Leserartikel BitLocker Hardware Encryption eDrive

[palace]

@Bob.Dig, @tox1c90: Also eure Reaktionszeiten sind echt beachtlich .
Ich denke, die erste Aussage von Gigabyte ist dem 1st Level Support geschuldet und würde auf fTPM bezogen sogar Sinn ergeben. Die Behauptung, MS unterstütze kein eDrive mehr fand ich viel mehr daneben.

Echt jetzt? Bei der Samsung 970 Evo Plus ist kein Secure Erase erforderlich? Einfach DiskPart clean?
Es war ein riesen Aufwand für mich, bis ich Mittel hatte um Secure Erase durchzuführen.

Also hängen wir nun doch am Willen der Hersteller
und ja, ist noch das Gigabyte X570 I Aorus Pro WIFI.

 

[tox1c90]

Die Sache mit dem Secure Erase ist auch nur so eine Eigenart von Samsung, weil man bei denen eDrive auch erst scharf schalten muss über den Magician.

Nimmst du irgendeine Crucial z.B. geht die nach Diskpart clean und anschließender Initialisierung direkt in den eDrive Modus.

 

[Beneee]

@Bob.Dig
Du schreibst weiter vorne das es mit Asus ginge, aber im Startpost sind Fragezeichen bei NVME, also wohl eher nicht oder? Ich hab das X370-Pro, Versuche vor nem halben Jahr schlugen Fehl. Seitdem gabs ja einige Bios Updates, ich werds demnächst mal wieder probieren mit der 970 und ner Windows 1909 Installation, Hoffnung hab ich aber eher keine

 

[Bob.Dig]

@Beneee Bei ASRock geht es auch erst seit kurzem (mit AMD). Versuch macht klug und ich würde mich in jedem Falle über eine Rückmeldung hier freuen. Ansonsten müsstest Du mich mal zitieren, ich selbst habe es mit Asus noch nicht gesehen, hab aber auch kein aktuelles Brett von denen.

 

[Beneee]

BitLocker eDrive AM4:
MSI 👎, ASRock 👎👎, ASUS 👍; Rest: unbekannt.

Weil Du bei Asus nen Daumen hoch gemacht hast, galt wohl für SATA? ;-) Egal, ich probiers aus, sonst hol ich mir vielleicht auch ein Asrock.

 

[Bob.Dig]

Korrekt. Außerdem ändert sich zu viel, ich kann nur den ersten Thread aktuell halten. Habe die zitierte Stelle daher jetzt gelöscht.

 

[Bob.Dig]

Musste gerade auf einem System etwas merkwürdiges feststellen.

Spoiler

Ich hatte neue HDDs softwareverschlüsselt dem System hinzugefügt. Leider wurden diese nicht mehr beim Systemstart autounlocked. Habe nach mehreren Versuchen das hardwareverschlüsselte Systemlaufwerk (860 Evo SATA-SSD) entschlüsselt um es wieder zu verschlüsseln, in der Hoffnung, das würde etwas an dem Autounlock ändern...
Ergebnis: Ich konnte jedes mal nur noch eine Softwareverschlüsselung machen!
Vielleicht ist doch was dran, dass zuletzt in den News irgendwo zu lesen war, dass MS keine Hardwareverschlüsselung mehr unterstützt? Aber nicht nur das. 🥺

Die Softwareverschlüsselung, die ich dann gezwungenermaßen durchführen wollte, versagte jedes mal beim Testlauf, ich wurde immer wieder nach dem Passwort gefragt. Eine Eingabe brachte nur einen Neustart, ein Recovery war nicht möglich. Ich sah schon meine Daten oder zumindest mein System im Nirvana... Das einzige was schließlich half war das CSM (Compatibility Support Module) im UEFI zu deaktivieren. Erst dann verhielt sich Bitlocker normal und ich konnte wieder in das System booten. 😅

Für mich deutet dieses Verhalten auf folgendes hin, MS hat BitLocker nicht mehr im Griff. Dass selbst eine Softwareverschlüsselung auf einem System ohne CSM nicht möglich war (wobei die GP der Hardwaverschlüsselung noch aktiv war) deutet auf fundamentale Probleme hin. Vielleicht sind die Entwickler abgesprungen, vielleicht ist der OPAL Kram zu kompliziert, wer weiß... 😔

Werde wohl noch ein bisschen weiter forschen, aber vielleicht wars das mit performanter Datenspeicherverschlüsselung.

 

[Beneee]

Antwort von Asus

Sehr geehrter Herr xxx,

da werden wir leider nichts ändern, es wird sich auch das komplette bitblocker ändern, MS will nur noch alleine das machen, in Kombination Verschlüsselung, um Sicherheits Probleme durch andere Hersteller auszugrenzen, egal ob für Festplatten/TPM oder M.2's.

Sind Ihrerseits noch Fragen offen, wenden Sie sich gerne wieder an uns!

 

[Bob.Dig]

Hab gerade meine 970 Evo Plus hardwareverschlüsselt auf meinem Hauptsys, keine Probleme.

Spoiler

D.h. es gibt vielleicht ein individuelles Problem auf dem anderen System. Habe dort auch kürzlich ein Firmwareupdate gemacht über Magician...

 

[tox1c90]

Der Autounlock ist in der Tat an ein korrekt funktionierendes Bitlocker auf der Systempartition gekoppelt! Insbesondere wird der Autounlock dann auch aus Sicherheitsgründen deaktiviert, wenn die Systempartition warum auch immer in den Recoverymodus rutscht.

Das mit dem CSM kann ich mir schon vorstellen, dass das irgendwie Probleme macht. Von einem eDrive zu booten bzw. überhaupt eins zu haben ist laut Spezifikation eigtl. auch nur bei deaktiviertem CSM und aktiviertem SecureBoot vorgesehen. Bitlocker sollte bei den Kompatibilitätschecks für Hardwareverschlüsselung darum eigtl. schon immer prüfen, ob das CSM deaktiviert und SecureBoot aktiviert ist.
Denn die letzten beiden schließen sich gegenseitig aus, da man mittels CSM+BIOS am SecureBoot vorbei booten kann. Streng genommen verletzt man mit aktivem CSM somit die eDrive-Spezifikationen.

Ich könnte mir z.B. vorstellen, dass MS das Verhalten von Bitlocker entsprechend angepasst hat, dass diese Spezifikation nun strikt eingehalten wird. Das würde erklären, warum sich eDrive bei dir nach Deaktivierung nicht wieder aktivieren ließ (davor quasi "Bestandsschutz" ). Und vielleicht auch, dass der Autounlock ausgefallen ist, da Windows einen unsicheren Bootzustand (aufgrund aktivem CSM) festgestellt hat.

 

[Beneee]

Hab mir mal ein Asrock B450 Pro4 bestellt jetzt, dann schau ich mal was bei mir so geht mit ner frischen 1909 Installation.

 

[Bob.Dig]

@Beneee Damit geht zur Zeit wohl alles.

@tox1c90 Scheint ein individuelles Problem meines einen Sys zu sein, es wollte letztlich gar nicht mehr ohne CSM starten... Also kein BitLocker-only Problem. Eine Erklärung für das Verhalten aber habe ich nicht, sind nur zwei Daten-HDDs getauscht worden, jeweils ohne OS drauf. Einfach mal so neu aufsetzen geht nicht, zu viel Arbeit. Mal sehen wie sich 1909 macht, vielleicht werde ich damit dem Homeserver komplett neu aufsetzen. Aber wiedermal ärgerlich das Ganze. Kennt man ja. Windows hat sich wirklich verändert.

Ergänzung (23. Oktober 2019)

Antwort von Asus

Diese Antwort ist ja nichtssagend. Was war denn die genaue Frage gewesen und was könnte man daraus ableiten, etwas für die Übersicht im Startpost?

 

[Beneee]

Die Frage an Asus

...
Ich wollte den Status erfragen wie es bei Ihnen aussieht mit einem UEFI Update um NVME Laufwerke, die zugleich Bootlaufwerke sind mit Bitlocker Hardwareverschlüsselung zu nutzen. Konkret geht es um eine Samsung 970 Evo, diese sind dazu fähig. Samsung hat aber klargemacht das das Bios dies auch können muss.
https://us.community.samsung.com/t5...MANAGE-ENCRYPTION-OF-960-PRO/m-p/289909#M1429

Asrock hat es seit kurzem in Ihr UEFI integriert, was genau auch immer, das sollte ja dann für Asus auch möglich sein? Softwareverschlüsselung möchte ich nicht nutzen! Wie ausgeführt geht es bei Asrock mittlerweile, hoffe Asus hat auch eine Lösung?

 

[Bob.Dig]

Die Frage an Asus

"Sie wollen nichts ändern" sagt aber nichts definitives, ob es nun geht oder nicht. Würde daher immer noch warten wollen bis es wer selbst getestet hat. 😉

 

[Beneee]

Ich hab es doch getestet, es geht nicht. Und in dem Samsung Thread sind auch Leute mit Asus, nix geht.

raised a trouble ticket with Asus over this and they responded after about a month saying that they had zero plans of fixing this.

I have an ASUS Board (Crosshair Hero VI) and I quarrel more than half a year with ASUS support about this issue and I gave up.

 

[Bob.Dig]

@Bob.Dig
...Ich hab das X370-Pro, Versuche vor nem halben Jahr schlugen Fehl. Seitdem gabs ja einige Bios Updates, ich werds demnächst mal wieder probieren mit der 970 und ner Windows 1909 Installation, Hoffnung hab ich aber eher keine

Ich hab es doch getestet, es geht nicht. Und in dem Samsung Thread sind auch Leute mit Asus, nix geht.

Es muss halt schon ein aktueller Test sein. Am Besten unter Benennung des Laufwerks, BIOS Version etc, so wie auf dem Screenshot im Startpost zu sehen. Gigabytes Antwort @palace war ja auch sehr missverständlich.

 

[Beneee]

Ich hatte ja geschrieben ich werds demnächst testen. Ich hab es aktuell getestet vor paar Tagen mit neustem Bios 5220 Agesa 1.0.0.3ABBA, 970 Evo.

 

[Bob.Dig]

Ich könnte mir z.B. vorstellen, dass MS das Verhalten von Bitlocker entsprechend angepasst hat, dass diese Spezifikation nun strikt eingehalten wird. Das würde erklären, warum sich eDrive bei dir nach Deaktivierung nicht wieder aktivieren ließ (davor quasi "Bestandsschutz" ). Und vielleicht auch, dass der Autounlock ausgefallen ist, da Windows einen unsicheren Bootzustand (aufgrund aktivem CSM) festgestellt hat.

Jetzt wurde mindestens das zweite mal das Oktober update installiert. Um überhaupt nach der Eingabe des Passwortes den Server booten zu können muss ich jedesmal erst ins BIOS gehen und irgendwas verändern, sonst gibt es den Passwortanmeldescreen in einer Dauerschleife.
🤬MS

 

[Beneee]

Irgendwie gehts nicht. Samsung 970 Evo, Asrock B450 Pro4, Bios 3.60.
Magician sagt Bereit zur Aktivierung, dann mach ich Secure Erase, was auch klappt. Windows neu drauf im Uefi Modus, gpedit.msc umgestellt und Hardwareverschl. angemacht.
Aber bleibt bei Bereit zur Aktivierung, müsste normal sich ändern auf aktiviert und Bitlocker macht auch keine Hardwareverschlüsselung.
CSM ist im Bios aus, weiss nicht worans liegen könnte.
Überseh ich was?

 

[Bob.Dig]

Ich bin noch auf BIOS 3.50, vielleicht liegt es daran?

ASRock do NOT recommend updating this BIOS if Pinnacle, Raven, Summit or Bristol Ridge CPU is being used on your system.

Hab damit wohl gegen die Regel im ersten Post verstoßen. 😁

Spoiler: Magician

Ergänzung (27. Oktober 2019)

CSM ist im Bios aus, weiss nicht worans liegen könnte.
Überseh ich was?

Bootstick ist FAT32-formatiert?