BitLocker Hardwareverschlüsselung aktivieren

Gutan Abend,

ich habe endlich mal ein Notebook (T540p) und möchte meine Dateien natürlich schützen falls das Notebook wegkommen sollte. Also dachte ich geil: BitLocker über Hardware, dann wird auch der Akku geschont.

Nun kann ich aber BitLocker nicht über die Hardwareverschlüsselung aktivieren, obwohl ich VOR der installation von Windows auf den UEFI-only Modus gestellt habe. Dadurch ist CSM automatisch deaktiviert. Als SSD kommt eine SanDisk X300s zum einsatz die eigentlich AES-Verschlüsselung unterstützt.

Was mache ich falsch?

Bitlocker ist unabhängig von der AES-Unterstützung der Festplatte. Dies wäre nur eine weitere Verschlüsselung. Die relevanten Informationen verschweigst du aber natürlich, nämlich welche Version von Windows du verwendest. Bitlocker ist z.B. in den Home-Editions nicht verfügbar.

Afaik bei Win 7 ab Enterprose und Ultimate, Win 8/8.1 ab Pro und Enterprise und bei Win 10 ab Pro, Enterprise und Education.

Ich hab ebenfalls ein T540p und Windows 10 Pro, Bitlocker ging ohne Probleme.

Das liegt auch definitiv nicht am Gerät (sofern damit kein technischer Defekt vorliegt). Bitlocker klappt auch schon problemlos auf einem dezent älteren T420 ThinkPad

Hallo, ich verwende natürlich Windows 10 Pro. BitLocker würde prinzipiell funktionieren, ich möchte aber das dies über die Hardware passiert und nicht über eine rechenintensivere Software-Methode.

Wenn ich die BitLocker-Richtlinien so einstelle das eine Hardwareverschlüsselung stattfinden muss, kann BitLocker nicht aktiviert werden.

Also ich verwende das T540p mit Security Chip Enabled (im UEFI), Modus: UEFI Only, Secure Boot Enabled -> dadurch CSM deaktiviert. Also alle Vorraussetzungen für BitLocker erfüllt. Im Geräte-Manager wird mir auch das TPM-Modul angezeigt. Als SSD verwende ich eine Sandisk X300s welche TCG Opal 2.0,
IEEE 1667, eDrive und AES 256 unterstützt. Weiterhin habe ich den AHCI-Treiber von Intel (RST) und von Windows ausprobiert, mit beiden Treibern hat es nicht funktioniert.

Bei SSDs einfach ein "Drive Password" im BIOS setzen (OPAL full disk encryption): kein performanceverlust, für das OS transparent, kein zusätzlicher Stromverbrauch, man braucht nicht einmal bitlocker support
https://security.stackexchange.com/...t-way-to-protect-personal-data-against-thiefs

Damit der Thread hier nicht im Sand verläuft melde ich mich einmal zurück!

Ich habe es geschafft die Hardwareverschlüsselung von Bitlocker zu aktivieren. Allerdings habe ich die dazu verbaute SanDisk X300s gegen eine Samsung 840 Evo getauscht. Anschließend habe ich schnell Windows und den Samsung Magician installiert. In MAgican habe ich das eDrive-Feature aktiviert und anschließend einen SecureErase gemacht (Pflicht). Dazu habe ich allerdings ein Tool von Lenovo genutzt, da die Festplatte normalerweise im BIOS gesperrt ist (ATA-Frozen). Dann wieder Windows installiert und das TPM übernommen. Jetzt konnte ich BitLocker aktivieren ohne das ich gefragt wurde ob nur der genutzte Platz oder alles verschlüsselt werden soll (Hinweis darauf das Hardwareverschlüsselung verwendet wird). Abschließend habe ich alle Treiber über das Programm System UPdate von Lenovo installiert. Dabei ist die Verschlüsselung deaktiviert worden als der Intel RST (Rapid Storage) Treiber installiert wurde. Leider konnte ich darauf hin BitLocker nicht erneut mit der Hardwareverschlüsselung aktivieren. Also habe ich den gesamten Vorgang wiederholt aber diesmal den Intel RST nicht mitinstalliert. Siehe da, bisher läuft alles einwandfrei. Es scheint irgendwie nicht möglich zu sein bei dein Verbauten SanDisk X300s dieses eDrive-Feature zu aktivieren.

Eine Abfrage von BitLocker über die PowerShell bestätigt mir die Verwendung der Hardwareverschlüsselung. Viel Spaß beim reproduzieren.

Unereichbar schrieb:

Eine Abfrage von BitLocker über die PowerShell bestätigt mir die Verwendung der Hardwareverschlüsselung. Viel Spaß beim reproduzieren.

Zum Vergrößern anklicken....

Und nu die schlechte Nachricht. Die Verschlüsselung per TPM-Chip ist kaputt:
http://www.tomshardware.com/news/infineon-tpm-insecure-rsa-keys,35668.html

Im Artikel steht doch das es gepached ist und nur der aktuelle Schlüssel ersetzt werden muss (also das TPM zurücksetzten). Ist doch nicht schlimm und unabhängig von BitLocker.

Unereichbar schrieb:

Im Artikel steht doch das es gepached ist und nur der aktuelle Schlüssel ersetzt werden muss (also das TPM zurücksetzten). Ist doch nicht schlimm

Zum Vergrößern anklicken....

Naja. Man muss es halt wissen.

Unereichbar schrieb:

und unabhängig von BitLocker.

Zum Vergrößern anklicken....

Ja. Nur nutzt Bitlocker eben TPM-Chips.

Wobei mir persönlich schon bei BitLocker eh nicht wohl wäre. Aber das muss jeder selbst wissen.

Bitlocker läuft ja auch ohne TPM mit entsprechender Group Policy und nutzt auch dann die Hardwareverschlüsselung des Drives, sofern unterstützt. Hab das Ganze schon mit mehren SSDs genutzt, zuletzt mit einer 850 Evo. Ein SecureErase ist nicht erforderlich, auch wenn Magician sowas erzählt. Und ja, der RST Treiber ist Gift und sollte ohnehin nur noch für ein intel-RAID genutzt werden.

Update:

Ich habe mittlerweile eine Antwort vom Lenovo Support: Leider hat SanDisk den eDrive-Support für die verbaute X300s bei einem Firmwareupdate gestrichen. Sehr sehr traurig.