В этой статье показано, как легко обойти парольные фразы BIOS ATA, и заканчивается тем, что использование API-интерфейса диска самошифрования дисков (SED) изнутри ОС не приведет к снижению производительности. В Windows этот API называется Microsoft eDrive. Смотрите здесь и здесь.
Кто-нибудь знает, может ли Linux напрямую взаимодействовать со слоем SED, поэтому Linux обрабатывает парольную фразу?
Я нашел в GPL sedutil, который позволяет управлять SED на "уровне SED":
msed - управление самошифрующимися дисками
Эта программа и прилагаемый к ней образ Pre-Boot Authorization позволяют вам включить блокировку в SED, которые соответствуют стандарту TCG OPAL 2.00 на компьютерах с BIOS.
Автор msed совместно с Drive Trust Alliance создал корпоративное решение под GPL:
Я объединяю усилия с Drive Trust Alliance (Drive-Trust-Alliance на GitHub), чтобы предоставить сообществу лучшие инструменты SED с открытым исходным кодом.
Я не знаю, действительно ли это отвечает на вопрос, который вы хотели. Однако я использовал информацию на этой странице:https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
У меня был SSD с самошифрованием. Я использовал команду hdparm, чтобы установить пароль пользователя, мастер-пароль и установить максимальный уровень мастер-пароля, чтобы мастер-пароль нельзя было разблокировать или отключить, просто удалите. (Мой BIOS не позволил мне установить мастер-пароль или мастер-режим. Это действительно небезопасно, поскольку изготовитель (Dell) имеет главный пароль, и, вероятно, его сможет получить любой представитель службы поддержки.)
Хороший BIOS/UEFI должен разблокировать драйвер и заморозить его, чтобы пароль не мог быть отключен ОС. Если прошивка оставляет диск незамерзшим, я вижу, как можно отключить пароль.
Однако все это предполагает, что вы доверяете микропрограммному обеспечению накопителей, чтобы не было бэкдора или дыры в безопасности. Статья, которую вы цитируете, похоже, подразумевает, что это часто встречается Я задаюсь вопросом, насколько "легко" победить уровень BIOS, поскольку в статье говорится, что диск уже должен быть разблокирован. В статье не сказано, была ли заморожена защита диска или нет.
Если вы не доверяете микропрограммному обеспечению накопителей, я не понимаю, как вам может помочь какая-либо из функций паролей ATA. Чтобы по-прежнему получать выгоду от привода HW, вам потребуется доступ к самому двигателю AES и возможность самостоятельно программировать ключ AES.
был: {Я не знаю такого API уровня HW. Мне было бы интересно, если у кого-то есть ссылка.}
Извините, я должен был прочитать все ваши ссылки, прежде чем я ответил. Этими стандартами являются TCG Opal 2.0 и IEEE-1667. Похоже, что 1667 переходит к протоколу ответа на вызов по обмену паролями открытого текста ATA. Однако мне кажется, что пароли по-прежнему хранятся в накопителе, и вам все равно нужно доверять встроенному ПО накопителя.
