Como usar a segurança do ATA em um disco rígido na prática?

Atualmente, não é possível usar o ATA Security com Macs, a EFI não implementa isso e congela (bloqueia) a unidade após a inicialização da EFI. Portanto, nenhuma outra manipulação de segurança do ATA pode ser feita com hdparm ou similar. Mesmo se você contornar o congelamento do ATA (que é possível) no Linux e depois definir uma senha - ou definir uma senha quando o HD estiver em outro PC que suporte a segurança ATA - você não tem meios de desbloquear o dispositivo na inicialização do efi para iniciar seu sistema operacional favorito do SSD no Mac (book Pro).

Como mencionado acima por outras pessoas, há extensões de BIOS ou modems de EEPROM que podem ser aplicados a PCs comuns para habilitar o desbloqueio na inicialização de placas-mães que não suportam a inicialização de dispositivos protegidos por ATA. No entanto, estes dados não são aplicáveis ao Mac e EFI.

Tudo o que você pode fazer é enviar um relatório de bug para a Apple.

Espero que isso seja implementado no futuro ...

Este é o meu entendimento sobre o ATA Security e o SED:

O ATA Security é diferente do SED. SED (drive de criptografia automática) significa que o drive embaralha os dados em comandos de gravação usando criptografia. Uma unidade SED sempre criptografa os dados, independentemente das configurações de segurança do ATA (e / ou capacidade). Observe que uma unidade SED não pode armazenar dados não criptografados. O benefício da criptografia é que você não pode obter os dados originais lendo as placas da unidade no laboratório. ATA Security não é uma função de criptografia, apenas uma função de bloqueio / desbloqueio. O usuário (o BIOS) define uma senha que deve ser enviada novamente a cada acionamento ligado. Sem a senha, o controlador de unidade proíbe os comandos de leitura / gravação. Os dados no disco não são afetados. Se a unidade é SED, eles já estão criptografados, se não um SED, eles não são. ATA Segurança deve ser ignorável, lendo a placa em laboratório com outro controlador.

Parece que existem extensões para ativar o ATA Security no BIOS. Veja: link

Adicionado em 31 de janeiro:

pvj : desculpe, não consigo adicionar um comentário à minha resposta anterior, parece que não sou um usuário registrado. Aqui algumas informações adicionais:

Sobre como ativar o recurso ATA Security (senhas do disco rígido) na sua placa-mãe: Eu não sei a resposta e também estou procurando (meu caso é uma placa Asus). Dito isso, deixe-me explicar essa posição que recebi depois de uma pesquisa completa.

As placas para laptops geralmente suportam o ATA Security como parte do processo de ativação, solicitando a senha do HDD (não confundir com a senha de ativação / "BIOS") e passando-a para o HDD que se desbloqueia. Note que o HDD se trancará após normalmente 5 tentativas com um pwd errado. Depois disso, você precisa desligar o HDD (desligando o computador ...) para obter 5 novas chances. Isso é para dificultar ataques de força bruta.

As desktop boards não suportam o ATA Security, pelo menos eu não encontrei as mais recentes suportando este recurso simples. Isso me deixa perplexo, e imaginando o quanto os fabricantes de BIOS, como a AMI ou a Phoenix, realmente se importam com seus usuários, parece que eles tentaram ser o menos inovador possível nos últimos 20 anos. Quanto à Apple, não posso responder.

Para ser claro: O recurso ATA Security é algo que vem de graça com o HDD do ano passado e é totalmente gerenciado pelo HDD. O único esforço necessário para a placa-mãe é solicitar a senha ao usuário em nome do disco rígido, passá-lo para o disco rígido e depois esquecê-lo. Isso é algo muito seguro, embora muito simples, e para o dono habitual de um computador esta é a única característica que ele precisa proteger efetivamente sua vida privada e pequenos segredos como senhas de e-mail em caso de roubo. Mas o BIOS ainda não está fornecendo a interface para esse recurso.

Existe um hack para modificar a EEPROM do BIOS para que ele chame uma rotina adicional que solicitará o HDD pwd e passará para o HDD. Este é o link que eu forneci acima. Essa modificação provavelmente não funcionará para versões "EFI" do BIOS, mas pode ajudar na solução. Pode não funcionar com um BIOS específico também, e tentar essa solução exigiria que você tivesse suporte para backup / restauração do BIOS caso algo desse errado, o que provavelmente ocorrerá. Observe que "E" no EFI significa "extensível", e espera-se que as extensões de gravação para recursos de suporte sejam fáceis. Isso pode levar as pessoas a escreverem drivers ATA Security de código aberto no futuro ... (em vez de fabricantes de BIOS, o que adicionará algum modernismo a essa questão obscura).

Parece que é possível "inserir" o código entre o processo de ativação e o carregamento do sistema operacional. Isso seria feito definindo o código MBR apropriado. Este código primeiro pede o HDD pwd, então se o HDD for desbloqueado, o carregador do sistema operacional chama do que teria sido executado diretamente sem a modificação.

Dito isto, estou preso lá, exatamente como você. Eu também preciso de suporte a senhas de HDD. mas vejo que a mobo de desktop não suporta isso. Que pena! isso pode explicar por que as pessoas estão migrando para a criptografia, que é como usar um martelo para quebrar uma porca, a criptografia é impedir a remoção dos discos da unidade e lê-los com material de laboratório sofisticado, sem usar um chip controlador HDD normal. caso contrário, isso é para evitar espionagem industrial hitech. Eu não vejo ladrões de rua indo fazer isso para tirar algumas fotos de férias, vídeos pornôs e emails que eles não se importam de qualquer maneira.

É incrível ver esse frenesi em torno do Bitlocker, PGP, qualquer software Crypt que tenha pré-requisitos, seja complexo, exija soluções de recuperação, etc, enquanto a solução já está lá na placa HDD .... mas bloqueada pelo BIOS caras preguiçosos. Tem que ser dito, para que esses caras façam algo para mostrar que querem ajudar seus usuários pagantes.