Szyfrowanie eDrive w pięknej teorii i nie zawsze przyjemnej praktyce

Na rynku pojawia się coraz więcej dysków SSD. Ich producenci prześcigają się w parametrach technicznych oferując coraz większe transfery. Standard SATA III przestał już zresztą wystarczać, konieczne jest stosowanie adapterów na PCI-Express, lub modułów M.2. Coraz częściej słyszymy również o możliwości wykorzystania dodatkowych funkcji, jak chociażby sprzętowego szyfrowania. Kiedyś dyski, które automatycznie szyfrowały dane były bardzo drogie i przeznaczone dla klientów korporacyjnych. Obecnie funkcja SED (self-encrypting drive) jest dostępna także w tańszych modelach przeznaczonych na rynek masowy. Przykładem jest niedawno testowany Crucial MX100, którego recenzję znajdziecie w dziale Lab. Jak jednak wygląda tego typu szyfrowanie w praktyce? Postanowiliśmy to sprawdzić.[img=edrive]Większość producentów oferuje szyfrowanie przy pomocy symetrycznego szyfru AES o długościach kluczy 128 lub 256 bitów. Wszystkie zapisywane na nośnikach dane są cały czas szyfrowane. Dlaczego więc po zakupie dysku i zainstalowaniu systemu nie musimy podawać żadnych danych, a przełożenie dysku do innego komputera umożliwia bezproblemowe kopiowanie danych na nim zawartych? To proste. O ile szyfrowanie faktycznie działa, o tyle klucze szyfrujące nie są chronione. Kontroler dysku ma je cały czas do dyspozycji, co pozwala na właśnie taką, bezobsługową pracę także dla osób, którym zabezpieczenie w ogóle nie jest potrzebne. Można więc przyjąć, że dysk posiada zabezpieczenie, jednak nie jest ono domyślnie aktywne.

Producenci oferują obecnie trzy techniki zabezpieczania dysku SSD. Pierwsza to skorzystanie ze standardu Class 0, użycie opcji hasła ATA Password. Funkcja ta nie jest nowa, występuje w komputerach od wielu lat, choć kiedyś jej zastosowanie było inne. Pozwalała ona i nadal pozwala na proste „zablokowanie” dysku, który nie był dostępny bez podania hasła. O ile może to być problem dla niedoświadczonego złodzieja, o tyle w żaden sposób nie chroni to samych danych. Jako że dyski SSD są cały czas szyfrowane, postanowiono wykorzystać to hasło do ochrony kluczy szyfrujących. Tym oto sposobem, zablokowanie dysku hasłem powoduje „uzbrojenie” sprzętowego szyfrowania. Niestety obecnie znalezienie płyty głównej z dostępną opcją ATA Password nie jest łatwe. Większość nowych urządzeń pozwala na podkręcanie procesora, sterowanie pracą wentylatorów, jednak tej opcji nie oferuje. Lepiej wygląda sytuacja w przypadku laptopów z serii biznesowych (np. ProBooki i EliteBooki od HP), bo ich BIOS-y są w nią wyposażone. Znaleźć ją można także w zmodyfikowanym oprogramowaniu sterującym np. do urządzeń Clevo (w tym i polskich laptopów gamingowych XNOTE).

Druga metoda to wykorzystanie standardu TCG Opal. System operacyjny może współpracować z odpowiednim oprogramowaniem, oraz modułem szyfrującym TPM w celu zabezpieczenia danych. Rozwiązanie jest bardzo skuteczne, wymaga jednak posiadania odpowiedniego modułu. Fabrycznie posiadają go niektóre notebooki, odpowiednie złącza znaleźć można także na wielu płytach głównych. Sam układ należy jednak dokupić, inaczej z opcji tej nie skorzystamy (przynajmniej na komputerze stacjonarnym).

Ostatnia z dostępnych opcji to tytułowy eDrive. Zadebiutował on wraz z system Windows 8 i według firmy Microsoft jest rozwiązaniem niemalże idealnym. Zapewnia bardzo wysoką wydajność, bo zamiast standardowego szyfrowania przy pomocy BitLockera, system przejmuje sterowanie nad szyfrowaniem sprzętowym dysku. Jest łatwy do włączenia, ponieważ w Windows 8 BitLocker jest dostępny już w wersji Pro (ze względu na to, że system ma tylko dwie wersje, opcja szyfrowania stała się dostępna dla większej ilości użytkowników), dodatkowo pozwala zmniejszyć zużycie energii w porównaniu do szyfrowania programowego. Ideał? Niestety, nie do końca.

Mechanizm eDrive zadebiutował wraz z Windows 8. Jest on dostępny dla tego systemu oraz Windows Server 2012. W starszych edycjach, takich jak popularny Windows 7 nie będziemy mogli z niego skorzystać – możliwy jest odczyt takich dysków, inicjowanie trybu już nie. Druga sprawa to konieczność posiadania komputera z UEFI w wersji 2.3.1 lub nowszej. W UEFI należy dodatkowo wyłączyć tryb kompatybilności CSM (Compatibility Support Module), a także zawsze uruchamiać nośnik poprzez UEFI. W omawianym przykładzie wykorzystano dysk Samsung EVO, który wymaga od nas dodatkowej pracy (uruchomienia trybu eDrive przed jego konfiguracją). Gdy już przygotujemy dysk, konieczne będzie ponowne zainstalowanie systemu w trybie UEFI. Jak widać, bardzo łatwa i prosta do wdrożenia metoda okazuje się być usiana trudnościami.

Dyski Samsung EVO wspierają wszystkie trzy wymienione sposoby szyfrowania. Konieczność przygotowania napędu do skorzystania z eDrive jest więc zrozumiała i można to producentowi wybaczyć, tym bardziej, że oferuje on bardzo intuicyjne oprogramowanie Samsung Magician. W celu przygotowania dysku konieczne jest jego zainstalowanie, przejście do zakładki Data Seurity, a następnie włączenie opcji Encrypted Drive, aby jej status zmienił się na Ready to enable. W dalszym etapie konieczne będzie wymazanie dysku przy pomocy funkcji Secure Erase. W zakładce o takiej samej nazwie można przygotować nośnik USB lub płytę CD/DVD z aplikacją, która to zrobi. Niestety, tu można napotkać kolejny problem. Utworzenie takiego napędu może nie zostać poprawnie ukończone, gdy użytkownik zdecyduje się wykonać go z poziomu samego dysku SSD. Konieczne jest użycie drugiego komputera z osobnym systemem, przeniesienie tam dysku SSD (inaczej Secure Erase będzie niedostępne) i dopiero wtedy utworzenie nośnika.

Po wykonaniu tej czynności użytkownik powinien uruchomić komputer ponownie i wystartować go z przygotowanej płyty lub USB. Aplikacja automatycznie wykryje dysk i zaoferuje przeprowadzenie Secure Erase. Najprawdopodobniej użytkownik otrzyma jednak informację o kolejnym „problemie” – dysk może być w stanie frozen, który uniemożliwia przeprowadzenie wymazywania. Konieczne jest odłączenie napędu od zasilania i płyty głównej przy włączonym komputerze, odczekanie kilku sekund, a następnie jego wpięcie i ponowne uruchomienie aplikacji. Dopiero teraz wymazywanie się powiedzie. Następnie można przejść do instalacji Windows 8, konieczne z włączonym trybem UEFI (system utworzy wtedy partycje w systemie GPT zamiast standardowego MBR), oraz wyłączonym CSM. Po tych czynnościach można przejść do konfiguracji szyfrowania mechanizmem BitLocker.

Jeżeli komputer nie posiada modułu TPM, konieczne będzie odblokowanie uwierzytelnienia za pomocą hasła lub klucza USB przy pomocy edytora zasad grup lokalnych. Choć umożliwia on również zmianę algorytmu szyfrowania, tutaj nie ma ona już znaczenia. To BitLocker przejmuje sterowanie mechanizmami dysku i wykorzystuje algorytmy zaoferowane przez producenta. Domyślnie konfiguracja BitLockera pyta o szyfrowanie całego dysku, lub tylko zajętej jego części. Jeżeli użytkownik zdecyduje się na opcję eDrive, takie pytanie nie powinno mieć miejsca, samo szyfrowanie następuje natychmiastowo (bo dane już wcześniej były zaszyfrowane). Jeżeli jest inaczej, coś zostało wykonane w sposób nieprawidłowy.

Pomimo udanego ustawienia, nadal można natrafić na dosyć nietypowe problemy. Jednym z nich jest automatyczny restart na ekranie startowym BitLockera, który uniemożliwia wprowadzanie hasła. Drugim objawem są samoczynne restarty przy uruchamianiu, nawet po skorzystaniu z uwierzytelniania przy pomocy klucza USB i jego wpięciu w odpowiedni port. Po trzech takich sytuacjach następuje uruchamianie automatycznej diagnostyki, która z powodu braku dostępu do partycji systemowej i tak nie będzie w stanie niczego wykonać. Sytuacje te mogą występować zupełnie losowo, logowanie może być również dostępne tylko po „zimnym starcie” komputera. Wtedy użytkownik w widoku komputera zauważy, że BitLocker teoretycznie nie jest w ogóle włączony. Próba jego konfiguracji to potwierdzi, co więcej, system będzie zachowywał się jakby tryb eDrive wcale nie był dostępny.

Rozwiązaniem na tego typu sytuacje jest… wyłączenie mechanizmu hibernacji. Tryb szybkiego uruchamiania zaimplementowany w Windows 8 sprawia takie właśnie problemy w połączeniu z eDrive powodując, że użytkownik może uznać, iż zupełnie utracił swoje dane. Zaszyfrowany system musi przeprowadzać pełny rozruch. Zalecane jest także wyłączenie opcji fast boot w UEFI, bo i ona może powodować problemy z inicjalizacją zabezpieczonego dysku.

Co w sytuacji, gdy zdecydujemy się wyłączyć tryb eDrive aby skorzystać z innej metody? Cóż, tutaj wszystko się komplikuje. Raz ustawionego dysku nie można tak łatwo przywrócić do stanu fabrycznego, co zresztą jest zrozumiałe z względów bezpieczeństwa. Włączenie trybu eDrive powoduje bowiem, że niedostępne stają się polecenia takie jak Secure Erase, całością steruje system operacyjny, który również żadnych funkcji do odblokowania nie oferuje. W sieci opisywane są przypadki osób z takimi problemami. Po kontakcie z producentem były kierowane do Microsoftu. Ta firma z kolei... odsyła ich do producentów twierdząc, że to nie jej dyski, a ona oferuje tylko oprogramowanie do szyfrowania. Na szczęście jest rada i na to.

W przypadku przytoczonego tutaj Samsunga EVO, a także innych dysków tego producenta ze sprzętowym szyfrowaniem skorzystać możemy z niewielkiej aplikacji przez niego udostępnionej. Do odblokowania dysku potrzebny będzie inny nośnik z systemem operacyjnym (możemy po prostu przenieść dysk do innego komputera). Najpierw z naklejki umieszczonej na nośniku należy spisać numer PSID, będzie on potrzebny. Po uruchomieniu aplikacji należy wybrać stosowny dysk do zresetowania, a następnie podać wspomniany numer. Po zatwierdzeniu dysk zostanie wyczyszczony i odblokowany. Wracamy do stanu wyjściowego i możemy ponownie zająć się opcjami szyfrowania.

Co w przypadku innych producentów? Oficjalnie nie są dostępne narzędzia do przeprowadzania takich operacji. Samsung przy próbie kontaktu nie daje o niej znać. Należy więc męczyć pomoc techniczną zapytaniami, a w ostateczności wysłać dysk do producenta z prośbą o odblokowanie w ramach naprawy gwarancyjnej - jest to duża strata czasu, bo jak widać ręcznie da się zrobić to w kilka minut, niemniej czasami jest to jedyne rozwiązanie. Szkoda, że Microsoft nie mówi o takich problemach ani słowa przed skorzystaniem z tej opcji szyfrowania.

Duże możliwości konfiguracji i zarządzania szyfrowaniem niestety nie idą w parze z wygodą i bezproblemowym działaniem w każdej sytuacji. Jeżeli użytkownik zdecyduje się na skorzystanie z opcji eDrive, powinien mocno przygotować się od strony teoretycznej, co jak mamy nadzieję, ułatwi ten artykuł. Jeżeli płyta główna pozwala na skorzystanie z ATA Password, zalecamy jego stosowanie jako rozwiązania znacznie szybszego do wdrożenia.

Pamiętajmy jednak, że tak zablokowany dysk może nie zostać poprawnie rozpoznany na innych komputerach. Zastosowanie eDrive oraz BitLockera ma z kolei inną wadę: oprócz trudniejszej konfiguracji, nie pozwala on na uzyskanie dostępu do partycji z systemów innych niż Windows. Naprawianie systemu w razie nieoczekiwanej awarii lub np. infekcji przez szkodliwe oprogramowanie może okazać się niemożliwe.