Encriptación SSD SandForce - seguridad y soporte


12

Actualmente estoy pensando en comprar un ThinkPad X201 y equiparlo con una unidad SSD. Ahora, para proteger mis datos, siempre usé Linux con cifrado de disco completo LUKS en mis computadoras portátiles. Sin embargo, como se indicó en otra publicación de SuperUser, esto deshabilitaría la compatibilidad con TRIM, por lo que no parece ser una buena idea con una unidad SSD.

He leído que los SSD basados ​​en SandForce-1200 ofrecen cifrado AES integrado vinculado a la contraseña del BIOS. Sin embargo, no puedo encontrar la documentación adecuada sobre esto. Preguntas:

  • ¿Algún inconveniente general de este enfoque?
  • Supongo que esto requeriría soporte de BIOS para la función: ¿cómo saber si funciona en un X201?
  • Las versiones antiguas de BIOS solo admitían contraseñas cortas (como 6 u 8 caracteres), ¿ha mejorado esta situación para proporcionar seguridad suficiente para un cifrado de disco?

Actualización: esta fuente dice que ni siquiera puede establecer ninguna contraseña en estas unidades. ¿Eh? Eso no tiene sentido, ¿por qué incluso harías las complicadas operaciones de AES cuando no permites usar una llave?

Gracias por cualquier consejo experto al respecto :)

Respuestas:


11

Respondiendo a mi propia pregunta, esto es lo que descubrí después de buscar en la red durante un par de horas:

  • Los dispositivos SandForce tienen el cifrado AES activado de forma predeterminada, pero hay problemas con esto (ver más abajo)
  • Si pone a cero la unidad con ATA Secure Delete, la clave se borrará y luego se regenerará y, por lo tanto, los datos antiguos ya no serán accesibles, lo que lo convierte en una solución aceptable cuando esté a punto de vender o desechar su SSD
  • Sin embargo, no es posible establecer una contraseña de usuario que impida que alguien que robe su computadora portátil con un SSD SandForce lea sus datos
  • La clave de cifrado no está vinculada a la seguridad de ATA y / o BIOS
  • Establecer una contraseña de usuario sería posible si hubiera una herramienta para esto. OCZ prometió un programa llamado su "caja de herramientas" que permitiría esto muy a menudo en sus foros de soporte, pero cuando finalmente se lanzó en octubre de 2010, todavía no tenía la funcionalidad (y aún no hoy)
  • Supongo que incluso si pudiera establecer la contraseña usando la caja de herramientas, ya no sería posible usar el dispositivo como dispositivo de arranque porque no podría desbloquearlo desde la BIOS.
  • El uso de software de cifrado de disco completo en un SSD afecta seriamente el rendimiento de la unidad, hasta un punto en el que puede ser más lento que un disco duro normal.

Fuente de parte de esta información.

Actualización: si está interesado, escribí un poco más sobre los problemas en una publicación de blog dedicada .


La desaceleración del cifrado de disco completo solo se aplica a los controladores Sandforce que dependen de la compresión para su velocidad.
Zan Lynx

Estoy pasando por la misma investigación ahora que descubro qué hacer con la nueva SSD incorporada de mi HP Folio 13. Realmente encontré útil tu publicación de blog: +1 en la respuesta que publicaste. ¡Gracias!
TARehman

Bloquear requiere una contraseña. ¿Tiene sentido entonces anunciarlo aquí?
maaartinus

vaya lo siento por eso, de alguna manera logré establecer la cuenta de wordpress erróneo privada mientras se trabaja en una diferente;)
C089

0

El cifrado del disco es para Sandforce, no para ti. Si su unidad falla, debe utilizar uno de sus proveedores "aprobados", a quienes le suministran las llaves y que cobran $ 5-6k por la recuperación de datos. También conocido como mantener a sus datos como rehenes para ganar dinero.


Además, puede habilitar TRIM desde el contenedor LUKS. Consulte aquí para obtener instrucciones: blog.christophersmart.com/2013/06/05/trim-on-lvm-on-luks-on-ssd
Jimbo Jones
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.