実際にハードディスク上で ATA セキュリティを使用するにはどうすればよいでしょうか?

実際にハードディスク上で ATA セキュリティを使用するにはどうすればよいでしょうか?

私の SSD HD は ATA セキュリティをサポートしています。Macbook EFI と Linux はこれをサポートしていますか? hdparm はサポートしていることを知っています。起動時にロック解除を行うのは誰ですか? ディスクを消去せずにパスワードを設定することはできますか?

更新: @ataboy のコメントに基づいて、タイトルから「SED フル ハード ディスク暗号化」を削除しました。ただし、この ATA セキュリティを誤って「暗号化」と呼ぶ人がいるかもしれません。

答え1

現在、Mac で ATA セキュリティを使用することはできません。EFI はこれを実装しておらず、EFI 初期化後にドライブをフリーズ (ロック) します。そのため、hdparmまたは同様の方法では、これ以上の ATA セキュリティ操作を行うことはできません。Linux で ATA フリーズを回避 (これは可能です) してパスワードを設定しても、または HDD が ATA セキュリティをサポートする別の PC にあるときにパスワードを設定しても、起動時に efi からデバイスのロックを解除して、Mac (book Pro) の SSD からお気に入りの OS を起動する手段はありません。

他の人が上で述べたように、通常の PC に適用して、ATA 保護デバイスの起動をサポートしていないマザーボードの起動時にロック解除を有効にする BIOS 拡張機能または EEPROM モッドがあります。ただし、私の知る限り、これらは Mac および EFI には適用できません。

あなたにできるのは、Apple にバグレポートを提出することだけです。

将来的にはこれが実装されることを期待しています...

答え2

ATA セキュリティと SED についての私の理解は次のとおりです。

ATA セキュリティは SED とは異なります。SED (自己暗号化ドライブ) とは、ドライブが書き込みコマンドで暗号化を使用してデータをスクランブルすることを意味します。SED ドライブは、ATA セキュリティ設定 (および/または機能) に関係なく、常にデータを暗号化します。SED ドライブは暗号化されていないデータを保存できないことに注意してください。暗号化の利点は、ラボでドライブ プレートを読み取っても元のデータを取得できないことです。ATA セキュリティは暗号化機能ではなく、ロック/ロック解除機能のみです。ユーザー (BIOS) がパスワードを設定し、ドライブの電源を入れるたびにこのパスワードを再送信する必要があります。パスワードがないと、ドライブ コントローラは読み取り/書き込みコマンドを禁止します。ディスク上のデータは影響を受けません。ドライブが SED の場合、データはすでに暗号化されていますが、SED でない場合は暗号化されていません。ATA セキュリティは、ラボで別のコントローラを使用してプレートを読み取ることでバイパスできるはずです。

BIOS で ATA セキュリティを有効にする拡張機能があるようです。参照:http://www.fitzenreiter.de/ata/ata_eng.htm

1月31日追加:

PVJ: 申し訳ありませんが、以前の回答にコメントを追加できません。登録ユーザーではないためと思われます。追加情報は次のとおりです。

マザーボードで ATA セキュリティ機能 (HDD パスワード) を有効にする方法について: 答えはわかりませんし、私も探しています (私の場合は Asus ボードです)。とはいえ、徹底的な調査の末に得たこの立場を説明させてください。

ラップトップ ボードは通常、電源投入プロセスの一部として ATA セキュリティをサポートしており、HDD パスワード (電源投入/「BIOS」パスワードと混同しないでください) を要求し、それを HDD に渡してロックを解除します。通常、間違ったパスワードを 5 回入力すると、HDD はロックされます。その後、5 回の新しいチャンスを得るには、HDD の電源をオフにする必要があります (コンピューターをオフにするなど)。これは、ブルート フォース攻撃を困難にするためです。

デスクトップ ボードは ATA セキュリティをサポートしていません。少なくとも、最近のボードがこの単純な機能をサポートしているのを見たことがありません。これは私を困惑させ、AMI や Phoenix などの BIOS メーカーが本当にユーザーのことをどれだけ気にしているのか疑問に思います。彼らは過去 20 年間、できるだけ革新性を抑えようとしてきたようです。Apple については答えられません。

明確に言うと、ATA セキュリティ機能は昨年の HDD に無料で付属しており、HDD によって完全に管理されます。マザーボードで必要な作業は、HDD に代わってユーザーにパスワードを要求し、それを HDD に渡して、あとは忘れることだけです。これは非常にシンプルですが、非常に安全な機能であり、一般的なコンピューター所有者にとっては、盗難の際にメール パスワードなどのプライベートな情報や小さな秘密を効果的に保護するために必要な唯一の機能です。しかし、BIOS はまだこの機能へのインターフェイスを提供していません。

BIOS EEPROM を変更して、HDD パスワードを要求し、それを HDD に渡す追加ルーチンを呼び出すようにするハックがあります。これは、私が上で提供したリンクです。この変更は、おそらく「EFI」バージョンの BIOS では機能しませんが、解決策の助けにはなります。特定の BIOS でも機能しない可能性があり、この解決策を試すには、問題が発生した場合に備えて BIOS バックアップ/復元のサポートが必要になります。EFI の「E」は「拡張可能」を意味し、機能をサポートするための拡張機能の作成は簡単であると予想されることに注意してください。これにより、将来、人々がオープン ソースの ATA セキュリティ ドライバーを作成することになる可能性があります... (BIOS メーカーではなく、このわかりにくい問題にいくらか近代化を加える)。

電源投入プロセスと OS のロードの間にコードを「挿入」できるようです。これは、適切な MBR コードを設定することで実現できます。このコードは最初に HDD のパスワードを要求し、HDD がロック解除されている場合は、変更なしで直接実行される OS ローダーを呼び出します。

とはいえ、私もあなたと同じように、そこで行き詰まっています。私も HDD パスワードのサポートが必要です。しかし、デスクトップ マザーボードはそれをサポートしていないようです。残念です! これは、人々が暗号化に移行している理由を説明できるかもしれません。暗号化は、ナットを割るのに大ハンマーを使うようなものです。暗号化は、ドライブのプラッターを取り外して、通常の HDD コントローラー チップを使用せずに高度なラボ マテリアルで読み取るのを防ぐためのもので、ハイテク産業スパイを防ぐためのものです。街の泥棒が休暇の写真やポルノ ビデオ、ハロー メールを数枚手に入れるためにそんなことをするとは思えません。彼らはどうせ気にしません。

Bitlocker、PGP、その他、前提条件があり、複雑で、回復ソリューションなどを必要とする暗号化ソフトウェアをめぐるこの熱狂は驚くべきものですが、ソリューションはすでに HDD ボード上に存在し、BIOS の怠慢な人たちによってブロックされています。これらの人たちが、有料ユーザーを支援したいという意思を示すために何か行動を起こすように、これは言わざるを得ません。

関連情報