在Mac上可以进行基于硬件的全盘加密吗?


21

在Mac(尤其是Macbook Pro 8,2)上是否可以使用基于硬件的全盘加密(也许在Samsung 840 Pro SSD上)?如果是这样,怎么办?

我的理解是,这将在BIOS或可能的EFI中进行处理,但是我认为Apple的EFI通常处于锁定状态。

没有在寻找任何基于软件的解决方案,例如FileVault 2或TrueCrypt。我双重引导,如果在硬件中处理,事情会更简单。


3
虽然我知道如果可能的话,最好使用基于硬件的加密,但是我想质疑一下您的动机:各种硬件供应商的磁盘加密似乎记录较差。提供的信息很少,但是对于实现实施的机密性是必需的。另一方面,FileVault 2目前正在通过FIPS 140-2认证[1 ]-加密模块的NIST标准。
gentmatt

1
以我个人的经验,如果仅使用FileVault 2加密OS X启动卷(这是我的当前设置),则在Windows 7的双启动设置中基于软件的全盘加密不会有问题。如果您还想对Windows或Linux卷进行加密,则事情会变得很混乱-因此,我听说过但尚未对其进行测试。
gentmatt

好吧,我实际上主要是在侧面使用OSX的情况下使用Ubuntu。我也有一个共享分区,尽管也许可以用TrueCrypt处理。如果我在开机时仅输入一个密码,似乎麻烦就少了,需要的软件也更少。
Eric Marsh 2013年

您是否将Filevault 2与Ubuntu的全盘加密一起使用?效果很好吗?我只是好奇,因为我想放弃Ubuntu 12.04的Windows分区。
gentmatt

不,抱歉,我没有尝试过。只要您不想在引导到另一个分区时读取其中一个分区,我认为这不会成为问题。我希望您可以同时使用TrueCrypt来解决这个问题。我使用过TrueCrypt有点,虽然不是专家
Eric Marsh 2013年

Answers:


3

我问自己与为MacBook Pro买三星840 Pro完全一样。经过一番研究后,我发现该帖子表明840 Pro的硬件加密需要TPM支持,并且仅在PC BIOS中才能找到,而在Mac(U)EFI中则找不到。可以肯定的是,我已经问三星支持840 Pro支持哪种标准“ ATA-Security”,“ Seagate DriveTrust”和“ TCG OPAL”,他们的回答是:

尊敬的客户,

感谢您就您的询问联系三星SSD支持。为响应您的询问,该设备支持的三项功能中仅有的一项是ATA安全功能。至于加密,840 Pro系列SSD仅支持AES 256位硬件级加密,但要求BIOS启用TPM。

因此,无法在Mac中启用840 Pro的硬件加密。

然而,还有支持TCG OpalCrucial M500。结合WinMagic的SecureDoc for Mac等特殊的Opal管理软件,听起来好像可以在Mac上使用硬件加密。

顺便说一句,请注意,根据Sophos的支持,他们的SafeGuard仅在Windows上支持Opal,而不在Mac OS上支持Opal。此外,McAfee的一般Q&A为蛋白石状态

问:Mac OS X是否支持Opal驱动器?

答:不能。Apple当前不向其设备提供Opal驱动器,因此Mac的Endpoint Encryption不支持Opal。

但是,当然,如果您自己将Opal驱动器放入Mac,就不会发生任何事情。


不需要TPM。在Windows 8.1安装中,我无需使用TPM就可以激活该驱动器的自加密-您只需更改gpedit.msc中的BitLocker设置即可。因此,从理论上讲,如果OS X支持,则在OS X上也是可行的。
Sarge Borsch 2014年

您介意在gpedit.msc中确切共享要更改的设置吗?
sschuberth 2014年


那篇文章看起来非常像BitLocker在那种情况下将使用软件加密,即加密/解密是由CPU而不是硬盘驱动器本身完成的。特别是当他们推荐TrueCrypt作为替代方案时。
sschuberth

我没有说其他部分是正确的。顺便说一句,最完整的指南在这里:superuser.com/a/700251/161593
Sarge Borsch 2014年

2

扩展了sschuberth的答案,从2013年12月开始,三星840 EVO(但没有PRO)还具有直接支持TCG OPAL的固件。很好的选择是,即将进行840 Pro固件更新以执行相同的操作。

您需要一些软件来管理SED驱动器,否则,内置安全性几乎没有或没有任何好处。

WinMagic SecureDoc将管理驱动器,但不会管理那里的每个OS X(传闻证据表明10.8.1:可以,10.8.2:不可以)。

我认为,您还需要运行WinMagic企业软件。尽管它们具有支持SED的独立版本的SecureDoc,但似乎仅适用于Windows。

注意:SecureDoc不需要用于SED的TPM,也不需要在TCG Opal模式下运行的840 EVO。如果您拥有TPM并启用该功能,则SecureDoc可支持TPM的使用(仅Windows)。


1

这是一个很好的问题,是的,要找到答案几乎是不可能的。三星向Apple提供支持。我希望听到苹果的消息是不可能的。

全磁盘加密硬件vs FileVault-性能差异显着。如果您不是严格加密要求的企业用户,那么我们需要寻找基于硬件的三星解决方案。但是如何在Mac上启用它-很难找出答案。


1
随着最近的CPU,FileVault2使用硬件AES,并且对性能影响甚微根据一些报道:osxdaily.com/2011/08/10/...
阿伦Shutko

我们并不是真正的普通用户。我更喜欢使用HW FDE,因为它是一种优雅且“正确”的解决方案,尤其是在使用共享分区进行双重引导时。
埃里克·马什

1

是的,Viasat的Eclypt产品范围可与Mac(EFI)配合使用,并提供全磁盘,FIPS认可的硬件加密。

请参阅:Eclypt核心自加密内部硬盘驱动器

Eclypt产品范围的数据表尚未更新(但Mac OS X 10.5+和Apple UEFI受支持)。您可以在http://www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4上查看特定产品。您也可以查看此博客http://robert-palmer.net/category/eclypt-protects/以获取证明。或者,可以直接联系Viasat UK。


嗯,它的数据表没有提到任何有关EFI或Mac的信息,只是Windows。
sschuberth 2013年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.