Forum » Pomoč in nasveti » Kako pravilno kriptirati dva SSD diska?
Kako pravilno kriptirati dva SSD diska?
pirx ::
Pozdravljeni,
v prenosnik (Lenovo ThinkPad T440p) želim vgraditi dva SSD diska - Samsung 850 EVO (250 GB), kot primarni disk in Samsung 840 EVO (500 GB), kot sekundarni disk. Operacijski sistem je Windows 10 Pro.
Do sedaj sem diske kriptiral z BitLockerjem, vendar programsko, kar jih nekoliko upočasni. Oba omenjena SSD-ja imata opcijo strojnega kriptiranja in kolikor razumem, bi naj bilo dovolj že, če se v BIOS-u omogoči geslo za trdi disk.
Zanima me, ali se z določitvijo gesla kriptira samo primarni disk, ali pa oba in če je to res dovolj?
Moti me to, da je v Samsung Magicianu postopek drugače opisan:
Piše, da če želim disk kriptirati, moram klikniti na "Ready to enable", nato pa disk formatirati (Secrure Erase) in nato ponovno naložiti OS? Je to res obvezno?
Potemtakem je najboljše, da nov disk (850 EVO) priklopim, kot zunanji disk, kliknem na "Ready to enable", naredim Secure Erase, ga vgradim v računalnik in nato namestim OS, ter zaženem BitLocker? S starim diskom (840 EVO) pa naredim enako, s to razliko, da ga samo vgradim v računalnik, brez nameščanja OS-a?
Če kdo ve kaj več o tem, bi bil hvaležen za pomoč. :)
v prenosnik (Lenovo ThinkPad T440p) želim vgraditi dva SSD diska - Samsung 850 EVO (250 GB), kot primarni disk in Samsung 840 EVO (500 GB), kot sekundarni disk. Operacijski sistem je Windows 10 Pro.
Do sedaj sem diske kriptiral z BitLockerjem, vendar programsko, kar jih nekoliko upočasni. Oba omenjena SSD-ja imata opcijo strojnega kriptiranja in kolikor razumem, bi naj bilo dovolj že, če se v BIOS-u omogoči geslo za trdi disk.
Zanima me, ali se z določitvijo gesla kriptira samo primarni disk, ali pa oba in če je to res dovolj?
Moti me to, da je v Samsung Magicianu postopek drugače opisan:
Piše, da če želim disk kriptirati, moram klikniti na "Ready to enable", nato pa disk formatirati (Secrure Erase) in nato ponovno naložiti OS? Je to res obvezno?
Potemtakem je najboljše, da nov disk (850 EVO) priklopim, kot zunanji disk, kliknem na "Ready to enable", naredim Secure Erase, ga vgradim v računalnik in nato namestim OS, ter zaženem BitLocker? S starim diskom (840 EVO) pa naredim enako, s to razliko, da ga samo vgradim v računalnik, brez nameščanja OS-a?
Če kdo ve kaj več o tem, bi bil hvaležen za pomoč. :)
Ribič ::
Če želiš resno varnost, potem se izogibaj strojnemu kriptiranju, ker ne veš, če ti vsebujejo stranska vrata.
SSD diski delujejo rahlo drugače, kot navadni HDD-ji. Razlika je v tem, da na SSD-ju ne shranjuješ svojih podatkov ampak serijo "približkov". Se pravi nekaj, kar zgleda približno tako, kot tvoj dokument. Težava je v tem, da solid-state tehnologija ne more zanesljivo shranjevati informaciji, zato jih shranjuje na večih lokacijah hkrati - ko pa želiš dokument prebrati, da pa krmilnik na disku rekonstruira oz. sestavi nazaj v celoto iz vseh teh "popačenih" kopiji. Posledično se dokumenti oz. delci dokumentov lahko nahajajo na večih mestih diska in tukaj nimaš nobenega garantiranja, da ti izbris celotnega diska pred šifriranjem sploh izbriše informacije na njemu. Zato je najbolje kupiti nov nerabljen SSD in ga takoj v celoti zašifrirati.
SSD diski delujejo rahlo drugače, kot navadni HDD-ji. Razlika je v tem, da na SSD-ju ne shranjuješ svojih podatkov ampak serijo "približkov". Se pravi nekaj, kar zgleda približno tako, kot tvoj dokument. Težava je v tem, da solid-state tehnologija ne more zanesljivo shranjevati informaciji, zato jih shranjuje na večih lokacijah hkrati - ko pa želiš dokument prebrati, da pa krmilnik na disku rekonstruira oz. sestavi nazaj v celoto iz vseh teh "popačenih" kopiji. Posledično se dokumenti oz. delci dokumentov lahko nahajajo na večih mestih diska in tukaj nimaš nobenega garantiranja, da ti izbris celotnega diska pred šifriranjem sploh izbriše informacije na njemu. Zato je najbolje kupiti nov nerabljen SSD in ga takoj v celoti zašifrirati.
pirx ::
Hvala za info. Gre za moj poslovni računalnik in dokumenti niso ravno top secret, vendar pa če ga kdo ukrade, ne želim, da zlahka pride do podatkov.
Osnovna ideja je omogočiti hardware kriptiranje na disku, plus BitLocker. Kombinacija obojega je že trd oreh za zlomiti. Vendar če se SSD disk pravilno pripravi, potem BitLocker kriptranje opravlja hardware in ne software. To želim doseči.
Vmes sem našel precej dober vodič: https://helgeklein.com/blog/2015/01/how...
Bom poskusil na ta način. Javim, kako bo šlo. :) Če pa ima kdo kakšne izkušnje, naj samo pove.
Osnovna ideja je omogočiti hardware kriptiranje na disku, plus BitLocker. Kombinacija obojega je že trd oreh za zlomiti. Vendar če se SSD disk pravilno pripravi, potem BitLocker kriptranje opravlja hardware in ne software. To želim doseči.
Vmes sem našel precej dober vodič: https://helgeklein.com/blog/2015/01/how...
Bom poskusil na ta način. Javim, kako bo šlo. :) Če pa ima kdo kakšne izkušnje, naj samo pove.
pirx ::
Jupi, zgoraj omenjen vodič je dober. BitLocker deluje in to super. :)
Prej sem vprašal:
Zanima me, ali se z določitvijo gesla kriptira samo primarni disk, ali pa oba in če je to res dovolj?
Obema SSD diskoma se lahko določi geslo v BIOS-u. Čim sta gesli aktivni, sta diska strojno kriptirana. Zelo enostavno in učinkovito.
Kar se pa BitLockerja tiče - postopek je nekoliko daljši, vendar se splača za 100% varnost podatkov. Edino, kar v vodiču ni zajeto je to, da Samsungovo orodje za clean disk ne bo delovalo, če je BIOS nastavljen na UEFI boot. Za clean disk ga bo začasno potrebno nastaviti v MBR (legacy).
Prej sem vprašal:
Zanima me, ali se z določitvijo gesla kriptira samo primarni disk, ali pa oba in če je to res dovolj?
Obema SSD diskoma se lahko določi geslo v BIOS-u. Čim sta gesli aktivni, sta diska strojno kriptirana. Zelo enostavno in učinkovito.
Kar se pa BitLockerja tiče - postopek je nekoliko daljši, vendar se splača za 100% varnost podatkov. Edino, kar v vodiču ni zajeto je to, da Samsungovo orodje za clean disk ne bo delovalo, če je BIOS nastavljen na UEFI boot. Za clean disk ga bo začasno potrebno nastaviti v MBR (legacy).
sodnicaN ::
>Če želiš resno varnost, potem se izogibaj strojnemu kriptiranju, ker ne veš, če ti vsebujejo stranska vrata.
niti ni nujnno da ima namerno vgrajena stranska vrata, lahko je že bolj površno narejeno
niti ni nujnno da ima namerno vgrajena stranska vrata, lahko je že bolj površno narejeno
bobby ::
Jaz imam ze par let truecryptan primarno in sekundarni disk imam narejen kot tc container.
Pac prvo geslo je da sploh boota, ko sem v Winsih pa se mi avtomatsko pokaze se en login screen za sekundarni disk,vnos gesla in to je to.
Pac minimalno tezav n nasprotju za primer kraje prenosnika.
Pa seveda upostevaje 5pravil kreiranja gesla.
Pac prvo geslo je da sploh boota, ko sem v Winsih pa se mi avtomatsko pokaze se en login screen za sekundarni disk,vnos gesla in to je to.
Pac minimalno tezav n nasprotju za primer kraje prenosnika.
Pa seveda upostevaje 5pravil kreiranja gesla.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
pirx ::
O TrueCryptu sem tudi razmišljal (uporabljam ga na zunanjem trdem disku za varnostne kopije), vendar baje ni primeren za SSD diske. Zato je tudi pomembno, da ko se dela "clean wipe" SSD-ja (priprava za BitLocker kriptiranje), da se uporabi Samsungov program. Klasičen clean wipe, ki "popiše" cel disk, bi kar pošteno izrabil SSD.
bobby ::
O TrueCryptu sem tudi razmišljal (uporabljam ga na zunanjem trdem disku za varnostne kopije), vendar baje ni primeren za SSD diske. Zato je tudi pomembno, da ko se dela "clean wipe" SSD-ja (priprava za BitLocker kriptiranje), da se uporabi Samsungov program. Klasičen clean wipe, ki "popiše" cel disk, bi kar pošteno izrabil SSD.
WTF??
Kdo ti je pa tole bučko prodal?
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
bobby ::
Zakaj TC ne bi bil primeren za SSDje? Kdo mu je to bučko prodal?
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
bobby ::
trim, thats why.
Malo bolj razlozi.
Trim je, kot je meni znano na Hw osbovi odvisno od kontrolerja in os-a (delno) ne od TC-ja.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
bobby ::
Poleg tega, Trim je zadnje parlet, ce na dan res ne prepisujes par GB na dan so kontrolerji in celice ze toliko naprej, da ni omembe vredno. Razen ce seveda nimas kakega crap ass SSDja
Razsvetli me.
malo pomisli, kako trim deluje in bo hitro jasno, zakaj je security risk.
Razsvetli me.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
Zgodovina sprememb…
- spremenil: bobby ()
hojnikb ::
up vote
1
down vote
accepted
The warning just want to say, that if you enable the discard option, the firmware of your SSD will zero out the unused blocks on your drive. And these zeroed blocks can be easily identified and analyzed for a pattern.
Obviously the zeroed blocks will show the attacker the unused space and because of that he will know what is the used space. So if he want to crack the encryption he will have to deal with a smaller encrypted data, because he won't care about the unused blocks. And from the pattern of the unused blocks the attacker may be able to guess the filesystem type and the filesystem parameters, which may help him in cracking the encryption.
I'm not a cryptographer nor a cryptoanalyst but these informations are likely just a minimal help for the attacker. I think the warning is just there because in cryptology every minimal leaked information about the encrypted data can lead to the break of the encryption. So the authors of this encrypting software wanted to inform you that you have better security without enabling that feature, but how much better is not really known, because we can't know how much these leaked information help the attacker in breaking of the encryption. Obviously if the authors thought that the enabling of this feature would lead to a bigger than minimal risk for the encryption then this feature wouldn't be present in the software.
If you want to know more about this topic I advise you to read this article from Milan Broz and the comments on that page which also contain some good links. From that good article I paste here his conclusions:
If there is a strong requirement that information about unused sectors must not be available to attacker, TRIM must be always disabled.
TRIM must not be used if there is a hidden device on the disk. (In this case TRIM would either erase the hidden data or reveal its position.)
If TRIM is enabled and executed later (even only once by setting option and calling fstrim), this operation is irreversible. Discarded sectors are still detectable even if TRIM is disabled again.
In specific cases (depends on data patterns) some information could leak from the ciphertext device. (In example above you can recognize filesystem type for example.)
Encrypted disk cannot support functions which rely on returning zeroes of discarded sectors (even if underlying device announces such capability).
Recovery of erased data on SSDs (especially using TRIM) requires completely new ways and tools. Using standard recovery tools is usually not successful.
#brezpodpisa
bobby ::
Kaj si to postal, si sploh prebral?
Najprej 2 krat pove, da ni expert potem pa poda izjavo v primeru, ce zelis vec vedet, da se obrni na Milana Broza.
Se pa strinjam samo na eni tocki. Ce ne upostevas najmanj 5 osnovnih pravil kreiranja gesla, ti vsa neumnost kriptiranja cesarkoli ne pomaga.
Najprej 2 krat pove, da ni expert potem pa poda izjavo v primeru, ce zelis vec vedet, da se obrni na Milana Broza.
Se pa strinjam samo na eni tocki. Ce ne upostevas najmanj 5 osnovnih pravil kreiranja gesla, ti vsa neumnost kriptiranja cesarkoli ne pomaga.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
bobby ::
Ja, Microsoftov Bitlocker je pa,.. (Dodaj sam),..
Definitivno pa bi prosil revizijo MSove kode Bitlockerja, ki jo je naredil open comunity,.. U sej res, ni v upogled javnosti.
Sorry, niti z enim tvojim postom tudi blizu nisi prisel, da bi me razsvetlil, pa ti je cel internet na voljo.
Try again.
Ps:seveda se lahko motim ampak bi rad vsaj kaksen priblizek, zakaj TC no go.
Definitivno pa bi prosil revizijo MSove kode Bitlockerja, ki jo je naredil open comunity,.. U sej res, ni v upogled javnosti.
Sorry, niti z enim tvojim postom tudi blizu nisi prisel, da bi me razsvetlil, pa ti je cel internet na voljo.
Try again.
Ps:seveda se lahko motim ampak bi rad vsaj kaksen priblizek, zakaj TC no go.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
Mare2 ::
Ja, Microsoftov Bitlocker je pa,.. (Dodaj sam),..
Definitivno pa bi prosil revizijo MSove kode Bitlockerja, ki jo je naredil open comunity,.. U sej res, ni v upogled javnosti.
Sorry, niti z enim tvojim postom tudi blizu nisi prisel, da bi me razsvetlil, pa ti je cel internet na voljo.
Try again.
Ps:seveda se lahko motim ampak bi rad vsaj kaksen priblizek, zakaj TC no go.
Piše na njihovi strani
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo
fosil ::
Je razlika če uporabiš TC preden daš podatke na SSD ali potem.
Če ga vklopiš prej, ne bi smelo bit problemov.
Če ga vklopiš prej, ne bi smelo bit problemov.
Tako je!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | VeraCrypt ali enostavnejša rešitevOddelek: Pomoč in nasveti | 1993 (1708) | techfreak :) |
» | katero rešitev za kriptiranje diska uporabljate?Oddelek: Strojna oprema | 3648 (3022) | an3333 |
» | TrueCrypt na precepu (strani: 1 2 )Oddelek: Novice / Varnost | 28881 (24241) | MrStein |
» | Izšel TrueCrypt 7.0 (strani: 1 2 3 )Oddelek: Novice / Zasebnost | 32235 (28735) | Jst |
» | Nov članek: Vzpostavitev v celoti šifriranega sistema na Ubuntu FeistyOddelek: Novice / Nova vsebina | 5740 (4097) | poweroff |