Bueno, primero, solo sé sobre truecrypt. La contraseña no es realmente hash, sino que se envía a través de un algoritmo de derivación clave (bueno, en mi opinión, es solo un algoritmo de hashing diferente, así que continuaré llamándolo hash). Así que para responder a tu primera pregunta:
Sí, si conoce el hash de la contraseña, sería posible descifrar los datos. Creo que es un gran riesgo potencial en todas las implementaciones de SED, y nunca es realmente satisfactorio por parte de los proveedores.
Truecrypt utiliza un enfoque diferente. En TC, primero se genera la clave de cifrado para el cifrado simétrico de los datos (utilizando datos aleatorios). Luego, la contraseña "hash" se utiliza para cifrar la clave de cifrado. El método de derivación de clave y la clave de cifrado cifrada se almacenan en el encabezado del volumen, pero no la propia contraseña con hash. Si ingresa una contraseña ahora para desbloquear la unidad, esta contraseña se "revisa" de acuerdo con el método de derivación de clave utilizado para el volumen. Con el resultado, TC descifra el encabezado y busca un valor específico, simplificado y "OK". Por lo tanto, si el descifrado con la contraseña suministrada produce el bit "OK", truecrypt sabe que la contraseña es correcta. Por lo tanto, no es necesario almacenar la contraseña con hash. El hash simplemente se generará cada vez que intentes desbloquearlo y desafiarlo contra un valor conocido.
Ahora, como se dijo antes, sobre los SED, no estoy tan seguro y, a menudo, dudo que el fabricante piense tan lejos. Un documento técnico de Seagate en sus SED al menos sugiere que la contraseña de hash está almacenada "en algún lugar". No está claro si es posible adquirir este hash desmantelando la unidad o pirateando el hardware.