Kingston KC600 1 TB a HW šifrování téměř v praxi

Kdo by si ovšem myslel, že zprovoznění hardwarového šifrování na KC600 či podobných modelech je otázka minuty stejně jako v případě softwarového BitLockeru, toho realita velice rychle vyvede z omylu. K dispozici sice v tomto případě máme 11stránkový dokument (PDF) popisující aktivaci hardwarového šifrování, ovšem ten nám bude užitečný pouze v případě, že máme k dispozici tu "správnou" platformu. 

 

A bohužel jsme se nedozvěděli, jaká by to měla být. Jde především o základní desku počítače a její BIOS, přičemž dokument zmiňuje, že ten by měl být založen na UEFI 2.3.1, mít definovaný EFI_STORAGE_SECURITY_COMMAND_PROTOCOL a navíc nabízet volbu Compatibility Support Module (CSM). Z rozhovoru se zástupcem firmy Kingston ovšem vyplynulo, že to samo o sobě není zárukou funkčnosti, ale aspoň pak existuje dobrá šance na to, že hardwarové šifrování rozchodíme, a to pomocí Microsoft eDrive a technologií TCG Opal a IEEE 1667, k nimž se ještě vrátíme. 

 

Technologie použitá společností Kingston totiž dosud pozbývá patřičné podpory ze strany výrobců desek a pokud se nechceme na každý model zvlášť přeptávat, není způsob, jak se o možnosti zprovoznění hardwarového šifrování přesvědčit dříve, než to zkusíme. V Kingstonu sice provádějí testy, ale pochopitelně nemají přehled o všem, a tak jsme se dozvěděli pouze to, že na počítačích Lenovo T470s a HP EliteBook G4 bude HW šifrování fungovat. Obecně máme využívat spíše podniková PC či platformy a ne "herní hardware". Nicméně jako herní se dnes už označuje drtivá většina značkových základních desek a to mnohdy i takové, na nichž by herní PC stavěl leda blázen.

 

Ale jedeme dále. Další na řadě je případné odinstalování "nadbytečných" diskových ovladačů a nástrojů jako Rapid Storage Tools, které by mohly naše snažení zhatit. Cílem je mít v tomto ohledu pokud možno čistý systém a ten si pak ještě nakonfigurujeme tak, aby šlo hardwarové šifrování vůbec využít. 

 

 

Jak dobře víme, Microsoft se rozhodl v moderních Windows 10 aktivovat primárně softwarové šifrování, takže to hardwarové je třeba povolit. Spustíme si kvůli tomu gpedit.msc, čili Editor místních zásad skupiny a cestou Konfigurace počítače - Šablony pro správu - Součásti systému Windows - Šifrování jednotky nástrojem BitLocker - Pevné datové jednotky dojdeme až k nastavení hardwarového šifrování pro disky a to explicitně povolíme. 

 

Pak už následuje software Kingston SSD Manager, který se mi povedlo dotáhnout do následujícího stavu. Kingston uvádí, že je třeba v případě využití SSD coby datového disku ve fungujícím systému pracovat s neinicializovaným zařízením. 

 

 

Nejdříve je třeba využít funkci Secure Erase pro bezpečné vymazání všech případných zbytků dat. K tomu software potřebuje část sériového čísla ze štítku SSD, takže nastává hledání, která z oněch změtí pidiznaků představuje ono sériové číslo. A nenechte se mýlit, i když aplikace vyloženě žádá čísla (digits), jde i o písmena a nejlépe pak B maskující se za osmičky. 

 

Pak musíme aktivovat IEEE 1667 a poté se při restartu počítače modlit, aby se opravdu následně ukázalo jako zapnuté. Nakonec tu máme TCG Opal, kde se můžeme dočkat hlášky, že funkce zabezpečení jsou zamrzlé a je třeba je opět rozběhnout tak, že vypneme a zapneme samotné SSD, avšak bez restartu počítače. To mohlo být spolehlivě zařízeno pouze jedním způsobem, takže poté, co jsem se v BIOSu přesvědčil o aktivovaném hot-swapu na kontroleru Kingstonu, jsem jej prostě na chvíli odpojil od napájení. 

 

Pak už by mělo následovat rozběhnutí hardwarového šifrování s využitím eDrive pod BitLockerem ve Windows, nicméně hláška "ATA Security Feature Set is not supported" napovídá, že všechno asi nebude v pořádku. 

 

V pořádku to také nebylo, neboť výsledkem mnoha pokusů o hardwarové zašifrování testovaného SSD bylo vždy to, že systém použil softwarový způsob. Výsledek této anabáze je tedy nulový a budiž to poučením pro všechny, kteří by očekávali, že hardwarové šifrování moderních SSD prostě stačí jen někde aktivovat a dál se není třeba o nic starat. Tak tomu v žádném případě není. Cokoliv se může zvrtnout, aniž bychom dostali jasnou představu o tom, co je vůbec špatně.

 

Může to být nastavení disku (proběhlá inicializace, zabezpečení), hádající se ovladače, nevhodná platforma a její BIOS plus jeho konfigurace či samotné nastavení operačního systému. Pak nezbývá než se obrnit a s nejistou vidinou úspěchu zkoušet vše možné, anebo prostě vzít zavděk softwarovým šifrováním.