Как включить аппаратное шифрование на Samsung 850 Pro

As the "someone" working on "msed", it now has the ability enable the OPAL locking, write a PBA to an OPAL 2.0 drive and chain-load the real OS after unlocking the drive on bios based motherboards. No special motherboard support is needed. Yes, it is still early in it's development cycle and it currently does not support sleep to ram as that requires OS hooks.

Depends on what you mean by "get this to work". That drive support OPAL 2.0, which allows various software managed encryption schemes to use hardware accelerated encryption. It also allows for pre-boot authentication (PBA) for encryption, such as BIOS/EFI schemes. If you want to use PBA (ie a password/pin at the BIOS/EFI) then you'll have to switch to a motherboard that supports it (I couldn't say which as I don't use PBA, I use BitLocker, which I highly recommend in Windows environments).

TL;DR If you're running Windows, use BitLocker, it will automatically use the hardware acceleration.

Edit:
As of April 2014, OPAL is not supported by Linux. There was someone working on "msed", but it wasn't finished or production worthy. I don't know the current status or future of OPAL support in Linux.

Edit 2:
There are also various UEFI products that can manage OPAL compatible drives allowing for a variety of PBAs if your BIOS/EFI doesn't support it directly. The only one I've vaguely familiar with allows companies to setup an authentication servers for PBA over the Internet. It might work with local credentials as well, I'm not sure. It's also very expensive. Food for thought if nothing else.

TexasDex is correct. Your motherboard BIOS must support an ATA Password option (this is distinct and in addition to the BIOS password). Now the interesting bit . . . no one mentions this feature. Not in mobo reviews, comparisons, and certainly not in the advertisements and listings of the mobo manufacturers. Why not? Millions upon millions of Samsung EVO and Intel SSDs are ready to have ultrafast and ultrasecure hardware encryption enabled, all they need is a BIOS with ATA Password support.

The only answer I could find is that Mobo makers are afraid a few noobs will forget their passwords, and since this encryption is so reliable, no one AT ALL will be able to help.

I had an ASRock Extreme6 mobo, and thinking it was the latest and greatest, of course it would have this feature. Not. However, I wrote to ASRock in Taiwan and in a week they emailed me the 1.70B version of their BIOS with an ATA Password option. However, it's still not available on their website, you have to ASK for it (?!). This may be the case with your mobo makers as well.

Можно использовать команду hdparm в Linux, чтобы включить ATA Security Extensions, который установит пароль AT на диск, тем самым зашифровав его.

К сожалению, если ваш BIOS не поддерживает пароли жесткого диска, то после этого вы не сможете загрузиться, так как вы не можете использовать команду разблокировки hdparm до тех пор, пока не закончите загрузку, и вы не сможете разблокировать и загрузить диск до тех пор, пока вы не разблокируете его. Вид курицы / яйца. Вот почему они иногда помещают поддержку пароля диска в BIOS, чтобы он мог работать без ОС.

Если у вас есть раздел / boot или / на отдельном устройстве, вы можете установить скрипт, который использует команду hdparm где-то в процессе инициализации. Это нелегко, и в некотором роде поражает цель иметь SSD для быстрой загрузки и тому подобное.

Моя единственная другая идея - иметь флэш-накопитель с супер-минимальным дистрибутивом Linux, который ничего не делает, кроме запроса пароля, запускает команду hdparm ata unlock и перезагружается, позволяя ОС загружаться с разблокированного диска (я полагаю, мягкие перезагрузки обычно не блокируют диски). Это не идеально, но это лучшее доступное решение, если ваша материнская плата не поддерживает пароли ATA.

• Тип хранения должен быть ACHI.
• Компьютер всегда должен загружаться из UEFI.
• На компьютере должен быть отключен модуль поддержки совместимости (CSM) в UEFI.

• Компьютер должен быть на основе UEFI 2.3.1 и иметь EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Этот протокол используется для того, чтобы программы, работающие в среде загрузочных служб EFI, могли отправлять команды протокола безопасности на диск).

• Чип TPM не является обязательным.

• Безопасная загрузка не обязательна.
• GPT и MBR оба поддерживаются.
• Если есть программное обеспечение / драйверы RST, это должна быть как минимум версия 13.2.4.1000.

Это можно сделать с двумя дисками или одним.

Из установки Windows, которая соответствует вышеуказанным критериям:

• Установите состояние готовности к включению через Samsung Magician.
• Сделай безопасное стирание USB (для DOS).
• Перезагрузите компьютер, измените режим загрузки на загрузку BIOS (для безопасного стирания USB)
• Загрузиться в безопасное стирание, стереть
• Перезагрузите компьютер, снова измените настройки загрузки BIOS на EFI. (Не позволяйте ПК начать загрузку с накопителя, иначе вы можете начать процесс с самого начала.)
• Загрузитесь обратно на диск Windows и проверьте с помощью мастера Samsung или установите Windows на защищенный удаленный диск.