ComputerBase Menü
Aktuelles

Leserartikel BitLocker Hardware Encryption eDrive

MSI hat mit einem der letzten UEFI-Updates für mein Z690 Tomahawk die "Disable Block SID"-Einstellung aus dem UEFI-Setup entfernt.
Und im MSI-Forum schreibt einer mit Z790, dass er die Einstellung nicht hat, was stark darauf hindeutet, dass man sie für die 600er Boards nachträglich entfernt hat, und für die 700er Boards von Anfang an gar nicht mehr integriert hat. (https://forum-en.msi.com/index.php?...-nvme-on-msi-motherboards.332112/post-2219383)

Yay! Warum nicht einfach mal den Status Quo ein paar Jahre lang lassen, wenn es doch funktioniert hat!!! :freak: :heul:
Ohne diese Kommandoblockade abschalten zu können, wird es damit auf diesen Boards künftig unmöglich sein, SEDs/OPAL/eDrive-Laufwerke kryptographisch zu initialisieren, und zwar weder mit Bitlocker, noch mit anderen OPAL-Tools a la sedutil. Denn die greifen ja alle auf die gleiche Schnittstelle zu.

Edit:
Hätte ich mal gründlicher die letzten Beiträge gelesen...
LordNazgul schrieb:
Interessant finde ich, da wird ein Weg gezeigt wie man software-seitig in Windows die Einstellung setzen kann, falls im BIOS keine Option für Disable Block SID vorhanden ist.
Ich habs erstmal nur überflogen aber das hat mir wieder bisschen Hoffnung gegeben in meinem älteren Alienware Laptop wieder zu versuchen HE zu aktivieren... mal sehen.
Zum Vergrößern anklicken....
Klingt ja als bestünde vielleicht doch noch eine Chance ;)

Der Guide, in dem die betreffenden Commands stehen, ist dieser hier: https://blog.odenthal.cc/how-to-enable-bitlocker-hw-encryption-with-modern-ssds-e-g-samsung-980-pro/

Wenn ich das nächste mal eine "frische" SSD in die Finger kriege die noch disabled ist, probier ich das mal aus.
 
Zuletzt bearbeitet:
@Jacky007 welches Problem hast Du genau? Jene Option brauchst Du nämlich nur dann, wenn Du eine NVMe nutzen willst. Nutzt Du noch SATA, geht es auch ohne. Oder betrifft das auch neuere SATAs? Oder anders gefragt, welche SSD probierst Du (Hersteller, Modell, Firmware)?
 
Board: Gigabyte Gaming X AX Intel B760 So.1700 DDR5
SSD: Crucial T500 SSD 1TB PCIe Gen4 NVMe M.2

"block Sid" finde ich nirgendwo in den BIOS-Einstellungen
 
Guck mal da wo auch die TPM Einstellungen zu finden sind. Dort versteckt es sich oft.
 
nope leider nicht, habe auch schon die BIOS Suche verwendet
 
Jacky007 schrieb:
nope leider nicht, habe auch schon die BIOS Suche verwende
Zum Vergrößern anklicken....
Dann frag doch mal im Motherboard-Bereich, wenn Du denn sicher bist, dass Du diese Option brauchst. Also ich würde es erst einmal ohne probieren.
 
habe ich probiert:

mit diskpart gelöscht (clean)
windows 11 installiert
GP angepasst

leider nur die software verschlüsselung möglich :/
 
Jacky007 schrieb:
Crucial T500
Zum Vergrößern anklicken....
Sicher dass die überhaupt Microsoft eDrive nach IEEE 1667 bietet? Existiert überhaupt ein Tool, dass das für eine solche NVMe anzeigen würde? @websurfer83 hatte in jenem Post eine check_eDrive_x64.exe verlinkt (Beispiel-Output). Klappt hier super für SATA aber ist zu alt für NVMe. In einem vorherigen Post:
tox1c90 schrieb:
Man kann auch im Gerätemanager sehen, ob Windows das Laufwerk prinzipiell als eDrive-fähig erkannt hat
Zum Vergrößern anklicken....
Erscheint bei mir nicht (mehr): Windows 11 Version 23H2. Erscheinen jene Silos bevor das Laufwerk für BitLocker verwendet wird oder galt das nur bis zu einer bestimmten Windows-Version?

Existiert irgendwo eine Liste mit Festspeicher, die wirklich gehen, also sowas wie
  • SATA: Samsung 840er-Serie (nach Firmware-Update) und neuer
  • NVMe: Samsung 970er-Serie und neuer (Samsung 960er-Serie nur nach Firmware-Update und nicht als Boot- bzw. Systemlaufwerk; außer BIOS-Hersteller hat gezaubert)
Gerade Crucial ist so ein kleines Chaos. Crucial bietet eDrive schon seit dem Jahr 2013 mit der M500. Aber Einsteiger-Modelle wie die SATA-basierte BX500 gehen zum Beispiel nicht. Die aktuelle Crucial MX500 geht. Und ging es überhaupt bei NVMe von Crucial: Die P5 soll gehen, aber die P5 Plus nicht mehr? :freak:

Und Festspeicher mit Controller von Phison sollen eDrive nie gekonnt haben. Falls das stimmt, dann keine Crucial P2, P3, P3 Plus aber auch keine T700 und T500. Fraglich wären folglich nur Crucial P1 und P5. :o
 
Zuletzt bearbeitet: (Liste und Absätze zu Crucial bzw. Phison hinzugefügt)
@norKoeri Das sind jetzt aber alles Mutmaßungen deinerseits oder? Denn was bei Geizhals als TCG Opal geführt wird, kann vermutlich auch eDrive. Ich gebe aber zu, der Thread ist sehr Samsung-lastig.
 
Dann weiß ich jetzt, von welcher Marke mein nächstes intel Board nicht sein wird. 😉
 
Bob.Dig schrieb:
Denn was bei Geizhals als TCG Opal geführt wird, kann vermutlich auch eDrive. Ich gebe aber zu, der Thread ist sehr Samsung-lastig.
Zum Vergrößern anklicken....
Habe nun eine OPAL Crucial SSD und diese kann kein eDrive. Es gibt sogar eine etwas versteckte Crucial-Support-Seite die aussagt, dass keine der Crucial NVMe SSDs eDrive kann!
Startpost ergänzt.
 
  • Gefällt mir
Reaktionen: Jacky007
Nun habe ich einmal in den letzten 3 Tagen sämtliche Posts zu diesem Thema durchgelesen. Zuerst einmal vielen Dank für den regen Austausch, sowie die vielen Hinweise auf die ganzen Stolpersteine, welche mit dem aktivieren der HW verbunden sind.

Auch ich möchte meine Festplatten HW verschlüsseln. Neben 2 970 EVO Platten habe ich aktuell am PCI-E noch eine Kingston Fury Renegade verbaut. Diese muss wahrscheinlich gegen eine 980 oder 990 Pro getauscht werden.

Nun habe ich allerdings bisher noch nicht zur Gänze Antworte auf folgende Fragen gefunden.

Im Magician muss ich das Encryption Feature erst aktivieren sowie anschließend die Platte neu Formatieren. In der Software steht, sofern man das Verschlüsseln nicht benötigt wird empfohlen den Hacken erst gar nicht zu setzen. Warum ist dies so hat es etwa Nachteile bereits ready zu sein?

Ich nutze Secure Start sowie ein externes TPM Modul auf meinem AsRock Motherboard sowie Windows 11.

Sofern ich Bitlocker starte hatte ich im Anfangspost gelesen von einer Pin. Ich möchte jedoch ähnlich komfortabel wie bisher mich lediglich im Windows mit meinen Daten anmelden ohne zusätzlichen Prompt beim Booten ist dies möglich?
 
5lacker schrieb:
Sofern ich Bitlocker starte hatte ich im Anfangspost gelesen von einer Pin. Ich möchte jedoch ähnlich komfortabel wie bisher mich lediglich im Windows mit meinen Daten anmelden ohne zusätzlichen Prompt beim Booten ist dies möglich?
Zum Vergrößern anklicken....
Das ist weiterhin möglich, aber auch die unsicherste Methode, BitLocker zu betreiben.
Ob Du ein TPM, eine PIN oder doch ein Passwort benutzt, das hat keine Auswirkungen auf die tatsächliche Verschlüsselung der einzelnen Drives, aber genau darum geht es hier im Thread, eine Art der tatsächlichen Verschlüsselung, nämlich die hardwarebasierte.
 
5lacker schrieb:
Im Magician muss ich das Encryption Feature erst aktivieren sowie anschließend die Platte neu Formatieren. In der Software steht, sofern man das Verschlüsseln nicht benötigt wird empfohlen den Hacken erst gar nicht zu setzen. Warum ist dies so hat es etwa Nachteile bereits ready zu sein?
Zum Vergrößern anklicken....
In der Nutzung gibt es keine Nachteile, allerdings deaktivieren sich dadurch ein paar andere Features der SSD, z.B. Secure Erase geht dann nicht mehr.
Um das zu tun, müsste man dann einen PSID Revert machen, und dafür braucht man die ellenlange Nummer, die auf dem Etikett der SSD aufgedruckt ist.

Ansonsten kann man die SSD auch ohne Probleme unverschlüsselt im eDrive-enabled Modus betreiben, Performancenachteile oder so gibt es nicht.

Neu formatieren genügt übrigens nicht. Nachdem der Schalter im Samsung Magician umgelegt wurde, muss die SSD komplett neu initialisiert werden. Das passiert entweder durch Secure Erase (was zu diesem Zeitpunkt noch geht) und anschließendes Anlegen einer GPT-Partitionstabelle, oder mit dem Windows-Tool diskpart, in dem man dann einen „clean“-Kommando auf die SSD loslässt. Aber dann wird alles platt gemacht, und man sollte wirklich sicher sein wie man dieses Tool benutzt, sonst plättet man sich unter Umständen das falsche Laufwerk ;)

Nach Anlegen einer neuen Partitionstabelle sollte die SSD dann geswitched sein und im Magician auf „enabled“ stehen.
 
@Bob.Dig: Unsicher, da ich meine Daten dem Windows und somit Microsoft anvertraue oder weil die Verschlüsselung aus dem TPM Chip einsehbar wäre?

Sofern ich das machen sollte, müsste doch beim Umzug der Platten auf einen neuen PC auch das TPM Modul mit umziehen oder nicht? Im Software Bitlocker erhalte ich einen langen Kex welcher wahlweise ausdruckbar, auf One Drive hinterlegt, oder aber in einer Textdatei abgelegt ist. Ist dies heir ebenfalls so?

@tox1c90: eDrive Wenn ich eDrive enabled habe und dann ein CleanDisk oder diskpart startet ist deiner Ausführung nach im Magician das Vershclüsseln enabled. Tatsächlich passiert doch dann abe rnoch nichts hinsichtlich verschlüssel?
Erst wenn ich mit Bitlocker die Platte verschlüssele, bzw. die Verschlüsselung veralte.

Sofern ich aber nund en Bitlockerstep noch nicht ausgeführt habe und ich aber im enabled Modus bin, was passiert, wenn ich das System auf einer anderne Platte neu aufsetzen sollte? Ich habe doch in diesem Fall nie einen key für die Vershclüsselung gewählt....
 
5lacker schrieb:
Im Software Bitlocker erhalte ich einen langen Kex welcher wahlweise ausdruckbar, auf One Drive hinterlegt, oder aber in einer Textdatei abgelegt ist. Ist dies heir ebenfalls so?
Zum Vergrößern anklicken....
Ja, ist bei Hardware-Bitlocker genauso. Wenn das TPM nicht klar kommt, fragt es Dich nach dem langen Schlüssel. Den gibst Du ein und das TPM merkt sich dann diesen Schlüssel.
5lacker schrieb:
Tatsächlich passiert doch dann aber noch nichts hinsichtlich verschlüsseln?
Zum Vergrößern anklicken....
Ja, das eine schaltet „Microsoft eDrive“ lediglich frei. Du musst es dann noch über Microsoft Bitlocker nutzen.
5lacker schrieb:
Sofern ich aber nund en Bitlockerstep noch nicht ausgeführt habe und ich aber im enabled Modus bin, was passiert, wenn ich das System auf einer anderne Platte neu aufsetzen sollte? Ich habe doch in diesem Fall nie einen key für die Vershclüsselung gewählt....
Zum Vergrößern anklicken....
Durch die ganzen Schreibfehler, besonders die verzogenen Leerzeichen, komme ich bei dem Absatz nicht mehr mit. Oder ist die Frage schon beantwortet?
 
  • Gefällt mir
Reaktionen: Bob.Dig
:) Sorry

Sofern ich aber nun den Bitlockerstep noch nicht ausgeführt habe, das Drive aber im Encrypted enabled Modus sich befindet. Wenn ich nun mein System neu aufsetze, müsste es sich doch deiner Antwort nach nur im Microsoft edive Status befinden.
D.h. nach einer erneuten Installation habe ich Zugriff auf alle Laufwerke, da noch nicht per Bitlocker eine Verschlüsselung gestartet wurde.

Kann sich das TPM belieblig viele Keys merken? Ich habe 4 Platten (Partiitionen) für jede Verschlüsselung erzeuge ich auch einen Key.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

sheng
OPAL/eDrive hardware-based Encryption mit BitLocker, aber wie?
Antworten
6
Aufrufe
7.054
sheng
sheng

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz