Szyfrowanie dysku Samsung EVO 840/850/PRO

W dzisiejszym wpisie pokażemy jak aktywować sprzętowe szyfrowanie AES w dysku Samsung EVO 850/840 za pomocą dołączonego narzędzia Samsung Magician 4.6. Niestety, żeby to wykonać musimy posiadać drugi dysk podłączony lub adapter SATA pod USB (kabel), ewentualnie zewnętrzną kieszeń (np: w miejsce dysku DVD. W przeciwnym wypadku będziemy musieli system operacyjny instalować dwukrotnie. Dlaczego? Ponieważ najpierw trzeba z poziomu systemu operacyjnego włączyć na dysku SSD opcje Encrypted Drive na Ready to enlabed a następnie nagrać na płycie CD lub pendrive bootowalne narzędzie do czyszczenia dysku o nazwie Secure Erase. Wymienione narzędzie nie tylko czyści nasz dysk SSD przed pierwszym użyciem, ale również inicjuje nowe klucze szyfrujące na nośniku. Bez tej operacji nie zadziała sprzętowe szyfrowanie danych AES256 w dysku SSD Samsung EVO.

Poniżej pokazujemy, jak wyglądać może wyglądać przykładowa kieszeń na dysk 2.5 cala montowana w miejscu DVD.

kieszeń DVD na stary dysk pod samsung evo 850
Zewnętrzna kieszeń na stary dysk HDD montowana w miejsce napędu DVD. Koszt to około ~30zł.

Jak włączyć szyfrowanie w Samsung EVO 850/840

  1. Uruchamiamy nasz stary system operacyjny (na dysku HDD [kieszeń/kabel] lub nowym SSD)
  2. Instalujemy Samsung Magician 4.6 
  3. Przechodzimy do zakładki Data Security
  4. W opcji Encrypted Drive wciskamy przycisk aby wyświetlił się napis Ready to enabled
    Samsung Hardware Encrypt - ready to enable
  5. Przechodzimy do zakładki Secure Erase i nagrywamy to narzędzie na płycie CD lub pendrive (jeżeli posiadamy w komputerze bootowanie z usb).
    Samsung secure erase usb/cd/dvd
  6. Gotowe. Wyłączamy komputer.
  7. Teraz wkładamy nasz dysk SSD do komputera (jeśli na nim przeprowadzaliśmy powyższe operacje, będziemy musieli zainstalować system ponownie). Pamiętaj o kopi zapasowej ważnych dla Ciebie plików!
  8. Wchodząc do BIOS upewniamy się, że bootowanie zostało ustawione na nagrany przed chwilą nośnik CD lub pendrive. Jeśli w Twoim przypadku to nie działa, spróbuj ustawić bootowanie na dysk SSD. Często to on wykrywa narzędzie nagrane na CDlubpendrive i go uruchamia.
    samsung ssd secure erase utility v1.6
  9. Czytamy pobierznie i akcpetujemy wciskając na klawiaturze Y
    format i inicjalizacja dysku samsung evo 840/850
  10. Wybieramy dysk SSD z listy i zatwierdzamy klawiszem ENTER i Y
    stan dysku SSD
  11. Być może dostałeś informacje o stanie zamrożenia dysku (frozen state). W tym przypadku należy zgodnie z instrukcją wyjąć na kilkanaście sekund dysk SSD (bez wyłączenia komputera) i ponownie włożyć następnie wciskając następnie dowolny klawisz na klawiaturze.
    segui0.exe samsung evo security erase
  12. Narzędzie wyjdzie do konsoli MSDOS wpisujemy
    SEGUI0.EXE

    w celu ponownego uruchomienia Samsung Erase.

  13. Ponawiamy kroki od 9 do 10, tym razem nie powinien program Nas informować o frozen state tylko o pomyślnym zakończeniu operacji.
    secure erase is succesfull - format SSD zakończony
  14. Dysk jest gotowy do zainstalowania systemu operacyjnego. Pamiętaj, aby to zrobić w trybie UEFI (Sprawdź czy ta opcja w BIOS jest włączona).
  15. Standardowo instalujemy system operacyjny. W moim przypadku jest to Windows 8.1 Pro. Pamiętaj że nie każda wersja systemu z rodziny Microsoft Windows posiada Bitlockera.
  16. Sprawdzamy w msinfo32.exe czy tryb BIOS zainstalowanego systemu na pewno jest UEFI.
  17. Instalujemy Samsung Magician 4.6 na dysku. W zakładce Encrypted Drive powinnliśmy zobaczyć napis Enlabled. Jeśli tak jest, dysk nasz wspiera już szyfrowanie sprzętowe.

    Samsung Evo data security enabled - szyfrowanie ssd

Uwaga przed sprzętowym szyfrowaniem BitLocker

W wielu miejscach w sieci przewija się temat szyfrowania sprzętowego i sterownika Intel® Rapid Storage Technology (Intel® RST) RAID Driver. Jeśli zamierzasz zainstalować ten sterownik i jest on w wersji mniejszej niż 13.2.4.1000 to nie instaluj go. Sterownik ten powoduje u wielu osób problemy z szyfrowaniem za pomocą BitLocker (u Nas też wystąpił).


Drugim problemem występujących u niewielkiej części użytkowników jest ustawienie szybkiego startu biosu (fast boot). Jeśli BitLocker nie chce się załadować po zaszyfrowaniu upewnij się, że ta opcja jest wyłączona. U Nas ten problem nie występował.

Warto przed szyfrowaniem zrobić sobie benchmark dysku za pomocą Samsung Magician lub dowolnego innego narzędzia typu CrystalDiskMark w celu porównania wydajności dysku przed i po szyfrowaniu. U Nas wartości znacząco nie odbiegają od siebie co świadczy, że szyfrowanie sprzętowe dysku Samsung EVO jest naprawdę skuteczne. Nie wpływa znacząco na wydajność dysku (wsparcie sprzętowe AES256) więc polecamy.

Szyfrowanie BitLocker bez modułu TPM

  1. Aby włączyć Bitlockera bez modułu TPM, którego zapewne nie posiadasz należy uruchomić narzędzie Microsoft Management Console (przycisk <WINDOWS>+R i wpisujemy MMC.exe).
  2. Plik -> Dodaj usuń przystawkę -> Edytor obiektów zasad grup, klikamy Dodaj i Ok
  3. Zasady komputer lokalny -> Konfiguracja komputera -> Szablony administracyjne -> Składniki systemu Windows -> Szyfrowanie dysków metodą Bitlocker -> Dyski z systemem operacyjnym -> Wymagaj dodatkowego uwierzytelnienia przy uruchamianiu -> wciskamy Włączone, upewniamy się czy zaznaczone jest Zezwalaj na używanie funkcji Bitlocker bez zgodnego modułu TPM (wymaga hasła lub klucza uruchomienia na dysku flash USB).
  4. Teraz już możemy użyć Bitlockera na hasło bez modułu TPM (nie było takiej opcji w poprzednij wersjach systemu Windows).
  5. Przechodzimy do Panelu sterowania -> System i zabezpieczenia -> Szyfrowanie dysków funkcją Bitlocker -> i dla danego dysku wciskamy Włącz funkcję Bitlocker. Postępujemy zgodnie z instrukcją, podajemy hasło które służy do odblokowania dysku podczas startu systemu. Warto również eksportować klucz zapasowy odblokowujący do pliku na zewnętrzny dysk usb i wydrukować sobie również ten klucz (schowaj go dobrze :-)).
    Bitlocker samsung evo 840/850 - zapisywanie klucza odzyskiwania
  6. Jeżeli widzisz informacje z zapytaniem czy szyfrować tylko pliki czy cały dysk to coś jest nie tak…. Okaże się to dopiero w konsolowym narzędziu manage-bde.exe.
  7. Po chwili Bitlocker poprosi o ponowne uruchomienie komputera robimy to.
    BitLocker zaszyfrowany nośnik samsung evo ssd
  8. Po ponownym uruchomieniu komputera podajemy hasło… i mamy już zaszyfrowany nasz dysk SSD.
  9. Aby sprawdzić czy używane jest szyfrowanie sprzętowe AES dysku Samsung Evo 850/840 należy uruchomić Wiersz poleceń z uprawnieniami administratora i wpisać w nim:
    manage-bde.exe -status

    Hardware Encryption Samsung Evo 840/850/pro szyfrowanie sprzętowe Bitlocker włączone

  10. Gotowe, mamy zaszyfrowany dysk SSD Samsung Evo 850 BitLockerem z użyciem szyfrowania sprzętowego AES256.

Podsumowanie

Teraz już wiesz jak użyć szyfrowania sprzętowego w Samsung EVO 840/850/PRO i zintegrować go z programem BitLocker bez modułu TPM. Jeśli czytasz ten wpis być może zainteresuje Cię inny o programie TrueCrypt:

Możesz również znaleźć Nas na Twitterze i Facebooku. Polub, aby być na bieżąco :-). To już koniec! Pozdrawiamy!

12 thoughts to “Szyfrowanie dysku Samsung EVO 840/850/PRO”

  1. Witam, posiadam numer telefonu pewnej osoby, chciałbym ją potrollować tylko nie wiem jak, może pan coś doradzi? 😀
    Mam też sam email drugiej, oraz aska z tym też dałoby radę coś zrobić? 😀
    Pozdrawiam 🙂

    1. Chyba strony pomyliłeś. Doradzę Ci. Znajdź przyjaciela do pomocy. Zaproś tą „PEWNĄ OSOBĘ”. Wyjmijcie wcześniej z kolegą wszystko z lodówki wraz z półkami i schowaj się tam. Powiedz przyjacielowi by przekazał tej osobie żeby skoczyła do lodówki po piwo… Gdy drzwi się otworzą wtedy Ty wyskoczysz i ją potrollujesz krzycząc. Potem możesz mu dać piwo.

  2. Robię wszystko zgodnie z instrukcją i nie mogę przebrnąć przez punkt 6. Przy próbie włączenia szyfrowania pojawia się komunikat czy szyfrować cały dysk czy tylko zajęte miejsce. Nie wiem jak skłonić bitlockera do wykorzystania sprzętowego szyfrowania dysku. CSM w biosie wyłączyłem, Windows 10 zainstalowany w trybie UEFI. Dysk to Samsung EVO 850. Samsung Magician w Encrypted Drive pokazuje endabled.

    1. 6 punkt… Rozumiem że nagrałeś na dysku/usb secure erase i wymazałeś nim dysk? Nawet jak pisze Enablet ta czynność i kolejne jest konieczna. Ona inicjuje dysk nowym kluczem, którym będzie szyfrowany system operacyjny, pliki i foldery. Poprawność sprzętowego szyfrowania sprawdzisz poleceniem manage-bde.exe -status. Metoda działa u mnie do tej pory.

    2. „Rozumiem że nagrałeś na dysku/usb secure erase i wymazałeś nim dysk? ”
      Tak. To spowodowało przełączenie statusu z ready to enabled na enabled. Teraz jak już jest „enabled” nie da się zrobić jeszcze raz kasowania dysku. Samsung magician nie pozwala nawet nagrać botoowalnego pendrive.
      W każdym razie bitlocker powinien już widzieć szyfrowanie dysku, a cały czas mam ten komunikat o szyfrowaniu całości lub części danych. Mimo to spróbowałem dokończyć proces, ale po sprawdzeniu poleceniem manage-bde.exe -status pokazuje, że szyfrowanie jest softwarowe.

      1. Zresetowanie dysku jest możliwe, ale nie jest konieczne. Miałem podobny problem z którym walczyłem. Pogooglowałem i problemem u mnie był właśnie wymieniony sterownik Intel Rapid Start Technology. Instalowałem przez to parę razy system operacyjny (raz Windows Update sam mi go zaktualizował do nowszej wersji sterownika i się „popsuło”). Ogólnie musiałem użyć sterownika ze strony mojego laptopa a nie pobierać jego nowszej wersji. Nie pamiętam już czy BitLocker pyta o cały dysk czy o jego część. Być może zaktualizowali coś i teraz tak jest. Nie wiem czy Ci się będzie chciało ale wydaje mi się, że pomogło by:

        • reinstalacja systemu (po prostu pełen format)
        • od razu instalacja Samsung Magician
        • podążanie dalej za naszym tutorialem i zaszyfrowanie BitLockerem
        • sprawdzenie stanu szyfrowania

        Sprawdziłem i u mnie nadal działa i jest hardware encryption w tym poleceniu bitlockera w konsoli (Windows 8.1 Pro z programu DreamSpark).

        1. A u mnie to nawet tego pendrive nie bootuje bo BIOS DELLa ma tylko tryb UEFI a pendrive botuje tylko w legacy. Czego nie da się włączyć. A jak kasuję dysk i instaluję Windowsa to szyfruje ale nadal w AES 128 czy programowo.

    1. A gdzie widzisz tu dwie metody? 🙂 Pierwsze to tylko przygotowanie dysku Samsung EVO do szyfrowania sprzętowego, więc nie ma tu żadnego hasła… a dalsza część wpisu to już zwykłe szyfrowanie BitLockerem i tutaj podajesz klucz szyfrujący (hasło). Jeśli dysk nie wspiera szyfrowania sprzętowego i nie jest Samsungiem EVO to się pomija całkowicie 1 krok.

  3. Testuje podobne rozwiązanie na Windows 10.
    W pierwszym wariancie chciałem użyć modułu TPM (wersja 1.2). Jednak jak się okazało, nie wystarczy tylko TPM ale też musi być nowsza wersja UEFI wspierająca jakieś nowsze rozwiązania. Windows inicjalizuje TPM, zapisuje klucz. Problem jest dopiero w samum Bitlockerze.

    W drugim wariancie wyłączyłem moduł TPM (Windows zawsze zgłasza błąd o braku komunikacji BIOS-TPM). DLa pewności przeinstalowałem Windowsa… przed tym wyzerowałem (najpierw reset z PSID Revert, później SSD Secure Erase). W Samung Magician Encrypted Drive na Endable. Jednak Bitlocker chce szyfrować dysk… Nie da się zrobić tego sprzętowo…

    Jakieś pomysły? Może 10 też wymaga czegoś więcej? Komputer Fujitsu Lifebook E751 (bios ostatni). Dysk 850pro.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *