Mi SSD HD admite seguridad ATA. ¿Macbook EFI y Linux lo admiten? Sé que hdparm lo hace. ¿Quién realizará el desbloqueo en cada arranque? ¿Puedo establecer una contraseña sin borrar el disco?
Actualización: se eliminó "Cifrado completo del disco duro SED" del título según el comentario de @ataboy. Sin embargo, es posible que algunos todavía se refieran incorrectamente a esta seguridad ATA como "cifrado".
Respuesta1
Actualmente no es posible utilizar ATA Security con Mac, EFI no implementa esto y congela (bloquea) la unidad después de la inicialización de EFI. Por lo tanto, no se pueden realizar más manipulaciones de seguridad de ATA con hdparm
o similares. Incluso si evita la congelación de ATA (lo cual es posible) en Linux y luego establece una contraseña, o establece una contraseña cuando el disco duro está en otra PC que admita la seguridad ATA, no tiene forma de desbloquear el dispositivo al iniciar desde efi para iniciar. su sistema operativo favorito desde el SSD en la Mac (book Pro).
Como lo mencionaron otras personas anteriormente, existen extensiones de BIOS o modificaciones de EEPROM que se pueden aplicar a PC normales para permitir el desbloqueo al inicio de placas base que no admiten el arranque de dispositivos protegidos por ATA por sí mismas. Sin embargo, hasta donde yo sé, estos no son aplicables a Mac y EFI.
Todo lo que puedes hacer es presentar un informe de error a Apple.
Espero que esto se implemente en el futuro...
Respuesta2
Esta es mi comprensión de la seguridad ATA y SED:
La seguridad ATA es diferente de SED. SED (unidad de autocifrado) significa que la unidad codificará los datos en comandos de escritura mediante cifrado. Una unidad SED siempre cifra los datos, independientemente de la configuración de seguridad (y/o capacidad) de ATA. Tenga en cuenta que una unidad SED no puede almacenar datos sin cifrar. El beneficio del cifrado es que no se pueden obtener los datos originales leyendo las placas de la unidad en el laboratorio. ATA Security no es una función de cifrado, solo una función de bloqueo/desbloqueo. El usuario (el BIOS) establece una contraseña que debe enviarse nuevamente cada vez que se enciende la unidad. Sin la contraseña, el controlador de la unidad prohíbe los comandos de lectura/escritura. Los datos del disco no se ven afectados. Si la unidad es SED, ya están cifradas; si no es SED, no lo están. La seguridad ATA debe poder evitarse leyendo la placa en el laboratorio con otro controlador.
Parece que hay extensiones para habilitar la seguridad ATA en BIOS. Ver:http://www.fitzenreiter.de/ata/ata_eng.htm
Agregado el 31 de enero:
pvj: lo siento, no puedo agregar un comentario a mi respuesta anterior, parece que no soy un usuario registrado. Aquí algunas informaciones adicionales:
Respecto a cómo activar la característica de Seguridad ATA (contraseñas de HDD) en tu placa base: No sé la respuesta y también la estoy buscando (mi caso es una placa Asus). Dicho esto, déjame explicarte esta posición que obtuve después de una investigación exhaustiva.
Las placas de portátiles suelen admitir la seguridad ATA como parte del proceso de encendido, solicitando la contraseña del disco duro (que no debe confundirse con la contraseña de encendido/"BIOS") y pasándola al disco duro, que luego se desbloquea. Tenga en cuenta que el disco duro se bloqueará solo después de 5 intentos con una contraseña incorrecta. Después de eso necesitas apagar el HDD (apagando la computadora...) para tener 5 nuevas oportunidades. Esto es para dificultar los ataques de fuerza bruta.
Las placas de escritorio no son compatibles con ATA Security, al menos no he encontrado placas recientes que admitan esta sencilla característica. Esto me deja desconcertado, y preguntándome cuánto se preocupan realmente los fabricantes de BIOS como AMI o Phoenix por sus usuarios, parece que han intentado ser lo menos innovadores posible durante estos últimos 20 años. En cuanto a Apple no puedo responder.
Para ser claros: la función de seguridad ATA es algo que viene gratis con el disco duro del año pasado y está totalmente administrado por el disco duro. El único esfuerzo que necesita la placa base es solicitar la contraseña al usuario en nombre del HDD, pasarla al HDD y luego olvidarse de ella. Esto es algo muy seguro, aunque muy sencillo, y para el propietario habitual de un ordenador es la única característica que necesita para proteger eficazmente su vida privada y pequeños secretos como las contraseñas de correo en caso de robo. Pero el BIOS todavía no proporciona la interfaz para esta función.
Hay un truco para modificar la EEPROM del BIOS para que llame a una rutina adicional que solicitará la contraseña del HDD y la pasará al HDD. Este es el enlace que proporcioné arriba. Esta modificación probablemente no funcionará para las versiones "EFI" del BIOS, pero puede ayudar a encontrar la solución. Es posible que tampoco funcione con un BIOS específico, y probar esta solución requeriría que tenga soporte para la copia de seguridad/restauración del BIOS en caso de que algo salga mal, lo cual es probable que ocurra. Tenga en cuenta que "E" en EFI significa "extensible" y que se espera que sea fácil escribir extensiones para admitir funciones. Esto puede llevar a que la gente escriba controladores de seguridad ATA de código abierto en el futuro... (en lugar de los fabricantes de BIOS, lo que agregará algo de modernidad a este oscuro asunto).
Parece que es posible "insertar" código entre el proceso de encendido y la carga del sistema operativo. Esto se haría configurando el código MBR adecuado. Este código primero solicita la contraseña del HDD y luego, si el HDD está desbloqueado, llama al cargador del sistema operativo que se habría ejecutado directamente sin la modificación.
Dicho esto, estoy atrapado ahí, exactamente como tú. Yo también necesito soporte para contraseña de disco duro. pero veo que el mobo de escritorio no lo admite. ¡Qué vergüenza! "Esto puede explicar por qué la gente está pasando al cifrado, que es como usar un mazo para romper una nuez; el cifrado consiste en evitar retirar los platos del disco y leerlos con material de laboratorio sofisticado, sin utilizar un chip controlador de disco duro normal", dijo. de lo contrario, esto es para evitar el espionaje industrial de alta tecnología. No veo que los ladrones callejeros vayan a hacer eso para obtener un par de fotos de vacaciones, videos porno y correos electrónicos de saludos que de todos modos no les importan.
Es sorprendente que veamos este frenesí en torno a Bitlocker, PGP, cualquier software Crypt que tenga requisitos previos, sea complejo, requiera soluciones de recuperación, etc., mientras que la solución ya está en la placa HDD... pero bloqueada por los perezosos del BIOS. Hay que decirlo, para que esos tipos hagan algo para demostrar que quieren ayudar a sus usuarios pagos.