Meine SSD-Festplatte unterstützt ATA-Sicherheit. Wird dies von Macbook EFI und Linux unterstützt? Ich weiß, dass hdparm dies tut. Wer entsperrt die Festplatte bei jedem Systemstart? Kann ich trotzdem ein Passwort festlegen, ohne die Festplatte zu löschen?
Update: „SED-Vollverschlüsselung der Festplatte“ aus dem Titel entfernt, basierend auf einem Kommentar von @ataboy. Manche bezeichnen diese ATA-Sicherheit jedoch möglicherweise immer noch fälschlicherweise als „Verschlüsselung“.
Antwort1
Derzeit ist es nicht möglich, ATA-Sicherheit mit Macs zu verwenden, da EFI dies nicht implementiert und das Laufwerk nach der EFI-Initialisierung einfriert (sperrt). Es können also keine weiteren Manipulationen der ATA-Sicherheit hdparm
oder Ähnliches vorgenommen werden. Selbst wenn Sie das Einfrieren von ATA (was möglich ist) in Linux umgehen und dann ein Kennwort festlegen – oder ein Kennwort festlegen, wenn sich die Festplatte in einem anderen PC befindet, der ATA-Sicherheit unterstützt – haben Sie keine Möglichkeit, das Gerät beim Start von EFI zu entsperren, um Ihr bevorzugtes Betriebssystem von der SSD auf dem Mac (Book Pro) zu starten.
Wie oben von anderen Personen erwähnt, gibt es BIOS-Erweiterungen oder EEPROM-Mods, die auf normale PCs angewendet werden können, um das Entsperren beim Start für Motherboards zu ermöglichen, die das Booten von ATA-geschützten Geräten nicht selbst unterstützen. Diese sind meines Wissens jedoch nicht auf Mac und EFI anwendbar.
Sie können lediglich einen Fehlerbericht bei Apple einreichen.
Ich hoffe, dass dies in Zukunft umgesetzt wird ...
Antwort2
Dies ist mein Verständnis von ATA-Sicherheit und SED:
ATA-Sicherheit unterscheidet sich von SED. SED (Self Encryption Drive) bedeutet, dass das Laufwerk die Daten bei Schreibbefehlen verschlüsselt. Ein SED-Laufwerk verschlüsselt die Daten immer, unabhängig von den ATA-Sicherheitseinstellungen (und/oder -Fähigkeiten). Beachten Sie, dass ein SED-Laufwerk Daten nicht unverschlüsselt speichern kann. Der Vorteil der Verschlüsselung besteht darin, dass Sie die Originaldaten nicht abrufen können, indem Sie die Laufwerksplatten im Labor lesen. ATA-Sicherheit ist keine Verschlüsselungsfunktion, sondern nur eine Sperr-/Entsperrfunktion. Der Benutzer (das BIOS) legt ein Kennwort fest, das bei jedem Einschalten des Laufwerks erneut gesendet werden muss. Ohne das Kennwort verbietet der Laufwerkscontroller Lese-/Schreibbefehle. Die Daten auf der Festplatte sind davon nicht betroffen. Wenn es sich bei dem Laufwerk um ein SED-Laufwerk handelt, sind sie bereits verschlüsselt, wenn es sich nicht um ein SED-Laufwerk handelt, sind sie es nicht. ATA-Sicherheit sollte umgangen werden können, indem die Platte im Labor mit einem anderen Controller gelesen wird.
Es scheint, dass es Erweiterungen gibt, um ATA-Sicherheit im BIOS zu aktivieren. Siehe:http://www.fitzenreiter.de/ata/ata_eng.htm
Hinzugefügt am 31. Januar:
pvj: Entschuldigung, ich kann meiner vorherigen Antwort keinen Kommentar hinzufügen, anscheinend liegt das daran, dass ich kein registrierter Benutzer bin. Hier einige zusätzliche Informationen:
Bezüglich der Aktivierung der ATA-Sicherheitsfunktion (Festplattenkennwörter) auf Ihrem Motherboard: Ich kenne die Antwort nicht und suche auch danach (in meinem Fall handelt es sich um ein Asus-Board). Lassen Sie mich dennoch diese Position erklären, zu der ich nach einer gründlichen Recherche gelangt bin.
Laptop-Boards unterstützen normalerweise ATA-Sicherheit als Teil des Einschaltvorgangs, indem sie nach dem Festplattenkennwort (nicht zu verwechseln mit dem Einschalt-/BIOS-Kennwort) fragen und es an die Festplatte weitergeben, die sich dann selbst entsperrt. Beachten Sie, dass sich die Festplatte normalerweise nach 5 Versuchen mit einem falschen Kennwort selbst sperrt. Danach müssen Sie die Festplatte ausschalten (indem Sie den Computer ausschalten...), um 5 neue Chancen zu erhalten. Dies soll Brute-Force-Angriffe erschweren.
Desktop-Boards unterstützen ATA Security nicht, zumindest habe ich keine neueren gefunden, die diese einfache Funktion unterstützen. Das verwirrt mich und ich frage mich, wie sehr sich BIOS-Hersteller wie AMI oder Phoenix wirklich um ihre Benutzer kümmern. Es scheint, als hätten sie in den letzten 20 Jahren versucht, so wenig innovativ wie möglich zu sein. Was Apple betrifft, kann ich nicht antworten.
Um es klar zu sagen: Die ATA-Sicherheitsfunktion ist bei den Festplatten der letzten Jahre kostenlos und wird vollständig von der Festplatte verwaltet. Die einzige Aufgabe, die das Motherboard erledigen muss, ist, das Kennwort des Benutzers im Namen der Festplatte anzufordern, es an die Festplatte weiterzugeben und es dann zu vergessen. Dies ist sehr sicher, obwohl es sehr einfach ist, und für den normalen Computerbesitzer ist dies die einzige Funktion, die er/sie benötigt, um sein/ihr Privatleben und kleine Geheimnisse wie E-Mail-Kennwörter im Falle eines Diebstahls wirksam zu schützen. Das BIOS bietet jedoch immer noch keine Schnittstelle für diese Funktion.
Es gibt einen Hack, um das BIOS-EEPROM so zu ändern, dass es eine zusätzliche Routine aufruft, die das HDD-Passwort anfordert und an die HDD weitergibt. Dies ist der Link, den ich oben angegeben habe. Diese Änderung funktioniert wahrscheinlich nicht mit „EFI“-Versionen des BIOS, kann aber zur Lösung beitragen. Sie funktioniert möglicherweise auch nicht mit einem bestimmten BIOS, und um diese Lösung auszuprobieren, müssen Sie über Unterstützung für BIOS-Backup/-Wiederherstellung verfügen, falls etwas schief geht, was wahrscheinlich passieren wird. Beachten Sie, dass „E“ in EFI für „erweiterbar“ steht und dass das Schreiben von Erweiterungen zur Unterstützung von Funktionen vermutlich einfach sein wird. Dies könnte dazu führen, dass in Zukunft Leute Open-Source-ATA-Sicherheitstreiber schreiben … (anstelle von BIOS-Herstellern, was dieser obskuren Angelegenheit etwas Modernität verleihen würde).
Es scheint möglich zu sein, zwischen dem Einschaltvorgang und dem Laden des Betriebssystems Code „einzufügen“. Dies würde durch Festlegen des richtigen MBR-Codes erfolgen. Dieser Code fragt zuerst nach dem Festplattenkennwort und ruft dann, wenn die Festplatte entsperrt ist, den Betriebssystemlader auf, der ohne die Änderung direkt ausgeführt worden wäre.
Trotzdem stecke ich da fest, genau wie Sie. Ich brauche auch HDD-Passwort-Unterstützung. Aber ich sehe, dass das Desktop-Motherboard das nicht unterstützt. Was für eine Schande! Das könnte erklären, warum die Leute auf Verschlüsselung umsteigen, was so viel heißt wie mit Kanonen auf Spatzen schießen. Verschlüsselung soll verhindern, dass die Platten des Laufwerks entfernt und mit hochentwickeltem Labormaterial gelesen werden, nicht mit einem normalen HDD-Controller-Chip. Anders gesagt, soll dies hochtechnologische Industriespionage verhindern. Ich kann mir nicht vorstellen, dass Straßendiebe das tun würden, um ein paar Urlaubsfotos, Pornovideos und Begrüßungsmails zu ergattern, das ist ihnen sowieso egal.
Es ist erstaunlich, dass wir diesen Hype um Bitlocker, PGP und andere Verschlüsselungssoftware erleben, die Voraussetzungen hat, komplex ist, Wiederherstellungslösungen erfordert usw., während die Lösung bereits auf der Festplattenplatine vorhanden ist ... aber von faulen BIOS-Typen blockiert wird. Es muss gesagt werden, damit diese Typen etwas tun, um zu zeigen, dass sie ihren zahlenden Benutzern helfen wollen.