Szyfrowanie eDrive w pięknej teorii i nie zawsze przyjemnej praktyce

Szyfrowanie eDrive w pięknej teorii i nie zawsze przyjemnej praktyce23.07.2014 15:39
Redakcja

Na rynku pojawia się coraz więcej dysków SSD. Ich producenci prześcigają się w parametrach technicznych oferując coraz większe transfery. Standard SATA III przestał już zresztą wystarczać, konieczne jest stosowanie adapterów na PCI-Express, lub modułów M.2. Coraz częściej słyszymy również o możliwości wykorzystania dodatkowych funkcji, jak chociażby sprzętowego szyfrowania. Kiedyś dyski, które automatycznie szyfrowały dane były bardzo drogie i przeznaczone dla klientów korporacyjnych. Obecnie funkcja SED (self-encrypting drive) jest dostępna także w tańszych modelach przeznaczonych na rynek masowy. Przykładem jest niedawno testowany Crucial MX100, którego recenzję znajdziecie w dziale Lab. Jak jednak wygląda tego typu szyfrowanie w praktyce? Postanowiliśmy to sprawdzić.[img=edrive]Większość producentów oferuje szyfrowanie przy pomocy symetrycznego szyfru AES o długościach kluczy 128 lub 256 bitów. Wszystkie zapisywane na nośnikach dane są cały czas szyfrowane. Dlaczego więc po zakupie dysku i zainstalowaniu systemu nie musimy podawać żadnych danych, a przełożenie dysku do innego komputera umożliwia bezproblemowe kopiowanie danych na nim zawartych? To proste. O ile szyfrowanie faktycznie działa, o tyle klucze szyfrujące nie są chronione. Kontroler dysku ma je cały czas do dyspozycji, co pozwala na właśnie taką, bezobsługową pracę także dla osób, którym zabezpieczenie w ogóle nie jest potrzebne. Można więc przyjąć, że dysk posiada zabezpieczenie, jednak nie jest ono domyślnie aktywne.

Wybór sposobu szyfrowania danych

Producenci oferują obecnie trzy techniki zabezpieczania dysku SSD. Pierwsza to skorzystanie ze standardu Class 0, użycie opcji hasła ATA Password. Funkcja ta nie jest nowa, występuje w komputerach od wielu lat, choć kiedyś jej zastosowanie było inne. Pozwalała ona i nadal pozwala na proste „zablokowanie” dysku, który nie był dostępny bez podania hasła. O ile może to być problem dla niedoświadczonego złodzieja, o tyle w żaden sposób nie chroni to samych danych. Jako że dyski SSD są cały czas szyfrowane, postanowiono wykorzystać to hasło do ochrony kluczy szyfrujących. Tym oto sposobem, zablokowanie dysku hasłem powoduje „uzbrojenie” sprzętowego szyfrowania. Niestety obecnie znalezienie płyty głównej z dostępną opcją ATA Password nie jest łatwe. Większość nowych urządzeń pozwala na podkręcanie procesora, sterowanie pracą wentylatorów, jednak tej opcji nie oferuje. Lepiej wygląda sytuacja w przypadku laptopów z serii biznesowych (np. ProBooki i EliteBooki od HP), bo ich BIOS-y są w nią wyposażone. Znaleźć ją można także w zmodyfikowanym oprogramowaniu sterującym np. do urządzeń Clevo (w tym i polskich laptopów gamingowych XNOTE).

Druga metoda to wykorzystanie standardu TCG Opal. System operacyjny może współpracować z odpowiednim oprogramowaniem, oraz modułem szyfrującym TPM w celu zabezpieczenia danych. Rozwiązanie jest bardzo skuteczne, wymaga jednak posiadania odpowiedniego modułu. Fabrycznie posiadają go niektóre notebooki, odpowiednie złącza znaleźć można także na wielu płytach głównych. Sam układ należy jednak dokupić, inaczej z opcji tej nie skorzystamy (przynajmniej na komputerze stacjonarnym).

Ostatnia z dostępnych opcji to tytułowy eDrive. Zadebiutował on wraz z system Windows 8 i według firmy Microsoft jest rozwiązaniem niemalże idealnym. Zapewnia bardzo wysoką wydajność, bo zamiast standardowego szyfrowania przy pomocy BitLockera, system przejmuje sterowanie nad szyfrowaniem sprzętowym dysku. Jest łatwy do włączenia, ponieważ w Windows 8 BitLocker jest dostępny już w wersji Pro (ze względu na to, że system ma tylko dwie wersje, opcja szyfrowania stała się dostępna dla większej ilości użytkowników), dodatkowo pozwala zmniejszyć zużycie energii w porównaniu do szyfrowania programowego. Ideał? Niestety, nie do końca.

Wymazywanie Secure Erase przy pomocy narzędzi Samsung
Wymazywanie Secure Erase przy pomocy narzędzi Samsung

Mechanizm eDrive zadebiutował wraz z Windows 8. Jest on dostępny dla tego systemu oraz Windows Server 2012. W starszych edycjach, takich jak popularny Windows 7 nie będziemy mogli z niego skorzystać – możliwy jest odczyt takich dysków, inicjowanie trybu już nie. Druga sprawa to konieczność posiadania komputera z UEFI w wersji 2.3.1 lub nowszej. W UEFI należy dodatkowo wyłączyć tryb kompatybilności CSM (Compatibility Support Module), a także zawsze uruchamiać nośnik poprzez UEFI. W omawianym przykładzie wykorzystano dysk Samsung EVO, który wymaga od nas dodatkowej pracy (uruchomienia trybu eDrive przed jego konfiguracją). Gdy już przygotujemy dysk, konieczne będzie ponowne zainstalowanie systemu w trybie UEFI. Jak widać, bardzo łatwa i prosta do wdrożenia metoda okazuje się być usiana trudnościami.

Konfiguracja i pierwsze problemy

Dyski Samsung EVO wspierają wszystkie trzy wymienione sposoby szyfrowania. Konieczność przygotowania napędu do skorzystania z eDrive jest więc zrozumiała i można to producentowi wybaczyć, tym bardziej, że oferuje on bardzo intuicyjne oprogramowanie Samsung Magician. W celu przygotowania dysku konieczne jest jego zainstalowanie, przejście do zakładki Data Seurity, a następnie włączenie opcji Encrypted Drive, aby jej status zmienił się na Ready to enable. W dalszym etapie konieczne będzie wymazanie dysku przy pomocy funkcji Secure Erase. W zakładce o takiej samej nazwie można przygotować nośnik USB lub płytę CD/DVD z aplikacją, która to zrobi. Niestety, tu można napotkać kolejny problem. Utworzenie takiego napędu może nie zostać poprawnie ukończone, gdy użytkownik zdecyduje się wykonać go z poziomu samego dysku SSD. Konieczne jest użycie drugiego komputera z osobnym systemem, przeniesienie tam dysku SSD (inaczej Secure Erase będzie niedostępne) i dopiero wtedy utworzenie nośnika.

Po wykonaniu tej czynności użytkownik powinien uruchomić komputer ponownie i wystartować go z przygotowanej płyty lub USB. Aplikacja automatycznie wykryje dysk i zaoferuje przeprowadzenie Secure Erase. Najprawdopodobniej użytkownik otrzyma jednak informację o kolejnym „problemie” – dysk może być w stanie frozen, który uniemożliwia przeprowadzenie wymazywania. Konieczne jest odłączenie napędu od zasilania i płyty głównej przy włączonym komputerze, odczekanie kilku sekund, a następnie jego wpięcie i ponowne uruchomienie aplikacji. Dopiero teraz wymazywanie się powiedzie. Następnie można przejść do instalacji Windows 8, konieczne z włączonym trybem UEFI (system utworzy wtedy partycje w systemie GPT zamiast standardowego MBR), oraz wyłączonym CSM. Po tych czynnościach można przejść do konfiguracji szyfrowania mechanizmem BitLocker.

eDrive integruje się z mechanizmem szyfrowania BitLocker
eDrive integruje się z mechanizmem szyfrowania BitLocker

Jeżeli komputer nie posiada modułu TPM, konieczne będzie odblokowanie uwierzytelnienia za pomocą hasła lub klucza USB przy pomocy edytora zasad grup lokalnych. Choć umożliwia on również zmianę algorytmu szyfrowania, tutaj nie ma ona już znaczenia. To BitLocker przejmuje sterowanie mechanizmami dysku i wykorzystuje algorytmy zaoferowane przez producenta. Domyślnie konfiguracja BitLockera pyta o szyfrowanie całego dysku, lub tylko zajętej jego części. Jeżeli użytkownik zdecyduje się na opcję eDrive, takie pytanie nie powinno mieć miejsca, samo szyfrowanie następuje natychmiastowo (bo dane już wcześniej były zaszyfrowane). Jeżeli jest inaczej, coś zostało wykonane w sposób nieprawidłowy.

Pomimo udanego ustawienia, nadal można natrafić na dosyć nietypowe problemy. Jednym z nich jest automatyczny restart na ekranie startowym BitLockera, który uniemożliwia wprowadzanie hasła. Drugim objawem są samoczynne restarty przy uruchamianiu, nawet po skorzystaniu z uwierzytelniania przy pomocy klucza USB i jego wpięciu w odpowiedni port. Po trzech takich sytuacjach następuje uruchamianie automatycznej diagnostyki, która z powodu braku dostępu do partycji systemowej i tak nie będzie w stanie niczego wykonać. Sytuacje te mogą występować zupełnie losowo, logowanie może być również dostępne tylko po „zimnym starcie” komputera. Wtedy użytkownik w widoku komputera zauważy, że BitLocker teoretycznie nie jest w ogóle włączony. Próba jego konfiguracji to potwierdzi, co więcej, system będzie zachowywał się jakby tryb eDrive wcale nie był dostępny.

Rozwiązaniem na tego typu sytuacje jest… wyłączenie mechanizmu hibernacji. Tryb szybkiego uruchamiania zaimplementowany w Windows 8 sprawia takie właśnie problemy w połączeniu z eDrive powodując, że użytkownik może uznać, iż zupełnie utracił swoje dane. Zaszyfrowany system musi przeprowadzać pełny rozruch. Zalecane jest także wyłączenie opcji fast boot w UEFI, bo i ona może powodować problemy z inicjalizacją zabezpieczonego dysku.

Jak wyłączyć eDrive?

Co w sytuacji, gdy zdecydujemy się wyłączyć tryb eDrive aby skorzystać z innej metody? Cóż, tutaj wszystko się komplikuje. Raz ustawionego dysku nie można tak łatwo przywrócić do stanu fabrycznego, co zresztą jest zrozumiałe z względów bezpieczeństwa. Włączenie trybu eDrive powoduje bowiem, że niedostępne stają się polecenia takie jak Secure Erase, całością steruje system operacyjny, który również żadnych funkcji do odblokowania nie oferuje. W sieci opisywane są przypadki osób z takimi problemami. Po kontakcie z producentem były kierowane do Microsoftu. Ta firma z kolei... odsyła ich do producentów twierdząc, że to nie jej dyski, a ona oferuje tylko oprogramowanie do szyfrowania. Na szczęście jest rada i na to.

W przypadku przytoczonego tutaj Samsunga EVO, a także innych dysków tego producenta ze sprzętowym szyfrowaniem skorzystać możemy z niewielkiej aplikacji przez niego udostępnionej. Do odblokowania dysku potrzebny będzie inny nośnik z systemem operacyjnym (możemy po prostu przenieść dysk do innego komputera). Najpierw z naklejki umieszczonej na nośniku należy spisać numer PSID, będzie on potrzebny. Po uruchomieniu aplikacji należy wybrać stosowny dysk do zresetowania, a następnie podać wspomniany numer. Po zatwierdzeniu dysk zostanie wyczyszczony i odblokowany. Wracamy do stanu wyjściowego i możemy ponownie zająć się opcjami szyfrowania.

PSID - numer niezbędny do przywrócenia ustawień fabrycznych dysku
PSID - numer niezbędny do przywrócenia ustawień fabrycznych dysku

Co w przypadku innych producentów? Oficjalnie nie są dostępne narzędzia do przeprowadzania takich operacji. Samsung przy próbie kontaktu nie daje o niej znać. Należy więc męczyć pomoc techniczną zapytaniami, a w ostateczności wysłać dysk do producenta z prośbą o odblokowanie w ramach naprawy gwarancyjnej - jest to duża strata czasu, bo jak widać ręcznie da się zrobić to w kilka minut, niemniej czasami jest to jedyne rozwiązanie. Szkoda, że Microsoft nie mówi o takich problemach ani słowa przed skorzystaniem z tej opcji szyfrowania.

Czy warto stosować eDrive?

Duże możliwości konfiguracji i zarządzania szyfrowaniem niestety nie idą w parze z wygodą i bezproblemowym działaniem w każdej sytuacji. Jeżeli użytkownik zdecyduje się na skorzystanie z opcji eDrive, powinien mocno przygotować się od strony teoretycznej, co jak mamy nadzieję, ułatwi ten artykuł. Jeżeli płyta główna pozwala na skorzystanie z ATA Password, zalecamy jego stosowanie jako rozwiązania znacznie szybszego do wdrożenia.

Pamiętajmy jednak, że tak zablokowany dysk może nie zostać poprawnie rozpoznany na innych komputerach. Zastosowanie eDrive oraz BitLockera ma z kolei inną wadę: oprócz trudniejszej konfiguracji, nie pozwala on na uzyskanie dostępu do partycji z systemów innych niż Windows. Naprawianie systemu w razie nieoczekiwanej awarii lub np. infekcji przez szkodliwe oprogramowanie może okazać się niemożliwe.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na