Comment utiliser la sécurité ATA sur un disque dur en pratique?

Mon SSD HD prend en charge ATA Security. Macbook EFI et linux le supportent-ils? Je sais que hdparm le fait. Qui va débloquer à chaque démarrage? Puis-je toujours définir un mot de passe sans effacer le disque?

Mise à jour: supprimé "SED full hard disk encryption" du titre basé sur le commentaire par @ataboy. Certains pourraient encore se référer à cette sécurité ATA de manière incorrecte en tant que «cryptage».

Actuellement, il n'est pas possible d'utiliser ATA Security avec Mac, l'EFI ne l'implique pas et gèle (bloque) le lecteur après l'initialisation EFI. Donc, aucune autre manipulation de sécurité ATA ne peut être effectuée avec hdparm ou similaire. Même si vous contournez le gel de l'ATA (ce qui est possible) dans Linux, puis configurez un mot de passe ou configurez un mot de passe lorsque le disque dur est dans un autre PC qui prend en charge la sécurité ATA – vous n'avez aucun moyen de déverrouiller le périphérique au démarrage de efi pour démarrer Votre système d'exploitation préféré du SSD sur Mac (book Pro).

Comme mentionné ci-dessus par d'autres personnes, il existe des extensions BIOS ou des Modes EEPROM qui peuvent être appliqués aux PC ordinaires pour permettre le déverrouillage au démarrage pour les cartes mères qui ne prennent pas en charge le démarrage des dispositifs protégés ATA par eux-mêmes. Ceux-ci, à ma connaissance, ne sont pas applicables à Mac et EFI.

Tout ce que vous pouvez faire est de déposer un rapport de bogue avec Apple.

J'espère que cela sera mis en place dans le futur …

Voici ma compréhension de ATA Security et SED:

ATA Security est différent de SED. SED (lecteur de cryptage automatique) signifie que le lecteur va brouiller les données sur les commandes d'écriture à l'aide du cryptage. Un lecteur SED toujours chiffrer les données, indépendamment des paramètres de sécurité ATA (et / ou de la capacité). Notez qu'un lecteur SED ne peut pas stocker des données non cryptées. Le bénéfice de cryptage est que vous ne pouvez pas obtenir les données d'origine en lisant les plaques d'entraînement en laboratoire. ATA Security n'est pas une fonction de cryptage, seulement une fonction de verrouillage / déverrouillage. L'utilisateur (le BIOS) définit un mot de passe qui doit être envoyé à nouveau à chaque lecteur. Sans le mot de passe, le contrôleur du lecteur interdit les commandes de lecture / écriture. Les données sur le disque ne sont pas affectées. Si le lecteur est SED, ils sont déjà chiffrés, sinon un SED qu'ils ne sont pas. ATA Security doit être contournable en lisant la plaque en laboratoire avec un autre contrôleur.

Il semble qu'il y ait des extensions pour activer ATA Security dans BIOS. Voir: http://www.fitzenreiter.de/ata/ata_fra.htm

Ajouté le 31 janvier:

Pvj : désolé je ne peux pas ajouter un commentaire à ma réponse précédente, semble parce que je ne suis pas un utilisateur enregistré. Voici quelques infos additionnelles:

En ce qui concerne la façon d'activer la fonction de sécurité ATA (mots de passe du disque dur) sur votre carte mère: je ne connais pas la réponse et je la cherche aussi (mon dossier est une carte Asus). Cela dit, permettez-moi d'expliquer ce poste que j'ai suivi après une recherche approfondie.

Les cartes d'ordinateur portable supporte généralement la sécurité ATA dans le cadre de la procédure d'alimentation, en demandant le mot de passe du disque dur (à ne pas confondre avec le mot de passe "BIOS") et en le passant au disque dur qui se débloque. Notez que le disque dur se verrouille après habituellement 5 tentatives avec une mauvaise configuration. Après cela, vous devez éteindre le disque dur (en éteignant l'ordinateur …) pour obtenir 5 nouvelles chances. Il s'agit de rendre les attaques de force brutes difficiles.

Les tableaux de bord ne prennent pas en charge ATA Security, au moins je n'ai pas trouvé les derniers supportant cette fonctionnalité simple. Cela me laisse perplexe et se demande combien les fabricants de BIOS aiment AMI ou Phoenix se préoccuper de leurs utilisateurs, il semble qu'ils ont essayé d'être les moins innovants possibles au cours de ces 20 dernières années. Quant à Apple, je ne peux pas répondre.

Pour être clair: la fonctionnalité de sécurité ATA est gratuite avec les HDD des dernières années et est totalement gérée par le disque dur. Le seul effort nécessaire pour la carte mère est de demander le mot de passe à l'utilisateur au nom du disque dur, le transmettre au disque dur, puis l'oublier. C'est quelque chose de très sécurisé, mais très simple, et pour le propriétaire habituel d'un ordinateur, c'est la seule caractéristique qu'il / elle a besoin de protéger efficacement sa vie privée et de petits secrets comme les mots de passe en cas de vol. Mais le BIOS ne fournit toujours pas l'interface à cette fonctionnalité.

Il existe un hack pour modifier l'EEPROM du BIOS afin qu'il appelle une routine supplémentaire qui demandera le HDD pwd et le passera au disque dur. C'est le lien que j'ai fourni ci-dessus. Cette modification ne fonctionnera probablement pas pour les versions «EFI» du BIOS, mais elle peut contribuer à la solution. Il est peut-être préférable de ne pas fonctionner avec un BIOS spécifique, et essayer cette solution nécessiterait que vous ayez une prise en charge de la sauvegarde / restauration du BIOS au cas où les problèmes se produiraient, ce qui est susceptible de se produire. Notez que "E" dans EFI signifie "extensible", et que les extensions d'écriture pour prendre en charge les fonctionnalités devraient être faciles. Cela peut amener les gens à écrire des pilotes open source ATA Security dans le futur … (au lieu des fabricants de BIOS, qui ajouteront un certain modernisme à cette matière obscure).

Il semble qu'il soit possible d'insérer un code entre le processus de mise sous tension et le chargement du système d'exploitation. Cela se fera en définissant le bon code MBR. Ce code demande d'abord le HDD pwd, puis, si le disque dur est débloqué, appelez le chargeur de système d'exploitation qui aurait été exécuté directement sans modification.

Cela dit, je suis coincé là, exactement comme vous. Moi aussi, j'ai besoin d'un support de mot de passe HDD. Mais je vois que mobo de bureau ne le supporte pas. C'est dommage! Cela peut expliquer pourquoi les gens se déplacent vers un chiffrement qui est comme utiliser un marteau pour craquer un écrou, le cryptage consiste à empêcher de retirer les platines du lecteur et de les lire avec un matériel de laboratoire sophistiqué, sans utiliser une puce de contrôleur HDD normale, a déclaré Sinon cela permet de prévenir l'espionnage industriel hitech. Je ne vois pas que les voleurs de rue vont faire cela pour obtenir quelques photos de vacances, des vidéos porno, et des mails de bonjour, ils ne se soucient pas de tout.

Il est étonnant que nous voyons cette frénésie autour de Bitlocker, PGP, tout ce que le logiciel Crypt qui a des conditions préalables, est complexe, nécessite des solutions de récupération, etc., alors que la solution est déjà disponible sur le tableau HDD … mais bloqué par les types de paresseux du BIOS. Il faut dire que ces gars font quelque chose pour montrer qu'ils veulent aider leurs utilisateurs payants.