В этой статье показано, как легко обойти парольные фразы BIOS ATA, и заканчивается то, что использование API-интерфейса диска самошифрования дисков (SED) изнутри ОС не приведет к снижению производительности. В Windows этот API называется Microsoft eDrive. Смотрите здесь и здесь .
Кто-нибудь знает, может ли Linux напрямую взаимодействовать со слоем SED, поэтому Linux обрабатывает парольную фразу?
Ответы:
Я нашел в GPL sedutil, который позволяет управлять SED на «уровне SED»:
msed - управление самошифрующимися дисками
Эта программа и прилагаемый к ней образ Pre-Boot Authorization позволяют вам включить блокировку в SED, которые соответствуют стандарту TCG OPAL 2.00 на компьютерах с BIOS.
Автор MSED совместно с Целевой Alliance Drive создать корпоративное решение под GPL:
Я объединяю усилия с Drive Trust Alliance (Drive-Trust-Alliance на GitHub), чтобы предоставить сообществу лучшие инструменты SED с открытым исходным кодом.
Я не знаю, действительно ли это отвечает на вопрос, который вы хотели. Однако я использовал информацию на этой странице: https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
У меня был SSD с самошифрованием. Я использовал команду hdparm, чтобы установить пароль пользователя, мастер-пароль и установить максимальный уровень возможности мастер-пароля, чтобы мастер-пароль нельзя было разблокировать или отключить, просто удалите. (Мой BIOS не позволил мне установить мастер-пароль или мастер-режим. Это действительно небезопасно, поскольку у производителя (Dell) есть мастер-пароль, и, вероятно, любой сервисный представитель сможет его получить.)
Хороший BIOS / UEFI должен разблокировать драйвер и заморозить его, чтобы пароль не мог быть отключен операционной системой. Если прошивка оставляет диск незамерзшим, я вижу, как можно отключить пароль.
Однако все это предполагает, что вы доверяете микропрограммному обеспечению накопителей, чтобы не было бэкдора или дыры в безопасности. Статья, которую вы цитируете, кажется, подразумевает, что это часто Я задаюсь вопросом, насколько «легко» победить уровень BIOS, поскольку в статье говорится, что диск уже должен быть разблокирован. В статье не сказано, была ли заморожена защита диска или нет.
Если вы не доверяете микропрограммному обеспечению накопителей, я не понимаю, как вам может помочь какая-либо из функций паролей ATA. Чтобы по-прежнему пользоваться преимуществами привода HW, вам потребуется доступ к самому двигателю AES и возможность самостоятельно программировать ключ AES.
был: {Я не знаю такого API уровня HW. Мне было бы интересно, если у кого-то есть ссылка.}
Извините, я должен был прочитать все ваши ссылки, прежде чем я ответил. Этими стандартами являются TCG Opal 2.0 и IEEE-1667. Похоже, что 1667 переходит к протоколу ответа на вызов по обмену паролями открытого текста ATA. Однако мне кажется, что пароли по-прежнему хранятся в накопителе, и вам все равно нужно доверять встроенному ПО накопителя.