Fragen zu SSD mit Hardware-Verschlüsselung

[websurferin83]

Hallo zusammen,

es gibt zunächst folgenden Ist-Zustand:
Ein Ultrabook mit eingebautem TPM-Chip und Windows 8.1 Pro 64 Bit auf einer Samsung OEM-SSD, Typ MZ7TE128HMGR mit 128 GB. Darauf befinden sich zwei Partionen: C (System) und D (Daten). FastBoot und SecureBoot sind im UEFI-BIOS aktiviert.

Das Gerät soll nun mittels BitLocker vor umbefugten Zugriffen geschützt werden.

Meine Recherchen ergaben, dass die verbaute SSD wohl keine freigeschaltete Hardware-Verschlüsselung besitzt. Eine Software-Verschlüsselung über die CPU kommt aus Performance und vor allem Verschleiß-Gründen nicht in Frage (TRIM und Wear Levelling haben damit teilweise Probleme).

Daher überlege ich den Umstieg auf eine andere SSD, z.B. die MZ7TD128HAFV sollte OPAL beherrschen.

Meine Fragen:
1. Kann ich mit CloneZilla die gesamte SSD auf die neue SSD klonen, wenn diese z.B. per USB-Gehäuse anschließe?
2. Lässt sich die Hardware-Verschlüsseung anschließend aktivieren? Oder ist eine komplette Neu-Installation erforderlich?
3. Ist es möglich, beide Partitionen mit demselben Passwort zu verschlüsseln, so dass beim Starten nur einmal das Passwort abgefragt wird und nicht für jede Partition separat?
4. Gibt es sonst noch etwas, was ich beachten muss?

Wäre über Antworten und Hilfestellung sehr dankbar.

Viele Grüße
websurfer83.

PS: Eine alternative Verschlüsselung mit VeraCrypt und Co. kommt für mich nicht in Frage, da man dafür das Notebook funktional "kaputt" konfigurieren müsste, kein GPT, kein SecureBoot, kein FastBoot etc.!

 

[Sephe]

Also bzgl. "Verschleiss" die Softwareverschlüsselung auszuschließen ist unfug!

Alle modernen Intel CPUs haben AES Verschlüsselung in Hardware und beherrschen diese mit einigen GB/s!

 

[Holt]

Ein Leistungsverlust ist bei SW-Verschlüsselung auch mit CPU die AES Befehlserweiterung haben, nicht zu vermeiden. Messbar ist er, wie spürbar der ist, steht auf einem anderen Blatt.

Für Opal ist natürlich eine passende Verschlüsselungssoftware nötig wie Bitlocker, aber da musst Du mal schauen ob Deine Windows Edition diesen enthält, der ist meine ich nicht bei jede Windows Version dabei.

 

[websurferin83]

@ Holt: Windows 8.1 Pro x64 enthält den BitLocker, der OPAL unterstützt.

@ Sephe: Das Problem liegt darin, dass eine vollständig partitionierte und in Software verschlüsselte SSD relativ rasch damit beginnt, Reserve-Sektoren zu verwenden, was für die Verschleiß-Regulierung nicht gerade förderlich ist. Deshalb wird häufig empfohlen, bei einer Software-verschlüsselten SSD ca. 10 % des Speicherplatzes unpartitioniert und damit unverschlüsselt zu belassen.

 

[Holt]

Bei HDDs sind Reservesektoren dagegen extra vorhandene Sektoren die nur bei Bedarf belegt werden, wenn ein Sektor ausgefallen ist. Solche Reservesektoren wie bei HDDs gibt es bei SSDs i.d.R. gar nicht, die meisten Controller nutzen alle Pages ständig im Wechsel und lassen dann einfach die aus, bei denen es zu einem Problem, meist ein Lösch- oder Programmierfehler, gekommen ist. Wie konkret eine Verschlüsselung mit SSDs handhabt, hängt von der jeweiligen Lösung ab, es gibt ja einige Programme die unbelegte Bereiche mit Müll überschreiben um nicht zu verraten wo wirklich Daten liegen, was für SSDs unschön nicht. Andere handhaben aber TRIM korrekt und damit hat die Verschlüsselung dann keinen Einfluss auf die Lebensdauer der SSD und es ist nicht nötig einen Teil unpartitioniert zu lassen.

 

[h00bi]

Samsung OEM-SSD, Typ MZ7TE128HMGR mit 128 GB
Das Gerät soll nun mittels BitLocker vor umbefugten Zugriffen geschützt werden.

Die MZ7TE128HMGR-00007 hat OPAL support (v.1.0/v.2.0)
Die MZ7TE128HMGR-00000 hat das nicht.

Das gute Stück heißt PM851

Daher überlege ich den Umstieg auf eine andere SSD, z.B. die MZ7TD128HAFV sollte OPAL beherrschen.

Die MZ7TD128HAFV ist der Vorgänger (PM841), OPAL Support wäre mir gänzlich neu. Also zumindest nicht in der -00000 Variante, von der hab ich das Datenblatt hier.

 

[websurferin83]

Die MZ7TE128HMGR-00007 hat OPAL support (v.1.0/v.2.0)
Die MZ7TE128HMGR-00000 hat das nicht.

Das gute Stück heißt PM851

Danke. Es ist die mit der 0 am Ende. Laut Ersatzteilliste gibt es zwei verschiedene SSDs:
MZ7TE128HMGR und MZ7TE128HMGR-TCG

Die mit dem Zusatz "TCG" sollte wohl OPAL unterstützen und ist dann wohl die mit der 7 am Ende. Dann werde ich mir diese besorgen.

Bleibt noch die Frage, ob ich einfach klonen und dann verschlüsseln kann oder ob ich alles neu aufsetzen muss.

Laut diesem Artikel müsste es ohne Neuinstallation gehen, da über UEFI gestartet wird. Wäre da nicht das Klonen...?

Viele Grüße und danke
websurfer83.

 

[h00bi]

http://www.anandtech.com/show/6891/...ndows-8-edrive-investigated-with-crucial-m500

ist der beste Artikel den ich zu dem Thema kenne.

With all of your ducks in a row, all you need to do is enable BitLocker at this point. If everything is eDrive compliant you won’t be asked whether or you want to encrypt all or part of the drive, after you go through the initial setup BitLocker will just be enabled. There’s no extra encryption stage (since the data is already encrypted on your SSD). If you’ve done something wrong, or some part of your system isn’t eDrive compliant, you’ll get a progress indicator and a somewhat lengthy software encryption process.

Für mich heißt das: Du aktivierst einfach im geklonten System Bitlocker und fertig.
Wichtig ist da nur dass dein Klonprogramm GPT Platten korrekt klonen kann.

 

[websurferin83]

Danke euch allen für die Hilfe.

Ich habe ein Tool gefunden, mit dem sich herausfinden lässt, ob die SSD ein "eDrive" ist:
https://forums.lenovo.com/t5/T400-T...ive-feature/m-p/1457005/highlight/true#M92744

Das habe ich ausgeführt und das Ergebnis war, wie erwartet, negativ. Daher werde ich wohl eine andere SSD besorgen, klonen und verschlüsseln.

Viele Grüße
websurfer83.