Question Comment utiliser la sécurité ATA sur un disque dur en pratique?


Mon SSD HD prend en charge la sécurité ATA. Est-ce que Macbook EFI et Linux le supportent? Je sais que hdparm le fait. Qui fera le déblocage à chaque démarrage? Puis-je toujours définir un mot de passe sans effacer le disque?

Mise à jour: suppression du "cryptage complet du disque dur SED" du titre basé sur le commentaire de @ataboy. Cependant, certains peuvent encore qualifier de "chiffrement" cette sécurité ATA.


4
2017-10-28 23:40


origine




Réponses:


Actuellement, il n'est pas possible d'utiliser ATA Security avec les Mac, l'EFI ne le met pas en œuvre et gèle (verrouille) le lecteur après l'initialisation EFI. Donc, aucune autre manipulation de sécurité ATA ne peut être faite avec hdparm ou pareil. Même si vous contourner le gel ATA (ce qui est possible) sous Linux et ensuite définir un mot de passe - ou définir un mot de passe lorsque le disque dur se trouve sur un autre PC prenant en charge la sécurité ATA - vous ne pouvez pas déverrouiller le périphérique au démarrage votre système d'exploitation préféré à partir du SSD sur Mac (book Pro).

Comme mentionné ci-dessus, d'autres extensions BIOS ou EEPROM peuvent être appliquées à des PC classiques pour permettre le déverrouillage au démarrage de cartes mères ne prenant pas en charge le démarrage d'appareils protégés par ATA. Celles-ci sont toutefois à ma connaissance non applicables à Mac et EFI.

Tout ce que vous pouvez faire est de déposer un rapport de bogue avec Apple.

J'espère que cela sera mis en œuvre dans le futur ...


8
2018-06-24 15:31



Pouvez-vous s'il vous plaît ajouter des informations sur la façon de contourner le gel ATA? - firegurafiku


Ceci est ma compréhension de la sécurité ATA et SED:

ATA Security est différent de SED. SED (Self Encryption Drive) signifie que le lecteur brouillera les données sur les commandes d'écriture en utilisant le cryptage. Un lecteur SED crypte toujours les données, indépendamment des paramètres de sécurité ATA (et / ou des capacités). Notez qu'un lecteur SED ne peut pas stocker de données non cryptées. L'avantage du cryptage est que vous ne pouvez pas obtenir les données d'origine en lisant les plaques du lecteur en laboratoire. ATA Security n'est pas une fonction de cryptage, mais uniquement une fonction de verrouillage / déverrouillage. L'utilisateur (le BIOS) définit un mot de passe qui doit être renvoyé à chaque mise sous tension du lecteur. Sans le mot de passe, le contrôleur de disque interdit les commandes de lecture / écriture. Les données sur le disque ne sont pas affectées. Si le lecteur est SED, ils sont déjà cryptés, sinon un SED, ils ne le sont pas. La sécurité ATA devrait pouvoir être contournée en lisant la plaque en laboratoire avec un autre contrôleur.

Il semble qu'il existe des extensions pour activer la sécurité ATA dans le BIOS. Voir: http://www.fitzenreiter.de/ata/ata_fra.htm

Ajouté le 31 janvier:

pvj: désolé je ne peux pas ajouter un commentaire à ma réponse précédente, semble parce que je ne suis pas un utilisateur enregistré. Voici quelques infos supplémentaires:

Comment activer la fonctionnalité ATA Security (mots de passe HDD) sur votre carte mère: je ne connais pas la réponse et je la recherche également (mon cas est une carte Asus). Cela dit, laissez-moi vous expliquer cette position après une recherche approfondie.

Les ordinateurs portables prennent généralement en charge la sécurité ATA dans le cadre du processus de mise sous tension, en demandant le mot de passe du disque dur (à ne pas confondre avec le mot de passe «BIOS») et en le transmettant au disque dur. Notez que le disque dur se verrouille après 5 tentatives avec un pwd incorrect. Après cela, vous devez éteindre le disque dur (en éteignant l'ordinateur ...) pour avoir 5 nouvelles chances. Cela rend difficile les attaques en force.

Les cartes de bureau ne prennent pas en charge la sécurité ATA, du moins je n’en ai pas trouvé de récentes prenant en charge cette fonctionnalité simple. Cela me laisse perplexe et, se demandant combien les fabricants de BIOS comme AMI ou Phoenix se soucient vraiment de leurs utilisateurs, il semble qu'ils aient essayé d'être les moins innovants possible au cours de ces 20 dernières années. Quant à Apple je ne peux pas répondre.

Pour être clair: la fonctionnalité de sécurité ATA est fournie gratuitement avec le disque dur de l’année dernière et est totalement gérée par le disque dur. Le seul effort requis par la carte mère est de demander le mot de passe à l'utilisateur au nom du disque dur, de le transmettre au disque dur, puis de l'oublier. C'est quelque chose de très sécurisé, bien que très simple, et pour le propriétaire habituel d'un ordinateur, c'est la seule fonctionnalité dont il a besoin pour protéger efficacement sa vie privée et ses petits secrets comme les mots de passe en cas de vol. Mais le BIOS ne fournit toujours pas l'interface à cette fonctionnalité.

Il y a un piratage pour modifier l'EEPROM du BIOS afin qu'il appelle une routine supplémentaire qui demandera le disque dur du disque dur et le transmettra au disque dur. C'est le lien que j'ai fourni ci-dessus. Cette modification ne fonctionnera probablement pas pour les versions "EFI" du BIOS, mais elle peut aider à la solution. Cela pourrait ne pas fonctionner avec un BIOS spécifique, et essayer cette solution nécessiterait une prise en charge de la sauvegarde / restauration du BIOS en cas de problème. Notez que "E" dans EFI signifie "extensible", et que l'écriture d'extensions pour prendre en charge les fonctionnalités devrait être facile. Cela peut conduire les gens à écrire des pilotes de sécurité ATA open source à l'avenir ... (au lieu de fabricants de BIOS, ce qui ajoutera un peu de modernisme à cette question obscure).

Il semble possible d'insérer du code entre le processus de mise sous tension et le chargement du système d'exploitation. Cela se ferait en définissant le bon code MBR. Ce code demande d'abord le disque dur du disque dur, puis, si le disque dur est déverrouillé, il appelle le chargeur de système d'exploitation qui aurait été exécuté directement sans la modification.

Cela dit, je suis coincé là, exactement comme vous. Moi aussi, j'ai besoin du support de mot de passe du disque dur. mais je vois que le bureau mobo ne le supporte pas. C'est dommage! cela peut expliquer pourquoi les gens se tournent vers le cryptage, comme utiliser un marteau pour déchiffrer un écrou, le cryptage doit empêcher de retirer les plateaux du lecteur et de les lire avec du matériel de laboratoire sophistiqué, sans utiliser de puce de contrôleur de disque dur. sinon, cela empêche l’espionnage industriel. Je ne vois pas les voleurs de rue faire ça pour prendre quelques photos de vacances, des vidéos porno, et bonjour les mails qu'ils s'en foutent de toute façon.

Il est étonnant que nous voyions cette frénésie autour de Bitlocker, de PGP, de tout logiciel Crypt ayant des prérequis, complexe, nécessitant des solutions de récupération, etc., alors que la solution est déjà installée sur le disque dur. Il faut le dire pour que ces gars-là fassent quelque chose pour montrer qu'ils veulent aider leurs utilisateurs payants.


2
2018-01-25 07:54



Merci pour votre correction. Cela ne répond toutefois pas à ma question principale: comment commencer à l'utiliser? S'il vous plaît noter que j'utilise un Macbook Pro qui a EFI au lieu d'un BIOS. Le SSD que j'utilise est le SSD OCZ Vertex 2 SATA II 2,5 ": ocztechnology.com/products/solid-state-drives/sata-ii/.... - pjv
Vous ne devriez pas compter sur ATA Security sans une analyse très minutieuse de vos circonstances spécifiques; il y a beaucoup de lecteurs où il est facilement fissuré. Certains systèmes de bureau prennent en charge les mots de passe ATA. J'ai personnellement vu cela sur le Dell OptiPlex 9020 Micro PC; Je suppose que de nombreux autres systèmes Dell utilisent un BIOS similaire compatible avec cela. - Curt J. Sampson