bios 硬盘加密是不是很危险？

比如联想之类的笔记本电脑都可以在 bios 里面对硬盘进行加密，开机时必须输入密码才能使用硬盘。

只是如果主板坏了，是不是硬盘的数据也都无法找回了？听说不止跟主板有关系，还跟整个电脑的硬件有关系（不知真假），比如电脑本来有两个硬盘，取下一个硬盘（或者这个硬盘坏了），是否另一个硬盘也无法解密了？

相对来说使用 windows 自带的 BitLocker 是不是更安全？

newmlp

2021-06-30 15:07:34 +08:00

@zictos 硬盘加密不等于数据加密，bios 不可能做数据加密的

jim9606

2021-06-30 15:44:38 +08:00

你说的 ATA 密码（看#7，不过 @zictos 说错了，台式机 BIOS 普遍也可以设置 ATA 密码）是一个访问控制手段，加密是可选实现的。在通过 ATA 密码解锁前，硬盘主控拒绝响应任何读写指令。这个密码是跟硬盘不跟机器的。

我是不相信非 SED 硬盘真的会加密上面的数据。

Bitlocker 默认只使用软件加密。如果你把 bitlocker 加密（软件加密）过的硬盘搬到不支持 bitlocker 的系统上就会看到一个填满的 FAT32 分区，没有恢复代码（ Win10 家庭版会自动上传到 Onedrive，也可以在 Bitlocker 控制面板获取）解密不了。

可以设置使用 TPM 或者智能卡解锁 bitlocker，TPM 就是跟机器的。不过只要你保管好上述恢复代码，照样能解锁。TPM 的意义就是不用每次开机输密码解锁，同时防止拆硬盘偷数据。

Bitlocker 更安全，因为它是真加密，ATA 密码可能可以通过固件漏洞或者硬件入侵绕过。

个人用户不推荐用 ATA 密码，只建议用无 PIN 有 TPM 的 Bitlocker 。不嫌输两次密码麻烦的用有 PIN 的 Bitlocker 。

Tumblr

2021-06-30 15:48:21 +08:00

@worldGM #20 终于有人说到点上了。。。
@zictos #21 是的，你的理解没错，硬盘密码是写到硬盘的固件里，不会因为换主板而影响。另外，我们虽然用“给硬盘加密”这个说法，实际上硬盘密码只是一道锁而已，只是个 password，并不会对数据进行 encrypt （但 bitlocker 是 full volume encrypt，所以多少会对性能有影响）。

no1xsyzy

2021-06-30 15:59:19 +08:00

password vs. encrypt key
是加口令加锁不是加密
BIOS 太底层了不会搞这么复杂的事儿的，何况似乎也没加密算法的选项

zictos

2021-06-30 16:04:41 +08:00

@igseo #39 输错还会锁死吗？找售后也许有用。nuc 加密没听过

zictos

2021-06-30 16:14:37 +08:00

@jim9606 #42
那看来 ATA 还是能破解的，我还以为很安全。

zictos

2021-06-30 16:18:34 +08:00

@Tumblr #43
42 楼说 ATA 加密是让硬盘拒绝响应任何读写指令，所以应该还是要有漏洞才能在没密码的情况下读取数据吧？
另外 bitlocker 加密后使用电脑的过程中都会一直有性能影响吗？

seashell

2021-06-30 17:20:21 +08:00

@zictos #45 锁死后如果有错误码，厂商有解锁工具。

vain

2021-06-30 17:45:03 +08:00

@testcaoy7
https://www.amazon.cn/dp/B00I12377C/
FIPS 140-2 认证
中亚海外购美国直邮
类似的我已经买过好几块了。

v2tudnew

2021-06-30 18:08:53 +08:00

@zictos 大量读写，1.8GB/s 在我笔记本 I7 上 System 这程序大约占用 10%CPU 使用率（另一块未加密的占用 0.X%），我更担心的是 TPM 有后门（搜索了几个都说有），就怕修电脑的就能破了。

testcaoy7

2021-06-30 19:15:45 +08:00

@vain 你这个是移动硬盘，我说的根本不是这个，是 SED （ Self-Encryption Drive ）内置硬盘，FIPS 加密标准，那个是卖给云计算厂商的

xiaooloong

2021-06-30 21:59:06 +08:00

bios 里的这个密码在戴尔机器上用过，其他幸好不清楚。戴尔是设置了硬盘密码之后，硬盘拿到其他的电脑上也会提示需要解锁，否则直接系统里认不出硬盘设备的。这个应该是硬盘控制器锁上了，应该是通用的协议或者标准。另外设置硬盘密码的电脑 bios 里应该也会保存一份硬盘密码，这样的话开机输入 bios 管理员密码也是可以解锁硬盘的。

ladypxy

2021-06-30 22:32:36 +08:00

@eight56149 有 TPM 芯片的笔记本，扣了电池并不会清空这个密码，比如 TP

0017

2021-06-30 23:50:45 +08:00

不会,硬盘密码独立只跟硬盘自身绑定原理很简单 bitlocker 反而出问题概率大得多

seashell

2021-07-01 00:43:39 +08:00

@ladypxy #53 近些年（很多年）没有 TPM 的笔记本也不会因为抠 bios 电池丢失 bios 锁密码或硬盘锁密码，但厂商有后门可以破解。有些笔记本没有 bios 电池，依赖主电池供电，一旦拆机移除主电池 bios 即恢复默认。

killeder

2021-07-01 09:27:56 +08:00

找两台电脑试一下

snoBall

2021-07-01 11:08:09 +08:00

@jim9606 如果只是主控不相应的话，直接把盘片拆下来或者换个主控是不是就能读取了？

snoBall

2021-07-01 11:08:41 +08:00

@jim9606 相应改为响应字打错了

jim9606

2021-07-01 15:01:08 +08:00

@snoBall @zictos 如果掌握硬盘实现细节，替换硬盘 PCB 或者修改 PCB 上面的 NOR Flash 从而把 ATA 密码去掉是有可能的。只要加密的实现没有问题，哪怕你掌握 Bitlocker 实现细节和硬盘固件设计细节，破解被加密的数据依然是成本高昂的事情，至少目前大家认为 Bitlocker 的实现是靠得住的，没有明显的后门。（来自 TrueCrypt 团队的推荐）

访问控制（ ACL ）与加密（ Encryption ）并没有替代关系，前者不能替代后者，反之也不行。例如加密是不防数据丢失的，不掌握密钥的人也可以删掉加密分区，但 ACL 可以一定程度防止这个。

目前 Bitlocker 推荐使用的软件加密算法是 XTS-AES-128 或 XTS-AES-256，AES 在 ARMv8 和 x86 CPU 上都有专用指令加速，读取几乎没影响，随机写影响会大些。相关评测几年前就有了，不排除 Win11 还有改善。（ https://www.isunshare.com/computer/impact-of-bitlocker-encryption-on-performance.html ）。
如果你信任加密硬盘的实现没问题，部分硬盘支持 Bitlocker 硬件加密，可以通过组策略和厂商的 SSD 工具打开（推荐用三星），这种性能影响就很小。

worldGM

2021-07-01 17:22:02 +08:00

@zictos 是的，放到其他的也需要输入密码~

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/786589

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.