SandForce SSD 加密 - 安全性和支持

Question

我目前正在考虑购买 ThinkPad X201 并为其配备 SSD 驱动器。现在，为了保护我的数据，我总是在我的笔记本电脑上使用带有 LUKS 全盘加密的 Linux。但是，正如在另一篇超级用户帖子中所述，这将禁用对 TRIM 的支持 - 因此对于 SSD 驱动器来说这似乎不是一个好主意。

我读过基于 SandForce-1200 的 SSD 提供与 BIOS 密码相关的集成 AES 加密。但是，我找不到有关此的适当文档。问题：

• 这种方法有什么普遍的缺点吗？
• 我想这需要 BIOS 支持该功能 - 如何确定是否适用于 X201？
• 旧的 BIOS 版本仅支持短密码（如 6 或 8 个字符），这种情况是否有所改善，可以为磁盘加密提供足够的安全性？

更新：这个消息来源说你甚至不能在这些驱动器上设置任何密码。嗯？那没有意义，当您不允许使用密钥时，为什么还要执行复杂的 AES 操作？

感谢您对此事的任何专家建议:)

Answer 1

回答我自己的问题，这是我在网上搜索了几个小时后发现的：

• SandForce 设备默认启用 AES 加密，但存在问题（见下文）
• 如果您使用 ATA 安全删除将驱动器清零，密钥将被擦除并在以后重新生成，因此旧数据将无法再访问 - 当您即将出售或丢弃 SSD 时，这是一个可接受的解决方案
• 但是，无法设置用户密码来阻止使用 SandForce SSD 窃取您的笔记本电脑的人读取您的数据
• 加密密钥未链接到 ATA 安全和/或 BIOS
• 设置用户密码会如果有这个工具成为可能。OCZ 承诺有一个名为“工具箱”的程序，可以在他们的支持论坛上经常允许这样做，但是当它最终在 2010 年 10 月发布时，它仍然没有这个功能（今天仍然没有）
• 我想即使您可以使用工具箱设置密码，也无法再将该设备用作引导设备，因为您无法从 bios 解锁它。
• 在 SSD 上使用软件全盘加密会严重影响驱动器的性能 - 甚至可能比普通硬盘慢。

其中一些信息的来源。

更新：如果您有兴趣，我在专门的博客文章中写了更多关于这些问题的内容。