El lunes, 3 de noviembre de 2025 19:27:55 (CET) Emilio J. Padrón González via xeral escribió:
Pero así o que estás é «desprotexendo» a chave que usa o disco (a controladora do disco, vaia) para cifrar/descifrar os datos de forma transparente por hardware, pero non deshabilitando o cifrado por hardware, non?
Seica, en terminoloxía OPAL, esa chave recibe o nome de DEK: https://store.teejeetech.com/2021/11/28/using-self-encrypting-drives-on-linu x
A miña BIOS déixame protexer esa DEK, que eu non podo mudar, con un contrasinal propio (a.k.a. AEK), pero non deshabilitar todo o tinglado se eu quero usar cifrado puramente software e non o cifrado hardware que trae o disco out-of-the-box.
Vaia, de feito, se ti mesmo dis que mudaches o contrasinal por un outro (baleiro, se non queres AEK), e segues puidendo acceder aos datos do disco sen que fosen re-cifrados, confirma que o cifrado por hardware segue a funcionar de forma transparente, non?
Ou se me está escapando algo? :-?
Vale... No creo que puedas llegar a eliminar la DEK en ningún momento. Como mucho, establecer la AEK a "vacío" (lo que yo hago), pero en todo caso el disco seguirá usando al DEK, cifrando internamente, pero ofreciendo el contenido descifrado al ordenador "gratis" (ya que la AEK está en blanco). Si te fijas, es algo muy parecido a lo que hace LUKS, que cifra todo con una clave, y luego deja al usuario asignar hasta 4 claves diferentes (cualquiera de ellas vale para acceder, e incluso las puedes desactivar) para acceder a esa clave maestra interna. Vamos, que si el disco es OPAL, habrá cifrado trabajando siempre, aunque sea para nada. Al menos así es como yo lo veo. Un saludo. -- E. Ocaña