Crucial MX300 Hardwareverschlüsselung der Systemplatte aktivieren

[corun]

Hallo Leute,

ich würde gerne meine Win10 Systemplatte verschlüsseln und dazu die Hardwareverschlüsselung meiner Crucial MX300 in Verbindung mit BitLocker verwenden. Windows ist im UEFI Modus installiert und das Bios hat folgende Optionen im Bereich Deinstbereich für Festplatten:

- Drive Lock (aktuell ist noch kein Passwort gesetzt)
- Allow OPAL Hard Drive SID Authentication (ist momentan deaktiviert, hier könnte ich aber einen Haken setzen)

Muss ich jetzt einfach nur ein Passwort für die Festplatte setzen und das Kästchen bei Allow OPAL aktivieren und dann unter Windows BitLocker aktivieren? Oder reicht es auch einfach nur ein Passwort zu setzen und BitLocker zu aktivieren? Wie kann ich eigentlich nach der Verschlüsselung überprüfen ob die Festplatte die Hardwareverschlüsselung benutzt?

 

[QuantenWalli]

Ich hab hier einen m.E. ziemlich guten Artikel zum Thema gefunden. Schau dir den doch einfach mal an, führ die Schritte durch und sag dann bescheid, obs funktioniert hat

https://helgeklein.com/blog/2015/01/how-to-enable-bitlocker-hardware-encryption-with-ssd/

 

[Bob.Dig]

Wenn ich so auf mein Samsung Magician gucke braucht Du vermutlich weder das eine noch das andere machen sondern einfach BitLocker in Windows starten und die Platte verschlüsseln. Wenn die Verschlüsselung nur ein paar Sekunden dauert hat es mit der Hardwareverschlüsselung geklappt.

Deine Hardware scheint ein Laptop zu sein. Du könntest also die SSD hardwarverschlüsseln ohne BitLocker dafür nutzen zu müssen. Die meisten von uns haben diese Option leider gar nicht.

Das Bild zeigt Magician mit einer mit BitLocker hardwareverschlüsselten Samsung SSD.
Für Crucial gibt es ja Crucial Storage Executive was im Gegensatz zu Samsung keine Voraussetzung für die Nutzung der Hardwareverschlüsselung ist, aber unbedingt mal angucken, ist ein richtig gutes Tool.

 

[_RM_]

Hab mir gestern selber eine bestellt und diese Informationen dazu gefunden. Unten auf dieser Seite, ist auch ein Link zu einer Seite wo beschrieben ist, wie man das mit Bitlocker einrichtet.
https://forums.crucial.com/t5/Crucial-SSDs/An-Overview-of-Hardware-Encryption/ta-p/181035

Was mir persönlich unklar an dem Beitrag ist, ist, dass die Keys scheinbar am Controller der SSD gespeichert werden. Ich verstehe das so, dass ich meine Haustür zusperre und den Schlüssel irgendwo auf meinem Grundstück ablege und jeder weiß davon. Es wird zwar bissl Aufwand den Schlüssel zu finden, aber dann ist der Zugang zum Haus gewiss.
Wo hab ich hier den Denkfehler? Was hab ich übersehen?

 

[QuantenWalli]

Wenn die Verschlüsselung nur ein paar Sekunden dauert hat es mit der Hardwareverschlüsselung geklappt.

Ob die Hardwareverschlüsselung tatsächlich von Bitlocker genutzt wird, kann man ja einfach über die Kommandozeile herausfinden. cmd => manage-bde -status c: => da muss dann als Methode "Hardwareverschlüsselung" stehen (siehe obiger Link mit Screenshots).

Ich frag mich aber, welche Variante wirklich sicher ist. TPM-Module stehen ja auch unter Kritik, da man sie wohl auf Hardwareebene anzapfen kann. Den Key aus dem SSD-Controller auszulesen, ist vielleicht auch möglich. Bei reinen Softwarelösungen, wie VeraCrypt, kann man den Key nur im laufenden Betrieb aus dem Speicher auslesen.

 

[corun]

So gesehen dürfte die reine Softwareverschlüsselung mit BitLocker aber ohne TPM und ggf. zusätzlichem USB Boot-Key ja sicherere sein als die reine Hardwareverschlüsselung. Ein großer Pluspunkt für die reine Hardwareverschlüsselung soll ja auch immer die Geschwindigkeit sein. Ich habe mal einen Benchmark mit Crystal Disk Mark (mit und ohne BitLocker gemacht):

Mit BitLocker (reine Softwarelösung)

Ohne BitLocker

Ich glaub mal nicht dass man hier in der Praxis einen Geschwindigkeitsverlust bemerkt. So gesehen spricht doch eigentlich nichts mehr für das riesen Heckmeck was man anstellen muss, um die Hardwareverschlüsselung auf einer Systemfestplatte in Verbindung mit BitLocker zu aktivieren. Wenn man sein System dann mal aus was für Gründen auch immer aus einem Backup wiederherstellen darf, geht die hardwareseitige BitLocker Verschlüsselung doch eh flöten und man darf sein Sysstem wieder von Grund auf neu aufsetzen. Was bringt einem da ein Systemimage
Bei der softwareseitigen Verschlüsselung mit BitLocker geht die Verschlüsselung nach der Wiederherstellung aus dem Image zwar auch flöten, dafür kann ich diese dann aber in 5 Min. wieder aktivieren und habe nicht den riesen Aufwand mit dem Neuaufsetzen des kompletten Betriebssystems.

 

[Bob.Dig]

Was hast Du denn jetzt für Hardware? Eine Hardwareverschlüsselung mit BitLocker ist in wenigen Sekunden erledigt, auch nach dem Rückspielen des Backups, also kein Argument dagegen.

 

[QuantenWalli]

@corun
Die Hardwareverschlüsselung durch die SSD nimmt dem Prozessor die Arbeit ab. Dass sich die Datenraten nur innerhalb der Messungenauigkeiten bewegen, ist also nicht verwunderlich und liegt nur daran, dass deine CPU durch die Verschlüsselung nicht ausgelastet wird. Moderne Prozessoren machen das ja auch in Hardware.

 

[corun]

Ich bleibe jetzt bei der reinen Softwareverschlüsselung, aber trotzdem thx für eure Kommentare