答案1
我发现 GPLsedutil允许在“SED 层”管理 SED:
msed - 管理自加密驱动器
该程序及其附带的预启动授权映像允许您在 BIOS 机器上启用符合 TCG OPAL 2.00 标准的 SED 锁定。
这msed 的作者与 Drive Trust Alliance 合作创建 GPL 企业解决方案:
我正在与 Drive Trust Alliance(GitHub 上的 Drive-Trust-Alliance)合作,为社区带来最好的开源 SED 工具。
答案2
我不知道这是否真的回答了你想要的问题。不过,我使用了此页面上的信息: https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
我有一个自加密 SSD。我使用 hdparm 命令设置用户密码、主密码,并将主密码功能设置为“最大”,这样主密码就无法解锁或禁用,只能擦除。(我的 BIOS 不允许我设置主密码或主模式。这确实不安全,因为制造商(戴尔)有主密码,任何服务代表可能都可以得到它。)
良好的 BIOS/UEFI 应该解锁并冻结驱动程序,这样操作系统就无法禁用密码。如果固件让驱动器不冻结,我就能明白如何禁用密码。
但是,所有这些都假设您相信驱动器固件没有后门或安全漏洞。您引用的文章似乎暗示这种情况很常见。我确实质疑 BIOS 级别有多“容易”被击败,因为文章指出驱动器必须已经解锁。文章没有说明驱动器安全性是否被冻结。
如果您不信任驱动器固件,那么我看不出 ATA 密码功能如何能帮助您。要继续从驱动器硬件中获益,您需要访问 AES 引擎本身,并能够自己编程 AES 密钥。
原为:{我不知道有这样的 HW 级 API。如果有人有参考资料,我会很感兴趣。}
抱歉,在回答之前我应该先阅读你所有的参考资料。所涉及的标准是 TCG Opal 2.0 和 IEEE-1667。看来 1667 已转向挑战响应协议,而不是 ATA 的明文密码交换。但在我看来,密码仍然存储在驱动器中,你仍然需要信任驱动器固件。