Como usar a segurança ATA em um disco rígido na prática?

Como usar a segurança ATA em um disco rígido na prática?

Meu SSD HD suporta segurança ATA. O Macbook EFI e o Linux suportam isso? Eu sei que o hdparm faz. Quem fará o desbloqueio em cada inicialização? Ainda posso definir uma senha sem apagar o disco?

Atualização: removida "criptografia completa do disco rígido SED" do título com base no comentário de @ataboy. Alguns ainda podem se referir incorretamente a essa segurança ATA como "criptografia".

Responder1

Atualmente não é possível usar o ATA Security com Macs, o EFI não implementa isso e congela (bloqueia) a unidade após a inicialização do EFI. Portanto, nenhuma outra manipulação de segurança do ATA pode ser feita com hdparmou similar. Mesmo se você contornar o congelamento do ATA (o que é possível) no Linux e depois definir uma senha - ou definir uma senha quando o HDD estiver em outro PC que suporte segurança ATA - você não terá como desbloquear o dispositivo na inicialização do efi para iniciar seu sistema operacional favorito do SSD no Mac (book Pro).

Como mencionado acima por outras pessoas, existem extensões de BIOS ou mods EEPROM que podem ser aplicados a PCs normais para permitir o desbloqueio na inicialização de placas-mãe que não suportam a inicialização de dispositivos protegidos por ATA por si só. No entanto, que eu saiba, estes não são aplicáveis ​​ao Mac e EFI.

Tudo o que você pode fazer é enviar um relatório de bug à Apple.

Espero que isso seja implementado no futuro ...

Responder2

Este é o meu entendimento sobre segurança ATA e SED:

A segurança ATA é diferente do SED. SED (unidade de autocriptografia) significa que a unidade embaralhará os dados nos comandos de gravação usando criptografia. Uma unidade SED sempre criptografa os dados, independentemente das configurações (e/ou capacidade) de segurança do ATA. Observe que uma unidade SED não pode armazenar dados não criptografados. O benefício da criptografia é que você não pode obter os dados originais lendo as placas da unidade no laboratório. ATA Security não é uma função de criptografia, apenas uma função de bloqueio/desbloqueio. O usuário (BIOS) define uma senha que deve ser enviada novamente a cada inicialização do drive. Sem a senha, o controlador da unidade proíbe comandos de leitura/gravação. Os dados no disco não são afetados. Se a unidade for SED, eles já estão criptografados; se não for um SED, não estão. A segurança ATA deve ser contornada lendo a placa em laboratório com outro controlador.

Parece que existem extensões para ativar o ATA Security no BIOS. Ver:http://www.fitzenreiter.de/ata/ata_eng.htm

Adicionado em 31 de janeiro:

pvj: desculpe, não posso adicionar um comentário à minha resposta anterior, parece que não sou um usuário registrado. Aqui algumas informações adicionais:

Sobre como ativar o recurso ATA Security (senhas de HDD) na sua placa-mãe: não sei a resposta e também estou procurando (meu caso é uma placa Asus). Dito isto, deixe-me explicar esta posição que obtive após uma pesquisa aprofundada.

As placas de laptop geralmente suportam ATA Security como parte do processo de inicialização, solicitando a senha do HDD (não confundir com a senha de inicialização / "BIOS") e passando-a para o HDD, que então se desbloqueia. Observe que o HDD irá bloquear-se após normalmente 5 tentativas com uma senha errada. Depois disso você precisa desligar o HDD (desligando o computador...) para obter 5 novas chances. Isso dificulta os ataques de força bruta.

Desktop boards não suportam ATA Security, pelo menos não encontrei placas recentes que suportem esse recurso simples. Isso me deixa intrigado e me perguntando o quanto os fabricantes de BIOS como AMI ou Phoenix realmente se preocupam com seus usuários, parece que eles tentaram ser o menos inovadores possível durante estes últimos 20 anos. Quanto à Apple não posso responder.

Para ser claro: o recurso ATA Security é algo que vem de graça no HDD do ano passado e é totalmente gerenciado pelo HDD. O único esforço que a placa-mãe precisa é solicitar a senha ao usuário em nome do HDD, passá-la para o HDD e depois esquecê-la. Isto é algo muito seguro, embora muito simples, e para o proprietário habitual de um computador este é o único recurso que ele precisa para proteger eficazmente sua vida privada e pequenos segredos como senhas de e-mail em caso de roubo. Mas o BIOS ainda não fornece a interface para esse recurso.

Existe um hack para modificar a EEPROM do BIOS para que ela chame uma rotina adicional que solicitará o pwd do HDD e o transmitirá ao HDD. Este é o link que forneci acima. Esta modificação provavelmente não funcionará para versões “EFI” do BIOS, mas pode ajudar na solução. Também pode não funcionar com um BIOS específico, e tentar esta solução exigiria que você tivesse suporte para backup/restauração do BIOS caso algo desse errado, o que provavelmente ocorrerá. Observe que "E" em EFI significa "extensível" e que se espera que escrever extensões para suportar recursos seja fácil. Isso pode levar as pessoas a escreverem drivers de segurança ATA de código aberto no futuro... (em vez de fabricantes de BIOS, o que adicionará um pouco de modernismo a este assunto obscuro).

Parece que é possível "inserir" código entre o processo de inicialização e o carregamento do sistema operacional. Isso seria feito definindo o código MBR adequado. Este código primeiro solicita o pwd do HDD e, em seguida, se o HDD estiver desbloqueado, chama o carregador do sistema operacional que teria sido executado diretamente sem a modificação.

Dito isto, estou preso aí, exatamente como você. Eu também preciso de suporte para senha de HDD. mas vejo que o desktop mobo não suporta isso. Que pena! isso pode explicar por que as pessoas estão migrando para a criptografia, que é como usar uma marreta para quebrar uma noz. A criptografia serve para evitar a remoção dos pratos da unidade e a leitura deles com material de laboratório sofisticado, sem usar um chip controlador de HDD normal, disse caso contrário, isto é para evitar a espionagem industrial de alta tecnologia. Não vejo ladrões de rua fazendo isso para conseguir algumas fotos de férias, vídeos pornôs e e-mails de olá, eles não se importam de qualquer maneira.

É incrível que vejamos esse frenesi em torno do Bitlocker, PGP, software any-Crypt que tem pré-requisitos, é complexo, requer soluções de recuperação, etc., enquanto a solução já está lá na placa do HDD... mas bloqueada por caras preguiçosos do BIOS. Tem que ser dito, para que esses caras façam algo para mostrar que querem ajudar seus usuários pagantes.

informação relacionada