如何在實務上使用硬碟上的 ATA 安全性?

tag-icon tag-icon linux security efi ata-security
如何在實務上使用硬碟上的 ATA 安全性?

我的 SSD HD 支援 ATA 安全性。 Macbook EFI 和 linux 支援嗎?我知道 hdparm 可以。誰會在每次啟動時解鎖?我還可以在不擦除磁碟的情況下設定密碼嗎?

更新:根據 @ataboy 的評論從標題中刪除了“SED 全硬碟加密”。然而,有些人可能仍然錯誤地將這種 ATA 安全性稱為「加密」。

答案1

目前無法在 Mac 上使用 ATA 安全性,EFI 未實現此功能,並會在 EFI 初始化後凍結(鎖定)磁碟機。因此,無法進行進一步的 ATA 安全操作hdparm或類似操作。即使您在 Linux 中繞過 ATA 凍結(這是可能的),然後設定密碼(或當 HDD 位於另一台支援 ATA 安全的 PC 上時設定密碼),您也無法在啟動時從 efi 解鎖裝置以啟動Mac(book Pro) 上SSD 中您最喜愛的作業系統。

如同上面其他人所提到的,有 BIOS 擴充或 EEPROM 模組可以應用於普通 PC,以便在啟動時為不支援啟動 ATA 保護裝置的主機板啟用解鎖。但據我所知,這些不適用於 Mac 和 EFI。

您所能做的就是向 Apple 提交錯誤報告。

我希望這將在未來實施......

答案2

這是我對 ATA Security 和 SED 的理解:

ATA 安全性與 SED 不同。 SED(自加密磁碟機)表示磁碟機將使用加密對寫入命令中的資料進行擾亂。無論 ATA 安全設定(和/或功能)為何,SED 磁碟機始終會對資料進行加密。請注意,SED 磁碟機無法儲存未加密的資料。加密的好處是你無法透過實驗室讀取驅動盤來獲取原始資料。 ATA Security不是加密功能,只是鎖定/解鎖功能。使用者(BIOS)設定一個密碼,該密碼必須在每次磁碟機開機時再次發送。如果沒有密碼,驅動控制器將禁止讀/寫命令。磁碟上的資料不受影響。如果磁碟機是 SED,則它們已經加密,如果不是 SED,則它們尚未加密。 ATA 安全性應該可以透過在實驗室中使用另一個控制器讀取板來繞過。

似乎有擴充功能可以在 BIOS 中啟用 ATA 安全性。看:http://www.fitzenreiter.de/ata/ata_eng.htm

1 月 31 日新增:

PVJ:抱歉,我無法對先前的答案添加評論,似乎是因為我不是註冊用戶。這裡有一些額外的資訊:

關於如何在主機板上啟動ATA安全功能(硬碟密碼):我不知道答案,我也在尋找它(我的情況是華碩主機板)。也就是說,讓我解釋一下我經過徹底研究後得到的這個立場。

筆記型電腦主機板通常支援 ATA 安全性作為開機過程的一部分,詢問 HDD 密碼(不要與開機/“BIOS”密碼混淆)並將其傳遞給 HDD,然後 HDD 自行解鎖。請注意,通常在使用錯誤的密碼嘗試 5 次後,HDD 將自行鎖定。之後你需要關閉硬碟電源(透過關閉電腦...)以獲得 5 個新機會。這是為了讓暴力攻擊變得困難。

桌上型電腦主機板不支援 ATA 安全性,至少我沒有發現最近的主機板支援這個簡單的功能。這讓我很困惑,想知道像 AMI 或 Phoenix 這樣的 BIOS 製造商到底有多關心他們的用戶,在過去的 20 年裡,他們似乎一直在盡可能地減少創新。至於蘋果我無法回答。

要先明確的是:ATA 安全功能是去年 HDD 隨附的免費功能,並且完全由 HDD 管理。主機板所需要做的唯一工作就是代表 HDD 向使用者請求密碼,將其傳遞給 HDD,然後忘記它。這是非常安全的東西,雖然非常簡單,並且對於電腦的通常所有者來說,這是他/她有效保護他/她的私人生活和小秘密(例如郵件密碼)以防被盜所需的唯一功能。但 BIOS 仍然沒有提供此功能的介面。

有一個 hack 可以修改 BIOS EEPROM,以便它呼叫一個額外的例程,該例程將請求 HDD 密碼並將其傳遞給 HDD。這是我上面提供的連結。此修改可能不適用於「EFI」版本的 BIOS,但它可以幫助解決問題。它也可能不適用於特定的 BIOS,嘗試此解決方案需要您支援 BIOS 備份/恢復,以防出現問題(這種情況很可能發生)。請注意,EFI 中的“E”表示“可擴展”,並且編寫擴充功能來支援功能預計會很容易。這可能會導致人們在未來編寫開源 ATA 安全驅動程式...(而不是 BIOS 製造商,這將為這個晦澀難懂的問題增添一些現代主義色彩)。

似乎可以在開機過程和作業系統載入之間「插入」代碼。這可以透過設定正確的 MBR 代碼來完成。此代碼首先請求 HDD 密碼,然後如果 HDD 已解鎖,則調用作業系統載入程序,而無需修改即可直接運行。

也就是說,我被困在那裡,就像你一樣。我也是,我需要硬碟密碼支援。但我發現桌面主機板不支援它。真丟臉!這可能解釋了為什麼人們轉向加密,這就像使用大錘敲開堅果一樣,加密是為了防止移除驅動器盤片並使用複雜的實驗室材料讀取它們,而不是使用普通的 HDD 控制器晶片。否則這是為了防止高科技工業間諜活動。我不認為街頭小偷會為了得到幾張度假照片、色情影片和他們不在乎的問候郵件而這樣做。

令人驚訝的是,我們看到圍繞Bitlocker、PGP 和任何Crypt 軟體的狂熱,這些軟體都有先決條件,很複雜,需要恢復解決方案等等,而解決方案已經在HDD 板上了…但被BIOS 懶人阻止了。必須說的是,這些人會做一些事情來表明他們想幫助他們的付費用戶。

相關內容