Da sam sebi odgovorim nakon kopanja:
OPAL (SED - self encrypting drive) diskovi nemaju nikakve veze sa bitlockerom.
Hardware enkripcija je cijelo vrijeme upaljena samo što je pristup dozvoljen svima dok se ne zaključa na jedan od 2 načina:
U biosu s ATA lockom
sedutil aplikacijom
ak se izgubi pass od ata zakljucanog diska, kao i prije, disk se može baciti
sedutil zaključanim diskom može se spasiti disk ali ne i podatci. napravit će wipe pošto encrytion key više neće biti isti.
Nadalje,
bilo mi je sumjivo nakon raspakiravanja OS-a radim backup imagea, hoće mi 400GB image raditi. Bitlocker uključen :?: a nisam ga uključivao.
- od Win 10 ver 1803 ako su uvjeti za samo enkripitiranje tu (npr tmp 2.0, uefi secure boot, DMA protection) disk se sam pocne enkriptirati praznim kljucem nakon OOBE-a, ulaskom u sysprepani image jelte.
Key se mjenja ak se ulogira microsoft accountom ili ak je enforsan preko AD group policiya pa se zapisuje u comp account.
https://docs.microsoft.com/en-us/win.../oem-bitlocker
Zakljucak: Prakticki se disk može 2 puta enkriptirati (hard i soft).
Pošto postoje brojni članci kako se SED nesiguran, tako da je to rješenje sa SED diskom *đaba si krečio*