jest np. taki dysk
https://www.kingston.com/pl/ssd/business/suv500

i za Chiny nie mogę znaleźć jak działa takie rozwiązanie w przypadku
dysku systemowego? Czy w ogole działa? Na ogół jak się nie chwalą to sie
nie da :)
Jak ja to widzę i jakie rozwiązanie dla mnie by było strzałem w 10:
a) wkładam dysk jako pomocniczy instaluje jakiś tam firmowy soft i
ustawiam szyfrowanie hasłem.
b) uruchamiam go jako systemowy to z dysku uruchamia się wbudowany soft
do odblokowania - prosi o hasło. Fajnie by było gdyby była możliwość
limitu prób - jak ją przekroczymy dysk usuwa klucz i bye-bye. Dzięki
temu możnaby ustawić nawet bardzo krótkie hasło.
c) przy poprawnym wklepaniu następuje reboot komputera i wtedy już dysk
odpala się przez BIOS normalnie i tak az do wyłączenia komputera.

Jest coś takiego?
Czy to działa tylko przez jakiś moduł BIOS, jak tak to jaki?

--
@foe_pl

do góry

On Sun, 04 Nov 2018 13:36:07 +0100, the_foe wrote:
> i za Chiny nie mogę znaleźć jak działa takie rozwiązanie w przypadku
> dysku systemowego?

Działa bardzo dobrze.

> Czy w ogole działa?

Oczywiście.

> Na ogół jak się nie chwalą to sie nie da :)

Albo szkoda im energii na tłumaczenia których ogól i tak nie zrozumie.

> Jak ja to widzę i jakie rozwiązanie dla mnie by było strzałem w 10:
> a) wkładam dysk jako pomocniczy instaluje jakiś tam firmowy soft i
> ustawiam szyfrowanie hasłem.

Żadnego firmware nie potrzeba, wsparcie ma być w BIOS. Komputer się
uruchamia, BIOS widzi że dysk jest zablokowany hasłem i pyta użytkownika
o hasło.

> b) uruchamiam go jako systemowy to z dysku uruchamia się wbudowany soft
> do odblokowania - prosi o hasło. Fajnie by było gdyby była możliwość

Żadnego softu tam nie ma, ochrona hasłem jest częścią standardu ATA.
Natomiast jeśli BIOS nie wspiera odblokowywania takiego dysku podczas
boot, to nie ma opcji by korzystać z takiego dysku dla systemu. Jako
pomocniczy to i owszem, pod warunkiem że OS pozwala przesłać dyskowi
stosowne polecenie ATA (a jak nie to pewno da się załatwić jakimś
programem - w praktyce robiłem to tylko kilka razy i to jeszcze w DOS).

> limitu prób - jak ją przekroczymy dysk usuwa klucz i bye-bye. Dzięki
> temu możnaby ustawić nawet bardzo krótkie hasło.

Takiego czegoś to nie ma, aczkolwiek większość dysków pozwala na próby
odkluczenia tylko przez krótki czas po starcie.

> Czy to działa tylko przez jakiś moduł BIOS, jak tak to jaki?

Podałem wyżej - jeśli BIOS wspiera tzw. ATA password to nie ma problemu.
Jeśli nie wspiera, to z zahasłowanego dysku nie da się wystartować,
trzeba go odhasłować już z poziomu systemu operacyjnego (w Linuksie np.
via hdparm, w DOS za pomocą ATAPWD, a dla Windows zapewne też coś
istnieje ale jeśli chodzi o Windows to nie wiem, nie znam się, nie
orientuję się i w ogóle zarobiony jestem).

Mateusz

do góry

Użytkownik "the_foe" napisał w wiadomości grup
dyskusyjnych:prmp3o$lu6$...@n...news.atman.pl...



> Czy to działa tylko przez jakiś moduł BIOS, jak tak to jaki?


Tak, w BIOSie pojawia się dodatkowa opcja. U siebie mam BIOS PASSWORD oraz
SYSTEM PASSWORD standardowo. Gdy włożę dysk SSD ze sprzętowym szyfrowaniem,
pojawia się dodatkowa opcja DISK PASSWORD. Działa wyśmienicie i nie zżera
mocy obliczeniowej CPU

do góry

On 2018-11-05, Mateusz Viste <m...@n...pamietam> wrote:
> Podałem wyżej - jeśli BIOS wspiera tzw. ATA password to nie ma problemu.

Przy UEFI da się chyba mieszać więcej. Np. jest taka dodatkowa
funkcjonalność SED, od której zdaje się zaczął Seagate: wystarczy
nadpisac miejsce z kluczem i dane bedą niedostępne (pierwotna
funkcjonalność - ochrona danych przy utylizacji dysku). Ale można to
też traktowac w ten sposób, że póki w tym miejscu jest poprawny klucz
to dane będą dostępne. Takie coś raczej łatwo zaimplementowac na
poziomie firmware uefi z ochroną typu password i jak tak googlam po tym
specyficznym Kongstonie to chyba parę firm to robi.

--
Marcin

do góry

On Sun, 4 Nov 2018 13:36:07 +0100, the_foe <t...@c...pl>
wrote:

He, he, he:

https://zaufanatrzeciastrona.pl/post/uwaga-na-dyski-
ssd-z-wbudowanym-szyfrowaniem-to-moze-byc-pulapka/
--
Grzegorz Krukowski

do góry

On 2018-11-06, Grzegorz Krukowski <r...@o...pl> wrote:
> On Sun, 4 Nov 2018 13:36:07 +0100, the_foe <t...@c...pl>
> wrote:
>
> He, he, he:
>
> https://zaufanatrzeciastrona.pl/post/uwaga-na-dyski-
ssd-z-wbudowanym-szyfrowaniem-to-moze-byc-pulapka/

No he he he faktycznie :)
Art. ładnie w temat dyskusji w sąsiednim watku.

Nie tyle jest zaskakująca dziurawość firmware - bo ta jest powszechna, i
równie powszechne zostawianie jtag'ów, co że takie numery robią
producenci urządzeń komputerowych z produktami sprzedawanych jako ekstra
bezpieczne.

--
Marcin

do góry

W dniu 2018-11-05 o 14:35, Mateusz Viste pisze:
> Podałem wyżej - jeśli BIOS wspiera tzw. ATA password to nie ma problemu.
> Jeśli nie wspiera, to z zahasłowanego dysku nie da się wystartować,
> trzeba go odhasłować już z poziomu systemu operacyjnego (w Linuksie np.
> via hdparm, w DOS za pomocą ATAPWD, a dla Windows zapewne też coś
> istnieje ale jeśli chodzi o Windows to nie wiem, nie znam się, nie
> orientuję się i w ogóle zarobiony jestem).

Wielkie dzięki.
W BIOSie nie widze takiej opcji jak ATA password, ale może pojawi się
jak będzie odpowiedni dysk? Tyle co wiem, ze MB (MSI) ma moduł TPM -
jesli to coś daje.
W intrernetach coś tam bredzą ze ATA password jest do obejścia. Czy to
ględzenie tylko?
Poza tym czytam coś takiego na wykopie:

===================== CYTAT =======================================
Kupiłem MX200, jako że szyfruję zawsze wszystkie dyski i ten
zaszyfrowałem VeraCrypt.

Niestety spadek prędkości był o 50% na odczycie i zapisie sekwencyjnym.
I ponad 10x razy wolniej na 4k-64thrd.


Po małym research-u okazało się że ten SSD wspiera standard Opal 2.0.
Czyli SED - "Self-Encrypting Drive", czyli samo szyfrujące się dyski.


Tak wiec zamiast używać szyfrowania programowego lepiej włączyć
sprzętowe. Nie tracimy nic na wydajności, szyfrowanie jest przezroczyste
dla systemu itp. Można używać programów do partycjonowania, klonowania
itp bez żadnego problemu. Jak również instalować dowolny system na dysku.


Standardowo wszystkie dyski obsługujące Opal 2.0 maja włączone
szyfrowanie domyślnie. Jedynie nie pytają o hasło przy uruchomieniu
komputera.

Programem sedutil ustawiamy własne hasło, i włączamy szyfrowanie tym
naszym kluczem. Cała operacja trwa 2-3 sekundy, sedutil zainstaluje
program rozruchowy w specjalnym miejscu na dysku zwanym Shadow MBR.
Które to nie jest dostępne dla systemu. Komputer po uruchomieniu
załaduję ten program zwany "PBA - pre-boot authorization". W którym to
podajemy swoje hasło, po poprawnym podaniu hasła, komputer się zresetuje
i dysk będzie normalnie dostępny.
Rozpocznie się ładowanie systemu, napęd będzie odblokowany do momentu
odcięcia zasilania. Tak wiec możemy kompa resetować itp, i cały czas
dysk będzie odblokowany. Po wyłączeniu komputera dysk dopiero się
zablokuję.


Opal 2.0 dostępny jest dla większości dysków Crucial, Samsung np 840/850
oraz kilku Intela, czy twój obsługuje musisz sprawdzić sam.

===================== KONIEC CYTATU ==================================



--
@foe_pl

do góry

On Fri, 09 Nov 2018 18:45:42 +0100, the_foe wrote:
> W intrernetach coś tam bredzą ze ATA password jest do obejścia. Czy to
> ględzenie tylko?

Da się obejść relatywnie łatwo w przypadku dysków magnetycznych, które
nie szyfrują swojej zawartości a jedynie pytają o hasło podczas startu.
Wystarczy przełożyć elektronikę, albo przeprogramować chip dysku i po
ptakach. W przypadku SSD poprzeczka znajduje się zdecydowanie wyżej. Przy
czym idealne zabezpieczenia nie istnieją, wszystko jest kwestią ceny.

> Poza tym czytam coś takiego na wykopie:
>
> ===================== CYTAT =======================================
> Kupiłem MX200, jako że szyfruję zawsze wszystkie dyski i ten
> zaszyfrowałem VeraCrypt.
>
> Niestety spadek prędkości był o 50% na odczycie i zapisie sekwencyjnym.
> I ponad 10x razy wolniej na 4k-64thrd.

Tutaj mowa o szyfrowaniu software. I zgadza się - takie szyfrowanie może
mieć narzut (czasem spory) na wydajność, a także na czas pracy na aku.

> Tak wiec zamiast używać szyfrowania programowego lepiej włączyć
> sprzętowe. Nie tracimy nic na wydajności, szyfrowanie jest przezroczyste
> dla systemu itp. Można używać programów do partycjonowania, klonowania
> itp bez żadnego problemu. Jak również instalować dowolny system na
> dysku.

O tym pisałem wcześniej.

> Programem sedutil ustawiamy własne hasło, i włączamy szyfrowanie tym
> naszym kluczem. Cała operacja trwa 2-3 sekundy, sedutil zainstaluje
> program rozruchowy w specjalnym miejscu na dysku zwanym Shadow MBR.
> Które to nie jest dostępne dla systemu. Komputer po uruchomieniu
> załaduję ten program zwany "PBA - pre-boot authorization". W którym to
> podajemy swoje hasło, po poprawnym podaniu hasła, komputer się zresetuje
> i dysk będzie normalnie dostępny.

O tym pierwsze słyszę. Ale ja generalnie mało na czasie jestem, a z
postępem różne cuda ludzie wymyślają. Z opisu brzmi fajnie - znaczyłoby,
że nawet i bez wsparcia w BIOS/UEFI da się szyfrować dysk via hardware.

Mateusz

do góry

Zwykle myślałem, że przy restarcie szczególnie laptopa jednak jest przerwa w
zasilaniu.


-----
> napęd będzie odblokowany do momentu odcięcia zasilania.
> Tak wiec możemy kompa resetować itp, i cały czas dysk będzie odblokowany.
> Po wyłączeniu komputera dysk dopiero się zablokuje

do góry