In diesem Artikel wird gezeigt, wie einfach es ist, BIOS-ATA-Passphrasen zu umgehen, und es endet damit, dass die Verwendung der SED-API (Self Encryption Disk) innerhalb des Betriebssystems keinen Leistungseinbruch zur Folge hätte. Unter Windows heißt diese API Microsoft eDrive. Sehen Sie hier und hier .
Weiß jemand, ob Linux direkt mit der SED-Schicht kommunizieren kann, sodass Linux die Passphrase verarbeitet?
Antworten:
Ich habe GPL- Sedutil gefunden, mit dem SEDs auf der "SED-Ebene" verwaltet werden können:
msed - Verwalten von selbstverschlüsselnden Laufwerken
Mit diesem Programm und dem zugehörigen Pre-Boot Authorization-Image können Sie die Sperrung in SEDs aktivieren, die dem TCG OPAL 2.00-Standard auf BIOS-Maschinen entsprechen.
Der Autor von msed hat sich mit Drive Trust Alliance zusammengetan , um eine GPL-Unternehmenslösung zu erstellen:
Ich arbeite mit der Drive Trust Alliance (Drive-Trust-Alliance auf GitHub) zusammen, um der Community die bestmöglichen Open-Source-SED-Tools zur Verfügung zu stellen.
Ich weiß nicht, ob dies wirklich die Frage beantwortet, die Sie wollten. Ich habe jedoch Informationen auf dieser Seite verwendet: https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
Ich hatte eine selbstverschlüsselnde SSD. Ich habe den Befehl hdparm verwendet, um ein Benutzerkennwort, ein Hauptkennwort und die Hauptkennwortfunktion auf "Maximum" zu setzen, damit ein Hauptkennwort nicht entsperrt oder deaktiviert, sondern nur gelöscht werden kann. (In meinem BIOS konnte ich weder ein Hauptkennwort noch den Hauptmodus festlegen. Dies ist in der Tat unsicher, da der Hersteller (Dell) das Hauptkennwort hat und wahrscheinlich jeder Servicemitarbeiter es erhalten kann.)
Ein gutes BIOS / UEFI sollte den Treiber entsperren und einfrieren, damit das Kennwort vom Betriebssystem nicht deaktiviert werden kann. Wenn die Firmware das Laufwerk nicht gefroren lässt, kann ich sehen, wie das Kennwort deaktiviert werden kann.
Dies alles setzt jedoch voraus, dass Sie darauf vertrauen, dass die Firmware des Laufwerks keine Hintertür oder Sicherheitslücke aufweist. Der Artikel, den Sie zitieren, scheint zu implizieren, dass dies üblich ist. Ich frage mich, wie "einfach" es ist, das BIOS-Level zu besiegen, da der Artikel besagt, dass das Laufwerk bereits entsperrt sein muss. In dem Artikel wurde nicht angegeben, ob die Laufwerkssicherheit eingefroren war oder nicht.
Wenn Sie der Firmware des Laufwerks nicht vertrauen, sehe ich nicht, wie Ihnen eine der ATA-Kennwortfunktionen helfen kann. Um weiterhin von der HW des Laufwerks zu profitieren, benötigen Sie Zugriff auf die AES-Engine selbst und können den AES-Schlüssel selbst programmieren.
war: {Ich kenne keine solche HW-Level-API. Es würde mich interessieren, wenn jemand eine Referenz hat.}
Entschuldigung, ich hätte alle Ihre Referenzen lesen sollen, bevor ich antwortete. Die fraglichen Standards sind TCG Opal 2.0 und IEEE-1667. Es scheint, dass 1667 über den Klartext-Passwortaustausch von ATA zu einem Herausforderungsprotokoll wechselt. Es scheint mir jedoch, dass die Passwörter immer noch im Laufwerk gespeichert sind und Sie der Firmware des Laufwerks weiterhin vertrauen müssen.