Samsung 850 PRO encryptie gebruiken.

De laatste tijd ben ik bezig mijn data beter te beveiligen. Mijn externe schijven hebben nu allemaal beveiliging waardoor het geen probleem meer zou zijn als ze gestolen worden. Nu wil ik alleen ook de boel in mijn PC goed voor elkaar hebben.

Wat ik wil doen is 2 Samsung 850 PRO 1TB SSD's kopen en hier al mijn belangrijke data op plaatsen en natuurlijk ook het OS. 1 van deze SSD's word voor Windows en de andere voor al mijn data. Nu wil ik dus beide SSD's gebruiken met encryptie, maar omdat ik dit voor het eerst ga doen heb ik geen idee wat de beste manier is. Ik zoek eigenlijk naar een oplossing waarbij ik 1x tijdens het starten van de PC of bij het inloggen van Windows een wachtwoord moet invoeren en dat dan beide SSD's te gebruiken zijn. De mooiste manier zou zijn een wachtwoord in te voeren nog voor de BIOS.

Op dit moment gebruik ik ook een BIOS wachtwoord waardoor er niet in de BIOS te komen is en de PC niet op te starten is. Het mooiste lijkt mij dat dit blijft maar dat dan beide SSD's te gebruiken zijn na het invoeren van het wachtwoord.

Ik ben wat aan het lezen geweest en kom op de volgende pagina van Samsung uit:
http://www.samsung.com/gl...tepaper/whitepaper06.html

Het mooiste lijkt mij dan het volgende:

With the introduction of the SSD 840 and 840 Pro Series SSDs, Samsung has added AES hardware-based SED technology to its consumer SSD lineup. Simply enabling the ATA password via the BIOS will automatically render all data on the drive unintelligible without the proper password. Because it is implemented at the hardware level,

Ik vraag mij alleen af of dit dan voor de bootdrive werkt of gelijk ook voor 2 dezelfde SSD's die ik wil gaan gebruiken ? Dat de encryptie werkt door alleen bij het aanzetten van de PC een BIOS wachtwoord in te geven lijkt mij de mooiste oplossing.

Wat ik eingelijk wil weten is wat de beste oplossing zou zijn om 2 SSD's op een goede veilige manier te encrypten waardoor de data bij diefstal van de PC niet te benaderen is. Omdat ik hier dus nog geen kaas van gegeten heb zijn alle tips en oplossingen welkom. Als er betere manieren zijn waarvan ik niets weet hoor ik het heel graag.

Verder nog even de specs van de PC voor de duidelijkheid.

i7 4770K
GTX 780 SLI
Asus Maximus VI Hero
16GB 1600MHz
2x 4TB Seagate
1TB Samsung 840 EVO (Deze gaat weg bij aanschaf van 850 PRO's)
Windows 7 HP 64bit

Nog aan te schaffen: 2x 1TB 850 PRO.

Ik heb even toegevoegd dat ik Windows 7 gebruik, geen idee of dit een echt verschil maakt.

Die 2e niet bootschijf is eigenlijk nog belangrijker dan de bootschijf qua data. Vandaar ook de vraag of deze ook mee gepakt word op de Samsung manier qua booten met wachwoord. Maar van wat ik zo lees is dat dus niet het geval ?

De beste manier is dus om aan de slag te gaan met Bitlocker of Truecrypt ? Ik neem aan dat deze programma's ook om kunnen gaan met de hardware encryptie van de SSD zodat het snel blijft ? Als ik voor Bitocker zou gaan kan ik dan hiermee de 2 SSD's unlocken met 1 wachtwoord zoals bij Truecrypt ?

[ Voor 9% gewijzigd door PilatuS op 22-03-2015 14:00 ]

Verwijderd schreef op zondag 22 maart 2015 @ 14:02:
@spone: als je Truecrypt niet veilig vindt, dan zal je Bitlocker ook niet veilig moeten vinden denk ik. Want Microsoft valt evengoed onder de Amerikaanse Patriot Act en betekent dat zij mogelijk verplicht een achterdeurtje hebben ingebouwd en daarover gedwongen worden om te liegen.

Bovendien is HDD/SSD encryptie mogelijk ook niet veilig, omdat er wat berichten zijn dat de NSA ook de firmware van hardeschijven heeft bereikt. De hardware encryptie van je Intel-processor is ook gecompromitteerd (RDRAND) wat een door de NSA-ontwikkeld algoritme gebruikt wat vrijwel zeker voorspelbare output geeft. Kortom, van alle kanten heb je te vrezen als je je data écht veilig wilt hebben voor anderen. Maar software encryptie op Linux/BSD zou nog wel werken.

Wil je enkel bescherming dat je zusje niet in je 'natuurfilm' mapje komt, dan is BitLocker en consorten uitstekend, en ook lagere overheden zul je ermee afschrikken.

Waar het mij omgaat is dat niemand bij mijn data kan wanneer mijn complete PC gestolen word. En dat niemand zomaar achter mijn PC kan gaan zitten en in mijn mail kan komen. Dat het niet veilig is tegen de NSA snap ik en dat hoeft ook niet. Van wat ik allemaal lees over wat Snowden naar buiten brengt geloof ik dat de NSA overal een achterdeur in heeft en dat ze overal bij kunnen als ze het willen.

Mijn externe HDD's gebruiken geen encryptie maar een chip blokkeerd de toegang tot de partitie met een wachtwoord waardoor lezen en schrijven niet mogelijk is. Ook dit zal voor de NSA geen probleem zijn maar wel voor een dief die er met mijn schijf vandoor gaat. Ik zie een dief niet de platters er uit halen en omzetten in een andere schijf als hij liever gewoon 30 euro voor de schijf wil beuren.

AlterEgo schreef op zondag 22 maart 2015 @ 14:12:
SED vereist ook een bios dat daarmee correct omgaat. Resultaten schijnen nogal te varieren. De enige echte test is om een encrypted disk in een andere PC te prikken, en dan te testen of de schijf daadwerkelijk encrypted is.

Ik ben van plan dat wanneer de boel klaar is een SSD uit te PC te trekken om op mijn laptop aan te sluiten om te controleren of het gelukt is.

Van wat ik zo lees is het dus toch handig om met iets als Bitlocker aan de slag te gaan als ik op beide schijven encryptie wil hebben ?

spone schreef op zondag 22 maart 2015 @ 14:25:
[...]

@PilatuS: BitLocker is prima in staat om voor je OS disk een password bij bootup te vragen en dan na het opstarten automatisch je andere volumes te unlocken (heel simpel gezegd: het wachtwoord daarvoor staat dan op je encrypted OS disk).

Dit is precies wat ik wil doen.

Ik was even aan het zoeken naar een guide hiervoor en kwam de volgende tegen:

https://helgeklein.com/bl...ware-encryption-with-ssd/

Hier hebben ze het alleen over Windows 8 en booten via UEFI. Ik gebruik alleen Windows 7 en dus ook geen UEFI om te booten. Moet ik perse Windows 8 hebben om dit te doen ?

Verder wil ik mijn huidige C drive gaan clonen naar de nieuwe 850 PRO, maar ik lees dat de drive eerst geformatteerd moet worden voordat de encryptie werkt. Moet ik dan eerst gaan encrypten dan daarna pas clonen ?

Ik gebruik helaas natuurlijk net de Home Premium versie.

Edit: Misschien dan maar een Pro key kopen en upgraden via Anytime Upgrade. Van wat ik zo lees lijkt Bitlocker wel de beste optie te zijn.

Edit 2: MS zegt trouwens dat Pro niet werkt.

BitLocker is available in Windows 7 Ultimate and Windows 7 Enterprise.

[ Voor 79% gewijzigd door PilatuS op 22-03-2015 15:32 ]

Ik zit te denken om te upgraden naar Windows 8.1 Pro. Dan is het Bitlocker probleem opgelost.

Waar ik dan nog wel mee zit is het volgende:
https://helgeklein.com/bl...ware-encryption-with-ssd/

For data drives:

The drive must be in an uninitialized state.
The drive must be in a security inactive state.

If the drive is used as a startup drive the following apply additionally:

The computer must always boot natively from UEFI.
The computer must have the Compatibility Support Module (CSM) disabled in UEFI.
The computer must be UEFI 2.3.1 based and have the EFI_STORAGE_SECURITY_COMMAND_PROTOCOL defined.

One very important thing is uninitialized state: it means that you cannot clone a drive with data on it and enable BitLocker with hardware encryption afterwards.

Voor de 2e schijf kan ik gewoon in Windows deze hardwarematig encrypten. Maar hoe krijg ik dit dan voor elkaar met de bootschijf ? Als een schijf eerst gewist moet worden kan ik dit niet doen zonder eerst Windows te installeren, maar als ik Windows installeer kan ik de schijf niet meer wissen.

Ik wil dus wel graag beide SSD's hardwarematig met Bitlocker encrypten zodat ze beide worden unlocked met 1 wachtwoord tijdens booten.

Als dit niet lukt dan moet ik misschien naar de Samsung manier via het UEFI wachtwoord voor de C schijf en naar Bitlocker voor de D schijf, maar alles op 1 manier is het mooiste natuurlijk.

[ Voor 6% gewijzigd door PilatuS op 22-03-2015 17:12 ]

hans_lenze schreef op maandag 23 maart 2015 @ 10:30:
Bitlocker kan een draaiende Windows OS schijf encrypten. Zo is het ook bedoelt: Windows installeren, drivers installeren, encrypten, de rest van je programma's tooltjes en andere meuk er op zetten.

Ik heb inmiddels wat verder gezocht. Wat je aangeeft kan inderdaad. Alleen dan word niet de hardwarematige encryptie gebruikt van de SSD op deze manier. Om het hardwarematig aan de praat te krijgen moet er meer gebeuren.

http://superuser.com/ques...ng-840-ssd-with-bitlocker

Helaas wat meer stappen maar dan werkt het hardwarematig.

_Arthur schreef op maandag 23 maart 2015 @ 11:05:
En als extra bonus kan je een TPM module op je moederboard prikken; pricewatch: Asus TPM/FW3.19 BitLocker module voor Asus moederborden

Snelheidsverlies is trouwens minimaal; zeker met SSD's ga je dat uberhaupt niet eens merken.

Een TPM heb ik besteld.

Ik ga toch voor de wat moeilijke hardwarematige manier. Ik vind het zonde om een SSD te hebben met hardware encryptie en dit niet te gebruiken.

De Samsung manier met het ATA password gaat helaas niet werken omdat vrijwel geen enkel moederbord dit ondersteunt.

hans_lenze schreef op maandag 23 maart 2015 @ 11:45:
Hardware matige encryptie is niet moeilijker ofzo. Je moet alleen de voorwaarden netjes voor elkaar hebben.
Zodra je de nieuwe SSD initialiseert wordt er automatisch een hardware sleutel gegenereerd.
Zie ook https://technet.microsoft.com/en-us/library/hh831627.aspx.

Van wat ik lees moet je toch 2x Windows installeren om het goed voor elkaar te krijgen. Nou maakt dit opzich niet uit maar ik lees overal dat het niet hardwarematig in 1x kan.

Nog even een vraag waar ik zo via Google geen goed antwoord op kan vinden.

Het is inmiddels gelukt om de C schijf op hardwarematige encryptie te laten draaien met Windows 8.1 Pro en Bitlocker. Nu wil ik alleen de 2e schijf toevoegen met Bitlocker en daar weet ik niet precies wat te doen.

Ik kan bij het instellen van Bitlocker kiezen voor auto unlock of wachtwoord. Als ik voor wachtwoord kies dan word er een nieuwe decryptie key gemaakt met compleet nieuw wachtwoord. Ik neem aan dat ik het wachtwoord dan ook in Windows moet gaan invullen terwijl ik bij het booten al een wachtwoord invul. Ik kan ook kiezen voor auto unlock maar dan heb ik het idee dat alleen de TPM gebruikt word in de PC en niet het wachtwoord wat ik al voor de C schijf gebruik. Het nadeel is hiervan dan ook dat ik vermoed dat wanneer de C schijf vervangen word door een andere schijf, de data van de 2e schijf gewoon uit te lezen is omdat er geen wachtwoord voor is en de unlock code in de TPM staat.

Ik wil gewoon heel simpel dat de 2e schijf met hetzelfde wachtwoord unlocked word dat ik tijdens het booten in geef. Ik zie alleen niet hoe ik dit nou kan doen. Van wat ik zie is het of een compleet nieuw wachtwoord, of anders geen wachtwoord.

Verwijderd schreef op zaterdag 09 mei 2015 @ 20:01:
Auto-Unlock kiezen voor je tweede schijf

You can configure BitLocker to automatically unlock volumes that do not host an operating system. After a user unlocks the operating system volume, BitLocker uses encrypted information stored in the registry and volume metadata to unlock any data volumes that use automatic unlocking.

Zie onder andere ook:

http://windows.microsoft....itlocker-drive-encryption

Bedankt voor je reactie.

Ik had al even een ander topic geopend aangezien het om een andere vraag ging. Wat ik nu gedaan heb is een wachtwoord ingeteld en inderdaad auto unlock. Het was even die combinatie van wachtwoord instellen en daarna auto unlock waar ik even niet op kwam.