Não sei se isso realmente está respondendo à pergunta que você queria. No entanto, usei as informações desta página:
https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
Eu tinha um SSD auto-criptografado. Usei o comando hdparm para definir uma senha de usuário, uma senha mestra e definir o recurso de senha mestra para "máximo" para que uma senha mestra não possa ser desbloqueada ou desativada, basta apagar. (Meu BIOS não me permitiu definir uma senha mestra ou o modo mestre. Isso é realmente inseguro, pois o fabricante (Dell) possui a senha mestra e provavelmente qualquer representante de serviço pode obtê-la.)
Um bom BIOS / UEFI deve desbloquear o driver e congelá-lo para que a senha não possa ser desativada pelo sistema operacional. Se o firmware deixar a unidade descongelada, pude ver como a senha pode ser desativada.
No entanto, tudo isso pressupõe que você confia no firmware da unidade para não ter uma porta dos fundos ou uma falha de segurança. O artigo que você cita parece sugerir que isso é comum. Eu questiono o quão "fácil" é o nível de bios para derrotar, pois o artigo afirma que a unidade já deve estar desbloqueada. O artigo não dizia se a segurança da unidade estava congelada ou não.
Se você não confia no firmware das unidades, não vejo como alguma funcionalidade da senha do ATA pode ajudá-lo. Para se beneficiar ainda da unidade HW, você precisaria acessar o próprio mecanismo AES e poder programar a chave AES.
foi: {não conheço uma API no nível de HW. Eu ficaria interessado se alguém tiver uma referência.}
Desculpe, eu deveria ter lido todas as suas referências antes de responder. Os padrões em questão são TCG Opal 2.0 e IEEE-1667. Parece que 1667 mudou-se para um protocolo de resposta a desafios através da troca de senha de texto não criptografado da ATA. No entanto, parece-me que as senhas ainda estão armazenadas na unidade e você ainda precisa confiar no firmware da unidade.