W tym artykule pokazano, jak łatwo można ominąć hasła systemu BIOS ATA, a kończy się na tym, że użycie interfejsu API dysku samoszyfrowania dysku (SED) z poziomu systemu operacyjnego nie dałoby spadku wydajności. W systemie Windows ten interfejs API nosi nazwę Microsoft eDrive. Zobacz tutaj i tutaj .
Czy ktoś wie, czy Linux może komunikować się bezpośrednio z warstwą SED, więc Linux obsługuje hasło?
Odpowiedzi:
Znalazłem sedutil GPL, który pozwala zarządzać dyskami SED na „warstwie SED”:
msed - Zarządzaj dyskami samoszyfrującymi
Ten program i dołączony do niego obraz autoryzacji przed uruchomieniem umożliwiają włączenie blokowania w urządzeniach SED zgodnych ze standardem TCG OPAL 2.00 na maszynach bios.
Autor msed współpracę z napędem firmy Trust Alliance stworzyć rozwiązanie dla przedsiębiorstw na licencji GPL:
Łączę siły z Drive Trust Alliance (Drive-Trust-Alliance na GitHub), aby zapewnić społeczności najlepsze dostępne narzędzia SED typu open source.
Nie wiem, czy to naprawdę odpowiada na pytanie, które chciałeś. Jednak skorzystałem z informacji na tej stronie: https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
Miałem samoszyfrujący dysk SSD. Użyłem polecenia hdparm, aby ustawić hasło użytkownika, hasło główne, a także ustawić możliwość hasła głównego na „maksimum”, aby hasło główne nie mogło się odblokować lub wyłączyć, wystarczy je skasować. (Mój BIOS nie pozwolił mi ustawić hasła głównego ani trybu głównego. Jest to rzeczywiście niepewne, ponieważ producent (Dell) ma hasło główne i prawdopodobnie może je uzyskać każdy przedstawiciel serwisu).
Dobry BIOS / UEFI powinien odblokować sterownik i zawiesić go, aby hasło nie mogło zostać wyłączone przez system operacyjny. Jeśli oprogramowanie układowe pozostawia dysk odmrożony, mogę zobaczyć, jak hasło można wyłączyć.
Jednak wszystko to zakłada, że ufasz oprogramowaniu napędowemu, że nie ma backdoora lub luki bezpieczeństwa. Artykuł, który zacytowałeś, sugeruje, że jest to powszechne. Zastanawiam się, jak „łatwo” pokonać poziom biosu, ponieważ artykuł mówi, że dysk musi być już odblokowany. W artykule nie podano, czy zabezpieczenia dysku zostały zablokowane, czy nie.
Jeśli nie ufasz oprogramowaniu dysków, nie widzę, w jaki sposób jakakolwiek funkcja hasła ATA może ci pomóc. Aby nadal korzystać z HW napędu, potrzebny byłby dostęp do samego silnika AES i możliwość samodzielnego zaprogramowania klucza AES.
było: {Nie znam takiego interfejsu API poziomu sprzętowego. Byłbym zainteresowany, gdyby ktoś miał referencję.}
Przepraszam, że powinienem przeczytać wszystkie referencje, zanim odpowiedziałem. Omawiane standardy to TCG Opal 2.0 i IEEE-1667. Wygląda na to, że 1667 przechodzi na protokół odpowiedzi Challange poprzez wymianę hasła w formacie ATA. Wydaje mi się jednak, że hasła są nadal przechowywane na dysku i nadal trzeba ufać oprogramowaniu sprzętowemu dysku.