PCEVA,PC绝对领域,探寻真正的电脑知识

标题: 台式机SSD AES加密在哪里 [打印本页]

---

作者: haierccc    时间: 2015-3-5 06:51
标题: 台式机SSD AES加密在哪里


我的华擎Z87的BIOS就没有相关选项，不知道在哪里找SSD的加密选项

---

作者: jackyi    时间: 2015-3-5 09:40
现阶段UEFI应该没有SSD的加密选项。
Windows 7 旗舰版下 可以使用系统功能  Bitlocker  实现分区或全盘软件加密（不清楚可否通过第三方软件支持SSD硬件加密）。
如果你的SSD支持 Windows eDrive 加密标准 且 主板支持 UEFI（最好有TPM模块） 的话，建议使用Windows 8或以上的系统，必须在UEFI模式下启动，用Windows 8或以上的系统内置的 Bitlocker 功能就可以自动调用 eDrive 硬件加密了。

---

作者: haierccc    时间: 2015-3-5 09:57

jackyi 发表于 2015-3-5 09:40
现阶段UEFI应该没有SSD的加密选项。
Windows 7 旗舰版下 可以使用系统功能  Bitlocker  实现分区或全盘软件 ...

谢谢！我查了相关资料，微软的eDrive标准要求支持TCG Opal 2.0及IEEE-1667，我的是金士顿V+200，用SF主控，支持TCG Opal 2.0，但没有说支持IEEE-1667。

---

作者: iFive    时间: 2015-3-5 17:15


支持加密的SSD是让Bitlocker（或类似工具）对硬盘的加密变为硬加密（解密时不需要耗费CPU资源）。
Bitlocker加密系统盘，需要额外的凭证才可以，比如说TPM芯片或者U盘。这和SSD支不支持加密无关，不要认为支持加密的SSD做系统盘时不需要凭证。
顺便说一句，要想用硬加密，只能抛弃Win7。

---

作者: haierccc    时间: 2015-3-5 21:52

iFive 发表于 2015-3-5 17:15
支持加密的SSD是让Bitlocker（或类似工具）对硬盘的加密变为硬加密（解密时不需要耗费CPU资源）。
Bitlocke ...

这个一定要TPM芯片或者U密这类的硬件么

---

作者: iFive    时间: 2015-3-5 22:09

haierccc 发表于 2015-3-5 21:52
这个一定要TPM芯片或者U密这类的硬件么

从盘不需要
系统盘需要

---

作者: haierccc    时间: 2015-3-6 12:12

iFive 发表于 2015-3-5 22:09
从盘不需要
系统盘需要

我查了一下，TPM模块似乎国家不允许使用，U盘密钥根本不知道哪里有卖。
这样一来，SSD加密功能形同虚设了

---

作者: iFive    时间: 2015-3-6 13:05

haierccc 发表于 2015-3-6 12:12
我查了一下，TPM模块似乎国家不允许使用，U盘密钥根本不知道哪里有卖。
这样一来，SSD加密功能形同虚设了 ...

U盘密匙就是普通的U盘啊。

---

作者: donnyng    时间: 2015-3-6 13:40
我司正在用pm851和某tpm模块，bitlocker加密

---

作者: haierccc    时间: 2015-3-6 14:13

iFive 发表于 2015-3-6 13:05
U盘密匙就是普通的U盘啊。

你是说在软硬件都满足的情况下，在加密的过程中，会问用户要一个U盘么？

---

作者: haierccc    时间: 2015-3-6 14:13

donnyng 发表于 2015-3-6 13:40
我司正在用pm851和某tpm模块，bitlocker加密

你的是IBM的ThinkPad吧

---

作者: frontwing    时间: 2015-3-6 14:18

haierccc 发表于 2015-3-6 12:12
我查了一下，TPM模块似乎国家不允许使用，U盘密钥根本不知道哪里有卖。
这样一来，SSD加密功能形同虚设了 ...

这个政策根本没有认真执行，只是国行零售渠道的笔记本一般阉割了TPM，大客户定制机照样可以买到带TPM的。

---

作者: donnyng    时间: 2015-3-6 16:12

haierccc 发表于 2015-3-6 14:13
你的是IBM的ThinkPad吧

elitebook and latitude

---

作者: iFive    时间: 2015-3-6 16:52

frontwing 发表于 2015-3-6 14:18
这个政策根本没有认真执行，只是国行零售渠道的笔记本一般阉割了TPM，大客户定制机照样可以买到带TPM的。 ...

好像国行Surface Pro 3就有（之前的SP没有）。
因为Surface Pen唤醒OneNote的功能依赖TPM（必须）和Bitlocker（好像）。

---

作者: iFive    时间: 2015-3-6 16:53

haierccc 发表于 2015-3-6 14:13
你是说在软硬件都满足的情况下，在加密的过程中，会问用户要一个U盘么？
...

yes。
需要先设置组策略，默认情况下不允许的。

---

作者: COO    时间: 2015-4-6 22:57

iFive 发表于 2015-3-6 13:05
U盘密匙就是普通的U盘啊。

版主，可否细说下如何实现，U盘？

另外分区时，如果直接用系统盘分区，不是会生成隐藏分区嘛，那还要U盘？

谢谢

---

作者: iFive    时间: 2015-4-7 01:00

COO 发表于 2015-4-6 22:57
版主，可否细说下如何实现，U盘？

另外分区时，如果直接用系统盘分区，不是会生成隐藏分区嘛，那还要U盘 ...

U盘是BitLocker启动验证的一种凭证。
它的作用类似于TPM芯片，U盘中存放当前电脑的基本信息（BIOS设置，启动顺序，主板是否更换，硬盘是否为原硬盘，连接的关键硬件等等）
如果U盘检测失败，就会跳到BitLocker恢复模式，在这种模式下，只能输入BitLocker恢复密匙才能开机。（如果确认要更换硬件，进入系统后需要制作新U盘解锁文件）

TPM的就简单暴力多了，TPM芯片检查，条件不符合，直接停止开机，如果检查符合，Windows从TPM芯片那里获得信息，凭证对应，解密，正常开机。

Win8开始还有开机密码模式，就是用BitLocker加密密码开机。

如果你用U盘模式，你可以把启动文件放到U盘上，但我不建议这么做。

---

作者: ChineseBoy    时间: 2015-4-7 09:48

iFive 发表于 2015-4-7 01:00
U盘是BitLocker启动验证的一种凭证。
它的作用类似于TPM芯片，U盘中存放当前电脑的基本信息（BIOS设置， ...

tpm听说没法破解？好像以前看到了个笑话是罪犯的电脑用了tpm加密

---

作者: COO    时间: 2015-4-7 11:20

iFive 发表于 2015-4-7 01:00
U盘是BitLocker启动验证的一种凭证。
它的作用类似于TPM芯片，U盘中存放当前电脑的基本信息（BIOS设置， ...

谢谢版主

那直接用密码进不可以吗？

如果没记错，hdd上，win7系统分区加密（bitlocker）也是可以用密码进去的，所以才有隐藏分区来储存相关的文件

那启用ssd的aes加密，只是调用硬件本身支持的加密解密，而不再消耗cpu资源，就不能用这种方式实现了吗？

ps：我觉得密码更安全啊？万一你U盘丢了，或者被人捡到了呢

---

作者: iFive    时间: 2015-4-7 13:01

COO 发表于 2015-4-7 11:20
谢谢版主

那直接用密码进不可以吗？

系统盘和数据盘的允许的解密模式并不一样。
BitLocker开机鉴权方式只有三种。（WinVista/7不支持密码模式，只有两种）
衍生的方式有好几种，比如说TPM+PIN，U盘+PIN等。
你现在还是没搞清楚，BL加密最好配合Windows用户帐户密码使用，这样的安全性最高。开机密码模式与硬件无关，更改硬件后不会拒绝开机。
比如说，电脑开机，TPM/U盘检测通过，进入Windows，没有密码的用户，直接卡到欢迎画面，就是进不去。

SSD硬加密需要：Win8及以上系统，SSD支持硬加密。
如果是系统盘，还需要UEFI启动，停用CSM。

---

作者: pclover    时间: 2015-4-7 14:01

iFive 发表于 2015-4-7 13:01
系统盘和数据盘的允许的解密模式并不一样。
BitLocker开机鉴权方式只有三种。（WinVista/7不支持密码模式 ...

请问BL加密的安全性如何呢？

---

作者: iFive    时间: 2015-4-7 14:15

pclover 发表于 2015-4-7 14:01
请问BL加密的安全性如何呢？

目前来说，不给凭据根本解不开
但是，如果tpm芯片有后门或者老美在bitlocker加密机制中加了后门，就不一定了

---

作者: COO    时间: 2015-4-7 16:37

iFive 发表于 2015-4-7 13:01
系统盘和数据盘的允许的解密模式并不一样。
BitLocker开机鉴权方式只有三种。（WinVista/7不支持密码模式 ...

好的，谢谢版主

---

作者: pclover    时间: 2015-4-7 17:24

iFive 发表于 2015-4-7 14:15
目前来说，不给凭据根本解不开
但是，如果tpm芯片有后门或者老美在bitlocker加密机制中加了后门，就不一定 ...

电脑开机，TPM/U盘检测通过，进入Windows，没有密码的用户，直接卡到欢迎画面，就是进不去。……如果把这个系统盘当从盘，密码不就不起作用了吗？

---

作者: iFive    时间: 2015-4-7 17:41

pclover 发表于 2015-4-7 17:24
电脑开机，TPM/U盘检测通过，进入Windows，没有密码的用户，直接卡到欢迎画面，就是进不去。……如果把这 ...

你错了。
TPM/U盘只是一个鉴权机制。过了这关后，系统就可以正常加载了。
如果你是入侵者，他的电脑中有没有密码的管理员帐户，那么好，这台电脑就是台普通电脑，随你折腾。关闭BitLocker等操作都可以随便做。
而如果你电脑中管理员帐户全部上了密码，那么好，你没法提权（在有无密码受限账户的情况下），甚至你也没法登录（因为你根本不知道密码）。
把盘挂到其他电脑上，对不起，你连文件都看不到。（因为你没法解密）。

---

作者: pclover    时间: 2015-4-7 18:06

iFive 发表于 2015-4-7 17:41
你错了。
TPM/U盘只是一个鉴权机制。过了这关后，系统就可以正常加载了。
如果你是入侵者，他的电脑中有 ...

挂到从盘以后，提示要求插入u盘或者密钥，这时候这个盘能不能防病毒木马

---

作者: iFive    时间: 2015-4-7 18:54

pclover 发表于 2015-4-7 18:06
挂到从盘以后，提示要求插入u盘或者密钥，这时候这个盘能不能防病毒木马 ...

这和病毒有关系吗？
一、USB Key只能用于系统引导过程中的BitLocker解密
二、根本没有这提示，从盘要么恢复密匙，要么密码/智能卡解密
你的思维很混乱，先百度百度吧，跟帖回复无关问题很不礼貌。
不再接受你的回帖。

---

作者: 909648183    时间: 2015-4-8 00:30

pclover 发表于 2015-4-7 18:06
挂到从盘以后，提示要求插入u盘或者密钥，这时候这个盘能不能防病毒木马 ...

病毒感染未解密的加密盘要么所有数据废掉，要么无影响（不符合病毒的感染逻辑，因为在病毒看来全是乱码，怎么感染？）
加密的目的不是防病毒，而是让没有授权的人无法获取数据，把加密盘挂到从盘上乱改一气或者格式化，数据没了，加密的目的同样达到了

---

作者: pclover    时间: 2015-4-8 15:03

909648183 发表于 2015-4-8 00:30
病毒感染未解密的加密盘要么所有数据废掉，要么无影响（不符合病毒的感染逻辑，因为在病毒看来全是乱码， ...

哈哈   真是精辟啊

---

作者: COO    时间: 2015-4-11 20:44

iFive 发表于 2015-3-5 17:15
支持加密的SSD是让Bitlocker（或类似工具）对硬盘的加密变为硬加密（解密时不需要耗费CPU资源）。
Bitlocke ...

版主，如何检验是否启用硬加密？跑个分算是一种方法吗？

另外，采用U盘+pin的方式，如果U盘坏了，是否可用恢复码恢复？

谢谢

---

作者: iFive    时间: 2015-4-11 23:28

COO 发表于 2015-4-11 20:44
版主，如何检验是否启用硬加密？跑个分算是一种方法吗？

另外，采用U盘+pin的方式，如果U盘坏了，是否可 ...

最简单的方法：看bitlocker加密/解密速度，如果几秒钟就能完成，说明你的肯定是硬加密。
如果你想自己判断的话，看这里，硬加密的主要条件有这几条：
一、系统为Windows8或以上
二、SSD开启了tcg opal（浴室在论坛回档之前写过这帖子），如果你没加过ATA password，系统会自动开启。
三、如果加密的是系统盘，需要使用UEFI启动，并且不能开启csm，UEFI固件需要满足UEFI 2.3规范。

---

作者: COO    时间: 2015-4-12 11:02

iFive 发表于 2015-4-11 23:28
最简单的方法：看bitlocker加密/解密速度，如果几秒钟就能完成，说明你的肯定是硬加密。
如果你想自己判 ...

弱弱问一句2011年的本，虽然主板带了uefi，但是不是基本可以肯定不支持2.3规范？

另，近期打算换，看中dell的xps13，这款应该妥妥的没问题吧

---

作者: iFive    时间: 2015-4-12 13:19

COO 发表于 2015-4-12 11:02
弱弱问一句2011年的本，虽然主板带了uefi，但是不是基本可以肯定不支持2.3规范？

另，近期打算 ...

只要机器支持secure boot，就能证明你的机器是UEFI 2.3（Secure Boot是2.3规范新增内容之一）
XPS13没问题，不过我还是建议买带有TPM的机器，比如说Surface Pro 3。

---

作者: COO    时间: 2015-4-12 18:18

iFive 发表于 2015-4-12 13:19
只要机器支持secure boot，就能证明你的机器是UEFI 2.3（Secure Boot是2.3规范新增内容之一）
XPS13没问 ...

谢谢版主，另问个不相关问题

刚用上ssd，128g，8g内存，打算关闭“虚拟内存”

可行吗

---

作者: iFive    时间: 2015-4-12 18:58

COO 发表于 2015-4-12 18:18
谢谢版主，另问个不相关问题

刚用上ssd，128g，8g内存，打算关闭“虚拟内存”

开Photoshop你就知道了。。
不可行。
让系统自动控制就好。

---

作者: COO    时间: 2015-4-12 20:56

iFive 发表于 2015-4-12 18:58
开Photoshop你就知道了。。
不可行。
让系统自动控制就好。

ok，感谢版主耐心解答

---

作者: COO    时间: 2015-4-12 21:16

iFive 发表于 2015-4-12 18:58
开Photoshop你就知道了。。
不可行。
让系统自动控制就好。

版主，我试过了，好像没有啥问题啊

photoshop不论，对ssd的寿命和电脑性能有无负面影响？

刚入坑，有点小白，版主见谅

---

作者: iFive    时间: 2015-4-12 22:07

COO 发表于 2015-4-12 21:16
版主，我试过了，好像没有啥问题啊

photoshop不论，对ssd的寿命和电脑性能有无负面影响？

没影响，别纠结P/E。
我还是建议你设上点虚拟内存，免得到时候碰到些兼容性问题却找不到来源。
500M-1G的大小没有用，不够塞牙缝。
你如果对空间要求敏感，设上2G-2G吧。

---

作者: COO    时间: 2015-4-12 22:47

iFive 发表于 2015-4-12 22:07
没影响，别纠结P/E。
我还是建议你设上点虚拟内存，免得到时候碰到些兼容性问题却找不到来源。
500M-1G的 ...

好的，谢谢版主

---

作者: neuwu    时间: 2017-3-8 16:23

iFive 发表于 2015-4-11 23:28
最简单的方法：看bitlocker加密/解密速度，如果几秒钟就能完成，说明你的肯定是硬加密。
如果你想自己判 ...

想找这块的信息没有到竟然是在坛子里发现。
版主，根据你给大家的回复，我的理解是硬盘的AES加密只能体现在系统调用硬盘的硬加密功能，而一般是通过bitlocker这类软件来实现。
说白了，有什么依据来证实满足这三个条件的就意味着有硬加密，标准规定吗？
我现在刚搞清楚BIOS下的硬盘加密和硬盘本身的AES确实没有关系，请不吝赐教。

---

作者: iFive    时间: 2017-3-10 19:40

neuwu 发表于 2017-3-8 16:23
想找这块的信息没有到竟然是在坛子里发现。
版主，根据你给大家的回复，我的理解是硬盘的AES加密只能体现 ...

SSD的加密不止体现在软件控制的硬加密上。可以这么理解，SSD是一直是被加密着的，只不过在默认（出厂）状态下对用户透明。

---

欢迎光临 PCEVA,PC绝对领域,探寻真正的电脑知识 (https://bbs.pceva.com.cn/)

Powered by Discuz! X3.2