Hårdvaru-kryptera hårddisk

Backup kan vara bra att vara noga med här ifall det blir så säkert att man har problem att komma åt innehållet.

Åtminstone med Bitlocker. Minns inte detaljerna för det var många år sedan jag såg frågan. Var något med att datorn gått sönder. Tror lösningen var nått med Windows internet login kontot. Kan vara bra att testa / kolla hur man gör i den situationen.

Hmm, vad är din usecase för bitlocker på en stationär dator? I princip ända gången det kan hjälpa dig är om någon fysiskt gör inbrott/raid i din bostad och att datorn inte redan är upplåst när det sker...

Ofta lägger kryptering till mer risker än den tar bort. Slarvar du bort nyckeln till din disk så förlorar du effektivt all data på disken.

Det går att dualboota med linux och windows med bitlocker, men man behöver då aktivera/avaktivera detta i bios vid varje tillfälle med secure boot. Man kan även kryptera linux installen med annan mjukvara för kryptering.

Nu är jag ingen expert men har använt bitlocker hårdvaru kryptering sedan crucial släppte sina första SSDer med detta stöd.
Som du själv nämner så finns det ju ingen nackdel att köra detta då man inte förlorar någon prestanda överhuvudtaget, och sparar man en security key när man krypterar disken så kan man också låsa upp den i andra maskiner om "olyckan" är framme.

Dock har jag lite svårt att förstå hur du ska kunna dual boota med Linux på en hårdvarukrypterad disk.
HELA disken är ju krypterad och gjord av bitlocker, med andra ord kommer du inte åt innehållet på disken innan du har låst upp den, du kan alltså inte boota något OS utan att ha låst upp disken och för de krävs "bitlocker inloggning".

Du ska heller inte behöva "installera OS två gånger" nu har jag iofs bara kört W8.1 och där aktiverade man bara bitlocker i OSet efter att ha ändrat några regnycklar så var disken krypterad. Enklaste sättet att veta om disken blir mjuk eller hård krypterad är när du slår på krypteringen så ska det ta max 5s typ att få disken krypterad. Måste den "jobba" och kryptera disken då äre mjukvarukryptering.

Egentligen är ALLA SSD idag krypterade bara de att krypteringsnyckeln är inte satt i kontrollern, när du slår på kryptering så sätts nyckeln på kontrollern och du kan då inte läsa datat utan att ha uppgett nyckeln för minneskontrollern.

https://www.anandtech.com/show/6891/hardware-accelerated-bitl...

När det gäller bitlocker: Eftersom du krypterar partitioner och inte hela disken (även om du bara har 1 partition) så är Linux-partitionerna separata från Windows-partitionen och det bör funka som vanligt. Och i Linux använder du LUKS för kryptering av partitioner.

Och du gör helt rätt i att kryptera, av samma anledning till att bilbälte och krockkudde bara gör nytta när du krockar... Så ovanstående argument emot krypterade diskar haltar rejält.

Alla moderna CPUer idag har ju stöd för AES, så även om du inte köper en disk som har hårdvarukryptering så kommer prestandan ändå vara god.

Hårdvarukryptering så krypterar du hela disken och inte bara partitioner mig veterligen.

Och då antar jag att man låser upp den under POST då? I så fall borde det vara irrelevant vilket eller hur många OS man kör på disken, eller?

Mitt svar var dock angående bitlocker, men det var otydligt ser jag nu.

Nej, man låser upp efter POST. Du kan fortfarande accessa BIOS osv utan att låsa upp disken.
Efter BIOS och POST så kommer "bitlocker login" och när man typat in lösen där så bootar Windows, så VÄLDIGT tveksam hur du ska få den att boota Linux i det skedet.

Det bevisar ju dock inget. Nu säger jag inte att du har fel, för jag har ingen aning om hur BitLocker funkar, men det kan ju lika gärna vara att UEFI läser in Windows bootloader från systempartitionen (som måste vara okrypterad, annars kan den ju inte köra koden), och den ber dig fylla i lösenordet för att låsa upp Windows-partitionen. Inget där säger emot att man kan lägga in t ex GRUB som alternativ bootloader före.

Det är lite svart magi över hårdvarukryptering tycker jag. BIOS/UEFI läser in Windows-kod som sedan används för att få fram nyckeln som används för att läsa in Windows... Lite som att stänga och låsa en skrivbordslåda, men att vara så snabb så att man hann lägga nyckeln i lådan innan man stängde den! Finns det någon teknisk beskrivning över hur det fungerar egentligen?

Jag försökte aktivera det på Windows 10 men gav till slut upp och körde på mjukvarukryptering. Och det var inte ens på boot-disken utan en separat SSD vilket man tycker borde vara betydligt enklare.

Anandtech artikeln som jag länkade till beskrev det ganska bra förut hur man gjorde, men nu när jag tittade så ser jag att bilderna tyvärr inte fungerar längre...
Men ja åtminstone tidigare måste man disabla någon regkey för att få det att fungera utan TPM.
Om man är intresserad att veta hur de fungerar så beskriver artikeln det relativt bra iaf.

Bilderna funkar för mig. De beskriver hur man gör i Windows men inte hur det fungerar rent tekniskt.

Här finns lite information om hur det fungerar (eller kan fungera, det verkar finnas så många olika lägen så är nog svårt att veta vad det är som egentligen händer).
https://learn.microsoft.com/en-us/windows/security/operating-...

Det står bland annat följande:

Fortfarande inte helt klart för mig hur det fungerar, men "ranges/bands" tyder på att Windows kanske ger ett kommando till SSDn i stil med "kryptera block 42-827 med Authentication Key 'abc123'". Block 42-827 skulle då vara en partition som ska krypteras, eller största delen av en partition som ska krypteras (själva Bitlocker-GUIt osv ligger innan block 42 t ex vilket innebär att det kan laddas in av BIOS/UEFI utan att dekryptera disken först).

Så med andra ord, det är inte omöjligt att det kan fungera att kryptera partitionen som Windows ligger på, men låta Linux köra sin egen mjukvarukryptering på en annan partition på samma SSD.

Detta är anledningen till att jag tror att de inte funkar med dual boot:

Like many modern drives, the M500 features 256-bit AES encryption engine - all data written to the drive is stored encrypted. By default you don't need to supply a password to access the data, the key is just stored in the controller and everything is encrypted/decrypted on the fly. As with most SSDs with hardware encryption, if you set an ATA password you'll force the generation of a new key and that'll ensure no one gets access to your data.

Unfortunately, most ATA passwords aren't very secure so the AES-256 engine ends up being a bit overkill when used in this way. Here's where the M500 sets itself apart from the pack. The M500's firmware is TCG Opal 2.0 and IEEE-1667 compliant. The TCG Opal support alone lets you leverage third party encryption tools to more securily lock down your system. The combination of these two compliances however makes the M500 compatible with Microsoft's eDrive standard.

Med hårdvarukryptering väljer du inte inte att kryptera sektioner av disken, du krypterar HELA skiten och det görs av "kontrollern".
Eller egentligen så som de beskrivs ovan så görs det av kontrollern helatiden bara de att default är det inget "password" satt.

Men det kanske har kommit nya lösningar som jag inte känner till då det var många år sedan jag fixade detta.

Men då är du tillbaka på att förklara hur BIOS/UEFI kan läsa in "Bitlocker-login-skärmen" från en krypterad disk innan den dekrypterats?

Jo de har du rätt i... Ja de är nått jag missar / inte förstår.
Du har helt klart en poäng där.

Kan du prova följande och posta ett inlägg om vad du får fram? Kör "manage-bde.exe -status" på kommandoraden och se om det står något i stil med "Encryption method: Hardware" eller om det står något liknande "Encryption method: AES 128" eller "Encryption method: XTS-AES 128". Står det inte "Hardware" är det nog processorn som står för krypteringen snarare än SSDn.

https://serverfault.com/a/939966

MS använder inte HW-kryptering om det inte forceras till detta som nämnt innan - det beror tidigare lyckade attacker mot SSD där man lyckades fiska ut krypteringsnyckeln via JTAG-anslutningen på kretskorten i SSD.

väldigt mycket elektronik som produceras både laddas med firmware och testas etc. genom just JTAG och kommer åt i princip allt och är en oundgänglig del i produktionen - detta gäller också olika CPU:er, grafikkretsar etc. och det är ett jäkla bekymmer i hur man skall gömma en kryptonyckel och det är där man vill ha en write-only-minne som matar kryptosnurrorna och det är inte alltid så då även om CPU:s programmering av nyckel till AES sker med write only-register och det går inte att på något sätt att läsa ut datat igen med programmet som snurrar i CPU:n - så kan ofta JTAG läsa ut innehållet i dessa ändå...

Fast det skrev han ju också: "I princip ända gången det kan hjälpa dig är om någon fysiskt gör inbrott/raid i din bostad"

Så ja, diskkryptering skyddar mot det, men det gör ju ingen nytta så länge som datorn fysiskt är säker.

En annan nytta är att t.ex. kunna reklamera en trasig SSD (eller tillverkarens RMA-process om det passar bättre) utan att behöva fundera över det.

Nä, och jag kör krypterat ZFS på min NAS. Tror dock inte att någon skulle bryta sig in hos mig för att ta mina filer, eller att de skulle göra något med min data om datorn blev stulen; om något så skulle det vara för att få tag på själva hårdvaran.