如何加密三星 Evo 840 SSD？

Question

我购买了HP Envy 15-j005ea笔记本电脑，并已升级到 Windows 8.1 Pro。我还卸下了硬盘并用 1TB 三星 Evo 840 SSD 替换了它。我现在希望加密驱动器以保护我公司的源代码和我的个人文档，但我不知道如何做到这一点，或者如果可能的话。

我认为不建议在 SSD 上使用 Truecrypt，但如果我错了，请纠正我。我也知道 840 Evo 具有内置的 256 位 AES 加密，因此建议使用它。

Evo 已经更新到最新的EXT0BB6Q 固件，我有最新的三星魔术师。我不知道我有什么 UEFI 级别，但我知道这台机器是 2013 年 12 月制造的，并且有 Insyde 制造的 F.35 BIOS。

这是我尝试过的：

• 比特锁。最新的三星固件据称与 Windows 8.1 eDrive 兼容，因此我按照在Anandtech 文章中找到的说明进行操作。首先，笔记本电脑似乎没有 TPM 芯片，所以我不得不让 Bitlocker 在没有 TPM 的情况下工作。完成后，我尝试打开 Bitlocker。Anandtech 说：“如果一切都符合 eDrive 标准，您将不会被问及是否要加密全部或部分驱动器，在您完成初始设置后，BitLocker 将被启用。没有额外的加密阶段（因为数据已在您的 SSD 上加密）。如果您做错了什么，或者您的系统的某些部分不符合 eDrive 标准，您将获得一个进度指示器和一个有点冗长的软件加密过程。” 不幸的是我是 问我是否要加密全部或部分驱动器，所以我取消了它。

• 在 BIOS 中设置 ATA 密码。我在 BIOS 中似乎没有这样的选项，只有管理员密码和启动密码。

• 使用魔术师。它有一个“数据安全”选项卡，但我不完全理解这些选项，并怀疑没有一个适用。

在信息这个问题和答案帮助，但没有回答我的问题。

那么很明显，我想知道的是如何在 HP Envy 15 中加密我的固态驱动器，或者我真的不走运？是否有其他选择，或者我必须在没有加密的情况下生活或归还笔记本电脑？

Anandtech 上有一个类似的问题，但仍未得到解答。

Answer 1

密码必须在 BIOS 中的 ATA 安全扩展下设置。通常在 BIOS 菜单中有一个名为“安全”的选项卡。身份验证将在 BIOS 级别进行，因此该软件“向导”所做的任何事情都与设置身份验证无关。如果以前不支持，BIOS 更新不太可能启用 HDD 密码。

说您正在设置加密是一种误导。问题是驱动器总是加密它写入芯片的每一位。磁盘控制器会自动执行此操作。为驱动器设置 HDD 密码可将您的安全级别从零提升到几乎牢不可破。只有恶意植入的硬件键盘记录器或 NSA 发起的远程 BIOS 漏洞利用才能检索密码以进行身份​​验证 ;-) <-- 我猜。我不确定他们可以对 BIOS 做什么。关键是它并非完全不可逾越，但取决于密钥在驱动器上的存储方式，它是目前可用的最安全的硬盘驱动器加密方法。也就是说，这完全是矫枉过正。BitLocker 可能足以满足大多数消费者的安全需求。

说到安全性，我想问题是：您想要多少？

基于硬件的全盘加密比 TrueCrypt 等软件级全盘加密安全几个数量级。它还具有不影响 SSD 性能的额外优势。SSD 的存储方式有时会导致软件解决方案出现问题。基于硬件的 FDE 只是一种不那么凌乱、更优雅和安全的选项，但即使在那些足够关心加密其宝贵数据的人中，它也没有“流行起来”。这样做并不难，但不幸的是，许多 BIOS 根本不支持“硬盘密码”功能（不要与简单的 BIOS 密码混淆，业余爱好者可以绕过）。我几乎可以向你保证，甚至不用查看你的 BIOS，如果你还没有找到这个选项，你的 BIOS 就没有 不支持它，你就不走运了。这是一个固件问题，除了使用 hdparm 之类的东西刷新 BIOS 之外，您无法添加该功能，这是非常不负责任的，即使我也不会尝试。这与驱动器或包含的软件无关。这是主板特有的问题。

ATA 只不过是 BIOS 的一组指令。您尝试设置的是 HDD 用户和主密码，它们将用于对安全存储在驱动器上的唯一密钥进行身份验证。“用户”密码将允许驱动器解锁并正常启动。“师父”也是一样。不同之处在于需要“主”密码来更改 BIOS 中的密码或擦除驱动器中的加密密钥，这会导致其所有数据无法立即访问和无法恢复。这称为“安全擦除”功能。在该协议下，支持 32 位字符串，即 32 个字符的密码。在少数支持在 BIOS 中设置硬盘密码的笔记本电脑制造商中，大多数将字符限制为 7 或 8 个。为什么每个 BIOS 公司都没有？t支持它超出了我的范围。也许斯托曼关于专有 BIOS 是正确的。

我知道唯一允许您设置全长 32 位硬盘用户和主密码的笔记本电脑（几乎没有台式机 BIOS 支持硬盘密码）是 Lenovo ThinkPad T- 或 W- 系列。最后我听说一些华硕笔记本在他们的 BIOS 中有这样的选项。戴尔将硬盘密码限制为 8 个弱字符。

与三星相比，我对英特尔 SSD 中的关键存储更加熟悉。我相信英特尔是第一个在其驱动器（320 系列等）中提供片上 FDE 的公司。虽然那是 AES 128 位。我还没有深入研究这个三星系列如何实现密钥存储，目前没有人真正知道。显然，客户服务对您没有帮助。我的印象是，任何一家科技公司中只有五六个人真正了解他们销售的硬件。英特尔似乎不愿意透露具体细节，但最终公司代表在论坛的某个地方回答了这个问题。请记住，对于驱动器制造商而言，此功能完全是事后的想法。他们对此一无所知，也不关心任何事情，99.9% 的客户也不知道。这只是盒子背面的另一个广告要点。

希望这可以帮助！

Answer 2

我今天终于让它工作了，就像你一样，我相信我也没有在 BIOS 中设置 ATA 密码（至少不是我能看到的）。我确实启用了 BIOS 用户/管理员密码，我的 PC 确实有一个 TPM 芯片，但 BitLocker 应该可以在没有一个（USB 密钥）的情况下工作。和你一样，我也被困在 BitLocker 提示的完全相同的地方，我是想加密数据还是整个磁盘。

我的问题是我的 Windows 安装不是 UEFI，尽管我的主板确实支持 UEFI。您可以通过键入msinfo32运行命令并检查 Bios 模式来检查您的安装。如果它读取除此之外的任何内容，UEFI则您需要从头开始重新安装 Windows。

请参阅本论坛相关帖子中的此逐步说明加密三星 SSD指南。