実際にハードディスクでATAセキュリティを使用するにはどうすればよいですか?
私のSSDHDはATAセキュリティをサポートしています。 Macbook EFIとLinuxはそれをサポートしていますか?私はhdparmがそうすることを知っています。起動するたびに誰がロックを解除しますか?ディスクを消去せずにパスワードを設定できますか?
更新:@ataboyのコメントに基づいて、タイトルから「SEDフルハードディスク暗号化」を削除しました。ただし、このATAセキュリティを誤って「暗号化」と呼ぶ人もいます。
現在、MacでATAセキュリティを使用することはできません。EFIはこれを実装せず、EFIの初期化後にドライブをフリーズ(ロック)します。したがって、hdparmなどを使用してこれ以上ATAセキュリティ操作を行うことはできません。 LinuxでATAフリーズ(可能)を回避してからパスワードを設定した場合、またはHDDがATAセキュリティをサポートする別のPCにある場合にパスワードを設定した場合でも、起動時にefiから起動までデバイスのロックを解除する方法はありません。 Mac(book Pro)のSSDからお気に入りのOS。
他の人が前述したように、通常のPCに適用できるBIOS拡張機能またはEEPROM modがあり、ATAで保護されたデバイスの起動を単独でサポートしていないマザーボードの起動時にロックを解除できます。ただし、これらは私の知る限り、MacとEFIには適用されません。
できることは、Appleにバグレポートを提出することだけです。
これが将来実装されることを願っています...
これは、ATAセキュリティとSEDについての私の理解です。
ATAセキュリティはSEDとは異なります。 SED(自己暗号化ドライブ)は、ドライブが暗号化を使用して書き込みコマンドでデータをスクランブルすることを意味します。 SEDドライブは、ATAのセキュリティ設定(および/または機能)に関係なく、常にデータを暗号化します。 SEDドライブは暗号化されていないデータを保存できないことに注意してください。暗号化の利点は、ラボでドライブプレートを読み取っても元のデータを取得できないことです。 ATAセキュリティは暗号化機能ではなく、ロック/ロック解除機能のみです。ユーザー(BIOS)がパスワードを設定します。パスワードは、ドライブの電源を入れるたびに再送信する必要があります。パスワードがないと、ドライブコントローラは読み取り/書き込みコマンドを禁止します。ディスク上のデータは影響を受けません。ドライブがSEDの場合、それらはすでに暗号化されていますが、SEDでない場合は暗号化されていません。 ATAセキュリティは、ラボで別のコントローラーを使用してプレートを読み取ることでバイパスできる必要があります。
BIOSでATAセキュリティを有効にする拡張機能があるようです。参照: http://www.fitzenreiter.de/ata/ata_eng.htm
1月31日追加:
pvj:申し訳ありませんが、以前の回答にコメントを追加できません。登録ユーザーではないためと思われます。ここにいくつかの追加情報があります:
マザーボードでATAセキュリティ機能(HDDパスワード)を有効にする方法について:答えがわからないので、探しています(私の場合はAsusボードです)。とはいえ、徹底的な調査の結果、この立場を説明させていただきます。
ラップトップボードは通常、電源オンプロセスの一部としてATAセキュリティをサポートし、HDDパスワード(電源オン/「BIOS」パスワードと混同しないでください)を要求し、HDDに渡してロックを解除します。間違った電源で通常5回試行すると、HDDが自動的にロックされることに注意してください。その後、5つの新しいチャンスを得るために(コンピューターの電源を切ることによって...)HDDの電源を切る必要があります。これは、ブルートフォース攻撃を困難にするためです。
デスクトップボードはATAセキュリティをサポートしていません。少なくとも、この単純な機能をサポートしている最近のボードは見つかりませんでした。これは私を困惑させ、AMIやPhoenixのようなBIOSメーカーが実際にユーザーをどれだけ気にかけているのか疑問に思います。 Appleは答えられません。
明確にするために:ATAセキュリティ機能は昨年のHDDに無料で付属しており、HDDによって完全に管理されています。マザーボードに必要な唯一の作業は、HDDに代わってユーザーにパスワードを要求し、それをHDDに渡してから、忘れることです。これは非常に安全ですが、非常に単純です。通常のコンピュータの所有者にとって、これは彼/彼女が自分の私生活を効果的に保護するために必要な唯一の機能であり、盗難の場合のメールパスワードなどの小さな秘密です。しかし、BIOSはまだこの機能へのインターフェースを提供していません。
BIOS EEPROMを変更して、HDD pwdを要求し、それをHDDに渡す追加のルーチンを呼び出すようにするハックがあります。これは私が上で提供したリンクです。この変更は、BIOSの「EFI」バージョンではおそらく機能しませんが、解決に役立つ可能性があります。特定のBIOSでも機能しない可能性があり、このソリューションを試すには、問題が発生した場合に備えてBIOSバックアップ/復元をサポートしている必要があります。 EFIの「E」は「拡張可能」を意味し、機能をサポートする拡張機能の記述は簡単であることが期待されることに注意してください。これは、将来、オープンソースのATAセキュリティドライバを作成する人々につながる可能性があります...(BIOSメーカーの代わりに、このあいまいな問題にモダニズムを追加します)。
電源投入プロセスとOSの読み込みの間にコードを「挿入」することは可能のようです。これは、適切なMBRコードを設定することによって行われます。このコードは最初にHDDpwdを要求し、次にHDDのロックが解除されている場合、変更なしで直接実行された場合よりもOSローダーを呼び出します。
そうは言っても、あなたとまったく同じように、私はそこで立ち往生しています。私もHDDパスワードのサポートが必要です。しかし、デスクトップマザーボードはそれをサポートしていないようです。残念だ!これは、人々がスレッジハンマーを使用してナットを割るような暗号化に移行している理由を説明している可能性があります。暗号化は、通常のHDDコントローラーチップを使用せずに、ドライブのプラッターを取り外して洗練されたラボ資料で読み取ることを防ぐためです。それ以外の場合、これはハイテク産業スパイを防ぐためです。通りの泥棒が休暇の写真、ポルノビデオ、そしてこんにちはのカップルを手に入れるためにそうするつもりはありません-とにかく彼らが気にしないメールがあります。
Bitlocker、PGP、その他何でもこの狂乱を目にするのは驚くべきことです-前提条件があり、複雑で、回復ソリューションが必要な暗号化ソフトウェアなどですが、ソリューションはすでにHDDボードにありますが、BIOSの怠惰な人によってブロックされています。それらの人が彼らが彼らの有料ユーザーを助けたいと思うことを示すために何かをするように、それは言われなければなりません。