5

Мой SSD HD поддерживает ATA Security. Поддерживает ли Macbook EFI и Linux? Я знаю, что hdparm делает. Кто будет делать разблокировку при каждой загрузке? Могу ли я установить пароль, не стирая диск?

Обновление: убрано "SED полное шифрование жесткого диска" из заголовка на основе комментария @ataboy. Однако некоторые могут по-прежнему неверно называть эту безопасность ATA "шифрованием".

2 ответа2

10

В настоящее время невозможно использовать ATA Security с Mac, EFI не реализует это и замораживает (блокирует) диск после инициализации EFI. Таким образом, никакие дальнейшие манипуляции с безопасностью ATA не могут быть выполнены с помощью hdparm или подобного. Даже если вы обойдете зависание ATA (что возможно) в Linux, а затем установите пароль - или установите пароль, когда жесткий диск находится на другом ПК, поддерживающем безопасность ATA - у вас нет средств для разблокировки устройства при запуске из efi для запуска Ваша любимая ОС с SSD на Mac (книга Pro).

Как уже упоминалось выше, есть расширения BIOS или EEPROM, которые можно применять к обычным ПК, чтобы разблокировать их при запуске для материнских плат, которые сами не поддерживают загрузку устройств, защищенных ATA. Однако, насколько мне известно, это не относится к Mac и EFI.

Все, что вы можете сделать, это отправить отчет об ошибке в Apple.

Я надеюсь, что это будет реализовано в будущем ...

3

Это мое понимание безопасности ATA и SED:

Безопасность ATA отличается от SED. SED (диск с самошифрованием) означает, что диск шифрует данные по командам записи с использованием шифрования. Диск SED всегда шифрует данные, независимо от настроек безопасности (и / или возможностей) ATA. Обратите внимание, что диск SED не может хранить данные в незашифрованном виде. Преимущество шифрования состоит в том, что вы не можете получить исходные данные, читая диски в лаборатории. ATA Security - это не функция шифрования, а только функция блокировки / разблокировки. Пользователь (BIOS) устанавливает пароль, который должен отправляться снова при каждом включении привода. Без пароля контроллер привода запрещает команды чтения / записи. Данные на диске не затрагиваются. Если диск является SED, они уже зашифрованы, если не SED они не являются. Безопасность ATA должна быть обойдена, читая табличку в лаборатории с другим контроллером.

Кажется, есть расширения для включения ATA Security в BIOS. Смотрите: http://www.fitzenreiter.de/ata/ata_eng.htm

Добавлено 31 января:

pvj: извините, я не могу добавить комментарий к моему предыдущему ответу, потому что я не зарегистрированный пользователь. Вот некоторая дополнительная информация:

Относительно того, как активировать функцию ATA Security (пароли HDD) на вашей материнской плате: я не знаю ответа, и я также ищу его (мой случай - плата Asus). Тем не менее, позвольте мне объяснить эту позицию, которую я получил после тщательного исследования.

Платы ноутбуков обычно поддерживают ATA Security как часть процесса включения питания, запрашивая пароль жесткого диска (не путать с паролем включения / пароль BIOS) и передавая его на жесткий диск, который затем разблокируется. Обратите внимание, что жесткий диск блокируется сам после 5 попыток с неправильным pwd. После этого вам нужно отключить жесткий диск (выключив компьютер ...), чтобы получить 5 новых шансов. Это затрудняет атаки методом грубой силы.

Системные платы для настольных ПК не поддерживают ATA Security, по крайней мере, я не нашел последних плат, поддерживающих эту простую функцию. Это оставляет меня озадаченным, и интересно, насколько производители BIOS, такие как AMI или Phoenix, действительно заботятся о своих пользователях, кажется, что они пытались быть менее инновационными в течение последних 20 лет. Что касается Apple, я не могу ответить.

Для ясности: функция безопасности ATA - это то, что бесплатно поставляется с жесткими дисками последних лет и полностью управляется жесткими дисками. Единственное усилие, которое необходимо материнской плате, - это запросить пароль пользователя от имени жесткого диска, передать его на жесткий диск и затем забыть о нем. Это что-то очень безопасное, хотя и очень простое, и для обычного владельца компьютера это единственная функция, которая ему необходима для эффективной защиты его личной жизни и маленьких секретов, таких как почтовые пароли, в случае кражи. Но BIOS все еще не предоставляет интерфейс для этой функции.

Есть способ изменить BIOS EEPROM, чтобы он вызывал дополнительную подпрограмму, которая будет запрашивать pwd жесткого диска и передавать его на жесткий диск. Это ссылка, которую я предоставил выше. Эта модификация, вероятно, не будет работать для версий BIOS "EFI", но она может помочь в решении проблемы. Он также может не работать с конкретным BIOS, и для его решения потребуется поддержка резервного копирования / восстановления BIOS на случай, если что-то пойдет не так, что может произойти. Обратите внимание, что "E" в EFI означает "расширяемый", и ожидается, что написание расширений для поддержки функций будет простым. Это может привести к тому, что в будущем люди будут писать драйверы безопасности ATA с открытым исходным кодом ... (вместо производителей BIOS, что добавит модернизму этот непонятный вопрос).

Кажется, что есть возможность "вставить" код между процессом включения и загрузкой ОС. Это будет сделано путем установки правильного кода MBR. Этот код сначала запрашивает pwd жесткого диска, затем, если жесткий диск разблокирован, вызывает загрузчик ОС, который был бы запущен напрямую без изменения.

Тем не менее, я застрял там, так же, как вы. Мне тоже, мне нужна поддержка пароля HDD. но я вижу, что настольный компьютер не поддерживает это. Какой позор! это может объяснить, почему люди переходят на шифрование, которое похоже на использование кувалды для взлома гайки, а шифрование - для предотвращения удаления пластин с диска и чтения их со сложным лабораторным материалом, не используя обычный чип контроллера жесткого диска, сказал в противном случае это должно предотвратить высокотехнологичный промышленный шпионаж. Я не вижу, уличные воры собираются сделать это, чтобы получить пару отпуска фотографий, видео порно, и привет-там письма они не заботятся в любом случае.

Удивительно, что мы видим это безумие вокруг Bitlocker, PGP, всего, что связано с программным обеспечением Crypt, у которого есть предварительные условия, они сложны, требуют решений по восстановлению и т.д., В то время как решение уже есть на плате с жесткими дисками… но заблокировано ленивыми парнями в BIOS. Надо сказать, что эти ребята делают что-то, чтобы показать, что они хотят помочь своим платящим пользователям.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .