Samsung SSD 960 EVO - EDrive (Bitlocker) möglich?

[The_Virus]

Samsung is currently investigating why bitlocker won't utilize the enabled eDrive when it is the system drive.

Das ist ja eine sehr interessante Info. Danke dafür.
Bei meiner 960 Pro habe ich Bitlocker HW Verschlüsselung nämlich auch nicht zum laufen bekommen als Systemlaufwerk. Nun weiß ich aber, es liegt nicht an mir, sondern geht einfach schlicht und einfach noch nicht.

 

[hans_meiser]

Es hat sich auch bis jetzt noch nichts getan in der Hinsicht.

Samsung hat das scheinbar schon alles etwas verbockt:
Hier haben Benutzer die neueste (4X...) firmware aufgespielt, und trotzdem noch Probleme:
https://us.community.samsung.com/t5...rd-id/memoryandstorage/thread-id/1003/page/31

Hier nimmt Samsung Stellung zum eDrive bzw. Verschluesselung von 960 PRO Laufwerken, die auch Systemlaufwerke sind:
https://us.community.samsung.com/t5...ANAGE-ENCRYPTION-OF-960-PRO/td-p/66475/page/9

Diese beiden Pfosten scheinen die beste Informationsquelle zu sein.

 

[websurferin83]

Ergänzung (3. Dezember 2017)

Die 960 pro hat ja TCG/Opal. Nutzt einer von euch dies in Zusammenhang mit Drittanbieter-Software? Geht es damit als Boot-Partition?

Auch wenn dein Posting schon ein paar Tage alt ist: Da bisher noch niemand geantwortet hat, mache ich es:
Zumindest die Samsung SSD 960 Pro lässt sich prima mit dem Tool "WinMagic SecureDoc" hardware-verschlüsseln, auch als Systemlaufwerk. Ich nutze BitLocker nur noch für verschlüsselte Container (virtuelle Festplatten als VHD).

 

[The_Virus]

Von WinMagic SecureDoc habe ich auch schon gehört. ABER:
1.) Die Software ist nicht kostenlos, ganz im Gegenteil es handelt sich um Software für Unternehmen die ziemlich sicher sehr teuer sein dürfte. Auf der Webseite erfährt man nicht mal einen Preis.
2.) Bitlocker hingegeben ist "kostenlos", sofern man Window 10 Pro hat.
3.) Zudem benötigt man für Bitlocker eben keine extra Software. Das gefällt mir z.B. sehr gut, genauso wie FileVault für Mac. Die Einrichtung ist zudem wirklich einfach.

@websurfer83:
Da du WinMagic SecureDoc anscheinend einsetzt, musst du ja den Preis ja kennen. Was hast du dafür bezahlt?

 

[websurferin83]

@ The_Virus:
Frag doch einfach mal beim Hersteller an, dort nennt man dir Vertriebspartner, die dir ein Angebot unterbreiten können. Ganz allgemein lässt sich aber sagen, dass es bei den Kosten immer darauf ankommt, ob man einen Support-Plan benötigt oder nicht. Ohne Support-Plan liegt die Lizenz für 1 Gerät aber definitiv unter 100 Euro!

Und ja, ich stimme dir zu, dass es mir auch lieber wäre, das ganze mit Windows-Bordmitteln zu erledigen. Allerdings ist die ganze eDrive-Geschichte mehr als umständlich:
1. eDrive von einem bereits installierten Betriebssystem aktivieren
2. Secure Erase der SSD durchführen
3. Betriebssystem neu installieren
4. BitLocker aktivieren

Noch dazu kommt, dass man eDrive mit Samsung Magician nicht mehr deaktivieren kann und auch ein Secure Erase einer einmal verschlüsselten SSD nicht mehr möglich ist (selbst NACH dem Entschlüsseln klappt kein Secure Erase mehr). Dann hilft nur noch das Samsung PSID Revert Tool, das es aber nirgends mehr als Download gibt und auch Samsung rückt es nicht mehr raus --> SSD an Samsung einsenden, sofern noch Garantie besteht!

Und zu guter letzt habe ich mir kürzlich meine als Systemlaufwerk mit BitLocker verschlüsselte 850 Pro "zerschossen": Ich musste eine Systemwiederherstellung machen und danach fuhr das System nicht mehr hoch, da BitLocker eDrive aktiviert war. Secure Erase nicht mehr möglich (siehe oben), Betriebssystem neu installieren auch nicht mehr möglich!

Deshalb lasse ich für Systemlaufwerke nun die Finger von BitLocker.

Bei WinMagic Secure Doc entfällt diese umständliche Aktivierungs-Prozedur mit Secure Erase usw.

Selbst auf ein geklontes System kann man es installieren und die Hardware-Verschlüsselung aktivieren. Haben wir bei uns in der Dienststelle mit unseren Dienst-Laptops immer so gemacht. Funktioniert wunderbar.

Deshalb ist es meiner Meinung nach eine Überlegung Wert, diese "paar Euro" in die Software zu investieren, da man hier viel schneller fertig ist und Komfort und Freiheiten bekommt, die BitLocker mit eDrive nicht bietet.

So, das liest sich bestimmt, wie wenn ich für WinMagic arbeite, was ich aber definitiv nicht tue (bin im öffentlichen Dienst), aber nach dem ganzen BitLocker-Ärger ist das einfach eine Wohltat, weshalb ich meine guten Erfahrungen gerne teilen möchte!

 

[The_Virus]

Interessant auf jeden Fall, danke für deine Einblicke. Ich werde mich tatsächlich mal mit WinMagic in Verbindung setzen.

 

[websurferin83]

Interessant auf jeden Fall, danke für deine Einblicke. Ich werde mich tatsächlich mal mit WinMagic in Verbindung setzen.

Gerne geschehen. Falls du noch speziellere Fragen hast, darfst du mir auch gerne eine PN senden :-)

 

[caruni]

Von mir auch danke. Werde die gleich kontaktieren.

 

[websurferin83]

Von mir auch danke. Werde die gleich kontaktieren.

Bitte, gern geschehen.

 

[caruni]

Hat irgend jemand hier eine Antwort von WinMagic erhalten? Ist schon einige Tage her und bisher hat sich niemand von denen gemeldet. Ich vermute, denen interessieren Privatkunden nicht.

 

[MK one]

es geht , mit der neuen Firmware 3b....

meine 960 Evo ist jetzt bereit für edrive , da man jedoch zwingend ein neues win 10 aufspielen muss um die Hardware encryption zu bekommen ( als Boot/Systemlaufwerk ) und ich zu faul bin mir alles neu zu installieren , dachte ich zuerst ich könnte das mit nem system Abbild austricksen , funktioniert aber wohl nicht so .
erkennen kann man übrigens mit dem befehl manage-bde -status in der Dosshell (Admin) ob es mit der Hardwareencrytion funktioniert , die TB SSD im screenshot ist nicht die 960 Evo sondern die 860 EVO , wollte nur zeigen wie s auszusehen hat .

Wenn ich mal mein System komplett neu aufsetze werde ich die EVO auch verschlüsseln.

 

[MorLipf]

Das Problem ist nicht, dass sich eDrive nicht aktivieren lässt. Dieses wird mit der neuen Firmware in Kombination mit einem Secure Erase tatsächlich aktiviert. Allerdings ist Bitlocker anschließend nicht in der Lage zu erkennen, dass das Laufwerk eDrive-kompatibel ist, wenn es zugleich das Bootlaufwerk ist.

 

[caruni]

Oh weia. Ich lese den Beitrag von MK one und bin voller Hoffnung, und dann kommt die kalte Dusche von MorLipf ;-)

 

[BRAINs]

Habe gerade Windows neu installiert und nochmal probiert, klappt nicht:

 

[The_Virus]

An an alle die es noch nicht mitbekommen haben, Samsung 960 Pro und 960 Evo können eDrive nicht in Verbindung mit Bitlocker (Hardware verschlüsselt) als Systemlaufwerk nutzen. Wenn man die 960 Pro/Evo als sekundäres Laufwerk nutzt, also als reines Datenlaufwerk, dann funktioniert eDrive-Bitlocker. Mittlerweile gibt es auch von Samsung eine Antwort dazu:

After investigating the hardware encryption problems from a compatibility point of view, we found this issue can be only be fixed with a BIOS update by the motherboard manufacturers.
Through technical collaboration with one of the major BIOS chipset companies, we have verified that a new BIOS update of the motherboard BIOS works well with the hardware encryption function in our SSD drives. We will continue to verify the solution with the other BIOS chipset companies.
We expect that the motherboard manufacturers will publicize the information of their BIOS updates for a solution.

Quelle: https://us.community.samsung.com/t5...MANAGE-ENCRYPTION-OF-960-PRO/m-p/289909#M2147

The 960s do work, this issue is in regards to the system utilizing E-drive with Bitlocker when it is the boot drive. It looks like that currently something in the BIOS is causing Windows that are installed on NVME devices to not see or utilize the e-drive chip on the NVME drives with Bitlocker.

We cannot give a timeline as this is on the Motherboard Manufacturers to work with the BIOS chipset companies (America Megatrends, Phoenix Technologies, etc) once they all have the solutions.

The fix was found through internal testing with a major BIOS chipset company, so there is currently nothing on the consumer end we can recommend.

Quelle: https://us.community.samsung.com/t5...ON-OF-960-PRO/m-p/291742/highlight/true#M2164

Heißt, ohne ein BIOS Update wird eDrive-Bitlocker niemals funktionieren. Ob existierende Mainboards jemals so ein BIOS Update erhalten werden, was das Problem behebt, darf ernsthaft bezweifelt werden.

 

[MK one]

Habe gerade Windows neu installiert und nochmal probiert, klappt nicht:

Anhang anzeigen 674354

womit haste denn die 960 EVO zurückgesetzt ? ( Encryted Drive von Aktiv auf " zur Aktivierung vorbereitet" ) - weil man muss ein Secure Erase ausführen und der funktioniert nicht mit Status "Aktiv " nicht ...
bei der 860 EVO hab ich Sedutil-cli verwendet , weiss allerdings nicht ob das mit NVME Laufwerken auch funktioniert , mal abgesehen davon das das wieder alle Daten löscht ...

@ The virus
zumindest ich rechne mit weiteren Updates , die nebenher den Bug beheben , mein Asus Prime B350 bekommt noch laufend Bios Updates weil die neue 2000 er Serie auch drauf laufen soll

PS: Softwareverschlüsselung funktioniert mit Bitlocker auch als Boot / Systemlaufwerk, aber ist klar - wir reden ja von der Hardwareverschlüsselung . So ganz langsam ist mein Ryzen mit Softwareverschlüsselung auch nicht , 2400 MB/s statt 3100 im lesen , aufs schreiben hat es kaum / keinen Einfluss = 1700 MB/s

 

[BRAINs]

womit haste denn die 960 EVO zurückgesetzt ? ( Encryted Drive von Aktiv auf " zur Aktivierung vorbereitet" ) - weil man muss ein Secure Erase ausführen und der funktioniert nicht mit Status "Aktiv " nicht

Ich verstehe deine Frage nicht. Was genau soll ich denn zurückgesetzt haben und wieso eigentlich?

 

[MK one]

hab ich mir schon gedacht .. , du hast genau e i n e Chance es richtig hin zu bekommen ( jedenfalls so wie ich es verstehe ) um die Hardware Encryption beim Boot/sytemlaufwerk zu aktivieren und das ist direkt nach einem secure Erase ( Samsung Magican ) und dann das Installieren eines neuen (clean ) Win 10 / Bitlocker aktivieren , bzw als Data Drive , im GPT Format zu Formatieren und dann mit Bitlocker zu verschlüsseln .
Bei meiner 860 EVO reichte es nicht aus einfach nur das Laufwerk zu formatieren ( ich hatte versucht mein system Laufwerk auf der mit Hardwareverschlüsselung versehenen 860 Evo , per systemabild , zu portieren , hat leider nicht funktioniert - hat die Hardwareverschlüsselung gelöscht ) um danach wieder die Hardware encrption zu aktivieren habe ich das sedutil - cli benutzt um das Laufwerk auf " bereit zur Aktivierung " zurückzusetzen , danach Mit Samsung Magican Secure erase Usb Stick erstellen - Secure erase - neue Gpt Partition erstellen , Bitlocker verschlüsseln und erst dann hat es wieder mit der Hardware Verschlüsselung geklappt .
So wie ich es verstehe ist ein " Secure Erase " zwingend notwendig um erneut die Breitschaft zur Hardwareverschlüsselung zu erreichen , mag mich irren , aber bei mir hat " Secure Erase " ohne PSID Revert nie funktioniert , es kam immer eine Fehlermeldung beim Samsung Tool bzw Windows hat automatisch nur Software Verschlüsselung angeboten .

Google mal nach Samsung PSID Revert Utility , aber da Samsung das freiwillig nicht sofort rausrückt , hab ich zu sedutil-cli benutzt , per 64 bit linux rescue image ( per dotnet Disk Imager auf Usb stick erstellt ) , da es unter Win 10 / Dosshell nicht laufen wollte .

jedenfalls hab ich die 860 Evo neu verschlüsseln können ( in Hardware )


PS: 860 EVO ist kein Tippfehler , es ist der Nachfolger der 850 Evo ( Sata 6 ) , als Systemlaufwerk habe ich die 512 GB 960 Evo .

 

[BRAINs]

Nein, wenn eDrive einmal aktiviert ist, dann ist und bleibt es aktiviert.

 

[MK one]

Tja - dann beantworte mir mal die Frage warum Bitlocker nicht Hardware verschlüsselt sondern nur die Softwareverschlüsselung anbietet wenn man ein Systemabbild aufspielt ... - sicher , das " Aktiv " wird angezeigt im Samsung Magican - bedeutet aber nicht automatisch das du die Hardwareverschlüsselung über Bitlocker nutzen kannst . Es ist sogar so das du das auf normalem Wege gar nicht deaktivieren kannst .
So ist zumindest meine bisherige Erfahrung . Beim zurücksetzen wird der alte Schlüssel weggeworfen und ein neuer generiert und die SSD mit Secure Erase in den Werkszustand zurückgesetzt . Damit klappt es dann auch wieder mit der Hardwareverschlüsselung , so meine Erfahrung , mag vielleicht noch andere Wege geben , gefunden hab ich sie bisher jedoch nicht .