如何加密Samsung Evo 840 SSD？

我已经购买了HP Envy 15-j005ea笔记本电脑，该笔记本电脑已升级到Windows 8.1 Pro。我还卸下了硬盘，并用1TB三星Evo 840 SSD替换了硬盘。现在，我希望对驱动器进行加密，以保护公司的源代码和个人文档，但是我不知道该怎么做，甚至无法解决。

我认为不建议在SSD上使用Truecrypt，但如果我错了，请纠正我。我也了解840 Evo具有内置的256位AES加密，因此建议使用它。

Evo已更新为最新的EXT0BB6Q固件，并且我拥有最新的三星Magician。我不知道我拥有什么UEFI级别，但我确实知道这台机器建于2013年12月，并具有Insyde制造的F.35 BIOS。

这是我尝试过的：

• Bitlocker。三星的最新固件应该与Windows 8.1 eDrive兼容，因此我按照Anandtech文章中的说明进行操作。首先，笔记本电脑似乎没有TPM芯片，因此我不得不允许Bitlocker在没有TPM的情况下工作。完成之后，我尝试打开Bitlocker。Anandtech说：“如果所有功能都兼容eDrive，则在完成初始设置后，系统不会询问您是否要加密驱动器的全部或一部分，而是将启用BitLocker。没有额外的加密阶段（因为数据已在您的SSD上进行了加密。）如果您做错了某些事情，或者系统的某些部分不符合eDrive的要求，您将获得进度指示器和冗长的软件加密过程。” 不幸的是我当时 问我是否要加密全部或部分驱动器，所以我取消了。

• 在BIOS中设置ATA密码。我在BIOS中似乎没有这样的选项，只有管理员密码和启动密码。

• 使用魔术师。它具有“数据安全性”选项卡，但是我不完全了解这些选项，并且怀疑没有适用的选项。

此问答中的信息有所帮助，但没有回答我的问题。

显然，我想知道的是如何在HP Envy 15中对固态驱动器进行加密，或者实际上我是否运气不佳？是否有其他选择，还是我必须不加密而不使用笔记本电脑？

Anandtech也有类似的问题，但仍未得到解答。

必须在BIOS中的ATA安全扩展名下设置密码。通常，BIOS菜单中有一个名为“安全性”的选项卡。身份验证将在BIOS级别进行，因此此软件“向导”与设置身份验证无关。如果以前不支持BIOS更新，则不太可能启用HDD密码。

说您正在设置加密具有误导性。问题是，驱动器始终对写入芯片的每个位进行加密。磁盘控制器会自动执行此操作。为驱动器设置HDD密码会使您的安全级别从零提高到几乎牢不可破。只有恶意植入的硬件键盘记录程序或受NSA攻击的远程BIOS利用程序才能检索密码以进行身份​​验证;-) <-我想。我不确定他们可以对BIOS做什么。关键是它不是完全不可克服的，但是取决于密钥在驱动器上的存储方式，它是当前可用的最安全的硬盘驱动器加密方法。就是说，这完全是矫kill过正。BitLocker可能足以满足大多数消费者的安全需求。

在安全性方面，我想问题是：您想要多少？

基于硬件的全盘加密比诸如TrueCrypt之类的软件级全盘加密更安全几个数量级。它还具有不妨碍SSD性能的附加优势。SSD的存放方式有时会导致软件解决方案出现问题。基于硬件的FDE不太杂乱无章，更优雅，更安全，但是即使在那些非常重视加密其宝贵数据的人中，它也没有“流行”。这样做并非易事，但不幸的是，许多BIOS根本不支持“ HDD密码”功能（不要与简单的BIOS密码相混淆，这可以由业余爱好者规避）。我可以向您保证，甚至不用查看您的BIOS就可以知道，如果您尚未找到该选项，则您的BIOS不会 不支持它，您就不走运了。这是一个固件问题，除了使用hdparm之类的东西来刷新BIOS之外，您无能为力地添加该功能，这是非常不负责任的，甚至我也不会尝试。与驱动器或随附的软件无关。这是主板特定的问题。

ATA只不过是针对BIOS的一组指令。您要设置的是HDD用户和主密码，该密码将用于验证安全存储在驱动器上的唯一密钥。“用户”密码将使驱动器能够解锁并正常启动。与“大师”相同。不同之处在于，需要一个“主”密码来更改BIOS中的密码或擦除驱动器中的加密密钥，这将使其所有数据立即无法访问且无法恢复。这称为“安全擦除”功能。在该协议下，支持32位字符串，这意味着32个字符的密码。在少数支持在BIOS中设置HDD密码的笔记本电脑制造商中，大多数将字符限制为7或8个。为什么每个BIOS公司都不这样做？支持它超出了我。也许Stallman对专有BIOS是正确的。

我知道，唯一的笔记本电脑（几乎没有台式机BIOS支持HDD密码）将允许您设置全长32位HDD用户，而Master密码是Lenovo ThinkPad T系列或W系列。最后，我听说有些华硕笔记本电脑的BIOS中提供了这样的选项。Dell将硬盘密码限制为8个字符以内。

我对三星SSD中的密钥存储比三星更熟悉。我相信英特尔是第一个在其320系列及以后的驱动器中提供片上FDE的公司。虽然那是AES 128位。我还没有深入研究这个三星系列如何实现密钥存储，目前还没有人真正知道。显然，客户服务对您没有帮助。我得到的印象是，任何一家科技公司中只有五到六个人实际上对他们出售的硬件一无所知。英特尔似乎不愿透露具体细节，但最终一家公司代表在论坛的某个地方回答了这一问题。请记住，对于驱动器制造商，此功能是事后才考虑的。他们对此一无所知，也不关心99.9％的客户。这只是盒子背面的另一个广告要点。

希望这可以帮助！

我终于终于可以在今天开始工作了，就像您一样，我相信我在BIOS中也没有设置ATA密码（至少我看不到）。我确实启用了BIOS用户/管理员密码，并且我的PC确实装有TPM芯片，但是BitLocker应该可以不带（USB密钥）使用。像您一样，我也只想在BitLocker提示符下停留在同一位置，我是否只想加密数据或整个磁盘。

我的问题是，尽管我的主板确实支持UEFI，但Windows安装不是UEFI。您可以通过键入msinfo32run命令并检查“ BIOS模式” 来检查安装。如果读取的不是其他内容，UEFI则需要从头开始重新安装Windows。

请参阅此论坛上相关文章中的“加密三星SSD的逐步说明”指南。

软件加密

TrueCrypt 7.1a非常适合在SSD上使用，但请注意，尽管该驱动器的IOP仍比HDD好10倍以上，但它可能会大大降低IOP的性能。因此，如果您不能使用Magician中列出的选项，则TrueCrypt是用于加密驱动器的选项，但是据报道它在Windows 8和更高版本的文件系统中不能很好地工作。因此，对于这些操作系统，带全盘加密的BitLocker是更好的选择。

TCG蛋白石

TCG Opal基本上是一种标准，它允许将一种小型操作系统安装到驱动器的保留部分，其目的仅在于允许驱动器启动并向用户提供用于授予对驱动器访问权限的密码。有多种工具可用于安装此功能，包括一些据说稳定的开源项目，但Windows 8和更高版本的BitLocker应支持此功能。

我没有Windows 8或更高版本，因此无法提供有关如何进行设置的说明，但我的阅读表明，此功能仅在安装Windows时可用，而在安装Windows后不可用。经验丰富的用户可以随时纠正我。

ATA密码

ATA密码锁定是Samsung 840和更高系列驱动器以及成千上万个其他驱动器支持的ATA标准的一项可选功能。该标准与BIOS不相关，可以通过多种方法进行访问。我不建议使用BIOS来设置或管理ATA密码，因为BIOS可能不正确地符合ATA标准。我有自己的硬件似乎支持该功能的经验，但实际上并没有遵从要求。

请注意，搜索此功能将引起大量讨论，声称ATA锁定功能不应被视为对保护数据安全。通常，这仅对同时不是自加密驱动器（SED）的HDD正确。由于Samsung 840和更高版本的驱动器是SSD和SED，因此这些讨论根本不适用。ATA密码锁定的Samsung 840系列及更高版本应对此问题足够安全，以供您使用。

确保您的BIOS支持解锁ATA密码锁定驱动器的最佳方法是锁定驱动器，将其安装到计算机中，然后启动计算机，查看是否要求输入密码，以及输入的密码是否可以解锁驱动器。

不应在不希望丢失数据的驱动器上执行此测试。

幸运的是，测试驱动器不必是Samsung驱动器，因为它可以是任何支持ATA标准安全性设置并可以安装在目标计算机中的驱动器。

我发现访问驱动器ATA功能的最佳方法是使用Linux命令行实用程序hdparm。即使您没有配备Linux的计算机，也有许多发行版的安装磁盘映像也支持从安装介质“实时”运行OS。例如，Ubuntu 16.04 LTS应该可以轻松，快速地安装到绝大多数计算机上，并且同一映像也可以写入闪存介质，以便在没有光驱的系统上运行。

有关如何启用ATA密码安全性的详细说明超出了此问题的范围，但是我发现本教程是完成此任务的最佳方法之一。

在自加密SSD上启用ATA安全性

请注意，最大密码长度为32个字符。我建议使用32个字符的密码进行测试，以确保BIOS正确支持标准。

在关闭目标计算机电源并锁定驱动器ATA密码的情况下，安装驱动器并引导系统。如果BIOS不要求输入密码来解锁驱动器，则BIOS不支持ATA密码解锁。另外，如果您似乎完全正确地输入了密码，但未解锁驱动器，则可能是BIOS未正确支持ATA标准，因此不值得信任。

最好采用某种方式来验证系统是否正确读取了未锁定的驱动器，例如，通过安装操作系统并正确加载，或者与可加载并可以安装测试驱动器的OS驱动器并排安装。读写文件没有问题。

如果测试成功，并且您有信心重复执行这些步骤，则在驱动器（包括已安装操作系统的驱动器）上启用ATA密码不会更改驱动器数据部分中的任何内容，因此在进入硬盘驱动器后应正常启动。 BIOS中的密码。

我不知道您是否看到了此问题或是否已解决此问题，但这是三星专门在EVO 840上提供的链接 。http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/关于/whitepaper06.html

他们说要启用内置于ssd中的硬件AES加密器，实质上是在系统BIOS下设置HDD密码。“用户/管理员/设置”密码就是这样。但是，设置HDD密码应该传递给SSD。这将要求您每次打开计算机时都手动输入密码，并且不适用于TPM芯片或其他PassKey。而且，我对此压力还不够大，任何使用加密的人都需要确保备份其数据。如果不经过专门的服务，几乎不可能从故障/损坏的加密驱动器中恢复数据。

“我不需要NSA证明的安全级别”

那么为什么不使用它，因为它是免费的呢？

在计算机安全和计算机取证上研究生班之后，我决定对驱动器进行加密。我查看了许多选项，很高兴选择了DiskCrypt。它易于安装，易于使用，带有提供的PGP签名的开放源代码，有关如何自行编译以确保exe匹配源代码，自动安装驱动器，可以设置预引导PW提示和错误的说明。 -pw操作，它将使用AES-256。

任何现代CPU都将在SINGLE机器指令中执行一轮AES加密（对一个扇区的数据进行加密需要花费几十个回合）。按照我自己的基准，AES的运行速度比河豚等软件实现的密码快11倍。DiskCryptor加密数据的速度比PC从磁盘读取和写入数据的速度快许多倍。没有可测量的开销。

我正在运行TEC冷却的，跳频的，频率为5 GHz的计算机，因此您的行驶里程会有所不同，但变化不大。加密/解密所需的CPU时间太短而无法测量（即不到1％）。

设置好之后，您完全可以忘记它。唯一明显的效果是您必须在启动时键入PW，我很高兴这样做。

至于没有在SSD上使用加密，这是我以前从未听说过的谣言。这也是不必要的。加密数据的写入和读取均与普通数据完全相同。仅数据缓冲区中的位被加密。您可以chkdsk / f并在加密的驱动器上运行任何其他磁盘实用程序。

顺便说一句，与其他程序不同，diskkeeper不会将您的密码保留在内存中。它使用单向哈希密钥进行加密，覆盖内存中错误键入的pwds，并尽力确保在PW输入和验证期间它不会在页面文件上溢出。

https://diskcryptor.net/wiki/Main_Page

我已经在“超级用户”中的其他地方发布了此内容，但是由于这是我用来自学的一个主题，因此我也想在此基础。

ATA密码与软件加密，可在Samsung 840/850 EVO和Intel SSD中进行全盘加密

优点：简单，不会影响性能，非常安全：如果没有ATA密码，则无法在其他计算机上读取光盘

缺点：您需要一个具有ATA密码选项的BIOS（HP和Lenovo笔记本电脑似乎具有此功能，但大多数台式机却没有。例外：华擎最近为其Extreme系列编写了1.07B BIOS，并且可以工作）。此外，它非常安全，以至于丢失密码后，数据将无法恢复。似乎有人。最后，这完全取决于SSD上的一个控制器芯片，如果该芯片损坏，则数据已完成。永远。

希望这会增加讨论。

在BIOS中设置ATA密码。我在BIOS中似乎没有这样的选项，只有管理员密码和启动密码。太糟糕了，这是您最简单的选择。

其次是赢8.1 + bitlocker，但整个安装过程都很烦人

我不知道任何foss tcg蛋白石sw和付费版本可能会花费很多

truecrypt可以工作，但是如果您的cpu没有AES-NI，则spee的命中率很明显

并且不要忘记备份您的内容，加密的数据很难恢复

在安装许多Linux发行版时，您可以选择加密/ home文件夹。那时，当您选择加密/ home文件夹（又称挂载点）时，要求（要求）输入两次密码。

/ home文件夹基本上已完成一个加密过程。

三星应该在工厂进行“预加密”。

这通常意味着没有密码就无法访问硬盘信息。

以上是我所做的。如果幸运的话，三星加密和另一层Linux软件加密可以使我相对远离大多数邪恶的个人，公司和政府。

我觉得不需要通过BIOS为硬盘驱动器加密码。

已经很难记住多个密码了。在这方面，KeepassX可能会有用。

对于真正的偏执狂，您可以在BIOS中为Samsung EVO设置密码，在安装时使用Linux对驱动器进行软件加密，然后使用开放源代码加密程序（由于可疑的后门和漏洞，因此不是truecrypt）。

您可以使用KeepassX来记住冗长而复杂的密码，甚至还可以使用密码来保护该闪存驱动器。

除非您是某种犯罪分子或拥有如此宝贵的东西以至于需要那么多的安全性，否则大多数时间都是在浪费时间。

将源代码保存在像IronKey这样的加密闪存驱动器上可能会更容易，这样您就不会受到任何性能影响或驱动器问题。个人文件也可以去那里。