Leserartikel BitLocker Hardware Encryption eDrive

[Bob.Dig]

BitLocker Hardware Encryption (HE) eDrive

Die hardwarebasierte Verschlüsselung von SSDs und HDDs (Drives) mittels BitLocker als Encrypted Hard Drive (eDrive) ist performant, ohne zusätzlichen Ressourcenverbrauch. Hardwarebasiert bedeutet in diesem Zusammenhang, dass das Drive seine eigene, eingebaute Verschlüsselung nutzt, BitLocker wird nur zur Verwaltung und nicht für die Verschlüsselung genutzt. eDrive ist allgemein abhängig vom Drive selbst, von der Windowsversion und dem UEFI des Mainboards. Nicht Inhalt dieses Artikels ist die normale, softwarebasierte Verschlüsselung mittels BitLocker oder anderer Tools wie VeraCrypt.

​

Mit Windows 11 (z.B. Build 22000.376) lässt sich die hardwarebasierte Verschlüsselung wieder einrichten! Wobei auch hier die GP entsprechend konfiguriert werden muss, ebenso in Windows Server 2022.​

Mit der im Mai 2020 veröffentlichten Version 2004 von Windows 10 lässt sich die hardwarebasierte Verschlüsselung nicht mehr einrichten. ✝ Nähere Details sind nicht bekannt. Mit Upgrades statt Neuinstallationen kann aber die hardwarebasierte Verschlüsselung weiter genutzt werden, selbst wenn man gar keine Daten behält und sogar die bestehenden Partitionen löscht (quasi Neu-Install). Von welcher Version man nun genau noch einrichten kann, ist nicht einfach zu sagen, da es von MS aktualisierte Windows ISOs gibt, die schon die Blockierung enthalten. Am sichersten fährt man daher mit Windows10-ISOs 1903 oder früher.​

Mit einigen aktuellen Mainboards lässt sich eDrive nicht mehr nutzen. Auch kann es Unterschiede zwischen den verschiedenen Plattformen (AMD, intel) beim selben Mainboard-Hersteller geben und ob auch ein NVMe-Drive als eDrive verwendet werden kann.
Crucials NVMe-Drives können generell kein eDrive. Aktuell ist davon auszugehen, dass sich nur Samsung NVMe-Drives eignen.

Inhaltsverzeichnis
Übersicht Mainboardhersteller Übersicht Laptophersteller Benchmarkvergleich von software- und hardwarebasierter Verschlüsselung How-To: BitLocker eDrive als Bootlaufwerk Q&A Danksagung Stand dieses Leserartikels

​

Übersicht Mainboardhersteller

​		ASRock​	​		ASUS​	​		Gigabyte​	​		MSI​	​			Rest​
Sockel:​		AM4​	1151v2​		AM4​	1151v2​		AM4​	1151v2​		AM4​	1700​	1151v2		❔​
SATA:​		✅​	​		❔​	❔​		✅​	❔​		✅​	✅​	❌​		❔​
NVMe:​		✅​	​		❔​	❌​		✅​	❔​		✅​	✅​	❌​		❔​

Datenlage gering, daher alle Angaben ohne Gewähr.

Übersicht Laptophersteller

		Lenovo Legion
Ryzen_5000		​

Datenlage gering, daher alle Angaben ohne Gewähr.

Wer eigene Erfahrungen beisteuern kann, bitte hier posten.
Aktuellstes, noch empfohlenes UEFI ist Pflicht [Achtung bei ASRock - intel].
Neben der Angabe des Drives bitte einen Screenshot beifügen und auf Besonderheiten hinweisen.

↪ Inhaltsverzeichnis
​

Benchmarkvergleich von software- und hardwarebasierter Verschlüsselung

• 980 Pro 1TB, M.2

Das hier Gezeigte ist noch der Idealfall für die softwarebasierte Verschlüsselung, sie unterscheidet sich bis auf eine leicht erhöhte CPU-Last im SEQ1M-Q8T1-Test kaum. In der Praxis schneidet die softwarebasierte Verschlüsselung mittels BitLocker (aber nicht VeraCrypt!) teilweise deutlich schlechter ab, Verluste von 50% bei den Schreibwerten sind dann keine Seltenheit. Die Ursache dafür ist vermutlich ein Problem mit 4KB-Sektoren mit Emulation (512e).

↪ Inhaltsverzeichnis
​

How-To: BitLocker eDrive als Bootlaufwerk

• Warnung
  • Das ganze Prozedere ist für Anfänger nicht geeignet.
  • Es droht Datenverlust. Es sollte daher immer ein aktuelles Backup angelegt werden.
  • Aufgrund von BitLocker-Recovery-Maßnahmen sollte mindestens ein weiterer PC jederzeit zur Verfügung stehen.
  • Ein geeignetes Windows muss auf das Drive frisch installiert werden! 😝
• Mindestvoraussetzung
  • Drive mit geeigneter Verschlüsselungsfunktion
  • Mainboard mit geeignetem UEFI
  • Win10 Pro < 1909
  • Keine Voraussetzung für BitLocker ist ein Trusted Platform Module (TPM). Viele aktuelle CPUs enthalten selbst ein TPM, dieses kann im UEFI aktiviert werden.
    
• Vorbereitung
  • SSDs von Samsung müssen mit dem Herstellertool (Magician) vorbereitet werden (Ready to enable).
    
    Ausnahme: Das Drive ist bereits eDrive enabled.
    
  • Das Drive muss leer und uninitialisiert sein, dafür dieses mittels diskpart cleanen.
    
    Oder, sofern vorhanden und geeignet, entsprechende Angebote im UEFI nutzen (z.B. NVME Sanitation Tool, SSD Secure Erase Tool).
    Ein Secure Erase an sich ist nicht erforderlich, erledigt den Job aber ebenfalls.
  • Windows muss auf das Drive frisch installiert werden, im sogenannten UEFI-Modus.
  • Ein USB-Stick als Installationsmedium muss FAT*-formatiert sein, am Besten das offizielle Media Creation Tool (MCT) von Microsoft für die Erstellung des Sticks nutzen.
  • Im UEFI des Mainbords muss das Compatibility Support Module (CSM) deaktiviert sein. Dieses findet sich zumeist bei den Boot-Optionen.
    Secure boot ist keine Voraussetzung für BitLocker.
• Windowsinstallation
  • Wie bei jeder Installation von Windows sollten alle anderen Drives vorher abgeklemmt werden.
  • Im UEFI muss für aktuellere Drives disable Block Sid aktiviert werden, es empfiehlt sich daher die generelle Aktivierung. Dieser Vorgang gilt nur für den nächsten Boot und erlaubt die SID authentication in TCG Storage Device, indem diese notwendige Authentifizierung eben nicht länger blockiert wird.
    
    Die darauf folgende Frage muss mit F10 bestätigt werden, worauf das Mainboard erneut bootet.
    
    Nun muss Windows unmittelbar installiert werden.
    Ausnahme: Das Drive ist bereits eDrive enabled.
  • Auf die Verwendung eigener Storage-Treiber (z.B. intel_RST, Samsung_NVM_Express_Driver) sollte nach Möglichkeit verzichtet werden.
  • Nach der Installation kann in der System Information überprüft werden, ob Windows tatsächlich im UEFI-Modus installiert wurde.
    
    Darüber hinaus kann im Falle von Samsung-Drives jetzt auch schon mittels Magician überprüft werden, ob das Drive eDrive enabled ist.
• Konfiguration von BitLocker
  • Als erstes sollte BitLocker über Group Policy (GP) mittels des Group Policy Editor (gpedit.msc) konfiguriert werden.
    
  • Neben der der obligatorischen Aktivierung der hardwarebasierten Verschlüsselung muss die softwarebasierte Verschlüsselung vorerst abgewählt werden (gilt ggf. nicht für Win11).
    
  • Für die Eingabe einer PIN bei einem TPM folgende GP aktivieren. Wer kein TPM hat oder dieses bewusst nicht zugeschaltet hat, muss zusätzlich oben den Haken setzen.
    
• Verschlüsselung mittels BitLocker
  • Ein Rechtsklick im Explorer auf das Bootlaufwerk erlaubt nun die Verschlüsselung einzuschalten. Neben der empfohlenen Vergabe eines Passwortes oder einer PIN (TPM), wird in den folgenden Dialogen auch ein Wiederherstellungsschlüssel generiert. Diesen unbedingt aufbewahren! Im Falle von Problemen ist teilweise eine Entschlüsselung nur noch mit diesem möglich, selbst wenn Passwort/PIN bekannt sind! Bei der enhanced PIN oder Passwortvergabe ist zu beachten, dass diese für ein Bootlaufwerk mit dem englischen Tastaturlayout eingeben werden sollten. Den Probelauf mit der Passworteingabe darf man nicht mehr wählen, sondern man muss direkt verschlüsseln!
  • Wenn der Assistent eine Fehlermeldung ausgibt oder fragt, ob das Drive in Teilen verschlüsselt werden soll oder die Verschlüsselung länger als ein paar Sekunden dauert, dann war zumindest die Verschlüsselung in Hardware nicht erfolgreich. Dies kann auch wie folgt überprüft werden.
    manage-bde -status
    
  • Wenn die Verschlüsselung einmal komplett aufgehoben wurde, kann nur noch softwarebasiert verschlüsselt werden! (Win10)​

↪ Inhaltsverzeichnis​

Q&A

• Wie sicher ist die hardwarebasierte Verschlüsselung mittels BitLocker?
  Diese ist immer abhängig vom jeweiligen Drive. Da Microsoft keinerlei Versprechungen machen kann, was die Sicherheit der Implementierung der verschiedenen Hersteller betrifft, ist die hardwarebasierte Verschlüsselung mittels BitLocker inzwischen nicht mehr die Voreinstellung von Windows und muss wie folgt aktiviert werden.
  
  
  
• Wie schnell ist die hardwarebasierte Verschlüsselung mittels BitLocker?
  Es gibt keinen Unterschied zwischen unverschlüsseltem und verschlüsseltem Drive.
  
  
• Kann die eDrive-Aktivierung (eDrive enabled) an einem anderen PC vorgenommen werden?
  Wenn euer PC z.B. die disbale Block Sid-Funktion im UEFI vermissen lässt, aber ein anderer PC hat diese, dann kann man die Schritte für eine eDrive-Aktivierung als Zweitlaufwerk wie folgt zusammen fassen:
  1. Ready to Enable mittels Magician
  2. uninitialisiertes Drive
  3. disbale Block Sid im UEFI aktivieren
  4. Windows als reines UEFI-System
  5. (GP Hardwarebasiertes BitLocker in Windows aktivieren)
  6. Initialisieren des Drives in der Datenträgerverwaltung (oder bei der Windowsinstallation).
  Abschließend mittels Magician das Ergebnis prüfen.
  
  
• Kann die einmal erfolgte eDrive-Aktivierung (eDrive enabled) zurückgenommen werden?
  Anders als im folgenden Screenshot zu lesen ist, kann dies mittels PSID-Revert erreicht werden. Ein Secure Erase langt dafür nicht. Die dazu nötige Physical Security ID (PSID) findet sich auf dem Aufkleber direkt auf dem Drive. Gerade bei M.2-Drives kann es nicht schaden, diesen Aufkleber vorher abzufotografieren.
  
  
  
• Gibt es für die hardwarebasierte Verschlüsselung nach dem OPAL-Standard Alternativen?
  SEDutil gibt es für Windows und Linux.

↪ Inhaltsverzeichnis​

Besonderen Dank

🏆
@tox1c90 @palace
​

↪ Inhaltsverzeichnis

Stand:

 

[Faust2011]

Eigentlich sollte das funktionieren. Bitlocker braucht ein TPM (Trusted Platform Module), das in der Ryzen CPU drin ist. Es kann jedoch auch Probleme geben, siehe Quick pro tip about Ryzen and TPM

 

[ntloader]

Fehlermeldung?

 

[IBISXI]

Soweit ich weiß, ist das TPM Modul extern und nirgends integriert.
https://www.google.at/search?q=tpm+...3OPfAhXLUlAKHbJtAFgQ_AUIDigB&biw=1252&bih=640

Mainboards haben einen Steckplatz dafür.

 

[Bob.Dig]

BitLocker braucht kein TPM wenn die entsprechende Option gesetzt ist, welche ich immer vornehme.
Wer hat es denn mit AM4 am Laufen und weiß näheres?

 

[IBISXI]

Rein Interessehalber:
Wofür braucht man Hardware Encryption?

 

[Bob.Dig]

Ist schneller als in Software, insbesondere bei kurzen Zugriffen, Stichwort 4k.

 

[Madnex]

Allerdings auch potentiell unsicherer:
Daten von einigen selbstverschlüsselnden SSDs ohne Passwort einsehbar

 

[Bob.Dig]

Ja ist bekannt, wurde aber dramatisiert, hab das Paper selbst gelesen und die Diskussion auf CB geführt.

 

[foofoobar]

Ryzen ist doch schnell genug: (Und das ist nur ein Core)

$ cryptsetup benchmark
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1      1081006 iterations per second
PBKDF2-sha256     764268 iterations per second
PBKDF2-sha512     544431 iterations per second
PBKDF2-ripemd160  661145 iterations per second
PBKDF2-whirlpool  261882 iterations per second
#  Algorithm | Key |  Encryption |  Decryption
     aes-cbc   128b  1054,4 MiB/s  3396,5 MiB/s
serpent-cbc   128b    95,9 MiB/s   348,8 MiB/s
twofish-cbc   128b   178,2 MiB/s   360,9 MiB/s
     aes-cbc   256b   801,6 MiB/s  2928,7 MiB/s
serpent-cbc   256b    96,0 MiB/s   348,8 MiB/s
twofish-cbc   256b   178,1 MiB/s   360,2 MiB/s
     aes-xts   256b  1621,5 MiB/s  1623,1 MiB/s
serpent-xts   256b   340,9 MiB/s   338,4 MiB/s
twofish-xts   256b   358,1 MiB/s   358,8 MiB/s
     aes-xts   512b  1435,5 MiB/s  1437,0 MiB/s
serpent-xts   512b   341,0 MiB/s   338,4 MiB/s
twofish-xts   512b   358,3 MiB/s   358,8 MiB/s
$ lscpu
Architecture:          x86_64
CPU op-mode(s):        32-bit, 64-bit
Byte Order:            Little Endian
CPU(s):                16
On-line CPU(s) list:   0-15
Thread(s) per core:    2
Core(s) per socket:    8
Socket(s):             1
NUMA node(s):          1
Vendor ID:             AuthenticAMD
CPU family:            23
Model:                 1
Model name:            AMD Ryzen 7 1700X Eight-Core Processor
Stepping:              1
CPU MHz:               2200.000
CPU max MHz:           3400,0000
CPU min MHz:           2200,0000
BogoMIPS:              6787.27
Virtualization:        AMD-V
L1d cache:             32K
L1i cache:             64K
L2 cache:              512K
L3 cache:              8192K
NUMA node0 CPU(s):     0-15
Flags:                 fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt pdpe1gb rdtscp lm constant_tsc rep_good nopl nonstop_tsc cpuid extd_apicid aperfmperf pni pclmulqdq monitor ssse3 fma cx16 sse4_1 sse4_2 movbe popcnt aes xsave avx f16c rdrand lahf_lm cmp_legacy svm extapic cr8_legacy abm sse4a misalignsse 3dnowprefetch osvw skinit wdt tce topoext perfctr_core perfctr_nb bpext perfctr_l2 mwaitx hw_pstate retpoline retpoline_amd vmmcall fsgsbase bmi1 avx2 smep bmi2 rdseed adx smap clflushopt sha_ni xsaveopt xsavec xgetbv1 xsaves clzero irperf xsaveerptr arat npt lbrv svm_lock nrip_save tsc_scale vmcb_clean flushbyasid decodeassists pausefilter pfthreshold avic v_vmsave_vmload vgif overflow_recov succor smca
$

 

[Bob.Dig]

Nein, das kriegt keine CPU so hin und das ist auch nicht das Thema.

 

[foofoobar]

Ein Core schafft ein vielfaches von einem SATA Anschluß, was ist also das Thema?

 

[Bob.Dig]

Warum die Hardwareverschlüsselung sich nicht aktivieren lässt ist das Thema.

Hier kannst Du dich auch noch ein wenig bilden, schau dir insbesondere die 4K Werte des Vergleiches an. Links Softwareverschlüsselung, rechts Hardwareverschlüsselung. Und das trift genauso auf BitLocker in Software zu. Wenn Du dazu noch Redebedarf hast, dann gerne in dem anderen Thread.

Ergänzung (10. Januar 2019)

Habe mir jetzt noch ein Asrock Board bestellt um dann zu gucken ob das ein AM4 Problem oder eines von MSI ist.

 

[foofoobar]

Und wie sind die Software 4K Werte auf der AM4 Plattform?

 

[Bob.Dig]

Habe ich nicht getestet aber vermutlich das selbe wegen halt dem Softwarelayer dazwischen.

 

[Mente]

Hi,
hast du den CSM deaktiviert un auch dein Boot im Uefi Modus eingestellt für win10?
Ich hatte das bei mir im test gemacht und da ging es problemlos im Uefi modus.
Aber ich nutze keine Samsung SSDs und auch kein MSI Board daher ....
lg

 

[IBISXI]

Geht das nur mit Secure Boot?

 

[Mente]

so wie der TE es haben will ja, und CMS muss komplett aus sein und TPM an.

 

[Bob.Dig]

Aber ich nutze keine Samsung SSDs und auch kein MSI Board daher ....
lg

Aber AM4 hoffe ich. Welches Brett denn?

Ergänzung (11. Januar 2019)

so wie der TE es haben will ja, und CMS muss komplett aus sein und TPM an.

Also ich meine SecureBoot ist nicht pflicht und ein TPM auch nicht, wenn man die entsprechende Policy einstellt.

 

[Mente]

Hi,
laut MS und Samsung ist es Pflicht für Hardware Support, ich hab nen C6H und C7h und da lief beim Test die hardware Verschlüsslung der Vector problemlos.
Aber die anderen User hier haben recht mit entsprechender Hardware ist software Verschlüsselung nicht wirklich langsamer und auch sicherer.
lg
PS: wenn du mal mehr lesen möchtest zur "Sicherheit"