Leserartikel BitLocker Hardware Encryption eDrive

[tox1c90]

MSI hat mit einem der letzten UEFI-Updates für mein Z690 Tomahawk die "Disable Block SID"-Einstellung aus dem UEFI-Setup entfernt.
Und im MSI-Forum schreibt einer mit Z790, dass er die Einstellung nicht hat, was stark darauf hindeutet, dass man sie für die 600er Boards nachträglich entfernt hat, und für die 700er Boards von Anfang an gar nicht mehr integriert hat. (https://forum-en.msi.com/index.php?...-nvme-on-msi-motherboards.332112/post-2219383)

Yay! Warum nicht einfach mal den Status Quo ein paar Jahre lang lassen, wenn es doch funktioniert hat!!!
Ohne diese Kommandoblockade abschalten zu können, wird es damit auf diesen Boards künftig unmöglich sein, SEDs/OPAL/eDrive-Laufwerke kryptographisch zu initialisieren, und zwar weder mit Bitlocker, noch mit anderen OPAL-Tools a la sedutil. Denn die greifen ja alle auf die gleiche Schnittstelle zu.

Edit:
Hätte ich mal gründlicher die letzten Beiträge gelesen...

Interessant finde ich, da wird ein Weg gezeigt wie man software-seitig in Windows die Einstellung setzen kann, falls im BIOS keine Option für Disable Block SID vorhanden ist.
Ich habs erstmal nur überflogen aber das hat mir wieder bisschen Hoffnung gegeben in meinem älteren Alienware Laptop wieder zu versuchen HE zu aktivieren... mal sehen.

Klingt ja als bestünde vielleicht doch noch eine Chance

Der Guide, in dem die betreffenden Commands stehen, ist dieser hier: https://blog.odenthal.cc/how-to-enable-bitlocker-hw-encryption-with-modern-ssds-e-g-samsung-980-pro/

Wenn ich das nächste mal eine "frische" SSD in die Finger kriege die noch disabled ist, probier ich das mal aus.

 

[Jacky007]

gibt es bei Gigabyte iwo die Option "disable Block Sid"?

 

[norKoeri]

@Jacky007 welches Problem hast Du genau? Jene Option brauchst Du nämlich nur dann, wenn Du eine NVMe nutzen willst. Nutzt Du noch SATA, geht es auch ohne. Oder betrifft das auch neuere SATAs? Oder anders gefragt, welche SSD probierst Du (Hersteller, Modell, Firmware)?

 

[Jacky007]

Board: Gigabyte Gaming X AX Intel B760 So.1700 DDR5
SSD: Crucial T500 SSD 1TB PCIe Gen4 NVMe M.2

"block Sid" finde ich nirgendwo in den BIOS-Einstellungen

 

[Bob.Dig]

Guck mal da wo auch die TPM Einstellungen zu finden sind. Dort versteckt es sich oft.

 

[Jacky007]

nope leider nicht, habe auch schon die BIOS Suche verwendet

 

[Bob.Dig]

nope leider nicht, habe auch schon die BIOS Suche verwende

Dann frag doch mal im Motherboard-Bereich, wenn Du denn sicher bist, dass Du diese Option brauchst. Also ich würde es erst einmal ohne probieren.

 

[Jacky007]

habe ich probiert:

mit diskpart gelöscht (clean)
windows 11 installiert
GP angepasst

leider nur die software verschlüsselung möglich :/

 

[norKoeri]

Crucial T500

Sicher dass die überhaupt Microsoft eDrive nach IEEE 1667 bietet? Existiert überhaupt ein Tool, dass das für eine solche NVMe anzeigen würde? @websurfer83 hatte in jenem Post eine check_eDrive_x64.exe verlinkt (Beispiel-Output). Klappt hier super für SATA aber ist zu alt für NVMe. In einem vorherigen Post:

Man kann auch im Gerätemanager sehen, ob Windows das Laufwerk prinzipiell als eDrive-fähig erkannt hat

Erscheint bei mir nicht (mehr): Windows 11 Version 23H2. Erscheinen jene Silos bevor das Laufwerk für BitLocker verwendet wird oder galt das nur bis zu einer bestimmten Windows-Version?

Existiert irgendwo eine Liste mit Festspeicher, die wirklich gehen, also sowas wie

• SATA: Samsung 840er-Serie (nach Firmware-Update) und neuer
• NVMe: Samsung 970er-Serie und neuer (Samsung 960er-Serie nur nach Firmware-Update und nicht als Boot- bzw. Systemlaufwerk; außer BIOS-Hersteller hat gezaubert)

Gerade Crucial ist so ein kleines Chaos. Crucial bietet eDrive schon seit dem Jahr 2013 mit der M500. Aber Einsteiger-Modelle wie die SATA-basierte BX500 gehen zum Beispiel nicht. Die aktuelle Crucial MX500 geht. Und ging es überhaupt bei NVMe von Crucial: Die P5 soll gehen, aber die P5 Plus nicht mehr?

Und Festspeicher mit Controller von Phison sollen eDrive nie gekonnt haben. Falls das stimmt, dann keine Crucial P2, P3, P3 Plus aber auch keine T700 und T500. Fraglich wären folglich nur Crucial P1 und P5.

 

[Bob.Dig]

@norKoeri Das sind jetzt aber alles Mutmaßungen deinerseits oder? Denn was bei Geizhals als TCG Opal geführt wird, kann vermutlich auch eDrive. Ich gebe aber zu, der Thread ist sehr Samsung-lastig.

 

[Jacky007]

die exe kann man leider nicht mehr runterladen..

es gibt sonst hier noch ne Anleitung: https://www.crucial.de/support/articles-faq-ssd/setup-ssd-encryption-via-bitlocker

da steht z.B. nix von "disable Block Sid"

 

[Bob.Dig]

Dann weiß ich jetzt, von welcher Marke mein nächstes intel Board nicht sein wird. 😉

 

[Jacky007]

hat noch jemand ne Idee?

 

[Bob.Dig]

Denn was bei Geizhals als TCG Opal geführt wird, kann vermutlich auch eDrive. Ich gebe aber zu, der Thread ist sehr Samsung-lastig.

Habe nun eine OPAL Crucial SSD und diese kann kein eDrive. Es gibt sogar eine etwas versteckte Crucial-Support-Seite die aussagt, dass keine der Crucial NVMe SSDs eDrive kann!
Startpost ergänzt.