Leserartikel BitLocker Hardware Encryption eDrive
- Ersteller Bob.Dig
- Erstellt am
Bob.Dig schrieb:
Geheimtipp: Das geht auch ohne, bzw. nur mit einer temporären. Wichtig ist nur eine Initialisierung im eDrive-Modus und dass man diese erhält. Das ist am einfachsten durch eine Neuinstallation hinzubekommen, weshalb das fälschlicherweise oft als nötige Voraussetzung angegeben wird. Wenn man allerdings einen Weg nutzt, um die bestehende Windows-Installation auf ein eDrive-initialisiertes Laufwerk umzuziehen, kann man die bestehende Installation auch weiter nutzen.
Der Weg ist ganz einfach:
1. Ein Image der zu klonenden C:-Partition machen, sonst nix, insbesondere nicht die System/MSR-Partitionen.
2. SSD wipen mit diskpart clean oder Secure Erase.
3. Eine temporäre Neuinstallation auf dieser SSD machen. Danach prüfen, dass die SSD wirklich in den eDrive-Modus geschaltet wurde ("Aktiviert" im Magician)
4. Jetzt das Image der C:-Parition zurückspielen. Ganz wichtig ist, dabei NUR die C:-Partition der temporären Neuinstallation mit der alten C:-Partition zu überpinseln. Also nicht das ganze Laufwerk wiederherstellen. Die System- und MSR-Partition muss unangetastet bleiben, denn darin liegen die eDrive-Daten.
5. Jetzt hat man System+MSR-Partition der temporären Neuinstallation, kombiniert mit der C:-Partition der alten Installation auf der SSD. Das sollte problemlos booten (Windows-Edition und -Version sollten natürlich identisch sein!) und danach kann man Hardwareverschlüsselung nutzen.
Genauso hab ich ja von Software-Verschlüsselung auf Hardware-Verschlüsselung auf meiner 970 umgestellt, als es endlich ging.
Hatte keine Lust neu zu installieren und daher bisschen rumprobiert. Bis ich bemerkt habe, dass es nur wichtig ist, eine zum eDrive-Status des Laufwerks passende System+MSR-Partition zu haben.
- Registriert
- Dez. 2006
- Beiträge
- 4.236
Woher weißt Du so was... 😁
Werde ich wohl heute noch testen, wobei das Image anlegen auch heftigst dauert.
Nützt natürlich den Leuten hier, ohne entsprechendem Beta-BIOS, auch nichts.
Was mir heute das erste mal aufgefallen ist, man kann ein HDD-Passwort setzen. Seit wann das denn?
Oder habe ich das nur nicht gesehen, weil ich die ganze Zeit eDrive aktiviert war?
Werde ich wohl heute noch testen, wobei das Image anlegen auch heftigst dauert.
Nützt natürlich den Leuten hier, ohne entsprechendem Beta-BIOS, auch nichts.
Ergänzung ()
Was mir heute das erste mal aufgefallen ist, man kann ein HDD-Passwort setzen. Seit wann das denn?
Oder habe ich das nur nicht gesehen, weil ich die ganze Zeit eDrive aktiviert war?
Zuletzt bearbeitet:
Bob.Dig schrieb:
Hab in irgendeinem Forum-Thread gelesen, wie Leute die für eDrive relevanten (versteckten) Dateien auf der MSR-Partition identifiziert haben bzw. das Verglichen haben zwischen alter und neuer Installation. Und dann sind die darauf gekommen, dass die entsprechenden Dateien aus einem Backup bzw. von einer anderen SSD nicht zu der ID etc. der neuen SSD passen und darum kein eDrive funktioniert. Da diese aber nur beim Initialisieren erzeugt werden, muss man diesen Umweg nehmen. Dann hab ich das einfach mal selber ausprobiert und festgestellt, es funktioniert tatsächlich
Gleiche Prozedur klappt natürlich auch, wenn man ein sekundäres Datenlaufwerk nachträglich hardwareverschlüsseln will. Ne temporäre Neuinstallation braucht man dafür natürlich nicht. Aber man muss nach dem wipen einmal die Partitionsstruktur drauf anlegen, und dann kann man auch hier ein Partitionsimage einspielen. Wenn man dabei auch die MSR-Partition unangetastet lässt, akzeptiert das Laufwerk danach eDrive.
Ergänzung ()
Bob.Dig schrieb:
Exakt. HDD-Passwort ist aus dem ATA-Security Featureset, zu dem auch Secure Erase gehört. Im Opal/eDrive-Modus ist ATA-Security nicht verfügbar, darum geht ohne PSID-Revert weder HDD-Passwort noch Secure Erase.
- Registriert
- Dez. 2006
- Beiträge
- 4.236
Wäre mal interessant wo. Wenn es dir einfällt, gerne hier posten. Gleichgesinnte zu kennen ist nie verkehrt. 😉tox1c90 schrieb:
Ergänzung ()
Wahrscheinlich ist das die unsichere Methode bzw. ohne fachmännische Auskunft nicht wirklich empfehlenswert.tox1c90 schrieb:
Ergänzung ()
Durfte gerade feststellen, dass sich das Beta-BIOS nicht mehr flashen lässt.
Ich sitze also mit Euch im Boot. 😕
Zuletzt bearbeitet:
- Registriert
- Dez. 2006
- Beiträge
- 4.236
Mir ist es nach zig Stunden des Ausprobierens dann letztlich gelungen, den alten Zustand wiederherzustellen.
Ich habe dazu Windows 10 1903 genutzt mit der hardwarepolicy, wobei ich Softwareverschlüsselung ausgeschlossen habe. Ein Secure Erase habe ich mal mit dem Samsung Tool, mal mit dem Tool im ASRock BIOS gemacht, war aber nie nötig gewesen.
Wie ich zuletzt vermutet hatte, musste ich erst Windows auf eine SATA-SSD installieren und hardwareverschlüsseln und anschließend die NVMe-SSD als Datenlaufwerk ebenfalls hardwareverschlüsseln. Das Problem, auch die Verschlüsselung nur als Datenlaufwerk in Hardware war nicht möglich.
Ich musste das BIOS downgraden auf Version 2.00, welches mir ASRock als Downgradefähiges BIOS mal in einer E-Mail zur Verfügung gestellt hatte. Dieses BIOS ist kein Beta-BIOS gewesen.
Erst damit konnte ich dann die NVMe als Datenlaufwerk hardwareverschlüsseln.
Anschließend bin ich dann die BIOS-Leiter wieder aufgestiegen, ohne das BlackScreen-BIOS, bis ich das aktuelle BIOS geflasht habe. SATA-SSD ab und die "eDrive Aktivierung" der NVMe-SSD blieb erhalten. Dann wieder Win 10 1903 installiert, dieses mal auf die NVME-SSD, und es läuft!
Habe dann noch mit Clonezilla die C-Partition aus einem Backup zurückgespielt, wie von @tox1c90 beschrieben.
Alles in allem schon übel. War also eher Zufall, dass es so die ganze Zeit bei mir lief.
Ich habe dazu Windows 10 1903 genutzt mit der hardwarepolicy, wobei ich Softwareverschlüsselung ausgeschlossen habe. Ein Secure Erase habe ich mal mit dem Samsung Tool, mal mit dem Tool im ASRock BIOS gemacht, war aber nie nötig gewesen.
Wie ich zuletzt vermutet hatte, musste ich erst Windows auf eine SATA-SSD installieren und hardwareverschlüsseln und anschließend die NVMe-SSD als Datenlaufwerk ebenfalls hardwareverschlüsseln. Das Problem, auch die Verschlüsselung nur als Datenlaufwerk in Hardware war nicht möglich.
Ich musste das BIOS downgraden auf Version 2.00, welches mir ASRock als Downgradefähiges BIOS mal in einer E-Mail zur Verfügung gestellt hatte. Dieses BIOS ist kein Beta-BIOS gewesen.
Erst damit konnte ich dann die NVMe als Datenlaufwerk hardwareverschlüsseln.
Anschließend bin ich dann die BIOS-Leiter wieder aufgestiegen, ohne das BlackScreen-BIOS, bis ich das aktuelle BIOS geflasht habe. SATA-SSD ab und die "eDrive Aktivierung" der NVMe-SSD blieb erhalten. Dann wieder Win 10 1903 installiert, dieses mal auf die NVME-SSD, und es läuft!
Habe dann noch mit Clonezilla die C-Partition aus einem Backup zurückgespielt, wie von @tox1c90 beschrieben.
Alles in allem schon übel. War also eher Zufall, dass es so die ganze Zeit bei mir lief.
Zuletzt bearbeitet:
Uff, was ein hin und her.
Irrsinn, dass man für ein Feature, das gerade von Samsung und Crucial immer noch bei jeder neuen SSD wieder als Vorteil beworben wird, solche Verrenkungen machen muss.
Derweil hat die c't in der neuesten Ausgabe sich extra bequemt, einen Artikel zu schreiben, wie man Bitlocker von einer vorhandenen Hardwareverschlüsselung auf die Softwareverschlüsselung umstellt, weil angeblich sicherer und die CPU-Last bemerke man eh nicht.
Wenigstens weist man darauf hin, dass die neuen Serien von den aufgekommenen Sicherheitslücken nicht betroffen sind. Und dass die SATA-SSDs von Samsung es in Kombination mit eDrive auch nie waren! Die dortige Lücke betraf nämlich das HDD-Passwort nach ATA, der TCG Opal Modus sowie eDrive ist mit allen, auch älteren Samsung SSDs, sicher. Das wusste nicht mal ich bevor ich den Artikel gelesen habe.
Aber irgendwie lustig so ein Artikel vor dem Hintergrund, dass das Interesse von eigtl. jedem, der sich mit dem Thema ernsthaft beschäftigt, wenn dann genau in die entgegengesetzte Richtung (Software -> Hardware) geht.
Irrsinn, dass man für ein Feature, das gerade von Samsung und Crucial immer noch bei jeder neuen SSD wieder als Vorteil beworben wird, solche Verrenkungen machen muss.
Derweil hat die c't in der neuesten Ausgabe sich extra bequemt, einen Artikel zu schreiben, wie man Bitlocker von einer vorhandenen Hardwareverschlüsselung auf die Softwareverschlüsselung umstellt, weil angeblich sicherer und die CPU-Last bemerke man eh nicht.
Wenigstens weist man darauf hin, dass die neuen Serien von den aufgekommenen Sicherheitslücken nicht betroffen sind. Und dass die SATA-SSDs von Samsung es in Kombination mit eDrive auch nie waren! Die dortige Lücke betraf nämlich das HDD-Passwort nach ATA, der TCG Opal Modus sowie eDrive ist mit allen, auch älteren Samsung SSDs, sicher. Das wusste nicht mal ich bevor ich den Artikel gelesen habe.
Aber irgendwie lustig so ein Artikel vor dem Hintergrund, dass das Interesse von eigtl. jedem, der sich mit dem Thema ernsthaft beschäftigt, wenn dann genau in die entgegengesetzte Richtung (Software -> Hardware) geht.
- Registriert
- Dez. 2006
- Beiträge
- 4.236
@tox1c90 So ist es. Wenn etwas in Hardware möglich ist, dann bitte machen. Merke schon, seit dem der Homeserver softwareverschlüsselt ist, dass die Performance phasenweise leidet. Auf dem Desktop bin ich aber noch viel sensibler, da muss alles rennen. Die Entwicklung in letzter Zeit macht mich da traurig. Hatte wirklich andere Pläne, was die nächsten Aufrüstaktionen betrifft. Wollte eigentlich überall auf NVMe setzen, aber so?
Danke Mod, fürs aufräumen und umbenennen. 🙂
Danke Mod, fürs aufräumen und umbenennen. 🙂
Zuletzt bearbeitet:
Ich verstehe immer noch nicht, wann die Samsung SSD beschließt, Hardware Encryption auf enabled zu stellen.
Es erscheint mir sicher, daß „ready to enable“ ein Zustand der SSD ist. Ferner glaube ich nicht, daß die SSD erkennt, daß sie gerade einen GPT Block geschrieben bekommen hat. Auf der anderen Seite, wenn es ein Kommando gäbe, gäbe es das doch bestimmt schon im NVMe Tool, oder dergleichen, oder?
Zwischendurch dachte ich schon, es liegt an der Windows Version (1903), welche bei der Installation einfach kein eDrive mehr aktiviert. Meine SATA SSD habe ich nämlich als “Datendisk“ auf enabled bekommen.
Würde ich HW Encryption auf enabled bekommen, glaube ich inzwischen fast, dass der Rest dann auch funktionieren würde.
Es erscheint mir sicher, daß „ready to enable“ ein Zustand der SSD ist. Ferner glaube ich nicht, daß die SSD erkennt, daß sie gerade einen GPT Block geschrieben bekommen hat. Auf der anderen Seite, wenn es ein Kommando gäbe, gäbe es das doch bestimmt schon im NVMe Tool, oder dergleichen, oder?
Zwischendurch dachte ich schon, es liegt an der Windows Version (1903), welche bei der Installation einfach kein eDrive mehr aktiviert. Meine SATA SSD habe ich nämlich als “Datendisk“ auf enabled bekommen.
Würde ich HW Encryption auf enabled bekommen, glaube ich inzwischen fast, dass der Rest dann auch funktionieren würde.
- Registriert
- Dez. 2006
- Beiträge
- 4.236
Jetzt auch mal gelesen, einfach nur schlecht der Artikel.tox1c90 schrieb:Derweil hat die c't in der neuesten Ausgabe sich extra bequemt, einen Artikel zu schreiben, wie man Bitlocker von einer vorhandenen Hardwareverschlüsselung auf die Softwareverschlüsselung umstellt, weil angeblich sicherer und die CPU-Last bemerke man eh nicht.
@palace Ja, das ist wohl aktuell das Problem bei ASRock und NVMe. Scheint aber in Teilen BIOS-Abhängig zu sein. Denke nicht, dass das Drive dafür was kann. Was für ein Brett hast Du nochmal?
palace schrieb:
Es ist eigtl. ganz einfach: Ab Werk meldet keine Samsung-SSD die Unterstützung für TCG Opal, eDrive, usw.. D.h. jede Software dafür, einschließlich Windows und Bitlocker, findet keine Unterstützung für Hardwareverschlüsselung und wird es darum auch nicht anbieten einzurichten.
Wenn du im Magician den Schalter umlegst, wird im Zuge eines anschließenden Secure Erase in der SSD die Unterstützung für Hardwareverschlüsselung freigeschaltet, d.h. ab sofort antwortet die SSD auf entsprechende Kommandos hinsichtlich TCG Opal usw.. Dies beschreibt den Zustand "Ready to enable", der jederzeit wieder im Magician aufgehoben werden kann.
Was jetzt passiert, wenn du das Drive in dem Zustand im GPT-Layout initialisierst: Windows sendet an das Laufwerk das Kommando zum Einrichten der Rechteverwaltung. Das Laufwerk legt den entsprechenden verschlüsselten Container an, allerdings noch so, dass der Key nicht mit dem Userpasswort gesperrt ist, sondern automatisch unlocked wird ("unverschlüsselter" Zustand, wenn Bitlocker deaktiviert ist). Ab diesem Zeitpunkt steht der Status im Magician auf "Enabled", und rückgängig machen lässt es sich nur noch unter Datenverlust über PSID Revert.
Das Laufwerk erkennt selber nix hinsichtlich GPT etc., aber Windows wird beim Initialisieren im MBR-Layout schlicht keine Kommandos hinsichtlich eDrive rausschicken, weil MBR-Partitionen das einfach nicht unterstützen.
Zu diesem Zeitpunkt ist eDrive bereits vollständig eingerichtet und aktiviert, darum auch "Enabled" im Magician. Das einzige, was Bitlocker im Hardware-Modus dann noch macht, ist, der SSD sozusagen die Kontrolle über den Verschlüsselungskey einer Partition zu "entreißen", also praktisch den vorher immer steckenden Schlüssel aus der Haustür zu ziehen. Ab dann kann die SSD diese Partition nicht mehr alleine von sich aus bereitstellen, sondern muss warten, bis Bitlocker den Key freigibt.
Fazit: Direkt nach der Windows-Installation muss Magician "Enabled" melden. Dafür musst du Bitlocker noch gar nicht angefasst haben. Wenn da noch "Ready to enable" steht, ist es schon schiefgegangen.
Zuletzt bearbeitet:
- Registriert
- Dez. 2006
- Beiträge
- 4.236
Sprich man müsste es schon direkt nach der Installation mit Magician sehen können?tox1c90 schrieb:
Aber was, wenn das UEFI keinen Boot im verschlüsselten Zustand unterstützt? Das dürfte doch auch das Problem vieler Boards sein vermute ich...
Habe auch mal ASRock auf die Problematik mit der Aktivierung hingewiesen.
Zuletzt bearbeitet:
https://github.com/Drive-Trust-Alliance/sedutil/issues/232
Ich glaube, ich gucke mir das die Tage mal an. Da war bei dem ein oder anderen auf einer 970 EVO ein PSID Revert erforderlich...
Sieht jemand, ob SEDUtil helfen könnte, den Status enabled zu erreichen?
Ich glaube, ich bestell mir bald ne 960 Pro, wenn das so weiter geht.
Ich glaube, ich gucke mir das die Tage mal an. Da war bei dem ein oder anderen auf einer 970 EVO ein PSID Revert erforderlich...
Sieht jemand, ob SEDUtil helfen könnte, den Status enabled zu erreichen?
Ich glaube, ich bestell mir bald ne 960 Pro, wenn das so weiter geht.
- Registriert
- Dez. 2006
- Beiträge
- 4.236
Meinste das macht einen Unterschied? Bei mir läuft es ja nur durch einen "Hack" würde ich mal sagen, was mir vorher so nicht bewusst war.palace schrieb:
Bin gerade dabei dem ASRock Support das Problem verständlich zu machen. Da ich bis jetzt noch keine vollständige Lösung irgendeines Mainboard-Herstellens gesehen habe, darf man aber skeptisch bleiben.
Ich kann übrigens mit der Entscheidung von MS, die hardwarebasierte Verschlüsselung bei BitLocker nicht mehr automatisch vorzuziehen, gut leben. Insbesondere, da MS ja tatsächlich keinerlei Versprechungen machen kann was die Sicherheit dieser Implementierungen betrifft, die liegt ja immer beim jeweiligen Hersteller. Also ist das nur konsequent und solange ich Vertrauen zu z.B. Samsung habe, kann ich es selbst aktivieren. Wenn es so bleibt, eine gute Lösung.
Edit: Gerade etwas am ASRock BIOS herum gespielt betreffend DeviceGuard und wieder mit dem BlackScreen bzw. OffScreen konfrontiert worden. Diesmal half immerhin ein CMOS-Reset.
Zuletzt bearbeitet:
Derzeit bin ich immer noch mit Samsung und Gigabyte Support beschäftigt.
Gigabyte gibt sich wenigstens hilfsbereit. Mit der 970er Serie scheint sich nochmal etwas geändert zu haben. User, die eine 960 in Betrieb hatten, scheitern an einer 970.
Mit mal eben eine 960 zu bestellen war ich wohl etwas vorlaut - die gibt’s ja kaum noch und wenn, zu überzogenen Preisen.
Beim SedUtil konnte ich Opal auch erst nach einem PSID Revert einschalten. Magician 6 meldet dann Drive Encryption disabled. Die nun aufkeimende Hoffnung, nun auch eDrive aktivieren zu können, wurde leider enttäuscht (natürlich nach erneutem zurücksetzen).
Gigabyte gibt sich wenigstens hilfsbereit. Mit der 970er Serie scheint sich nochmal etwas geändert zu haben. User, die eine 960 in Betrieb hatten, scheitern an einer 970.
Mit mal eben eine 960 zu bestellen war ich wohl etwas vorlaut - die gibt’s ja kaum noch und wenn, zu überzogenen Preisen.
Beim SedUtil konnte ich Opal auch erst nach einem PSID Revert einschalten. Magician 6 meldet dann Drive Encryption disabled. Die nun aufkeimende Hoffnung, nun auch eDrive aktivieren zu können, wurde leider enttäuscht (natürlich nach erneutem zurücksetzen).
- Registriert
- Dez. 2006
- Beiträge
- 4.236
- Registriert
- Dez. 2006
- Beiträge
- 4.236
ASRock hat sich gemeldet und behauptet, bei Ihnen ginge es mit aktuellem BIOS. Die Reihenfolge sei folgende gewesen.
Ich meine das schon getestet zu haben... und es ging nicht.ASRock Support schrieb:Zuerst wurde das Datenlaufwerk verschlüsselt, danach das Bootlaufwerk.
Zuletzt bearbeitet:
Update: Gigabyte hat erfolgreich mit ner 960 getestet.
https://us.community.samsung.com/t5...NAGE-ENCRYPTION-OF-960-PRO/td-p/66475/page/22
Leider kein Erfolg bei der 970...
https://us.community.samsung.com/t5...NAGE-ENCRYPTION-OF-960-PRO/td-p/66475/page/22
Leider kein Erfolg bei der 970...
A
abulafia
Gast
Ist doch depreciated. Hab nicht alle Beiträge gelesen, aber das sollte man zur Kenntnis nehmen:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180028
Gab doch was aktuelleres, finde ich gerade nicht ...
https://www.borncity.com/blog/2019/...ing-drives-seds-auf-bitlocker-verschlsselung/
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180028
Gab doch was aktuelleres, finde ich gerade nicht ...
https://www.borncity.com/blog/2019/...ing-drives-seds-auf-bitlocker-verschlsselung/
Zuletzt bearbeitet von einem Moderator:
- Registriert
- Dez. 2006
- Beiträge
- 4.236
