Encrypted drive samsung что это
Как оптимизировать SSD с утилитой Samsung SSD Magician
Чтобы использовать возможности SSD по максимуму, необходимо соответствующее программное обеспечение — такое как бесплатная утилита Samsung Magician, которая позволяет обновлять прошивку, производить тесты производительности SSD и оптимизировать работу операционной системы согласно параметрам устройства.
Программа предназначена для работы со всеми SSD Samsung, включая серии 470, 750, 830, 840, 850, 860, 950, 960 и 970. Она не подойдёт для накопителей других производителей. С её помощью можно легко проверить оригинальность железа: в случае покупки неоригинального SSD Magician уведомит пользователя о том, что он приобрел не фирменный продукт.
Как использовать Magician?
Первое, что нужно сделать, — загрузить утилиту с официального сайта Samsung. Приложение абсолютно бесплатно и не предлагает приобрести «плюс-версию».
Основной раздел Magician посвящён управлению дисками — в нём пользователи могут тестировать производительность своих SSD и обновлять их прошивку. Помимо этого Magician даёт пользователям возможность оптимизировать работу накопителя, если ПК работает на ОС Windows 8 и выше. Разрешено сделать акцент на производительности, ёмкости или надёжности — либо открыть вкладку «Дополнительно» и сбалансировать параметры вручную.
Ещё одна настройка позволяет выбрать оптимальный баланс между ёмкостью и долговечностью накопителя. Это пункт Over Provisioning, где можно задать размер резервной области SSD. Можно использовать рекомендованное компанией Samsung выделение ресурсов или установить объём вручную. Это обеспечит постоянное свободное место на диске, чтобы элементы NAND изнашивались равномерно. Samsung рекомендует устанавливать объём резервной области 10%, но пользователь может выбрать любое значение до 50%.
Вкладка Secure Erase позволяет безопасно очистить диск за несколько секунд.
Для повышения быстродействия системы утилита предлагает активировать режим RAPID, который использует до 1 ГБ системной памяти в качестве кэша для часто используемых («горячих») данных. Во вкладке «Безопасность данных» показано, какие функции защиты данных доступны для каждого из дисков, и как их активировать.
Опция PSID Revert, появившаяся в одной из последних версий программы, помогает устранить ошибки, которые могут привести к блокировке диска. При её использовании будьте осторожны: все данные на диске будут удалены.
Для обеспечения максимальной безопасности данных на SSD предлагается инструмент Encrypted Drive, который шифрует диск средствами ОС с использованием функции Windows BitLocker.
Подробная информация о Magician доступна на официальном сайте Samsung. Её можно скачать абсолютно бесплатно.
Как начать использовать аппаратное шифрование SSD-диска на примере Samsung EVO 850 и программы sedutil
Это просто короткая подсказка, которую, я надеюсь, можно использовать и для других дисков со встроенным шифрованием (SED, self encrypting drives). Здесь нет глубокого разъяснения принципов и терминов.
Samsung EVO или PRO всегда хранит данные в зашифрованном (AES) виде, даже если вы ничего для этого не предпринимали. Просто, пока вы не включили защиту, он всегда эти данные возвращает расшифрованными. А когда включите защиту, потребует пароль для расшифровки. Это означает, что установка пароля не приведёт к тому, что скорость работы диска упадёт, всё шифровалось и без него. А также означает, что не придётся диск шифровать от начала до конца – он уже зашифрован.
Однако, нет никаких сведений о том, какой ключ шифрования используется. Возможно, он один и тот же для всех дисков модели, или, например, для тех, что поставляются к нам. И при серьёзных усилиях (например, перепаять кусок от диска-донора, в котором пароль не установлен) можно будет данные прочитать.
Но если вам просто, как и мне, неприятно, что кто-то может бесстыдно покопаться в данных украденного у вас или потерянного ноутбука, то предлагаемого метода вполне достаточно.
Закрыть данные на дисках Samsung EVO можно одним из трёх способов (не нужно пытаться их комбинировать, только сломаете всё):
1. установить пароль диска ATA в BIOS
Это самый простой способ, но, практически бесполезный. Кроме user-пароля, BIOS, как правило, прописывает ещё и master-пароль, который известен сервисной службе компании-производителя компьютера, и потом добрые люди могут помочь расшифровать данные любому обратившемуся за помощью. См., например, конференции iXBT, “Снять пароль с биоса (BIOS)”.
В сети описаны примеры некрасивой работы BIOS при установке пароля ATA, кеширования пароля в BIOS и чтения его оттуда, использования hdparm вместо BIOS для установки пароля, чтения диска с установленным паролем на компьютере той же модели и т.д. При желании можете сами почитать и оценить, но меня этот способ разочаровал.
2. включить функционал eDrive и использовать BitLocker
Неплохо, но годится только для дорогих версий Windows, и не годится для linux, если что.
3. использовать функции TCG OPAL через утилиту sedutil
Крупными мазками: идея этого метода в том, что при активизации защиты, после включения питания диск, вместо своего настоящего содержимого, показывает маленький служебный раздел. Туда можно записать что угодно, но обычно это утилита, которая спросит у вас пароль и попытается скормить его диску, чтобы он заработал по-настоящему.
Плюс этого метода в том, что пароль вводится до загрузки операционной системы, то есть ничего в операционной системе менять не нужно, и некому этот пароль перехватить.
Ну, данные потерять можно запросто, если неправильно задать пароль при закрытии диска, или тут же его забыть, например. Поэтому ОБЯЗАТЕЛЬНО выполнить резервное копирование перед всеми последующими действиями.
В случае же, когда диск не поддаётся расшифровке, его обычно можно сбросить в исходное (фабричное) состояние, правда, ценой полной потери данных.
Итого: кирпич можно вернуть к жизни, но данных можно лишиться.
Вернёмся к дискам Samsung.
Готовой утилиты на служебном разделе у дисков Samsung нет. Есть коммерческие программы, которые могут туда себя прописывать, но мы воспользуемся бесплатной утилитой с открытым исходным кодом – sedutil (в девичестве — msed).
Архив sedutil_WIN.zip – то, чем мы будем оживлять шифрование на диске, если мы работаем под Windows. Далее идёт описание работы именно под Windows. Работа c linux-версией практически не отличается. Разве что названия дисков разные, например, вместо \\.\PhysicalDrive0 будет /dev/sda.
Архивы LINUXPBARelease.img.gz или UEFI64_Release.img.gz – содержат то, что будет загружаться с маленького раздела диска, когда основное его содержимое станет заблокировано после выключения питания. Разные варианты для машин с BIOS и UEFI.
Архив Rescue.img.gz – содержит образ утилиты восстановления – если что-то пойдёт не так и захочется всё вернуть назад, а компьютер не грузится.
Записываем на флешку утилиту восстановления на всякий случай (предложенной программой Win32DiskImager) и проверяем, что можем с неё загрузиться. Заодно увидим, что работает она из командной строки linux, и убедимся, что мы его не боимся.
Также на сайте рекомендуется записать на другую флешку LINUXPBARelease.img и проверить, что при загрузке и вводе любого пароля мы увидим список дисков. Но это не так, на сайте устаревшее описание, которое забыли поменять (по состоянию на 01.01.2017). Если диск ещё не зашифрован, мы получим только сообщения об ошибках и уйдём в перезагрузку. Не расстраивайтесь, это нормально (описано в Issues на github).
Итак, из командной строки посмотрим, кто из дисков у нас способен к самошифрованию:
Закроем оба диска, но пароль для них будет один. Поскольку мы будем вводить его в командной строке, нужно, чтобы в нём не было символов, которые в командной строке имеют специальное значение, вроде всяких пробелов-слешей-кавычек-меньше-больше. Кроме того, символы, которые вы будете использовать, должны быть доступны при вводе с клавиатуры при загрузке компьютера (читай, символы QWERTY-клавиатуры). Наконец, забейте пароль в текстовый файл, сохраните его на флешку, и вставляйте его при помощи Copy-Paste в последующие команды.
Допустим, загрузочный диск у нас — PhysicalDrive1.
Пусть пароль у нас будет MyPassword.
Загружаем в служебный раздел образ загрузчика (здесь вы должны определить, какой вариант загрузчика вам нужен: BIOS или UEFI )
Тот самый момент, после которого диск начинает вести себя по-другому после выключения питания:
Зашифруем заодно и второй диск (не загрузочный). Всё то же самое, только загрузчик можно на него не записывать.
После выключения питания и включения вновь, увидим запрос пароля. Если ввели его неправильно – перезагрузка и повторный запрос. Если правильно – перезагрузка и запуск операционной системы с открывшегося раздела диска.
В случае успеха можете наблюдать, как в Windows изменились значки диcков – у них появились открытые жёлтые замочки:
В случае неудачи… Хм… Выходные длинные нынче. Начните с более подробного изучения утилиты sedutil, руководствуясь приведённой выше ссылкой.
Прежде всего, в разделе «Remove OPAL» говорится о том, как восстановить обычное поведение диска, чтобы он опять работал без подмены разделов при включении и без запроса пароля.
В разделе «PSID Revert» приводятся крайние меры, когда вы забыли/не знаете пароль, но хотите оживить диск ценой потери данных. При этом потребуется узнать уникальный номер диска (PSID), обычно написанный где-то у него на корпусе.
Аппаратная поддержка BitLocker на SED SSD дисках
Многие современные жесткие диски (в том числе SSD) поддерживают технологию самошифровния, предназначенную для защиты данных пользователя. Диски с поддержкой шифрования на уровне контроллера называются SED дисками (Self-Encrypting Drives). Алгоритм шифрования с симметричным ключом реализуется аппаратно на уровне контроллера диска. При записи на диск все данные шифруются, а при чтении – расшифровываются, причем абсолютно прозрачно с точки зрения пользователя. Windows 8 и Windows Server 2012 могут использовать аппаратный функционал SED дисков для шифрования данных BitLocker-ом, тем самым разгружая процессор и уменьшая общее энергопотребление системы.
При использовании SED диска с шифрованиеми BitLocker на Windows 7 / 2008, данные на диске по сути шифруются дважды, на уровне ОС шифрование выполняет BitLocker, а затем эти же данные шифруются контроллером диска. Не очень-то эффективно…
В BitLocker на Windows 8 / Windows Server 2012 появилась возможность разгрузить процессор, передав функционал шифрования контроллеру жесткого диска. По различным оценкам, передача функций шифрования BitLocker контролеру SED диска увеличивает производительность системы на 15-29%. Кроме того, при переходе на аппаратное шифрование, увеличивается срок работы устройств от аккумуляторной батареи и срок ее жизни (Как проверить состояние аккумулятора в Windows 8).
При использовании аппаратного шифрования BitLocker увеличивается безопасность системы за счет того, что ключ шифрования более не хранится в памяти компьютера, тем самым память компьютера более не может быть потенциальным вектором атаки
Microsoft определила особый стандарт Microsoft eDrive, описывающий требования к SED дискам для использования вместе с BitLocker. eDrive основан на стандартах спецификаций TCG OPAL и IEEE 1667.
При использовании SED дисков, поддерживающих стандарт eDrive, накопитель выполняет шифрование «на лету», практически полностью исчезает падение производительности системы при работе BitLocker (по сравнению с программным шифрованием BitLocker).
Судя по описаниям Microsoft, задействовать аппаратное шифрование BitLocker на совместимых устройствах не составляет труда. Но, оказалось, перейти на аппаратное шифрование не так просто. Далее покажем, как включить поддержку BitLocker Hardware Encryption на SSD диске, поддерживающим стандарт eDrive.
Для того, чтобы BitLocker мог использовать для шифрования контроллер жесткого диска, окружение должно соответствовать следующим требованиям.
Требования к загрузочной системе:
Требования к SED SSD диску с данными:
В нашей конфигурации мы пытаемся включить аппаратное шифрование BitLocker на SSD диске Samsung SSD 850 Pro (eDrive совместимый SSD). Для управления параметрами SSD диска будем использовать официальную утилиту Samsung для работы с SSD накопителями — Samsung Magician.
По задумке Microsoft, если система удовлетворяет описанным условиям, то при включении BitLocker на SED диске, для шифрования данных автоматически использования функционал контроллера. Однако проблема оказалась в том, что со старыми версиями драйвера Intel Rapid Storage Technology (RST), это не работает. Рабочая версия RST с корректной поддержкой BitLocker – 13.2.
В дальнейшем данный SED диск можно использовать в качестве загрузочного, установив на него систему. Каждый раз при загрузке такой системы необходимо будет указывать ключ Bitlocker.
Аппаратное шифрование в популярных SSD реализовано кое-как
Уязвимости позволяют получить данные без знания паролей и ключей
Специалисты университета Неймегена (Нидерланды) исследовали средства защиты информации шифрованием, реализованные в твердотельных накопителях известных марок. Аппаратные средства шифрования высвобождают процессор хоста, но оказалось, что в этих реализациях есть уязвимые места, которые позволяют получить несанкционированный доступ к данным. Коротко говоря, вера в такие технологии, как TCG Opal, оказывается безосновательной.
Команда исследователей изучила популярные клиентские SSD Crucial и Samsung: MX100, MX200, MX300, 840 EVO, 850 EVO, T4 и T5.
«Для нескольких моделей можно полностью обойти шифрование, что позволяет полностью восстановить данные без какого-либо знания паролей или ключей. Характер критических проблем между поставщиками указывает на то, что проблемы не являются случайными, а структурными», — утверждают исследователи, одновременно признавая, что стандарт TCG Opal чрезвычайно сложен для правильной реализации. Более того, компонент Windows BitLocker полагается на средства шифрования, реализованные в SSD, так что тоже оказывается несостоятельным.
Интересно, что вскоре после публикации исследования компания Samsung разместила на сайте техподдержки уведомление, адресованное пользователям SSD. В нем предлагается переключиться на программное шифрование в ожидании, пока производитель разберется в ситуации и, возможно, выпустит обновления прошивок.
Обзор программного обеспечения Samsung Magician 6
Программное обеспечение SSD от компании Samsung под названием Magician вышло несколько лет назад. С тех пор компания несколько раз модернизировала это ПО, и сегодня мы рассмотрим его новейшую версию – Samsung Magician 6. Сначала мы освежим в памяти назначение и основные функции программы Samsung Magician, после чего перейдем непосредственно к особенностям новой версии Magician 6.
Samsung Magician – это Windows-приложение, позволяющее пользователю самостоятельно обновлять прошивку SSD, а также существенно упрощающее управление изменяемыми параметрами накопителя – например, задание размера резервной области SSD (Over-Provisioning). Все это осуществляется через интуитивно понятный пользовательский интерфейс, который не требует применения командной строки.
В Samsung Magician 6 появилось несколько нововведений, направленных на максимизацию полезного эффекта, который пользователь может получить от SSD производства этой компании. Первое и наиболее заметное среди них – это совершенно новый пользовательский интерфейс GUI. Он красиво оформлен в популярных сегодня темных тонах и после модернизации стал даже проще в использовании. Кроме того, версия 6 предлагает функцию PSID Revert, позволяющую инициализировать диск без необходимости посещения сервисного центра. И еще одна новая функция – Diagnostic Scan, с помощью которой можно проверить диск на наличие ошибок.
Мы также предлагаем вашему вниманию интересное видеоруководство по использованию Samsung Magician 6.
Однако, не все опции Magician будут гарантированно работать на произвольно выбранном диске Samsung. Samsung предлагает очень широкий выбор накопителей, выпущенных в разные годы, и не все из них могут работать со всеми опциями Magician 6. В Samsung составили полезную таблицу, из которой пользователь может узнать, что можно делать с его диском в программе Magician.
Практичность
Теперь давайте посмотрим, что может делать программа Magician. Первый раздел – Drive Information – содержит основную информацию о диске. Конкретно в нашей системе установлено несколько дисков, которые могут здесь отображаться. В этом разделе можно посмотреть общее состояние диска, в том числе его температуру (и соответствует ли она норме) и оставшийся ресурс записи (TBW), а также количество свободного и используемого дискового пространства. Также здесь показываются результаты бенчмарка, о котором мы еще скажем чуть ниже.
Следующий раздел – Drive Details – содержит более подробные сведения о накопителе. Помимо основной, здесь также представлена следующая информация: серийный номер, интерфейс, версия прошивки и статус активации режима AHCI дискового контроллера (активирован или нет). Еще более детальная информация содержится в разделе Volume. Если требуется обновить прошивку (см. видеоролик), то предупреждение об этом появится на экране этого раздела.
Теперь посмотрим на бенчмарк производительности, о котором было упомянуто выше. С его помощью можно проверить, с какой скоростью диск работает в данный момент, а также сравнить этот результат с предыдущим. Результаты показываются не только в самом разделе теста, но и на вкладке Drive Information.
Новая фишка Magician 6 – диагностический тест Diagnostic Scan. Пользователь может провести быстрое или полное сканирование диска, чтобы проверить, имеются ли на нем какие-либо ошибки. Возможность исправления обнаруженных ошибок зависит от степени их тяжести.
Раздел Over Provisioning будет полезен тем пользователям, которые хотят повысить производительность/ ресурс своего диска. Samsung рекомендует объем резервной области, составляющий 10% от общей емкости диска (установлен по умолчанию), но вы можете установить здесь любое значение – до 50%.
Для тех, кто хочет оптимизировать производительность накопителя, не прибегая к настройкам Over Provisioning, предусмотрен раздел Performance Optimization. Здесь можно просто включить режим RAPID и установить периодичность выполнения операции TRIM (через Windows).
Если вы хотите, например, продать диск после какого-то времени его использования или просто навсегда удалить с диска какие-то данные, то можете воспользоваться опцией Secure Erase.
Новая опция PSID Revert разработана с целью устранения ошибок, которые иногда приводят к блокировке диска. В этом случае нужно иметь в виду, что применение этой опции повлечет за собой удаление всех данных, имеющихся на диске в данный момент.
Если вы хотите зашифровать диск, то просто воспользуйтесь следующей вкладкой, Encrypted Drive. Этот инструмент Magician автоматически обеспечивает шифрование диска средствами ОС с использованием функции Windows BitLocker.
Наконец, внизу слева находится кнопка Update, которая позволяет обновить прошивки всех дисков до последних версий. И здесь снова видно индикаторы (см. также видеоролик), показывающие, что диски нуждаются в обновлении прошивки.
Последняя версия Samsung Magician предлагает исчерпывающий функционал и отличается простотой использования, не говоря уже о том, что это бесплатное ПО. Если вы хотите немного повысить эффективность своего SSD от Samsung или просто получить более точное представление о его работе, загрузите это приложение и экспериментируйте с ним. Установить приложение просто, пользовательский интерфейс интуитивно понятен, и эта программа может с легкостью обслуживать несколько дисков, если таковые есть в вашем компьютере. Если сравнивать ПО Samsung Magician с аналогичными приложениями от других производителей, то оно очевидно занимает первое место, предлагая в каждой последующей версии более совершенный набор инструментов.