web-dev-qa-db-ja.com

Samsung 850 Proでハードウェアベースの暗号化を有効にする方法

ハードウェアベースの暗号化を禁止する の新しいSamsung 850プロがあります。そのページによると、私はBIOSにアクセスしてハードドライブのパスワードを設定するだけです(問題ありません)。 関連するスレッドのみ 問題で見つけたものも、同じ行に沿って何かを述べています。私のBIOSにはそのようなオプションがありません(現在、Z87チップセットを搭載したギガバイトボードがあり、モデル番号がエスケープしています)。これを機能させるために新しいマザーボードを購入する場合、ボードはどの機能をサポートする必要がありますか?

10
ErlVolton

「これを機能させる」という意味によって異なります。そのドライブはOPAL 2.0をサポートしており、さまざまなソフトウェア管理の暗号化方式でハードウェアアクセラレーション暗号化を使用できます。また、BIOS/EFIスキームなどの暗号化のためのプリブート認証(PBA)も可能です。 PBA(つまり、BIOS/EFIのパスワード/ピン)を使用したい場合は、それをサポートするマザーボードに切り替える必要があります(PBAを使用していないため、BitLockerを使用しているため、私はWindows環境で強くお勧めします)。

TL; DR Windowsを実行している場合は、BitLockerを使用すると、ハードウェアアクセラレーションが自動的に使用されます。

編集
2014年4月現在、OPALはLinuxではサポートされていません。 「msed」に取り組んでいる人がいましたが、完成していないか、生産に値するものではありませんでした。 LinuxでのOPALサポートの現在の状況や将来はわかりません。

編集2
BIOS/EFIが直接サポートしていない場合、さまざまなPBAを可能にするOPAL互換ドライブを管理できるさまざまなUEFI製品もあります。私が漠然と精通している唯一のものは、企業がインターネット経由でPBAの認証サーバーをセットアップすることを可能にします。ローカルの資格情報でも機能する可能性がありますが、よくわかりません。また、非常に高価です。他に何も考えないための食べ物。

7
Chris S

「msed」で作業する「誰か」として、OPALロックを有効にし、PALをOPAL 2.0ドライブに書き込み、BIOSベースのマザーボードでドライブのロックを解除した後、実際のOSをチェーンロードする機能を備えています。特別なマザーボードのサポートは必要ありません。はい、まだ開発サイクルの初期段階にあり、OSフックが必要なため、ramへのスリープは現在サポートされていません。

9
Michael Romeo

TexasDexは正しいです。マザーボードのBIOSは、ATAパスワードオプションをサポートする必要があります(これは、BIOSパスワードに加えて異なります)。ここで興味深いビットです。 。 。この機能については誰も言及していません。 moboのレビュー、比較、moboの製造元の広告やリストにはありません。何故なの?何百万ものSamsung EVOとIntel SSDは、超高速で安全なハードウェア暗号化を有効にする準備ができています。必要なのは、ATAパスワードをサポートするBIOSだけです。

私が見つけた唯一の答えは、Moboメーカーがいくつかの初心者がパスワードを忘れてしまうことを恐れていることです。この暗号化は非常に信頼性が高いため、誰も助けることはできませんAT ALL.

私はASRock Extreme6モボを持っていて、それが最新かつ最高であると考えていましたが、もちろんこの機能がありました。ない。しかし、私は台湾のASRockに手紙を書いたところ、1週間以内にATAパスワードオプションが付いた1.70BバージョンのBIOSがメールで送られてきました。しかし、それは彼らのウェブサイトではまだ利用できません、あなたはそれを尋ねる必要があります(?!)。これはあなたのモボメーカーにも当てはまるかもしれません。

3
Al Winston

Linuxでhdparmコマンドを使用してATA Security Extensionsを有効にすることができます。これにより、ドライブにATパスワードが設定され、暗号化されます。

残念ながらBIOSがハードディスクのパスワードをサポートしていない場合、起動する方法はありません起動した後、起動が完了するまでhdparm unlockコマンドを使用できず、ドライブのロックを解除して起動するまで、ロックを解除する必要があります。鶏/卵の問題。そのため、BIOSにディスクパスワードのサポートを組み込むことがあり、OSを必要とせずに実行できます。

別のデバイスに/ bootまたは/パーティションがある場合は、initプロセスのどこかにhdparmコマンドを使用するスクリプトを設定できる場合があります。これは簡単なことではなく、高速起動などのためにSSDを使用する目的に少し反します。

私の唯一の他のアイデアは、パスワードを要求するだけのLinuxの超最小ディストリビューションを備えたサムドライブを用意し、hdparm ata unlockコマンドを実行して再起動し、ロック解除されたドライブからOSをロードできるようにすることです(私は信じています)ソフトリブートでは通常、ドライブは再ロックされません)。これは理想的ではありませんが、マザーボードがATAパスワードをサポートしていない場合に利用できる最良のソリューションです。

1
TexasDex
  • ストレージタイプはACHIである必要があります。
  • コンピューターは常にUEFIからネイティブに起動する必要があります。
  • コンピューターでは、互換性サポートモジュール(CSM)がUEFIで無効になっている必要があります。
  • コンピューターはUEFI 2.3.1ベースで、EFI_STORAGE_SECURITY_COMMAND_PROTOCOLが定義されている必要があります。 (このプロトコルは、EFIブートサービス環境で実行されているプログラムがセキュリティプロトコルコマンドをドライブに送信できるようにするために使用されます)。

  • TPMチップはオプションです。

  • セキュアブートはオプションです。
  • GPTとMBRの両方がサポートされています。
  • RSTソフトウェア/ドライバーがある場合は、少なくともバージョン13.2.4.1000である必要があります。

これは、2つのディスクまたは1つのディスクで実行できます。

上記の基準を満たすWindowsインストールから:

  • Samsung Magicianを介して有効にする準備ができている状態に設定します。
  • 安全な消去USB(DOS用)を作成します。
  • PCを再起動し、ブートモードをBIOSブートに変更します(USBを安全に消去するため)。
  • 安全な消去、消去を起動します
  • PCを再起動し、BIOSブート設定をEFIに再度変更します。 (ドライブからPCを起動させないでください。最初からプロセスを開始する可能性があります。)
  • Windowsディスクに戻って起動し、Samsungの魔法使いで確認するか、Windowsを安全な消去済みディスクにインストールします。
0