Mnoho moderních pevných disků (včetně SSD) podporuje technologii vlastní šifrování, určené k ochraně uživatelských dat. Vyvolávají se disky podporující šifrování na úrovni řadiče Jednotky SED (Self-Encrypting Drives). Šifrovací algoritmus se symetrickým klíčem je implementován v hardwaru na úrovni řadiče disku. Při zápisu na disk jsou všechna data šifrována a při čtení je dešifrována a je zcela transparentní z pohledu uživatele. Systémy Windows 8 a Windows Server 2012 mohou pomocí hardwarové funkce jednotek SED šifrovat data BitLocker, čímž uvolňují procesor a snižují celkovou spotřebu energie systému.
Při použití jednotky SED se šifrováním a BitLocker v systému Windows 7/2008 jsou data na jednotce v podstatě šifrována dvakrát, na úrovni operačního systému BitLocker provádí šifrování a poté řadič jednotky šifruje stejná data. Není příliš efektivní ...
V BitLocker na Windows 8 / Windows Server 2012 Nyní můžete procesor uvolnit přenosem šifrovací funkce do řadiče pevného disku. Podle různých odhadů zvyšuje přenos šifrovacích funkcí BitLocker do diskového řadiče SED výkon systému o 15-29%. Navíc při přechodu na hardwarové šifrování se zvyšuje životnost zařízení a životnost zařízení (Jak zkontrolovat stav baterie v systému Windows 8).
Při použití hardwarového šifrování BitLocker se zvyšuje bezpečnost systému kvůli skutečnosti, že šifrovací klíč již není uložen v paměti počítače, takže paměť počítače již nemůže být potenciálním vektorem útoku
Společnost Microsoft definovala zvláštní standard Microsoft eDrive, Popis požadavků na jednotky SED pro použití s BitLocker. eDrive Na základě standardů TCG OPAL a IEEE 1667.
Při použití disků SED, které podporují standard eDrive, provádí jednotka šifrování za chodu a pokles výkonu systému během operace BitLocker téměř úplně zmizí (ve srovnání se šifrováním softwaru BitLocker).
Soudě podle popisů společnosti Microsoft, použití hardwarového šifrování BitLocker na kompatibilních zařízeních není obtížné. Ukázalo se však, že přechod na hardwarové šifrování není tak jednoduchý. Dále ukážeme, jak povolit podporu hardwarového šifrování BitLocker na SSD, kompatibilní s eDrive.
Tip. BitLocker není podporován v menších vydáních Win 8. Potřebujete alespoň Windows 8 Pro.Aby mohl BitLocker používat pro šifrování řadič pevného disku, musí prostředí splňovat následující požadavky.
Požadavky na spouštěcí systém:
- BitLocker podporuje TPM verze 1.2 a 2.0 (a vyšší). Dále je vyžadován ovladač Microsoft Certified TPM.
- Systém musí být založen na UEFI 2.3.1 a podporovat EFI_STORAGE_SECURITY_COMMAND_PROTOCOL
- Počítač musí být spuštěn v nativním režimu UEFI (musí být deaktivován režim podpory kompatibility CSM)
Požadavky na datový disk SED SSD:
- Disk nesmí být inicializován
- Šifrování musí být zakázáno
V naší konfiguraci se pokoušíme povolit šifrování hardwaru BitLocker na SSD Samsung SSD 850 Pro (eDrive kompatibilní SSD). Ke správě parametrů jednotky SSD použijeme pro práci s jednotkami SSD oficiální utilitu Samsung - Samsung Kouzelník.
Podle myšlenky společnosti Microsoft, pokud systém splňuje popsané podmínky, pak při zapnutí nástroje BitLocker na disku SED se automaticky použije funkce ovladače k šifrování dat. Problém se však ukázal jako u starších verzí ovladače Technologie Intel Rapid Storage (RST), toto nefunguje. Pracovní verze RST se správnou podporou BitLocker - 13.2.
- Zkontrolujeme aktuální verzi ovladače RST - v našem případě je to 12.8.10.1005. Stáhněte si nejnovější verzi ovladače RST (13.2.4.1000) z Intel Download Center (https://downloadcenter.intel.com/download/24293) a nainstalujte.
Poznámka:. Pokud neaktualizujete ovladač RST, při pokusu o povolení režimu ochrany na jednotce SSD v programu Samsung Magician se objeví chyba Selhalo do provést operace dál vybrané disk . A když se pokusíte zjistit vynucené použití hardwarového šifrování pomocí příkazu:
Enable-BitLocker -MountPoint d: -TPMProtector -HardwareEncryption
Objeví se chyba:
Set-BitLockerVolumeInternal: Zadaná jednotka nepodporuje hardwarové šifrování. (Výjimka z HRESULT: 0x803100B2) - Obsah disku SSD vyčistíme následujícím způsobem postupným prováděním následujících příkazů (data na druhém disku budou vymazána!):
- diskpart
- seznam disku
- vyberte disk 1
- čistý
- Otevřeme program Samsung Magician a v části Zabezpečení dat zapněte režim šifrování hardwaru SSD kliknutím na Připraveno.
- Po restartování se ujistěte, že je aktivován režim šifrování disku.
- Inicializujte a naformátujte disk v konzole Správa disků.
- Zbývá aktivovat BitLocker pro disk jako obvykle. V průvodci nastavením zadejte, že chcete šifrovat celý obsah disku (Šifrovat celé řídit) V opačném případě bude použito šifrování softwaru BitLocker..
- Zbývá ověřit, zda BitLocker nyní používá hardwarové šifrování. To lze provést pouze z příkazového řádku (s právy správce):
Spravovat-bde -status d:
Další řádek označuje, že nástroj BitLocker používá hardwarové šifrování.
Metoda šifrování: Hardwarové šifrování - 1.3.111.2.1619.0.1.2
V budoucnu lze tento disk SED použít jako spouštěcí disk instalací systému na něj. Při každém spuštění takového systému budete muset zadat klíč Bitlocker.