Leserartikel BitLocker Hardware Encryption eDrive

Eine mögliche Alternative: das klassische Festplattenpasswort sollte theoretisch ebenfalls die Möglichkeit bieten, Verschlüsselung zu nutzen.

Auch hier sind die Infos wieder diffus und nicht einfach aufzutreiben. Grundsätzlich firmiert das ganze also sog. "Class 0" Encryption.

Verschlüsselt sollten die Daten der SSDs idr so oder so sein, bekanntlich ist lediglich der Schlüssel halt mit gespeichert, solange kein eDrive o.ä. zur Nutzung kommt.

Praktisch: zum Beispiel auf ThinkPads kann man einstellen dass bei Neustart kein Festplatten-Passwort abgefragt wird. Außerdem lässt sich der Fingerabdruckscanner dafür nutzen.
 
Zuletzt bearbeitet:
Habe Lenovo Legion als inkompatibel zum Startpost hinzugefügt. D.h. leider, dass die Hardware weiterhin eine Rolle spielt. :skull_alt:
 
Hallo,

habe eben die Hardwareverschlüsselung aktiviert:

1. Samsung Magician: "ready to enable" gesetzt
2. NVMe Sanitization Tool durchgeführt
3. Disabled SID Block aktiviert (Bei ASrock muss man das nur aktivieren, wird beim nächsten Boot-Vorgang wieder automatisch deaktiviert).
4. Windows Clean install (Win 11 Pro - 22H2)
5. Verschlüsselung aktivieren: CMD: manage-bde -on C: -fet hardware

manage-bde -status :
Volume "C:" []
[Betriebssystemvolume]

Größe: 930,77 GB
BitLocker-Version: 2.0
Konvertierungsstatus: Vollständig verschlüsselt
Verschlüsselt (Prozent): 100,0 %
Verschlüsselungsmethode: Hardwareverschlüsselung - 1.3.111.2.1619.0.1.2
Schutzstatus: Der Schutz ist aktiviert.
Sperrungsstatus: Entsperrt
ID-Feld: Unbekannt
Schlüsselschutzvorrichtungen:
TPM

Hat anscheinend geklappt.

Festplatte: 980 Pro

Habe aber dazu mal paar Fragen:

1. Ist dieses "Disabled SID Block" wirklich nötig? (Einige haben diese Option gar nicht im Bios.)

2. In der Anleitung steht irgendwas von Gruppenrichtlinien-Einstellungen, ich habe es ja bei mir gar nicht gemacht, trotzdem hat die Verschlüsselung geklappt, ist es also gar nicht nötig?

3. Kann ich die Verschlüsselung jederzeit deaktivieren und aktivieren? Für BIOS-Update darf man ja keine Verschlüsselung aktiviert haben.

4. Die Verschlüsselung ist zwar aktiv, aber was ich nicht verstehe: Bei mir wird beim booten gar nichts abgefragt, nur eben das normale Windows Login. Was für Sinn hat jetzt solche Verschlüsselung ohne PIN Abfrage? Wenn mir jemand mein PC / Notebook klaut, kann er doch auf die Daten zugreifen, so ein Windows Login kann man ja leicht umgehen? (habe ich nen Denkfehler? - Bei meinem Surface ist die Verschlüsslung ab Werk aktiv gewesen und dort wird auch nichts abgefragt, halt nur normale Windows Microsoft Konto Login)

Danke!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Bob.Dig
Wäre mir komplett neu, dass die Hardware Verschlüsselung nun der Softwareverschlüsselung vorgezogen würde.
If you do not configure this policy setting, BitLocker will use software-based encryption irrespective of hardware-based encryption availability.
 
Zuletzt bearbeitet:
Hallo zusammen,

auch ich kann endlich was positives bezüglich Hardware Encryption berichten. Habe mir in den letzten Tagen ein neues System zusammen gestellt unter anderem aus...

CPU: Sockel AM5 - AMD Ryzen 9 7950X
Mainboard: ASUS ROG Crosshair X670E Extreme
SSD: Samsung 980 PRO 2TB NVMe (zuvor: Samsung 990 PRO 2TB NVMe)
OS: Win11 22H2 Build 22621.1465 (ISO von deskmodder.de)

Eines der wichtigsten Punkte für mich war ein System bei dem Bitlocker Hardware Encryption zu 100% klappt.

Angefangen habe ich mit der Samsung 990 PRO 2TB. Den Status von "Ready to enable" auf "Enabled" umzustellen war vergleichsweise leicht, das wars dann aber auch schon mit den positiven Sachen was diese SSD betrifft, den ab jetzt ging es nur noch Berg auf. Etwa 12 Stunden Zeit haben ich verloren und vergeblich alles versucht Hardware Encryption auf der 990 PRO zum laufen zu bringen, es hat einfach nicht geklappt.
Natürlich gab ich die ganze Zeit dem Mainboard und dessen UEFI die Schuld dafür, dass es nicht klappen wollte. Als ich schon einen Schritt davon entfernt war das Mainboard zurück zu senden, habe ich im aller letzten Versuch eine ältere Samsung 960 PRO aus meinem Alienware Laptop ausgebaut und sie gegen die 990 PRO getauscht... und sehe da, plötzlich funktioniert Hardware Encryption auf dem ASUS Board mit der 960 PRO.
Erst da wurde mir klar, dass es nicht das Board sondern die Samsung 990 PRO war, die Probleme machte. Eine kurze Internet-Suche bestätigte das auch...
https://us.community.samsung.com/t5...e-hardware-BitLocker-not-working/td-p/2452974
und
https://forums.tomshardware.com/threads/samsung-990-pro-doesnt-support-hardware-encryption.3800211/

Samsung versucht die Sache natürlich wieder stillschweigend auszusitzen.... :grr:

Vor 2 Tagen bestellte ich dann noch eine Samsung 980 PRO 2TB dazu und mit dieser ging Bitlocker Hardware Encryption wieder easy und quasi 1st Try. Nur eine "Disable Block SID" Aktivierung war nötig für Ready to enable -> Enabled.


Ich habe hier auch noch ein MSI MEG X670E Ace mit dem ich ebenfalls ein paar Tests bezüglich Hardware Encryption durchführen werde... werde dann die nächsten Tage berichten...
 

Anhänge

  • ASUS Crosshair X670E.png
    ASUS Crosshair X670E.png
    455,8 KB · Aufrufe: 166
  • Gefällt mir
Reaktionen: Bob.Dig
@LordNazgul Halte uns bitte auf dem Laufenden. Ist schon eine Frechheit, dass die 990 Pro dies nicht kann, obwohl sie damit beworben wird. Die 990 scheint ja eh ein Problemkind zu sein. Kannst Du bitte noch die Firmware Version deiner 990 Pro lt. Magician hier posten? Die Hoffnung stirbt ja bekanntlich zuletzt. 😉

@Jacky007 Jetzt erst gesehen, dass Du die HE per Powershell "erzwungen" hast, dann macht das natürlich Sinn und wäre die Antwort auf 2..

Zu 3.: Für BIOS-Upgrades würde ich die Verschlüsselung, wenn ein TPM genutzt wird, komplett deaktivieren/aktivieren, also erst einmal komplett entschlüsseln. Vorteil bei der HE ist, dass das jeweils nur eine Sekunde dauert.
Zu 4.: Das liegt daran, dass Windows standardmäßig ein TPM nutzt, sofern denn vorhanden, und keinerlei PIN abfragt. Besser ist es daher, die entsprechenden Group Policy vorher anzupassen, und das wird so im Startpost im HowTo auch erwähnt.
Ich ziehe es aber vor, das TPM vorher im UEFI abzuschalten und mache dann eine Einrichtung mit einem Passwort, komplett ohne TPM. Anschließend kann dann das TPM auch wieder aktiviert werden.

Das Ganze betrifft allerdings BitLocker im Allgemeinen, ist also nicht HE spezifisch.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Jacky007
@Bob.Dig Geliefert wurde mir die 990 PRO mit der 0B2QJXD7 Firmware. Da diese ja den bekannten "Health" Bug hatte, wodurch die SSD vorzeitig zu schnell gealtert ist, wollte ich mir die SSD nicht unnötig verschlechtern und habe keine Experimente damit gemacht. Seit Mitte Februar ist die 1B2QJXD7 Firmware raus, die den Bug beheben soll. Habe bei meiner 990 PRO das Update daher direkt durchgeführt und erst dann mit den Tests angefangen.
Ich denke aber, was Hardware Encryption angeht, sind beide Firmware fehlerhaft (falls es kein Hardware-Fehler ist und sich das überhaupt per Firmware ausbügeln lässt). Der Samsung Thread geht ja schon seit dem 1. Dez. 2022 und sie hatten eigentlich genügend Zeit das anzugehen aber Samsung ist bekanntlich ein Pferd, dass immer nur so hoch springt wie es gerade unbedingt muss. Also haben sie mit der 1B2QJXD7 Firmware nur das nötigste gemacht, damit die großen Hardware-Internet-Seiten Ruhe geben.
Und, dass Hardware Encryption bei der 990 PRO nicht geht, ist übrigens nur die berühmte Spitze des Eisbergs... ich hatte mehrmals Probleme die SSD wieder zu löschen (Diskpart clean Befehl), dann bei der Win11-Installation gabs Fehler beim Erstellen einer neuen Partition. Auch der PSID revert mit PartedMagic hat nicht funktioniert, bei meiner 960 PRO und 970 PRO beide male kein Problem. Alles Probleme über die auch andere in dem Samsung Thread berichten und die ich selber durchmachen durfte.
Im Großen und Ganzen sollte man um die 990 PRO einen großen Bogen machen. Für mich sollte sie auch nur eine zwischen Lösung sein, bis die PCIe 5.0 SSDs kommen....


@Jacky007
zu 1.: Das weiß im Endeffekt keiner genau, am Ende hilft nur die jeweilige Mainboard+SSD Kombi zu testen.
Allgemein wird "Disable Block SID" nur benötigt um den Status der SSD von "Ready to enable" auf "Enabled" umzustellen (zumindest bei Samsung SSDs), das ist auch meine Erfahrung bisher. Mein Alienware Laptop von 2017 hat diese "Disable Block SID" Einstellung gar nicht im BIOS und schafft es trotzdem die SSDs umzuswitchen. ABER, egal was ich danach mache und wie oft ich es versuche, am Ende bekomme ich die Hardware Encryption auf der System-SSD nicht zum laufen :freak: DELL hat offensichtlich irgendetwas im BIOS verkackt.

zu2.: Den selben Eindruck hatte ich für kurze Zeit auch mal als ich auf einem älteren Sandy Bridge-E System auf einer 860 Pro Win11 installiert habe, da hab ich vergessen die Einstellungen zu machen und HE klappte trotzdem... habe das aber später nicht weiter verfolgt, da SATA SSDs einfacher dazu zu bewegen sind in Bitlocker HE zu nehmen als NVMe SSDs (mein persönlicher Eindruck).

zu 3. und 4.: hat Bob.Dig schon alles gesagt :)
 
  • Gefällt mir
Reaktionen: Jacky007 und Bob.Dig
Mir ist nicht im geringsten Klar für was ich bei einer Platte (SSD/HDD) mit Hardwareverschlüsselung (->SED)
Bitlocker nutzen sollte außer mir Löcher in die Verschlüsselung zu reißen.
Wenn ich eine SED zum ersten mal in Betrieb nehme wird voll automatisch ein Schlüssel erstellt, man muss absolut nichts machen, danach ist das Ding mit dem PC verheiratet und arbeitet völlig transparent verschlüsselt vor sich hin, egal welches OS, egal welches Dateisystem oder sonst was. Der Host hat Null Ahnung von der Verschlüsselung. Will man warum auch immer ein eigenes Passwort vergeben weil man dem Zufallspasswort nicht traut macht man das durch setzen im Bios/UEFI einmalig und fertig.
Für was soll man sich jetzt auf MS only Bitlocker noch einlassen? Bei Einzelplatten mehr als Sinnlos!
Dieser Quatisch ist für Firmen sinnvoll um ganze Speicher-Pools zu verwalten, wo dann der Herr Admin aus der Ferne Datenträger mit einem Klick sperren oder entsperren kann.
Man hat unverschlüsselte Bereiche mit Bitlocker, die Schlüsselverwaltung ist auch MS only, man hat ne lustige Funktion für Backupschlüssel zu erstellen (weiteres Sicherheitsloch) man hat bei einem Laufenden System damit auch absolute Narrenfreiheit und kann sich austoben.
Bei einer SED ist Bitlocker ein Unnötiger Mittelsmann den keiner bei einer Einzelplatte braucht.
Es bleibt für mich weiter eine Windows Software Bastellösung Lösung nur das eben Bitlocker nicht CPU-Leistung frisst sondern die optimierte Verschlüsselungshardware in der SED nutzt.
Ohne Bitlocker hat man jedenfalls 100x weniger Angriffsfläche.
 
Ich verstehe kein Wort von dem was Du da schreibst... Ich hab eine SSD mit SED in einem Qnap NAS verschlüsselt, die war hernach nicht mehr zu nutzen, und auch nicht zu entschlüsseln, man konnte sie mit einem Porgramm und unter eingabe einer ellenlangen Bestätigung formatieren, hab das unter Windows nich tgetestet, würde mich aber schwer wundern, wenn die jeder nutzen kann ...
 
DFFVB schrieb:
Ich verstehe kein Wort von dem was Du da schreibst...
Bitte hier keine Trolle füttern, danke.
Listenplatz und gut. Gilt auch für @R4Z3R
 
Zuletzt bearbeitet:
Bob.Dig schrieb:
@LordNazgul ie 990 Pro dies nicht kann, obwohl sie damit beworben wird
Es wird Class 0 Verschlüsselung beworben und das ist übers Bios Passwort
Wenn du dich einlesen willst was hinter "IEEE1667" steckt viel spaß .... Unter Windows ist bis 10 dokumentiert, ab 11 klaffen Löcher.

DFFVB schrieb:
Ich verstehe kein Wort von dem was Du da schreibst... Ich hab eine SSD mit SED in einem Qnap NAS verschlüsselt, die war hernach nicht mehr zu nutzen, und auch nicht zu entschlüsseln, man konnte sie mit einem Porgramm und unter eingabe einer ellenlangen Bestätigung formatieren, hab das unter Windows nich tgetestet, würde mich aber schwer wundern, wenn die jeder nutzen kann ...
Du scheinst auch keine Ahnung zu haben wozu Bitlocker in dem Fall dient, macht also nichts deine Ahnungslosigkeit! Abseits eines Datenpools den man Zentral verwalten kann hat Bitlocker keinene Mehrwert,
man pisst sich nur selbst ans Bein weil man immer auf die Gnade von MS angewiesen ist.
Verdongelung mit dem TCP Chip ist auch Sinnlos. Wenn ich in deiner Wohnung bin klaut man eh deinen kompletten PC und nicht nur die HDD. Windows im Arsch, Daten weg ... oh warte da gibts ja tolle Backup Schlüssel, schwups wieder ein fettes Schleusentor mehr.
MAn baut sinnfreie Türen in eine System ohne jeden Mehrwert weil die Platte das alles autark auch ohne abdeckt was ihr hier in euren 5m³ abdeckt.
 
Hat jemand schon einmal hardwarebasierte Bitlocker-Verschlüsselung mit einer Crucial-SSD hinbekommen? Meine MX500 (die alte Variante) sollte es eigentlich offiziell unerstützen, aber ich krieg es mit ihr einfach nicht hin. Auch das MB (Gigabyte B650 Arous Elite AX) unterstützt hardwarebasierte Verschlüsselung laut dem Support grds (Edit: auch mit einem Gigabyte Z370 Gaming 3 gings nicht... aber ob das grds. SED unterstützt, weiß ich nicht).

Ich hab u.a. die SSD mit diskpart clean bereinigt, dann mit Disable Block SID = Enabled neugestartet und initialisiert und formatiert. Ein Extra-Schritt wie bei Samsung ist bei Crucial nicht vorgesehen. Bitocker zufolge wird die hardwarebasierte Verschlüsselung aber nicht unterstützt (über Gruppenrichtline erzwungen und noch mit manage-bde -on -fet hardware versucht). Im Crucial Storage Executive findet sich das selbe Fehlermuster wie hier (mit jeweis nutzlosen Antworten) - "die Verschlüsselung wird nicht unterstützt" (nicht dass ich einen PSID-Reset durchführen wollte, aber das ist der einzige Hinweis in Crucials Software, dass die Verschlüsselung wohl grds. nicht aktiv ist).

Könnte es was damit zu tun haben, dass ich gerade nicht Windows auf der SSD installieren wollte, sondern die SSD als Daten-SSD hernehme?

Hardwarebasierte Verschlüsselung von Consumer-SSDs ist echt so ein Chaos.
BTW: danke für den Hinweis zur 990 Pro, hab schon damit geliebäugelt, eine zu kaufen... aber ohne funktionierende Bitlocker-Integration irgendwie Grütze.
 
Zuletzt bearbeitet:
@Umberto_ Win10 unterstützt es grundsätzlich nicht mehr.
 
Umberto_ schrieb:
BTW: danke für den Hinweis zur 990 Pro, hab schon damit geliebäugelt, eine zu kaufen... aber ohne funktionierende Bitlocker-Integration irgendwie Grütze.
Das scheint aber nicht mehr ganz aktuell zu sein... ich wollte in den nächsten Tagen was die Samsung 990 PRO angeht mal ein Update bringen aber leider bin ich zu zeit privat derart ausgelastet, dass ich es kaum schaffe ein Ende mit dem Anderen zu verbinden.

https://us.community.samsung.com/t5...are-BitLocker-not-working/td-p/2452974/page/4

Das ist der selbe Thried den ich bereits in meinem früheren Post weiter oben verlinkt habe, hier aber direkt auf Seite 4. Da hat sich ein Samsung Mitarbeiter zu Wort gemeldet und ein Firmware Update für Mai versprochen, und tatsächlich ist zwischenzeitlich Version 2B2QJXD7 veröffentlicht worden, und mittlerweile sogar die neueste Version 3B2QJXD7 .
Ob der Fehler tatsächlich behoben wurde, konnte ich persönlich bisher wie gesagt aus Zeitgründen noch nicht testen. Im Thried schreiben manche Hardware Encryption geht jetzt endlich mit der 990 PRO, bei anderen nicht.
Ich denke, dass es gerade bei Leuten die mit der SSD schon vor dem 2B2QJXD7 Update experimentiert haben das ganze etwas Tricky ist. Wer sich die SSD nagelneu kauft und direkt das Update auf 3B2QJXD7 macht, bei dem sollte es ganz normal klappen... natürlich voraus gesetzt das Mainboard, Betriebssystem usw. spielt mit.
 
  • Gefällt mir
Reaktionen: Umberto_, DFFVB und Bob.Dig
LordNazgul schrieb:
Hardware Encryption geht jetzt endlich mit der 990 PRO
Danke, hab den Startpost angepasst. Wenn hier noch eine Bestätigung kommt, umso besser.
 
  • Gefällt mir
Reaktionen: DFFVB
Bob.Dig schrieb:
Wenn hier noch eine Bestätigung kommt, umso besser.
Ja werde versuchen in den nächsten 1-2 Wochen Feedback dazu zu geben...
Zumal ich leider auf meinem Mainboard ASUS ROG Crosshair X670E Extreme eine "Nebenwirkung" entdeckt habe die ich aber noch etwas näher testen muss... und vielleicht kann mir jemand bei der Lösung dann helfen.

Was ich gestern per Zufall entdeckt habe, in dem Samsung Thread hat jemand auf Seite 5 einen Guide verlinkt wo erklärt wird wie man HE aktiviert. Interessant finde ich, da wird ein Weg gezeigt wie man software-seitig in Windows die Einstellung setzen kann, falls im BIOS keine Option für Disable Block SID vorhanden ist.
Ich habs erstmal nur überflogen aber das hat mir wieder bisschen Hoffnung gegeben in meinem älteren Alienware Laptop wieder zu versuchen HE zu aktivieren... mal sehen.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Falls für jemanden relevant:

Solidigm P44 Pro - Hat OPAL 2.0 Unterstützung auch wenn es der Hersteller nicht auf der Website bzw. im Datenblatt angibt.
Getestet und nachgewiesen mittels sedutil unter Linux.
 
  • Gefällt mir
Reaktionen: DFFVB
Zurück
Oben