У цій статті показано, як легко обійти пропускні фрази BIOS ATA, і це закінчується тим, що використання API самокодування шифрувальних дисків (SED) з ОС в операційній системі не призвело б до ефективності. У Windows цей API називається Microsoft eDrive. Дивіться тут і тут .
Хтось знає, чи може Linux спілкуватися безпосередньо із шаром SED, тож Linux обробляє парольну фразу?
Відповіді:
Я знайшов GPL'd sedutil, який дозволяє керувати SED на "SED-шарі":
msed - Керування дисками самокодування
Ця програма та супровідне зображення до авторизації перед завантаженням дозволяють увімкнути блокування в SED, які відповідають стандарту TCG OPAL 2.00 на машинах bios.
Автор MSED спільно з Цільовий Alliance Drive створити корпоративне рішення під GPL:
Я об’єдную зусилля з Drive Trust Alliance (Drive-Trust-Alliance на GitHub), щоб представити спільноті найкращі інструменти SED з відкритим кодом.
Я не знаю, чи це насправді відповідає на запитання, яке ви хотіли. Однак я використав інформацію на цій сторінці: https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
У мене було самокодування шифрування SSD. Я використовував команду hdparm для встановлення пароля користувача, головного пароля та для встановлення можливості головного пароля на "максимум", щоб головний пароль не міг розблокувати чи відключити, просто стерти. (Мій BIOS не дозволив мені встановити головний пароль або головний режим. Це справді небезпечно, оскільки виробництво (Dell) має головний пароль і, ймовірно, будь-який представник служби може отримати його.)
Хороший BIOS / UEFI повинен розблокувати драйвер і заморозити його, щоб ОС не змогла вимкнути ОС. Якщо прошивка залишає диск без замороженого, я можу побачити, як можна відключити пароль.
Однак все це передбачає, що ви довіряєте мікропрограмному забезпеченню дисків, щоб він не мав заднього прорізу або захисного отвору. Стаття, яку ви цитуєте, начебто означає, що це загальне явище. Я сумніваюся, наскільки "легким" є рівень біосу, щоб перемогти, оскільки в статті зазначено, що накопичувач вже повинен бути розблокований. У статті не сказано, заблоковано чи ні, захищеність накопичувача.
Якщо ви не довіряєте прошивці дисків, то я не бачу, як будь-яка функція пароля ATA може вам допомогти. Щоб все-таки скористатися приводом HW, вам знадобиться доступ до самого двигуна AES і мати можливість програмувати ключ AES самостійно.
було: {Я не знаю такого рівня API HW. Мені буде цікаво, якщо хтось має довідку.}
Вибачте, я повинен був прочитати всі ваші посилання, перш ніж я відповів. Стандарти, про які йдеться, TCG Opal 2.0 та IEEE-1667. Схоже, 1667 переходить до протоколу відповіді на виклик через чіткий обмін текстовими паролями ATA. Однак мені здається, що паролі все ще зберігаються на диску, і вам все одно доведеться довіряти прошивці диска.