ComputerBase Menü
Aktuelles

Leserartikel BitLocker Hardware Encryption eDrive

tox1c90 schrieb:
Edit: ok, ich hab vermutlich falsch gelesen, da du schriebst du hast ja nach dem PSID-Revert wieder eDrive aktiviert, nehme ich an du hast das über die temporäre Neuinstallation gemacht und dann nur C: aus dem Backup genommen?
Zum Vergrößern anklicken....
Genau. Aber diesmal C nicht überschrieben sondern dieses vorher gelöscht oder irgendwas bei clonezilla zu schnell weggeklickt. Nun ja, ich bin aus dem Gröbsten raus.

eDrive für nvme ist also gelöst. Jetzt bleibt es zu beobachten, wie sich die verschiedenen Akteure so machen. 😉
 
Vielleicht können wir noch zusammentragen, was die Voraussetzungen für das Einspielen eines Images von C: sind.
Muss die Quelle bereits
  • eDrive aktiviert gewesen sein oder
  • nur im UEFI Modus installiert gewesen sein oder
  • nichts davon ?
  • Welche Software ist geeignet zum Einspielen etc.
Und wann fixt ASRock sein intel-BIOS? 😉
 
Zuletzt bearbeitet:
Ich habe das mir ct’wimage gemacht. Ist zwar n riesen Aufwand, da man testen sollte, ob das Image funktioniert. Ohne Anpassung schreibt das n USB Stick kaputt. Da ist es egal, ob das vorher BIOS oder UEFI war.
Normalerweise sichere ich mit Veeam. Wenn ich damit C: einer Encryption Enabled Partition ausgetauscht habe wurde das immer mit einem nicht mehr bootfähigen System, auch nicht reparierbar, quittiert.

Schade, dass das so wenige interessiert und immer der selbe “bei einer 10 Jahre alten SSD war kein Passwort gesetzt“ Artikel zurück kommt.

Dem Threadtitel könnte man noch ein „Howto“ voranstellen.

Außerdem schlage ich vor, eingangs noch eine Punkteliste einzufügen, ala
Dazu muss man nur
  • Das Drive in den Secure Enabled Mode bringen, falls es das nich schon ist
  • 2 Bioseinstellungen ändern im BIOS CSM aus, BSID disable
  • Windows installieren
  • 2 Einstellungen ändern
  • Bitlocker aktivieren

Dan klingt es vielleicht nicht so kompliziert.
Ehrlich gesagt, jetzt, wo ich weiß, wie es geht.. 🤪
 
  • Gefällt mir
Reaktionen: Bob.Dig
@palace Den Startpost will ich vom Aufbau erst mal nicht ändern und ich muss sagen, nach jahrelanger Nutzung von eDrive, es gab immer mal Probleme und den Leuten das aufschwatzen will ich daher auch nicht.

Beim neu eingefügtem FAQ könnt auch ihr gerne was direkt schreiben und ich würde entsprechend einfügen oder darauf verlinken!
 
Es ging mir ja auch nicht darum, jemanden zu missionieren, sondern lediglich darum, die Sichtbarkeit zu erhöhen.
 
Hey Leute, eine Frage: ist es auch möglich einen externen, selbstgebauten usb stick mit einer nvme auf die selbe weise zu Verschlüsseln?
Ich mein jetzt nicht über Software-Bitlocker, sondern über die integrierte Hardwareverschlüsselnung?
 
Mir ist beim Benchen für einen anderen Thread aufgefallen, dass die aus dem Startpost mal dringend einer Aktualisierung bedurften.
Speed.jpg
nvme.JPG
Von was die Unterschiede herrühren, kann ich nicht sagen.
 
P4-Freak schrieb:
Hey Leute, eine Frage: ist es auch möglich einen externen, selbstgebauten usb stick mit einer nvme auf die selbe weise zu Verschlüsseln?
Ich mein jetzt nicht über Software-Bitlocker, sondern über die integrierte Hardwareverschlüsselnung?
Zum Vergrößern anklicken....
Hi, ich glaube nicht, da am Rechner USB und nicht NVMe ankommt.
 
Hi - großen Glückwunsch erstmal!

Ich würde die Tage diese Prozedur mit einem neuen ASUS Prime z390-p und evo 970-plus 500 gb ausprobieren wollen - wenn ich denn den Schalter mit Block-Sid o.ä. finde.
  • Intel-PTT möchte ich (erstmal) nicht nutzen
  • Bitlocker-Anmeldung mit PIN

Also zunächst Win10Pro installieren, updaten incl. bios, ssd putzen, Schalter umlegen und neu installieren - das sollte mir gelingen.

Auf den screenshots sehe ich, dass ihr nicht die volle Plattengröße nutzt. Ist das zur Zeitersparniß, oder andere Gründe? Wie geht überhaupt das Partitionieren (vergrößern) einer verschlüsselten ssd?

Und dann noch: wo/wie speichert Bitlocker/Win10 den PIn - wird der an die ssd "durchgereicht"?
 
kohlenjockel schrieb:
Hi - großen Glückwunsch erstmal!
Zum Vergrößern anklicken....
Hi und danke.
  • Bei BitLocker gibt es eine PIN, wenn man ein TPM benutzt. Ohne TPM käme ein Passwort infrage.
  • Ob Du Disable-Block-SID überhaupt im BIOS finden musst, ist noch offen. Insbesondere wenn das Board gar kein Block-SID unterstützt.
  • Updaten brauchst Du höchstens das UEFI.
  • Die Partitionsgröße lässt sich wie gehabt ändern, als wäre es unverschlüsselt.
  • Da ich nicht die volle Größe brauche, stelle ich es entsprechend ein (Overprovisioning). Kann man auch später machen.
Gutes Gelingen!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: tox1c90
Bob.Dig schrieb:
Mir ist beim Benchen für einen anderen Thread aufgefallen, dass die aus dem Startpost mal dringend einer Aktualisierung bedurften.
...
Von was die Unterschiede herrühren, kann ich nicht sagen.
Zum Vergrößern anklicken....

Kann ich bezüglich der in etwa gleichen Performance so übrigens bestätigen, hab auch nochmal bisschen rumgespielt damit letzte Woche.
Ich habe lustigerweise sogar gemessen, dass die verschiedenen 4k Performances mit Software Bitlocker teilweise sogar unerwartet deutlich über denen sind wie wenn gar kein Bitlocker oder Hardware-Bitlocker zum Einsatz kommt. Besonders beim untersten, wo man nur irgendwas 20-60 MB/s hat. Da hatte ich nach vollständiger Softwareverschlüsselung auf einmal das doppelte.

Ich muss das bei Gelegenheit nochmal gezielt nachbenchen und reproduzieren.
Kann mir das eigtl nur so erklären, als ob Software-Bitlocker in irgendeiner Weise die Schreib-/Lesezugriffe cached, zusammenfasst oder was auch immer und man auf diese Weise dann Mist misst, weil nicht mehr wirklich die Performance vom Laufwerk sondern von Bitlocker. Bei dem untersten Benchmark hatte ich mit Software jedoch sogar 100% Volllast auf der CPU.
 
  • Gefällt mir
Reaktionen: Bob.Dig und palace
@tox1c90 Jau, das ist schon immer so gewesen, dass der Treiber/das System massiven Einfluss hat auf diese parallelen 4K-Geschichten hat und diese fast immer von der CPU-Limitiert werden, was ein deutlicher Hinweis ist, dass eben nicht das Drive gebencht wird. Stelle das seit jeher insbesondere im Test in der vorletzten Zeile fest.

Was mich immer noch wurmt ist, was da in meinem System zur Zeit der "alten" Benches los gewesen sein muss, dass die Wert auch generell so schlecht waren. Hab mir einige hitzige Diskussionen auf deren Grundlage geleistet, heute müsste ich mich da wohl etwas zurücknehmen.
 
Schön wär's gewesen ....
Mit Asus prime z390-p (Intel) hatte ich keinen Erfolg. Der PC ist neu, neuestes BIOS 2606. Da ist leider keine erfolgversprechende Option zu finden. Secure boot oder CSM, eines muss immer enabled sein .... muss man dann nach secure erase, welches nur im CSM startet, also wieder umstellen. Egal wie, es läuft leider nicht - am Ende ist eDrive wieder deaktiviert.
 
Hey @kohlenjockel,
Secure boot kann auch durchgehend aktiviert sein. Und CSM muss zumindest ab der Win-Installation deaktiviert sein.
Dass es bei dir nicht geht, könnte zweierlei bedeuten: Asus hat die disbale Block Sid Option gut versteckt oder erlaubt generell kein eDrive mehr...
Wenn Du noch eine eDrive-fähige SATA-SSD hast, könntest Du es mit der erst mal versuchen, um dich langsam ranzutasten.
 
Zuletzt bearbeitet:
Hi @Bob.Dig,
ich denke, disable Block Sid o.ä. gibt es da nicht. Da ist zwar ein extra Menü NVME Configuration, aber da kann man nur Infos (firmware, Typ etc.) auslesen, nix einstellen. Wenn ich so englisch-sprachige Foren durchblätter, habe ich den Eindruck, eDrive ging da nie. Sehr peinlich für ASUS ...
Secure boot lässt sich bei mir nicht extra abschalten, verhindert aber den Start mit Secure erase - deshalb hatte dafür auf CSM gewechselt, dann erase, danach wieder CSM ausschalten.
Ne weitere SSD habe ich nicht - brauche ich eigentlich auch nicht.
Ich werde das weiter im Auge behalten, denn das wurmt schon, wenn man ein sinnvolles feature in neuer hardware nicht nutzen kann.
 
Vermutlich läuft das bei Asus auch nicht anders als bei Asrock, wo mein Supporter das mit den UEFI-Entwicklern durchdiskutiert hat.
Die programmieren die grundlegende UEFI-Software ja nicht selber, sondern lizenzieren einen Baukasten von "echten" UEFI-Programmieren und setzen ihr individuelles UEFI daraus zusammen und passen die Parameter und Oberfläche an ihr Branding an. Im Fall von Asus und Asrock ist das UEFI von AMI (American Megatrends). Von dort kommen auch die UEFI-Module für die Hardwareverschlüsselung. Laut Asrock-Support sind das zwei unabhängige Module bzw. alternative Modi für die Hardwareverschlüsselung von NVMe und SATA, die zumindest im Fall meines Z370-Boards nicht gleichzeitig fürs Booten ins UEFI eingebaut werden können. Die Software von AMI erlaubt nur eins von beiden einzubauen. Die haben das Problem daher an AMI weitergegeben, aber es kam von dort bis heute keine Lösung.

Im Falle von AMD scheint es ja irgendwie zu klappen, aber bei Intel offenbar nicht. Weshalb UEFIs mit NVMe-eDrive dann wohl nur auf individuellen Wunsch zusammengebaut werden, weil man sich damit die Bootfähigkeit von SATA potentiell abschießt.

In allen NVMe-eDrive fähigen UEFIs von Asrock die ich bislang hatte verschwindet der Punkt "NVMe Configuration" im Setup übrigens komplett. Den gibt es bei mir nur in den normalen nicht verschlüsselbaren Releases. Die müssen irgendwas rausschmeißen und umknoten, damit eDrive funktioniert.
 
Bitte jetzt noch jemand mit Gigabyte/intel testen. 😉
 
Ich hatte bei meinen Versuchen ja das Problem, das Secure Boot bei Asus dauerhaft enabled ist. Wenn man den Schalter optional haben will, kann man wohl so vorgehen:
https://www.qualityology.com/tech/disable-asus-motherboards-uefi-secure-boot/
Deshalb habe ich mir mal das unter Secure Boot vorhandene Keymanagement angeschaut. Dieses Keymanagement ist eine Sammlung von "Schlüsselbunden", die Änderungen an der Hardware durch rootkits etc verhindern sollen. Und offenbar spielt die Installation von Windows da auch erheblich mit (Secure Boot / UEFI)
Man kann die Schlüsselbunde alle löschen, oder einzeln, und auch speichern bzw laden ...
Der erfolgreiche Versuch mit disable Block SID scheint ja ein Eingriff in genau diese Mechanismen zu sein - quasi Florett statt Bulldozer?
Es gibt da
PK (Plattform Key) | 1 Schlüssel
KEK (Key Exchange Key) | 3
DB | 10
DBX | 77
Also kennt sich jemand damit besser aus? Könnte es nicht wirklich so sein,
man setzt zwar mit Magician einen Schalter an der SSD auf eDrive
putzt dann mit Secure Erase die SSD über einen gebooteten USB-Stick
.... und Windows installiert sich mit den erstmals im Bios angelegten Schlüsseln im Keymanagement
.... mit der Folge, dass sich nichts geändert hat.
.... wären diese Schlüssel nicht da, müsste Windows sie erst zusammenstellen, aber dann mit der Info für eDrive

Ich traue mich noch nicht, dass zu probieren, weil ich mir über die Folgen noch nicht im Klaren bin.
 
@kohlenjockel Das kann schnell in die Hose gehen mit den Keys und Secure boot, aber ich kann dir sagen, dass das nichts mit eDrive zu tun hat. Wohl aber kann man damit den Boot weiter absichern, auch für BitLocker.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

sheng
OPAL/eDrive hardware-based Encryption mit BitLocker, aber wie?
Antworten
6
Aufrufe
7.098
sheng
sheng

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz