web-dev-qa-db-ja.com

SandForceSSD暗号化-セキュリティとサポート

私は現在、ThinkPadX201を購入してSSDドライブを装備することを考えています。現在、データを保護するために、ラップトップでは常にLinuxとLUKSフルディスク暗号化を使用していました。ただし、別のスーパーユーザーの投稿で述べられているように、これによりTRIMのサポートが無効になります。そのため、SSDドライブではお勧めできません。

SandForce-1200ベースのSSDは、BIOSパスワードに関連付けられた統合AES暗号化を提供することを読みました。ただし、これに関する適切なドキュメントが見つかりません。質問:

  • このアプローチの一般的な欠点はありますか?
  • これには、この機能のBIOSサポートが必要になると思います-X201で動作するかどうかを確認する方法は?
  • 古いBIOSバージョンは短い(6文字または8文字など)パスワードのみをサポートしていましたが、ディスク暗号化に十分なセキュリティを提供するためにこの状況は改善されましたか?

更新: このソース は、これらのドライブにパスワードを設定することさえできないと言っています。え?それは意味がありません。キーの使用を許可しないのに、なぜ複雑なAES操作を行うのでしょうか。

この問題に関する専門家のアドバイスをありがとう:)

12
c089

私自身の質問に答えて、これは私が数時間ネットで検索した後に私が見つけたものです:

  • SandForceデバイスではデフォルトでAES暗号化がオンになっていますがしかしこれには問題があります(以下を参照)
  • ATA Secure Deleteを使用してドライブをゼロにすると、キーがワイプされ、後で再生成されるため、古いデータにアクセスできなくなります。これは、SSDを販売またはゴミ箱に移動するときに受け入れられるソリューションです。
  • ただし、SandForceSSDでラップトップを盗んだ人がデータを読み取れないようにするユーザーパスワードを設定することはできません。
  • 暗号化キーはATAセキュリティおよび/またはBIOSにリンクされていません
  • このためのツールがあれば、ユーザーパスワードの設定は可能です。 OCZは、サポートフォーラムでこれを頻繁に許可する「ツールボックス」と呼ばれるプログラムを約束しましたが、2010年10月にようやくリリースされたとき、まだ機能がありませんでした(そして今日もそうではありません)
  • ツールボックスを使用してパスワードを設定できたとしても、BIOSからロックを解除できなかったため、デバイスをブートデバイスとして使用することはできなくなったと思います。
  • SSDでソフトウェアのフルディスク暗号化を使用すると、ドライブのパフォーマンスに深刻な影響を及ぼします。通常のハードディスクよりも遅くなる可能性があります。

ソース この情報の一部。

更新:興味があれば、問題についてもう少し 専用ブログ投稿 に書きました。

11
c089

ディスク暗号化はSandforce用であり、あなた用ではありません。ドライブに障害が発生した場合は、データ復旧に5〜6千ドルを請求するキーを提供する「承認済み」ベンダーの1つを使用する必要があります。データを人質にしてお金を稼ぐこととしても知られています。

0
Jimbo Jones