Non so se questo stia davvero rispondendo alla domanda che volevi. Tuttavia ho usato le informazioni su questa pagina:
https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
Ho avuto un SSD con crittografia automatica. Ho usato il comando hdparm per impostare una password utente, una password principale e impostare la capacità della password principale su "massimo" in modo che una password principale non possa essere sbloccata o disabilitata, ma solo cancellare. (Il mio BIOS non mi ha permesso di impostare una password principale o la modalità principale. Questo è davvero insicuro in quanto il produttore (Dell) ha la password principale e probabilmente qualsiasi rappresentante del servizio può ottenerla.)
Un buon BIOS / UEFI dovrebbe sbloccare il driver e bloccarlo in modo che la password non possa essere disabilitata dal sistema operativo. Se il firmware lascia l'unità bloccata, potrei vedere come la password potrebbe essere disabilitata.
Tuttavia, tutto ciò presuppone che il firmware delle unità non sia privo di backdoor o sicurezza. L'articolo che citi sembra implicare che questo è comune. Mi chiedo quanto "facile" sia il livello di bios da sconfiggere poiché l'articolo afferma che l'unità deve essere già sbloccata. L'articolo non diceva se la sicurezza dell'unità era bloccata o meno.
Se non ti fidi del firmware delle unità, non vedo come nessuna delle funzionalità della password ATA possa aiutarti. Per beneficiare ancora dell'azionamento HW, è necessario accedere al motore AES stesso ed essere in grado di programmare autonomamente la chiave AES.
era: {Non conosco una simile API di livello HW. Sarei interessato se qualcuno avesse un riferimento.}
Scusa, avrei dovuto leggere tutti i tuoi riferimenti prima di rispondere. Gli standard in questione sono TCG Opal 2.0 e IEEE-1667. Sembra che il 1667 passi a un protocollo di risposta alla sfida sullo scambio di password in chiaro di ATA. Tuttavia, mi sembra che le password siano ancora memorizzate nell'unità e dovresti comunque fidarti del firmware dell'unità.