Ich weiß nicht, ob dies wirklich die Frage beantwortet, die Sie wollten. Ich habe jedoch Informationen auf dieser Seite verwendet:
https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
Ich hatte eine selbstverschlüsselnde SSD. Ich habe den Befehl hdparm verwendet, um ein Benutzerkennwort, ein Hauptkennwort und die Hauptkennwortfunktion auf "Maximum" zu setzen, damit ein Hauptkennwort nicht entsperrt oder deaktiviert, sondern nur gelöscht werden kann. (In meinem BIOS konnte ich weder ein Hauptkennwort noch den Hauptmodus festlegen. Dies ist in der Tat unsicher, da der Hersteller (Dell) das Hauptkennwort hat und wahrscheinlich jeder Servicemitarbeiter es erhalten kann.)
Ein gutes BIOS / UEFI sollte den Treiber entsperren und einfrieren, damit das Kennwort vom Betriebssystem nicht deaktiviert werden kann. Wenn die Firmware das Laufwerk nicht gefroren lässt, kann ich sehen, wie das Kennwort deaktiviert werden kann.
Dies alles setzt jedoch voraus, dass Sie darauf vertrauen, dass die Firmware des Laufwerks keine Hintertür oder Sicherheitslücke aufweist. Der Artikel, den Sie zitieren, scheint zu implizieren, dass dies üblich ist. Ich frage mich, wie "einfach" es ist, das BIOS-Level zu besiegen, da der Artikel besagt, dass das Laufwerk bereits entsperrt sein muss. In dem Artikel wurde nicht angegeben, ob die Laufwerkssicherheit eingefroren war oder nicht.
Wenn Sie der Firmware des Laufwerks nicht vertrauen, sehe ich nicht, wie Ihnen eine der ATA-Kennwortfunktionen helfen kann. Um weiterhin von der HW des Laufwerks zu profitieren, benötigen Sie Zugriff auf die AES-Engine selbst und können den AES-Schlüssel selbst programmieren.
war: {Ich kenne keine solche HW-Level-API. Es würde mich interessieren, wenn jemand eine Referenz hat.}
Entschuldigung, ich hätte alle Ihre Referenzen lesen sollen, bevor ich antwortete. Die fraglichen Standards sind TCG Opal 2.0 und IEEE-1667. Es scheint, dass 1667 über den Klartext-Passwortaustausch von ATA zu einem Herausforderungsprotokoll wechselt. Es scheint mir jedoch, dass die Passwörter immer noch im Laufwerk gespeichert sind und Sie der Firmware des Laufwerks weiterhin vertrauen müssen.