Hello
 
Je viens de voir que Kingston avait désormais dans sa gamme de SSD des SED (self encrypting drive).
 
Par contre je n'arrive pas à comprendre son fonctionnement.
 
Pour moi un SED se chargeait du chiffrement de manière transparente pour l'utilisateur. Tout est chiffré de base. Par contre je pensais qu'il fallait a minima taper un mot de passe qq part (par ex. : au boot de la machine)
 
Or dans un commentaire Amazon sur ce disque SED Kingston, la personne n'a rien du faire/configurer pour utiliser son disque.
 
Du coup je me demande, un SED c'est :
 
- un disque chiffré avec mot de passe à donner au moment du boot pour déchiffrer et utiliser l'ordi
- un disque avec une puce dédiée au chiffrement (pour soulager le cpu de l'ordi) à utiliser avec tout soft compatible. Donc pas chiffré par défaut.
- l'un ou l'autre, ou les deux, ça dépend.
 
Rien qui permette de comprendre sur le site de Kingston
 
Merci !
 

Visiblement ça fonctionne avec une couche logicielle ou matérielle (option bios) sur le PC pour gérer le mot de passe de chiffrement.

Par contre, les disques neufs (vides donc) on un mot de passe "vide" mais qui permet un chiffrement "basique" (facilement contournable).
Je pense que c'est ça que les gens utilisent quand ils disent qu'il n'y a rien à faire pour l'utiliser.
https://wiki.archlinux.org/index.ph [...] ing_Drives

Le site de Kingston ne fourni pas de doc pour ce SSD ?

 
Merci pour le lien !
 
Si je comprends bien il y a un chiffrement de base avec une clé fournie (le DEK - disk encryption key) : les données sont donc toujours chiffrées même si on ne fait rien.
Par contre on peut aller plus loin en ajoutant une passphrase, mais qui ne servirait qu'à chiffrer/déchiffrer le DEK.
 
Mais les données restent chiffrées avec le DEK. Autrement dit, si le DEK est commun à tous les disques, c'est pourri (du point de vue accès aux données si on extrait le disque).
(cas pour des disques WD à l'époque / je ne sais pas si le DEK était commun mais en tout cas un élément-clé l'était pour tous les disques, réduisant très fort l'intérêt du chiffrement dans l'absolu).
 
Donc un chiffrement de l'OS par Veracrypt serait plus sûr (puisqu'on choisit soi-même la clé). On aurait donc à la fois le contrôle d'accès à la machine et une protection "perso" des données en cas d'extraction du disque. Mais assurément plus lent aussi ? D'où l'intérêt d'avoir une puce dédiée au chiffrement/déchiffrement. Mon NAS a ça et de fait, chiffré ou pas, on ne voit pas la différence de débit (en Gb en tout cas).
 
Enfin, après tout dépend de ce que l'on veut. Moi je souhaite surtout un système permettant de ne pas pouvoir utiliser la machine sans le bon mot de passe tout en ayant une machine rapide.
 
Pour le site de Kingston, écoute, je n'ai rien vu de très instructif.
 
En gros, au chapitre "cryptage", on dit :
 
Protection cryptée
 — Protégez vos données sensibles avec le support de  
cryptage matériel AES 256 bits et TCG Opal 2.0.
 
Cryptage: Support de Cryptage (AES 256 bits)
 
Le SSD UV500 fournit une protection intégrale  
des données, supporte le cryptage matériel AES 256 bits, et les solutions de gestion  
de la sécurité TCG Opal 2.0
 
(extraits de la page du produit et du PDF des specs)
 
Moi ça ne me parle pas mais je ne suis pas spécialiste  

TCG Opal 2.0 ça veut dire que Bitlocker est capable d'utiliser la puce de chiffrement hardware plutôt que devoir chiffrer lui même.
Après je sais pas si d'autres éditeurs s'en servent.
 
Bitlocker sous windows 8+ pas 7, celui ci ne gère pas le chiffrement matériel

 
Mince, je viens de me rendre compte que je confondais Opal et Optane  
 
Si Bitlocker utilise OPAL, Veracrypt ne semble pas le faire, ou du moins pas tel quel -> https://sourceforge.net/p/veracrypt [...] /6d364612/
 
Mais Veracrypt peut utiliser les capacités d'un CPU en AES.
 
On aurait donc le choix entre :
-> chiffrement hard par le SSD, via OPAL ;
-> chiffrement soft par le PC mais en utilisant la puce chiffrement du CPU.
 
J'ai du mal à saisir la différence entre les deux, à part le lieu de chiffrement. Pour moi tant qu'on utilise un puce dédiée, on est dans du hardware.
(sauf qu'un disque SED peut faire le chiffrement sans aucun soft)
 
Une discussion intéressante sur le sujet avec comparaison AES on/off : https://community.spiceworks.com/to [...] pt-sedutil
Un autre fil disant en gros que disque rapide et récent + AES CPU = pas la peine de s'embêter avec un SED : https://www.dell.com/community/Lati [...] -p/6072894
 
Bref, je patauge encore mais je retiens qu'on peut, avec des perfs décentes :
- utiliser un disque OPAL avec Bitlocker ;
- utiliser ce qu'on veut avec Veracrypt et un cpu avec puce AES.
 
J'ai bon ?  

c'est pas une puce aes sur le processeur, c'est juste que le processeur a des instructions pour faire de l'aes en hardware.
Après c'est comme tout, ton cpu s'il est busy à faire autre chose ça le ralentira sinon en effet ça coute pas gd chose

 
ok, merci pour la précision    
 
J'imagine que c'est la même idée pour mes deux NAS : tous les deux ont un moteur de chiffrement matériel mais l'un est aussi rapide en chiffré qu'en non chiffré (sur un réseau Gb en tout cas) tandis que l'autre est bcp plus impacté par le chiffrement. 2-coeur à 800MHz vs 4-coeurs à 1,4 Ghz. J'imagine que ça suffit à expliquer la différence de perfs.