Как начать использовать аппаратное шифрование SSD-диска на примере Samsung EVO 850 и программы sedutil
Это просто короткая подсказка, которую, я надеюсь, можно использовать и для других дисков со встроенным шифрованием (SED, self encrypting drives). Здесь нет глубокого разъяснения принципов и терминов.
Samsung EVO или PRO всегда хранит данные в зашифрованном (AES) виде, даже если вы ничего для этого не предпринимали. Просто, пока вы не включили защиту, он всегда эти данные возвращает расшифрованными. А когда включите защиту, потребует пароль для расшифровки. Это означает, что установка пароля не приведёт к тому, что скорость работы диска упадёт, всё шифровалось и без него. А также означает, что не придётся диск шифровать от начала до конца – он уже зашифрован.
Однако, нет никаких сведений о том, какой ключ шифрования используется. Возможно, он один и тот же для всех дисков модели, или, например, для тех, что поставляются к нам. И при серьёзных усилиях (например, перепаять кусок от диска-донора, в котором пароль не установлен) можно будет данные прочитать.
Но если вам просто, как и мне, неприятно, что кто-то может бесстыдно покопаться в данных украденного у вас или потерянного ноутбука, то предлагаемого метода вполне достаточно.
Закрыть данные на дисках Samsung EVO можно одним из трёх способов (не нужно пытаться их комбинировать, только сломаете всё):
1. установить пароль диска ATA в BIOS
Это самый простой способ, но, практически бесполезный. Кроме user-пароля, BIOS, как правило, прописывает ещё и master-пароль, который известен сервисной службе компании-производителя компьютера, и потом добрые люди могут помочь расшифровать данные любому обратившемуся за помощью. См., например, конференции iXBT, “Снять пароль с биоса (BIOS)”.
В сети описаны примеры некрасивой работы BIOS при установке пароля ATA, кеширования пароля в BIOS и чтения его оттуда, использования hdparm вместо BIOS для установки пароля, чтения диска с установленным паролем на компьютере той же модели и т.д. При желании можете сами почитать и оценить, но меня этот способ разочаровал.
2. включить функционал eDrive и использовать BitLocker
Неплохо, но годится только для дорогих версий Windows, и не годится для linux, если что.
3. использовать функции TCG OPAL через утилиту sedutil
Крупными мазками: идея этого метода в том, что при активизации защиты, после включения питания диск, вместо своего настоящего содержимого, показывает маленький служебный раздел. Туда можно записать что угодно, но обычно это утилита, которая спросит у вас пароль и попытается скормить его диску, чтобы он заработал по-настоящему.
Плюс этого метода в том, что пароль вводится до загрузки операционной системы, то есть ничего в операционной системе менять не нужно, и некому этот пароль перехватить.
Ну, данные потерять можно запросто, если неправильно задать пароль при закрытии диска, или тут же его забыть, например. Поэтому ОБЯЗАТЕЛЬНО выполнить резервное копирование перед всеми последующими действиями.
В случае же, когда диск не поддаётся расшифровке, его обычно можно сбросить в исходное (фабричное) состояние, правда, ценой полной потери данных.
Итого: кирпич можно вернуть к жизни, но данных можно лишиться.
Вернёмся к дискам Samsung.
Готовой утилиты на служебном разделе у дисков Samsung нет. Есть коммерческие программы, которые могут туда себя прописывать, но мы воспользуемся бесплатной утилитой с открытым исходным кодом – sedutil (в девичестве — msed).
Архив sedutil_WIN.zip – то, чем мы будем оживлять шифрование на диске, если мы работаем под Windows. Далее идёт описание работы именно под Windows. Работа c linux-версией практически не отличается. Разве что названия дисков разные, например, вместо \\.\PhysicalDrive0 будет /dev/sda.
Архивы LINUXPBARelease.img.gz или UEFI64_Release.img.gz – содержат то, что будет загружаться с маленького раздела диска, когда основное его содержимое станет заблокировано после выключения питания. Разные варианты для машин с BIOS и UEFI.
Архив Rescue.img.gz – содержит образ утилиты восстановления – если что-то пойдёт не так и захочется всё вернуть назад, а компьютер не грузится.
Записываем на флешку утилиту восстановления на всякий случай (предложенной программой Win32DiskImager) и проверяем, что можем с неё загрузиться. Заодно увидим, что работает она из командной строки linux, и убедимся, что мы его не боимся.
Также на сайте рекомендуется записать на другую флешку LINUXPBARelease.img и проверить, что при загрузке и вводе любого пароля мы увидим список дисков. Но это не так, на сайте устаревшее описание, которое забыли поменять (по состоянию на 01.01.2017). Если диск ещё не зашифрован, мы получим только сообщения об ошибках и уйдём в перезагрузку. Не расстраивайтесь, это нормально (описано в Issues на github).
Итак, из командной строки посмотрим, кто из дисков у нас способен к самошифрованию:
Закроем оба диска, но пароль для них будет один. Поскольку мы будем вводить его в командной строке, нужно, чтобы в нём не было символов, которые в командной строке имеют специальное значение, вроде всяких пробелов-слешей-кавычек-меньше-больше. Кроме того, символы, которые вы будете использовать, должны быть доступны при вводе с клавиатуры при загрузке компьютера (читай, символы QWERTY-клавиатуры). Наконец, забейте пароль в текстовый файл, сохраните его на флешку, и вставляйте его при помощи Copy-Paste в последующие команды.
Допустим, загрузочный диск у нас — PhysicalDrive1.
Пусть пароль у нас будет MyPassword.
Загружаем в служебный раздел образ загрузчика (здесь вы должны определить, какой вариант загрузчика вам нужен: BIOS или UEFI )
Тот самый момент, после которого диск начинает вести себя по-другому после выключения питания:
Зашифруем заодно и второй диск (не загрузочный). Всё то же самое, только загрузчик можно на него не записывать.
После выключения питания и включения вновь, увидим запрос пароля. Если ввели его неправильно – перезагрузка и повторный запрос. Если правильно – перезагрузка и запуск операционной системы с открывшегося раздела диска.
В случае успеха можете наблюдать, как в Windows изменились значки диcков – у них появились открытые жёлтые замочки:
В случае неудачи… Хм… Выходные длинные нынче. Начните с более подробного изучения утилиты sedutil, руководствуясь приведённой выше ссылкой.
Прежде всего, в разделе «Remove OPAL» говорится о том, как восстановить обычное поведение диска, чтобы он опять работал без подмены разделов при включении и без запроса пароля.
В разделе «PSID Revert» приводятся крайние меры, когда вы забыли/не знаете пароль, но хотите оживить диск ценой потери данных. При этом потребуется узнать уникальный номер диска (PSID), обычно написанный где-то у него на корпусе.
Encrypted drive samsung что это
Here you’ll find frequently asked questions and solutions for your computing life upgraded with Samsung V-NAND SSD.
What is AHCI?
AHCI stands for Advanced Host Controller Interface.
This specification enables communication with an attached storage device.
Think of it as a translator, allowing two devices (your Queuing (NCQ) or Hot Plugging (aka Hot Swapping) functionality as well as Power Management in SATA storage devices.
The Advanced Host Controller Interface (AHCI) is a technical standard defined by Intel that specifies the operation of Serial ATA (SATA) host bus adapters in a non-implementation-specific manner.
What kind of encryption method does each Samsung SSD model provide?
Samsung SSD provides internal hardware encryption and management of all data stored on the SSD, including the operating system.
Data is decrypted through a preboot authentication process.
Because all user data is encrypted, private information is protected against loss or theft.
Encryption is done by hardware, which provides a safer environment without sacrificing performance.
The encryption method provided by each model is as follows. You cannot use more than one method simultaneously.
AES, TCG/OPAL, and eDrive cannot be activated simultaneously; to enable one, you must disable the others.
What is AES (Class 0 SED), and how do I use it?
AES (Advanced Encryption Standard, Class0 SED) technology is the standard algorithm of the United States that was designed to protect computer data.
The AES technology applied to the SSD employs hardware-based controller and encryption technology, which minimizes the loss of performance and encrypts data to protect the stored information against external access.
-Some Samsung SSD models (840, 840 Pro, 840 Evo, 850 PRO) support AES-256bit. 256bit refers to the length of the key used for data encryption. The larger the bit number, the more powerful the encryption becomes.
-If you enable the HDD Password in BIOS, SED using the Class0 mode will be enabled, and you don’t need to install separate software.
Some systems or BIOS may not support this feature.
-How to set up AES encryption
·In BIOS, Security > Password on boot > HDD Password (※ May differ depending on the BIOS)
-The encryption key set for the AES is stored in the NAND of the SSD. If the key is lost, you can only reset the encryption key by performing a Secure Erase. If you do so, all existing data will be lost.
What is TCG OPAL, and how do I use it?
What is e-DRIVE, and how do I use it?
[eDrive (available for 840 EVO and 850 PRO)]
eDrvie linked with BitLocker software is a technology to improve the security performance of BitLocker, which is provided by the Microsoft Windows operating system.
BitLocker uses software-handled encryption, but when it is linked with a storage device that supports eDrive, it can perform hardware-based encryption, thereby improving both security and performance while minimizing CPU usage.
After installing an operating system on a storage device that supports eDrive, run BitLocker, which will automatically link What should I watch out for when using e-DRIVE?the two. Among Samsung SSD models, 840 EVO supports eDRIVE.
[How to set up e-DRIVE]
-You can convert e-Drive to “Ready to enable” by using Magician software. Then, the e-Drive is automatically enabled when a clean installation of an eDrive-compatible OS is performed.
-When e-Drive is Enabled, you cannot use Magician to manually change the status to Disabled or Ready to enable. For more information, please contact customer service or your OS provider (Microsoft).
What should I watch out for when using e-DRIVE?
When using e-DRIVE, pay attention to the following information.
-It can be used only with Windows8 and Windows Server 2012.
-All Encrypted Hard Drives must be attached to non-RAID controllers to function properly in Windows 8 or Windows Server 2012.
-For Encrypted Hard Drives used as data drives:
·The drive must be in an uninitialized state.
·The drive must be in a security inactive state.
-For Encrypted Hard Drives used as startup drives:
·The drive must be in an uninitialized state.
·The drive must be in a security inactive state.
·The computer must be UEFI 2.3.1 based and have the EFI_STORAGE_SECURITY_COMMAND_PROTOCOL defined.
(This protocol is used to allow programs running in the EFI boot services environment to send security protocol commands to the drive).
·The computer must have the Compatibility Support Module (CSM) disabled in UEFI.
·The computer must always boot natively from UEFI.
Why is the capacity of my Samsung Solid State Drive displayed differently from the actual capacity?
Samsung SSDs conform to the International Disk Drive Equipment and Materials (IDEMA) standard, which classifies approximately 93 percent of their actual physical memory capacity as usable space for storage.
To make calculations easier for consumers, manufactures rate drive capacity based on the assumption that 1 GB is equal to 1,000 Megabytes (MB) rather than 1,024 MB. When calculating capacity, the OS uses the more accurate 1,024MB, resulting in the discrepancy you notice when looking at the reported capacity versus the actual capacity.
How can I check the performance of my SSD?
Will defragmentation improve my Samsung Solid State Drive’s performance?
What is Write Cache?
How do I set up Write Cache?
Do Samsung SSDs have a write cache?
Is it possible to connect my Samsung SSD via IDE? Is this advisable?
Do Samsung SSDs work in both laptops and netbooks?
Does Windows XP support the TRIM feature?
What are the main components in a Solid State Drive?
What’s the difference between Solid State Drives and Hard Disk Drives?
What’s the difference between Solid State Drives and Hard Disk Drives?
Multi-level cell (MLC) and single-level cell (SLC) refer to how NAND flash memory chips store data.
In an SLC chip, one cell stores one electrical charge representing one bit of information.
The MLC chips take this a step further.
They vary their voltage levels to store up to 2 bits of information in one cell.
V in 3D V-NAND stands for vertical.
It is newest technology of NANF Flash memory with stacking cells vertically.
It improves performance and endurance than conventional 2D Planar NAND.
What is Endurance?
What is ESD and why is it important?
What is Garbage Collection?
What is Over Provisioning?
How do I set up Over Provisioning?
What is RAPID, and how do I use it?
RAPID (Real Time Acceleration Processing of I/O data) Mode
uses the DRAM caching technique provided by Samsung Magician to enhance the performance of the SSD.
: The increased size of non-paged pool indicates that RAPID mode is enabled
: For 4GB RAM, it will increase to about 700MB
For further details, please visit the following website (www.samsung.com/samsungssd ) and refer to the white paper regarding RAPID.
| Item | Minimum requirement | Recommendations |
|---|---|---|
| Process | 1GHz or faster | 2GHz or faster |
| Operating system | Win7/Win8 x86/x64 | Win7/8 x64 |
| Memory | 2GB RAM | 4GB RAM |
| Storage device | Samsung SSD 850 PRO Samsung SSD 850 EVO (2.5”, mSATA, M.2) Samsung SSD 840 PRO Samsung SSD 840 EVO (2.5”, mSATA) Samsung SSD 750 EVO | |
| Available SSD space | 50MB | 100MB |
| File system | NTFS | |
What do I need to watch out for when using RAPID?
Restrictions for RAPID (Real Time Acceleration Processing of I/O data)
1. RAPID mode accelerates only one SSD even if the user has several Samsung SSDs (750 EVO, 850 EVO, 850 PRO, 840 EVO, and 840 PRO regardless of form factor).
2. RAID (Redundant Array of Inexpensive Disks) Mode sets are not supported as an accelerated drive.
3. After disenabling RAPID mode, if the system is restored to a prior state in which RAPID mode was enabled, RAPID mode will be started in a disabled state.
4. NVIDIA Storage controller is not supported.
5. While enabling/disabling RAPID mode, do not disconnect the target SSD and or close the application.
6. If fast startup is enabled on Windows 8, 8.1 and 10 machines, enabling/disabling RAPID mode requires a system restart. Shutting down and then turning on the computer enables/disables RAPID mode. By default, fast startup is enabled.
7. The Flush command of an operating system and/or application may cause variation in performance when RAPID mode is enabled.
8. Sometimes on AMD PCs with AMD and ASMedia storage controllers,IOs take a longer time to complete. In such cases if RAPID mode was enabled, it may be automatically disabled due to such IO errors. The computer might show a message stating «RAPID mode is disabled». The user has to reboot the PC to re-enable RRAPID mode.
9. If multiple iterations of read and write are performed, RAPID mode may become inactive due to internal system errors on some of the AMD / ASMedia Controller or Driver.
10. RAPID mode can’t be guaranteed on target SSDs with non-NTFS file systems.
11. If you delete some files from the RAPID folder, RAPID mode may not be enabled properly.
For further details, please visit the website below and refer to the white paper on RAPID
— www.samsung.com/samsungssd
What is Secure Erase?
How do I perform Secure Erase in my OS environment?
Before running Secure Erase, make sure that the firmware of the SSD is updated to the latest version. Also be aware that all data on the drive will be destroyed.
[Linux]
Proceed in DOS mode, or use the hdparm command, as shown below.
[MAC]
The OS provides an internal utility for secure-erasing; please refer to the Apple website.
— http://support.apple.com/kb/TA24002
What is TRIM?
How do I use TRIM?
[XP/ Vista]
— OS does not support Trim command.
— Run Performance Optimization using Magician (once every week, or twice a month
[Linux]
— Using the fstrim command is recommended, but since it may differ for each Linux version, please refer to Linux websites for details.
[Mac OS]
— Please contact the manufacturer.
Do all Samsung SSDs offer TRIM support?
Will TRIM still operate properly if my SSD is part of a RAID configuration?
What is Turbo Write?
840 EVO employs Turbo Write technology, which increases the write speed of low-capacity 3Bit MLC SSD by using internal SLC buffering to improve performance.
The technology does not write directly into 3Bit MLC.
instead, it writes to the SLC Buffering area.
Data is moved to 3Bit MLC when the SSD is not writing/reading, freeing up space in the SLC Buffering area.
Analysis of the usage pattern of actual users revealed that about 1.17GB is written per hour on average.
Since most users write less than 3GB per hour, which 840 EVO is capable of, a decrease in writing performance caused by insufficient SLC Buffering area does not occur.
(Size of the SLC area differs for each model, but ample space is provided, ranging from 3 to 12GB.)
For further details, please visit the website below and refer to the white paper on Turbo Write
— www.samsung.com/samsungssd
What is wear leveling?
Do SSDs require defragmentation?
Does partitioning affect the life of my SSD?
What is the Power Loss Protection feature for data centers?
What is QoS (Quality of Service)?
What is the Thermal Throttling feature for data centers?
What is the Device Sleep feature in 850 PRO?
Do all systems support the Device Sleep feature in 850 PRO?
The text is corrupted when performing Secure Erase after booting from a CD or USB.
Here you can find answers to questions about Portable SSD T5.
Шифрование SD-карты в Samsung: что это такое, как убрать?
За счет небольшого размера, но большого объёма памяти SD-карта активно применяется в работе электронной техники и цифровых продуктов. Нужна она для того, чтобы переносить файлы, например, видео, фото, документы, аудио и пр. Кроме того, такие карты в Samsung дают возможность с удобством выполнять резервное копирование и осуществлять передачу данных. Причем, все это делается максимально удобно и быстро, но есть некоторые нюансы, например, риск взлома и небольшие утечки данных.
С этим поможет справиться шифрование. Можно зашифровать SD-карту для установки пароля или визуальной блокировки. Это ограничит возможность других пользователей получать доступ к любым файлам на карте. На самом деле, большинство устройств Samsung, функционирующих на базе ОС Андроид, имеют функцию шифровки. 
Что это такое и зачем это надо?
Если говорить в общем смысле, то речь идет об установлении ключа или пароля с целью блокировки данных от посторонних людей. То есть, доступ есть только у того, кому известен пароль.
Это отличный вариант для того, чтобы злоумышленники не могли завладеть секретными данными и использовать их себе во благо. Информация и файлы будут в безопасности даже при условии, что устройство будет утеряно.
Как провести данную процедуру?
Как убрать шифрование?
В некоторых случаях нужно снять шифрование, чтобы продолжить пользоваться устройством без применения данной функции. В этом случае надо включить свой телефон и найти «блокировка экрана и безопасность».
Далее надо перейти к выбору функции «Расшифровать SD-карту». Затем нажать на эту кнопка еще раз и подтвердить действие при помощи ключа безопасности, который был введен пользователем ранее.
Аппаратное шифрование в популярных SSD реализовано кое-как
Уязвимости позволяют получить данные без знания паролей и ключей
Специалисты университета Неймегена (Нидерланды) исследовали средства защиты информации шифрованием, реализованные в твердотельных накопителях известных марок. Аппаратные средства шифрования высвобождают процессор хоста, но оказалось, что в этих реализациях есть уязвимые места, которые позволяют получить несанкционированный доступ к данным. Коротко говоря, вера в такие технологии, как TCG Opal, оказывается безосновательной.
Команда исследователей изучила популярные клиентские SSD Crucial и Samsung: MX100, MX200, MX300, 840 EVO, 850 EVO, T4 и T5.
«Для нескольких моделей можно полностью обойти шифрование, что позволяет полностью восстановить данные без какого-либо знания паролей или ключей. Характер критических проблем между поставщиками указывает на то, что проблемы не являются случайными, а структурными», — утверждают исследователи, одновременно признавая, что стандарт TCG Opal чрезвычайно сложен для правильной реализации. Более того, компонент Windows BitLocker полагается на средства шифрования, реализованные в SSD, так что тоже оказывается несостоятельным.
Интересно, что вскоре после публикации исследования компания Samsung разместила на сайте техподдержки уведомление, адресованное пользователям SSD. В нем предлагается переключиться на программное шифрование в ожидании, пока производитель разберется в ситуации и, возможно, выпустит обновления прошивок.
Как оптимизировать SSD с утилитой Samsung SSD Magician
Чтобы использовать возможности SSD по максимуму, необходимо соответствующее программное обеспечение — такое как бесплатная утилита Samsung Magician, которая позволяет обновлять прошивку, производить тесты производительности SSD и оптимизировать работу операционной системы согласно параметрам устройства.
Программа предназначена для работы со всеми SSD Samsung, включая серии 470, 750, 830, 840, 850, 860, 950, 960 и 970. Она не подойдёт для накопителей других производителей. С её помощью можно легко проверить оригинальность железа: в случае покупки неоригинального SSD Magician уведомит пользователя о том, что он приобрел не фирменный продукт.
Как использовать Magician?
Первое, что нужно сделать, — загрузить утилиту с официального сайта Samsung. Приложение абсолютно бесплатно и не предлагает приобрести «плюс-версию».
Основной раздел Magician посвящён управлению дисками — в нём пользователи могут тестировать производительность своих SSD и обновлять их прошивку. Помимо этого Magician даёт пользователям возможность оптимизировать работу накопителя, если ПК работает на ОС Windows 8 и выше. Разрешено сделать акцент на производительности, ёмкости или надёжности — либо открыть вкладку «Дополнительно» и сбалансировать параметры вручную.
Ещё одна настройка позволяет выбрать оптимальный баланс между ёмкостью и долговечностью накопителя. Это пункт Over Provisioning, где можно задать размер резервной области SSD. Можно использовать рекомендованное компанией Samsung выделение ресурсов или установить объём вручную. Это обеспечит постоянное свободное место на диске, чтобы элементы NAND изнашивались равномерно. Samsung рекомендует устанавливать объём резервной области 10%, но пользователь может выбрать любое значение до 50%.
Вкладка Secure Erase позволяет безопасно очистить диск за несколько секунд.
Для повышения быстродействия системы утилита предлагает активировать режим RAPID, который использует до 1 ГБ системной памяти в качестве кэша для часто используемых («горячих») данных. Во вкладке «Безопасность данных» показано, какие функции защиты данных доступны для каждого из дисков, и как их активировать.
Опция PSID Revert, появившаяся в одной из последних версий программы, помогает устранить ошибки, которые могут привести к блокировке диска. При её использовании будьте осторожны: все данные на диске будут удалены.
Для обеспечения максимальной безопасности данных на SSD предлагается инструмент Encrypted Drive, который шифрует диск средствами ОС с использованием функции Windows BitLocker.
Подробная информация о Magician доступна на официальном сайте Samsung. Её можно скачать абсолютно бесплатно.
