar el cifrado como en su segundo enlace, pero esto sería una muy mala señal para el cifrado.

Básicamente, la pregunta es qué tan importante es para usted el cifrado de los datos y en qué medida confía en el cifrado integrado. Si no hay una auditoría de seguridad para este modelo exacto de una empresa de seguridad externa confiable, no lo usaría para más importante que la lista secreta de regalos de Navidad para su esposa.

Para cualquier otra cosa, usaría un cifrado independiente como truecrypt / LUKS / EncFS / .... Cuando use el cifrado de disco completo en las unidades SSD, deje un poco de espacio no particionado para la nivelación del desgaste. Cuando se usa el cifrado basado en archivos como EncFS, un atacante puede obtener información sobre la estructura de carpetas / archivos y el tamaño de los archivos. Para algunos esto es un problema, para otros no.