¿Es posible un cifrado de disco completo basado en hardware en una Mac?

¿Es posible usar el cifrado de disco completo basado en hardware (quizás en un SSD Samsung 840 Pro) en una Mac, específicamente una Macbook Pro 8,2? ¿Si es así, cómo?

Tengo entendido que esto se manejará en el BIOS o posiblemente en EFI, sin embargo, creo que el EFI de Apple generalmente está bastante bloqueado.

No estoy buscando ninguna solución basada en software como FileVault 2 o TrueCrypt. Arranco dualmente y las cosas serán más simples si se maneja en hardware.

Si bien entiendo que, si es posible, es preferible un cifrado basado en hardware, quiero cuestionar su motivación: el cifrado de disco de los diversos proveedores de hardware parece estar mal documentado. Se proporciona poca información, pero es necesaria para garantizar la confidencialidad de la implementación. FileVault 2, por otro lado, está actualmente en proceso de certificación FIPS 140-2 [1 ], un estándar NIST para módulos criptográficos.
En mi experiencia personal, el cifrado de disco completo basado en software en una configuración de arranque dual con Windows 7 no es un problema si solo cifro el volumen de inicio de OS X con FileVault 2 (esta es mi configuración actual). Si también desea cifrar su volumen de Windows o Linux, las cosas se complican, así que lo he escuchado pero no lo he probado por mí mismo.
Bueno, en realidad estoy usando Ubuntu principalmente con OSX como complemento. También tengo una partición compartida, aunque tal vez eso podría manejarse con TrueCrypt. Simplemente parece menos problemático y requerirá menos piezas de software si solo puedo tener una sola contraseña en el arranque.
¿Ha utilizado Filevault 2 junto con el cifrado de disco completo de Ubuntu? ¿Eso funcionó bien? Solo tengo curiosidad porque quiero deshacerme de mi partición de Windows para Ubuntu 12.04.
No, lo siento, no lo he probado. No creo que sea un problema siempre y cuando no quieras leer una partición mientras arrancas en la otra. Espero que tal vez puedas evitar eso usando TrueCrypt para ambos. He usado TrueCrypt un poco, aunque no soy un experto.
@Marsh básicamente OS X FileVault 2 no le pedirá una contraseña en el arranque, aparte de su contraseña de inicio de sesión que de todos modos tendría que proporcionar (a menos que use el inicio de sesión automático, pero entonces ¿por qué encriptar? ;-)) En cuanto a Ubuntu, es requiere una contraseña de inicio si configura el cifrado de disco completo. Entonces, con el cifrado de hardware, tendría que proporcionar una contraseña de inicio si usa cualquiera de los sistemas operativos. Si usa el cifrado a nivel del sistema operativo, necesitará una sola contraseña al iniciar Ubuntu, "ninguna" al iniciar OS X. No puede iniciar Ubuntu y OS X juntos.
Eso apesta, ¿qué tal el nuevo Samsung Evo? ¿Se puede activar el cifrado de hardware para una Mac en el Evo?

Respuestas (4)

Me he preguntado exactamente lo mismo ya que también compré un Samsung 840 Pro para mi MacBook Pro. Después de algunas investigaciones , encontré esta publicación que indica que el cifrado de hardware del 840 Pro requiere compatibilidad con TPM, y eso solo se encuentra en BIOS de PC, no en (U) EFI de Mac. Para estar seguro, le pregunté al soporte de Samsung cuáles de los estándares "ATA-Security", "Seagate DriveTrust" y "TCG OPAL" son compatibles con el 840 Pro, y su respuesta fue:

Estimado cliente,

Gracias por ponerse en contacto con el soporte de SSD de Samsung con respecto a su consulta. En respuesta a su consulta, la única de las 3 que admite la unidad es la función de seguridad ATA. En cuanto al cifrado, el SSD de la serie 840 Pro solo es compatible con el cifrado de nivel de hardware AES de 256 bits, pero requiere que el BIOS esté habilitado para TPM.

Por lo tanto, no hay forma de habilitar el cifrado de hardware del 840 Pro en una Mac.

Sin embargo, también está el Crucial M500 que es compatible con Opal de TCG . Junto con un software especial de administración de Opal como SecureDoc de WinMagic para Mac , parece que es posible lograr que el cifrado de hardware funcione en una Mac.

Por cierto, tenga en cuenta que, según el soporte de Sophos, SafeGuard solo es compatible con Opal en Windows, no en Mac OS. Además, las preguntas y respuestas generales de McAfee para los estados de Opal

P: ¿Las unidades Opal serán compatibles con Mac OS X?

R: No. Apple actualmente no envía sus dispositivos con unidades Opal, por lo que Opal no es compatible con Endpoint Encryption para Mac.

Pero, por supuesto, eso no dice nada sobre lo que sucede si usted mismo coloca una unidad Opal en una Mac.

No se requiere TPM. En mi instalación de Windows 8.1, pude activar el autocifrado de esta unidad sin usar TPM; solo necesita cambiar la configuración de BitLocker en gpedit.msc. Entonces, en teoría, esto también es posible en OS X, si el sistema operativo lo admite.
¿Le importaría compartir exactamente qué configuración estaba cambiando en gpedit.msc?
En ese artículo, parece que BitLocker estaría usando el cifrado de software en ese caso, es decir, el cifrado/descifrado lo realiza la CPU en lugar del propio disco duro. Especialmente porque recomiendan TrueCrypt como alternativa.
No dije que las otras partes son correctas. por cierto, la guía más completa está aquí: superuser.com/a/700251/161593

Ampliando la respuesta de sschuberth, a partir de diciembre de 2013, el Samsung 840 EVO (pero no PRO) también tiene firmware que admite directamente TCG OPAL. Es una buena apuesta que pronto llegará una actualización de firmware 840 Pro para hacer lo mismo.

Necesita algún software para administrar la unidad SED; de lo contrario, obtendrá poco o ningún beneficio de la seguridad integrada.

WinMagic SecureDoc administrará la unidad, pero no para todas las versiones de OS X disponibles (la evidencia anecdótica sugiere 10.8.1: correcto, 10.8.2: no correcto).

Creo que también necesitará ejecutar el software empresarial WinMagic. Si bien tienen una edición independiente de SecureDoc para admitir SED, parece que solo está disponible para Windows.

NOTA: SecureDoc no requiere un TPM para SED, ni tampoco el 840 EVO que se ejecuta en modo TCG Opal. SecureDoc puede admitir el uso de un TPM si tiene uno y habilitar la función (solo Windows).

Esta es una buena pregunta y, sí, encontrar una respuesta es casi imposible. Samsung envía al soporte de Apple. Esperaría escuchar de Apple que no es posible.

HW de cifrado de disco completo frente a FileVault: la diferencia en el rendimiento es notable. Si no es un usuario empresarial con estrictos requisitos de encriptación, entonces debemos buscar una solución de Samsung basada en HW. Pero cómo habilitarlo en Mac: es difícil descubrirlo.

Con CPU recientes, FileVault2 usa hardware AES y tiene un impacto insignificante en el rendimiento según algunos informes: osxdaily.com/2011/08/10/…
No somos realmente usuarios promedio. Prefiero usar HW FDE porque es la solución elegante y "correcta", particularmente cuando se realiza un arranque dual con una partición compartida.

Sí, la gama de productos Eclypt de Viasat funciona con Mac (EFI) y proporciona cifrado de hardware de disco completo, aprobado por FIPS.

Consulte: Disco duro interno con autocifrado Eclypt Core

Las hojas de datos de la gama de productos Eclypt aún no están actualizadas (pero Mac OS X 10.5+ es compatible, al igual que Apple UEFI). Puede ver el producto específico en http://www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4 . También puede consultar este blog http://robert-palmer.net/category/eclypt-protects/ como prueba. O póngase en contacto directamente con Viasat UK.

Hmm, su hoja de datos no menciona nada sobre EFI o Mac, solo Windows.
¿Es posible un cifrado de disco completo basado en hardware en una Mac?
RespuestasAquíPolítica de privacidad1y, 0v