如何在没有BitLocker的Windows上启用OPAL加密？

Question

现在许多SSD实现了与OPAL兼容的AES硬件加密，这似乎是在现代PC上获得全磁盘加密而不购买(非常昂贵的) Windows 10 Pro版本的唯一选择。

我在UEFI中启用了HDD密码，但据我所读，BIOS或基于UEFI的HDD密码可能是不可靠的(在被黑客攻击之前，您无法知道您的模型是否正确地实现了它)。

我搜索了如何启用OPAL加密，但这些信息似乎不存在。每个谈论OPAL的网页都说它是被软件激活的，但是似乎没有人知道是哪个软件。

我试过供应商的SSD管理软件(三星魔术师)，但它只说我需要“专门的软件”。微软的BitLocker似乎可以使用它，但正如我所说的，这只是在Windows中，而且价格非常高。

是否有任何Windows软件能够激活OPAL硬件加密？

Answer 1

您应该能够找到一些有用的这里 (二进制文件和github上的r0m30还包括的源代码)。

直到最近，配置这些TCG Opal驱动器只有在Windows下才有可能，或者在Linux下使用一种仅供终端用户使用的商业解决方案。幸运的是，一位名为r0m30的程序员迎接了这一挑战，开发了一个名为msed的开源实用程序和附带的预引导授权(PBA)映像，在这些驱动器上的超级快速加密功能可以完全配置，也可以在纯Linux系统中使用。

“纯Linux”系统不应该是一个问题-- PBA与操作系统无关，只要打开锁，它就应该简单地启动活动分区中的任何内容。操作系统和驱动器将“看到”未加密的驱动器，甚至不知道硬件实际上正在执行动态解密，除非它们发出适当的API状态调用。

请记住，您很可能需要完全重新格式化SSD，因为此解决方案用于启动加密设备，并要求它从一个小的非加密阴影“分区”启动，以获取密码。

所以你可能需要：

• 备份数据
• 在UEFI中禁用OPAL
• 格式化磁盘并使用OPAL加密安装影子MBR
• 从阴影MBR中启用OPAL并插入新密码
• 恢复您的数据(磁盘可能稍微小一些)。

我不确定“稍微小一点”的事情，但似乎最安全的使用一些备份策略，不依赖于磁盘的精确几何(即，没有dd成像)，以防万一。