Samsung SSD 960 EVO - EDrive (Bitlocker) möglich?

[The_Virus]

@MK one:
bezieht sich dein letzter Post auf die 860 Evo? Um die geht es hier in diesem Thread nämlich nicht.
Warum 960 Evo/Pro kein hardware verschlüsseltes eDrive-Bitlocker nutzen können, hab ich ja bereits gepostet.

Verstehe auch gar nicht, warum einige hier es trotzdem probieren das aktiviert zu bekommen, nur um dann enttäuscht festzustellen, dass es geht nicht. Ohne BIOS-Update wird das halt nichts.

Ob ich mit meinem Z270 Board so ein Update erhalte, bezweifel ich in meinem Fall zumindest. MSI versorgt immer nur die aktuelle Generation mit vielen Updates (Z370 bzw. bald Z390). "Ältere" Boards erhalten nur noch vereinzelt neue BIOS Updates. Und generell wird so ein Update auch noch eine ganze Weile brauchen denke ich. Samsung löst das Problem ja erst zusammen mit den BIOS-Chip Herstellern (Phoenix, AMI), die das an die Mainboard-Hersteller weiterleiten und dann irgendwann an die Kunden.

 

[BRAINs]

Tja - dann beantworte mir mal die Frage warum Bitlocker nicht Hardware verschlüsselt sondern nur die Softwareverschlüsselung anbietet wenn man ein Systemabbild aufspielt ...

Ich hatte damit keine Probleme als ich noch eine Samsung nicht-NVME Systemplatte benutzte. Image zurückspielen und anschließend Bitlocker (hardwareverschlüsselt) aktivieren war nie ein Problem. Secure Erase war nie nötig, ein einfaches Löschen der SSD mit dem diskpart Befehl clean hat immer ausgereicht.

Aber wie The_Virus schon anmerkte, das ist hier gar nicht das Thema. Dass Bitlocker/eDrive bei den normalen Samsung SATA SSDs funktioniert wissen wir ja, nur bei den M.2 NVME Teilen geht es (noch) nicht.

 

[MK one]

@ Brain
wieder was gelernt , werde es austesten wenn die Hardwäreverschlüsselung das nächste mal gebrochen wird ( aus welchem Grund auch immer ) , muss dazu aber sagen das ich normalerweise die Dosshell zum formatieren/partitionieren nicht benutze sondern die Datenträgerverwaltung von Win 10 .

@ Virus
The 960s do work, this issue is in regards to the system utilizing E-drive with Bitlocker when it is the boot drive. It looks like that currently something in the BIOS is causing Windows that are installed on NVME devices to not see or utilize the e-drive chip on the NVME drives with Bitlocker.

We cannot give a timeline as this is on the Motherboard Manufacturers to work with the BIOS chipset companies (America Megatrends, Phoenix Technologies, etc) once they all have the solutions.

The fix was found through internal testing with a major BIOS chipset company, so there is currently nothing on the consumer end we can recommend.

stammt aus deinem vorherigen Post , ich verstehe es so , das der Fehler gefunden wurde , es einen Fix gibt (letzter Satz) , jedoch nicht bekannt ist ob und wann die Mainbordhersteller diesen in ihr Bios/Uefi einbauen .

und ja , mir ist schon klar das es hier in erster Linie um die 960 Evo geht , aber man kann ja wohl auch noch andere Dinge ansprechen die zum Themenbereich Edrive / Bitlocker / SSD und Hardwareverschlüsselung gehören als außschliesslich die modellspezifischen ( hier 960 EVO )

 

[BRAINs]

muss dazu aber sagen das ich normalerweise die Dosshell zum formatieren/partitionieren nicht benutze sondern die Datenträgerverwaltung von Win 10

Du kannst aber unter Windows nicht das Systemlaufwerk löschen ;-)

 

[MK one]

schon klar , deswegen mein weg des geringsten Wiederstandes , Samsung Magican + secure erase , der erstellt das Linux Image automatisch auf dem USB Stick ( genauer gesagt hab ich ne alte 2 GB SD Karte im Cardreader dafür benutzt , funktioniert auch )

mein letztes Bios Update war am 27.03.2018 , ich warte mal das nächste ab und teste dann mal " Diskpart / clean " mit meiner 960 EVO

 

[BRAINs]

Wenn eDrive bei deiner Platte schon aktiviert ist brauchst du weder SecureErase noch den clean Befehl ausführen. Deine Platte erfüllt dann bereits die Voraussetzungen für Bitlocker Hardwareverschlüsselung. Dann liegt es nur noch am Board/BIOS.

 

[MK one]

hab grad nen Bios update für das MSI B350 Tomahawk gesehen AMI Bios 7A34v1G
" Improved M2 Compatibility " -> leider wird da mal wieder nicht genauer ins Detail gegangen ... , ich hab nen Asus Prime B350 - kanns also nicht testen aber zumindest gehts in die richtige Richtung
Asus ist recht langsam beim Bios , sie nutzen Agesa 1000a , MSI ist da schon bei 1001a
https://www.msi.com/Motherboard/support/B350-TOMAHAWK

 

[tox1c90]

Ich hab den Thread gerade durchgelesen, weil ich mich auch für eine 960 Evo in Verbindung mit eDrive interessiere...

Es fiel ein paar Mal die Behauptung, man könne Hardwareverschlüsselung mit eDrive nur mit einer Neuinstallation auf dem dafür frisch vorbereiteten Laufwerk erzielen -> das ist so nicht ganz korrekt.

Das war als ich damit angefangen habe auch meine Befürchtung, weil ich nicht wusste, wie ich dann z.B. ein Image zurückspielen soll ohne eDrive zu verlieren.
Aber es klappt tatsächlich auf dem "dümmsten" und naivsten Weg völlig problemlos. Meine Vorgehensweise:

1. Image-Backup unter Windows mit Acronis True Image. Das Laufwerk ist unlocked, d.h. TI hat von der Existenz des Bitlockers gar keine Ahnung.
2. Bei der Wiederherstellung vom WinPE-Medium gebootet (dieses hab ich um die Enhanced Storage - Komponenten erweitert).
3. Unter WinPE die System-SSD unlocken mittels Bitlocker-Command, sodass TI drauf zugreifen kann.
4. Image einfach wiederherstellen und drüberbügeln.

Dabei habe ich TI gesagt, es soll das gesamte Laufwerk wiederherstellen, d.h. alle Partitionen werden vorher gelöscht. Da der Inhalt des Image natürlich die unverschlüsselten Partitionen enthält, die man so auch auf jedes andere unverschlüsselte Laufwerk wiederherstellen könnte, war meine Sorge, dass dabei die Bitlocker-Hardwareverschlüsselung bzw. eDrive gebrochen wird, wenn ein Tool, was keine Ahnung von Bitlocker hat, die Partitionen überschreibt.

Das war nicht der Fall! Nach einem Neustart wollte Windows beim Booten weiterhin den Bitlocker-Schlüssel haben, und meldet auch, dass Hardwareverschlüsselung aktiv ist.

Somit funktioniert es auch, wenn man z.B. von einem eDrive-verschlüsselten Laufwerk auf ein neues eDrive umziehen will.
Man macht ein Image von der Systempartition, bereitet dann einfach das neue Laufwerk unter Windows als eDrive vor (d.h. z.B. im Samsung Magician dafür vorbereiten, Secure Erase oder im diskpart der clean-Command), und stellt das Image-Backup auf das bereits als eDrive eingerichtete Laufwerk wieder her.
Wichtig ist, dass das neue Laufwerk bereits ein Bitlocker-aktiviertes eDrive ist!

Was NICHT funktioniert: Image-Backup auf einem neuen Laufwerk wiederherstellen, BEVOR es als eDrive in Besitz genommen wurde, und dann nachträglich das versuchen.
Das erfordert nämlich eine Initialisierung (mittels diskpart->clean), die das aktuelle System killen würde. Macht man das jedoch einfach VORHER in dem System, was man darauf klonen will, kann man eine beliebige Windows-Installation darauf wiederherstellen.
Diese merkt dann beim Hochfahren "oha, ich starte von einem eDrive und kann die Daten ohne Schlüssel gar nicht lesen" und verlangt den Key.


So habe ich das nämlich gemacht, als ich von einer als eDrive laufenden 850 Evo 250GB auf eine mit 500GB umgezogen bin.
Die 850 Evo 500GB als sekundäres Laufwerk rein, im Magician eDrive aktiviert, gleich danach Secure Erase. Dann einfach ne leere Alibi-Partition drauf erstellt, um etwas zu haben, worauf ich Bitlocker aktivieren kann.
Dann Bitlocker darauf aktiviert -> die neue SSD war hardwareverschlüsselt. Dann vom TI-Bootmedium gebootet und das Image von der 250GB einfach auf die 500GB wiederhergestellt.

Hat funktioniert. Es war völlig unerheblich für Windows, dass es auf einmal von einem anderen eDrive aus gebootet wurde. Natürlich funktionierte beim Booten dann auch nur der Key des neuen Laufwerks.

 

[palace]

Für alle, die "verzweifelt" probieren:

Dear customer,
Thank you for emailing GIGABYTE.
We would like to help you with your technical inquiry.
GIGABYTE retail bios for endusers does not support hardware encryption to prevent users from data loss caused by hardware changes or bios udate. Only for system integrators we can offer such bios.

Wobei ich mich frage, warum man das nichtmal für ne Datendisk aktivieren kann?

 

[Bob.Dig]

@palace Ich meine, dass bei ASRock auch ein Hinweis kommt, dass man das Laufwerk entschlüsseln muss vor dem BIOS-Upgrade. Bei einer Hardware Encryption dauert das aber auch nur eine Sekunde und dürfte damit im privaten Bereich keinerlei Problem sein.

 

[palace]

Hi,

der hinweis ist, das GigaByte eDrive im Konsumerbereich offensichtlich gar nicht unterstützt .
Da ich noch nicht genau verstehe, wie das funktioniert, akzeptiere ich, dass ich mein Bootlaufwerk nicht verschlüsseln kann, da das BIOS es nicht unterstützt. Interessant dagegen finde ich, dass ich zusätzliche (Daten)Laufwerke nicht Hardwareverschlüsseln kann.
Der Schlüssel wird doch auf dem TPM gespeichert, oder? Dann sollte auch ein BIOS Update ohne verschlüsselung möglich sein(?).
Aber leider muss ich mir darum nun keine Gedanken mehr machen.

Für die jenigen, die eDrive nutzen wollen gilt, am Besten beim Hersteller direkt fragen, ob es überhaupt unterstützt wird.

Gruß,

C.

 

[Bob.Dig]

eDrive war es bis jetzt herzlich egal, ob es ein Boot-Drive ist oder nicht. Ausnahme davon waren NVMe-Laufwerke, bei denen war das lange nicht möglich, inzwischen aber geht auch das in einigen Bereichen.
eDrive und BitLocker brauchen auch nicht zwangsweise ein TPM. Ich vermute sogar es liegt an den TPMs, dass Gigabyte hier dicht macht, da diese immer häufiger in der CPU anzufinden sind und diese auch durch BIOS-Upgrades beeinflusst werden könnten.

Deinen Hinweis habe ich natürlich verstanden und auch gleich in meinen Thread übernommen, wo ich quasi eine Übersicht führe, welchem Hersteller man noch was zutrauen kann, was eDrive betrifft.