San*_*dra 7 linux api fde self-encrypting-drive opal
在这个文章是表明它是绕过BIOS ATA密码口令多么容易,它与使用磁盘的自加密硬盘(SED)API从OS内不会给一个性能命中结束。在 Windows 上,此 API 称为 Microsoft eDrive。看到这里和这里。
有谁知道 Linux 是否可以直接与 SED 层通信,所以 Linux 处理密码?
wmi*_*lls -1
我不知道这是否真的回答了你想要的问题。但是我使用了此页面上的信息: https: //ata.wiki.kernel.org/index.php/ATA_Secure_Erase
我有一个自加密 SSD。我使用 hdparm 命令设置用户密码、主密码,并将主密码能力设置为“最大”,这样主密码就无法解锁或禁用,只能擦除。(我的 BIOS 不允许我设置主密码或主模式。这确实不安全,因为制造商(戴尔)拥有主密码,并且可能任何服务代表都可以获取它。)
好的 BIOS/UEFI 应该解锁驱动程序并冻结它,以便操作系统无法禁用密码。如果固件使驱动器未冻结,我可以看到如何禁用密码。
然而,所有这一切都假设您相信驱动器固件没有后门或安全漏洞。您引用的文章似乎暗示这种情况很常见。我确实质疑 BIOS 级别有多“容易”被击败,因为文章指出驱动器必须已经解锁。文章没有说明驱动器安全是否被冻结。
如果您不信任驱动器固件,那么我看不出任何 ATA 密码功能可以为您提供帮助。为了仍然受益于驱动器硬件,您需要访问 AES 引擎本身并能够自行编程 AES 密钥。
是:{我不知道有这样的硬件级别 API。如果有人有参考资料,我会很感兴趣。}
抱歉,我应该在回答之前阅读您所有的参考资料。相关标准是 TCG Opal 2.0 和 IEEE-1667。看来 1667 已转向基于 ATA 明文密码交换的质询响应协议。然而,在我看来,密码仍然存储在驱动器中,您仍然需要信任驱动器固件。
| 归档时间: |
|
| 查看次数: |
3044 次 |
| 最近记录: |