Leserartikel BitLocker Hardware Encryption eDrive

Bob.Dig

Commander
Dabei seit
Dez. 2006
Beiträge
2.977
BitLocker Hardware Encryption eDrive

Die hardwarebasierte Verschlüsselung von SSDs und HDDs (Drives) mittels BitLocker als Encrypted Hard Drive (eDrive) ist performant, ohne zusätzlichen Ressourcenverbrauch. Hardwarebasiert bedeutet in diesem Zusammenhang, dass das Drive seine eigene, eingebaute Verschlüsselung nutzt, BitLocker wird nur zur Verwaltung und nicht für die Verschlüsselung genutzt. eDrive ist allgemein abhängig vom Drive selbst, von der Windowsversion und dem UEFI des Mainboards. Nicht Inhalt dieses Artikels ist die normale, softwarebasierte Verschlüsselung mittels BitLocker oder anderer Tools wie VeraCrypt.

Mit Windows 11 (z.B. Build 22000.376) lässt sich die hardwarebasierte Verschlüsselung wieder einrichten!
Wobei auch hier die GP entsprechend konfiguriert werden muss.​


Mit der im Mai 2020 veröffentlichten Version 2004 von Windows 10 lässt sich die hardwarebasierte Verschlüsselung nicht mehr einrichten.

Nähere Details sind nicht bekannt.

Mit Upgrades statt Neuinstallationen kann aber
die hardwarebasierte Verschlüsselung weiter genutzt werden,
selbst wenn man gar keine Daten behält und sogar die bestehenden Partitionen löscht (quasi Neu-Install).

Von welcher Version man nun genau noch einrichten kann, ist nicht einfach zu sagen,
da es von MS aktualisierte Windows ISOs gibt, die schon die Blockierung enthalten.
Am sichersten fährt man daher mit Windows10-ISOs 1903 oder früher.​

Mit einigen aktuellen Mainboards lässt sich eDrive nicht mehr nutzen. Auch kann es Unterschiede zwischen den verschiedenen Plattformen (AMD, intel) beim selben Mainboard-Hersteller geben und ob auch ein NVMe-Drive als eDrive verwendet werden kann.

Übersicht Mainboardhersteller

ASRock​
ASUS​
Gigabyte​
MSI​
Rest​
Sockel:​
AM4​
1151v2​
AM4​
1151v2​
AM4​
1151v2​
AM4​
1700​
1151v2
❔​
SATA:​
✅​
:skull_alt:
❔​
❔​
❔​
✅​
❌​
❔​
NVMe:​
:skull_alt:
❔​
❔​
✅​
❌​
❔​
Datenlage gering, daher alle Angaben ohne Gewähr.

Wer eigene Erfahrungen beisteuern kann, bitte hier posten.
Aktuellstes, noch empfohlenes UEFI ist Pflicht [Achtung bei ASRock - intel].
Neben der Angabe des Drives bitte einen Screenshot beifügen und auf Besonderheiten hinweisen.
gfgfgffdgfg.PNG
Benchmarkvergleich von software- und hardwarebasierter Verschlüsselung

  • 980 Pro 1TB, M.2
gesamt.PNG

Das hier Gezeigte ist noch der Idealfall für die softwarebasierte Verschlüsselung, sie unterscheidet sich bis auf eine leicht erhöhte CPU-Last im SEQ1M-Q8T1-Test kaum. In der Praxis schneidet die softwarebasierte Verschlüsselung mittels BitLocker (aber nicht VeraCrypt!) oft deutlich schlechter ab, Verluste von 50% bei den Schreibwerten sind keine Seltenheit. Dabei ist die Ursache dafür unklar, manche Serien an Massenspeichern schneiden einfach deutlich schlechter ab als andere.
How-To: BitLocker eDrive als Bootlaufwerk

  • Warnung
    • Das ganze Prozedere ist für Anfänger nicht geeignet.
    • Es droht Datenverlust. Es sollte daher immer ein aktuelles Backup angelegt werden.
    • Aufgrund von BitLocker-Recovery-Maßnahmen sollte mindestens ein weiterer PC jederzeit zur Verfügung stehen.
    • Ein geeignetes Windows muss auf das Drive frisch installiert werden! 😝
  • Mindestvoraussetzung
    • Drive mit geeigneter Verschlüsselungsfunktion
    • Mainboard mit geeignetem UEFI
    • Win10 Pro < 1909
    • Keine Voraussetzung für BitLocker ist ein Trusted Platform Module (TPM). Viele aktuelle CPUs enthalten selbst ein TPM, dieses kann im UEFI aktiviert werden.
      56w42.jpg
  • Vorbereitung
    • SSDs von Samsung müssen mit dem Herstellertool (Magician) vorbereitet werden (Ready to enable).
      Ready to enable.JPG
      Ausnahme: Das Drive ist bereits eDrive enabled.
      Capture.JPG
    • Für SSDs von Crucial gilt dies, soweit bekannt, nicht. Es kann aber nicht schaden, sich ebenfalls mit dem Herstellertool (Storage Executive) vertraut zu machen.
    • Das Drive muss leer und uninitialisiert sein, dafür dieses mittels diskpart cleanen.
      diskpart.JPG
      Oder, sofern vorhanden und geeignet, entsprechende Angebote im UEFI nutzen (z.B. NVME Sanitation Tool, SSD Secure Erase Tool).
      Ein Secure Erase an sich ist nicht erforderlich, erledigt den Job aber ebenfalls.
    • Windows muss auf das Drive frisch installiert werden, im sogenannten UEFI-Modus.
    • Ein USB-Stick als Installationsmedium muss FAT*-formatiert sein, am Besten das offizielle Media Creation Tool (MCT) von Microsoft für die Erstellung des Sticks nutzen.
    • Im UEFI des Mainbords muss das Compatibility Support Module (CSM) deaktiviert sein. Dieses findet sich zumeist bei den Boot-Optionen.
      Secure boot ist keine Voraussetzung für BitLocker.
  • Windowsinstallation
    • Wie bei jeder Installation von Windows sollten alle anderen Drives vorher abgeklemmt werden.
    • Im UEFI muss für aktuellere Drives disbale Block Sid aktiviert werden, es empfiehlt sich daher die generelle Aktivierung. Dieser Vorgang gilt nur für den nächsten Boot und erlaubt die SID authentication in TCG Storage Device, indem diese notwendige Authentifizierung eben nicht länger blockiert wird.
      BlockSID.jpg
      Die darauf folgende Frage muss mit F10 bestätigt werden, worauf das Mainboard erneut bootet.
      gjhhj.jpg
      Nun muss Windows unmittelbar installiert werden.
      Ausnahme: Das Drive ist bereits eDrive enabled.
    • Auf die Verwendung eigener Storage-Treiber (z.B. intel_RST, Samsung_NVM_Express_Driver) sollte nach Möglichkeit verzichtet werden.
    • Nach der Installation kann in der System Information überprüft werden, ob Windows tatsächlich im UEFI-Modus installiert wurde.
      uefimod.JPG
      Darüber hinaus kann im Falle von Samsung-Drives jetzt auch schon mittels Magician überprüft werden, ob das Drive eDrive enabled ist.
  • Konfiguration von BitLocker
    • Als erstes sollte BitLocker über Group Policy (GP) mittels des Group Policy Editor (gpedit.msc) konfiguriert werden.
      GP1.JPG
    • Neben der der obligatorischen Aktivierung der hardwarebasierten Verschlüsselung muss die softwarebasierte Verschlüsselung vorerst abgewählt werden (gilt auch für Win11).
      GP2.JPG
    • Für die Eingabe einer PIN bei einem TPM folgende GP aktivieren. Wer kein TPM hat oder dieses bewusst nicht zugeschaltet hat, muss zusätzlich oben den Haken setzen.
      GP3.JPG
  • Verschlüsselung mittels BitLocker
    • Ein Rechtsklick im Explorer auf das Bootlaufwerk erlaubt nun die Verschlüsselung einzuschalten. Neben der empfohlenen Vergabe eines Passwortes oder einer PIN (TPM), wird in den folgenden Dialogen auch ein Wiederherstellungsschlüssel generiert. Diesen unbedingt aufbewahren! Im Falle von Problemen ist teilweise eine Entschlüsselung nur noch mit diesem möglich, selbst wenn Passwort/PIN bekannt sind! Bei der enhanced PIN oder Passwortvergabe ist zu beachten, dass diese für ein Bootlaufwerk mit dem englischen Tastaturlayout eingeben werden sollten. Den Probelauf mit der Passworteingabe darf man nicht mehr wählen, sondern man muss direkt verschlüsseln!
    • Wenn der Assistent eine Fehlermeldung ausgibt oder fragt, ob das Drive in Teilen verschlüsselt werden soll oder die Verschlüsselung länger als ein paar Sekunden dauert, dann war zumindest die Verschlüsselung in Hardware nicht erfolgreich. Dies kann auch wie folgt überprüft werden.
      manage-bde -status
      bde.JPG
    • Wenn die Verschlüsselung einmal komplett aufgehoben wurde, kann nur noch softwarebasiert verschlüsselt werden! (Win10)​


Q&A

  • Wie sicher ist die hardwarebasierte Verschlüsselung mittels BitLocker?
    Diese ist immer abhängig vom jeweiligen Drive. Da Microsoft keinerlei Versprechungen machen kann, was die Sicherheit der Implementierung der verschiedenen Hersteller betrifft, ist die hardwarebasierte Verschlüsselung mittels BitLocker inzwischen nicht mehr die Voreinstellung von Windows und muss wie folgt aktiviert werden.
    GP2.JPG

  • Wie schnell ist die hardwarebasierte Verschlüsselung mittels BitLocker?
    Es gibt keinen Unterschied zwischen unverschlüsseltem und verschlüsseltem Drive.

  • Kann die eDrive-Aktivierung (eDrive enabled) an einem anderen PC vorgenommen werden?
    Wenn euer PC z.B. die disbale Block Sid-Funktion im UEFI vermissen lässt, aber ein anderer PC hat diese, dann kann man die Schritte für eine eDrive-Aktivierung als Zweitlaufwerk wie folgt zusammen fassen:
    1. Ready to Enable mittels Magician
    2. uninitialisiertes Drive
    3. disbale Block Sid im UEFI aktivieren
    4. Windows als reines UEFI-System
    5. (GP Hardwarebasiertes BitLocker in Windows aktivieren)
    6. Initialisieren des Drives in der Datenträgerverwaltung (oder bei der Windowsinstallation).
    Abschließend mittels Magician das Ergebnis prüfen.

  • Kann die einmal erfolgte eDrive-Aktivierung (eDrive enabled) zurückgenommen werden?
    Anders als im folgenden Screenshot zu lesen ist, kann dies mittels PSID-Revert erreicht werden. Ein Secure Erase langt dafür nicht. Die dazu nötige Physical Security ID (PSID) findet sich auf dem Aufkleber direkt auf dem Drive. Gerade bei M.2-Drives kann es nicht schaden, diesen Aufkleber vorher abzufotografieren.
    Capture.JPG


  • Gibt es für die hardwarebasierte Verschlüsselung nach dem OPAL-Standard Alternativen?
    SEDutil gibt es für Windows und Linux.


Besonderen Dank

🏆
@tox1c90 @palace
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DFFVB, tony_mont4n4, Mister-Knister und 4 weitere Personen

Faust2011

HTTP 418 - I'm a teapot
Moderator
Dabei seit
Aug. 2011
Beiträge
12.166
Eigentlich sollte das funktionieren. Bitlocker braucht ein TPM (Trusted Platform Module), das in der Ryzen CPU drin ist. Es kann jedoch auch Probleme geben, siehe Quick pro tip about Ryzen and TPM
 

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.977
BitLocker braucht kein TPM wenn die entsprechende Option gesetzt ist, welche ich immer vornehme.
Wer hat es denn mit AM4 am Laufen und weiß näheres?
 

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.977
Ja ist bekannt, wurde aber dramatisiert, hab das Paper selbst gelesen und die Diskussion auf CB geführt. ;)
 

foofoobar

Lt. Commander
Dabei seit
Dez. 2011
Beiträge
1.073
Ryzen ist doch schnell genug: (Und das ist nur ein Core)
Code:
$ cryptsetup benchmark
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1      1081006 iterations per second
PBKDF2-sha256     764268 iterations per second
PBKDF2-sha512     544431 iterations per second
PBKDF2-ripemd160  661145 iterations per second
PBKDF2-whirlpool  261882 iterations per second
#  Algorithm | Key |  Encryption |  Decryption
     aes-cbc   128b  1054,4 MiB/s  3396,5 MiB/s
serpent-cbc   128b    95,9 MiB/s   348,8 MiB/s
twofish-cbc   128b   178,2 MiB/s   360,9 MiB/s
     aes-cbc   256b   801,6 MiB/s  2928,7 MiB/s
serpent-cbc   256b    96,0 MiB/s   348,8 MiB/s
twofish-cbc   256b   178,1 MiB/s   360,2 MiB/s
     aes-xts   256b  1621,5 MiB/s  1623,1 MiB/s
serpent-xts   256b   340,9 MiB/s   338,4 MiB/s
twofish-xts   256b   358,1 MiB/s   358,8 MiB/s
     aes-xts   512b  1435,5 MiB/s  1437,0 MiB/s
serpent-xts   512b   341,0 MiB/s   338,4 MiB/s
twofish-xts   512b   358,3 MiB/s   358,8 MiB/s
$ lscpu
Architecture:          x86_64
CPU op-mode(s):        32-bit, 64-bit
Byte Order:            Little Endian
CPU(s):                16
On-line CPU(s) list:   0-15
Thread(s) per core:    2
Core(s) per socket:    8
Socket(s):             1
NUMA node(s):          1
Vendor ID:             AuthenticAMD
CPU family:            23
Model:                 1
Model name:            AMD Ryzen 7 1700X Eight-Core Processor
Stepping:              1
CPU MHz:               2200.000
CPU max MHz:           3400,0000
CPU min MHz:           2200,0000
BogoMIPS:              6787.27
Virtualization:        AMD-V
L1d cache:             32K
L1i cache:             64K
L2 cache:              512K
L3 cache:              8192K
NUMA node0 CPU(s):     0-15
Flags:                 fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt pdpe1gb rdtscp lm constant_tsc rep_good nopl nonstop_tsc cpuid extd_apicid aperfmperf pni pclmulqdq monitor ssse3 fma cx16 sse4_1 sse4_2 movbe popcnt aes xsave avx f16c rdrand lahf_lm cmp_legacy svm extapic cr8_legacy abm sse4a misalignsse 3dnowprefetch osvw skinit wdt tce topoext perfctr_core perfctr_nb bpext perfctr_l2 mwaitx hw_pstate retpoline retpoline_amd vmmcall fsgsbase bmi1 avx2 smep bmi2 rdseed adx smap clflushopt sha_ni xsaveopt xsavec xgetbv1 xsaves clzero irperf xsaveerptr arat npt lbrv svm_lock nrip_save tsc_scale vmcb_clean flushbyasid decodeassists pausefilter pfthreshold avic v_vmsave_vmload vgif overflow_recov succor smca
$
 
Zuletzt bearbeitet:

foofoobar

Lt. Commander
Dabei seit
Dez. 2011
Beiträge
1.073
Ein Core schafft ein vielfaches von einem SATA Anschluß, was ist also das Thema?
 

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.977
Warum die Hardwareverschlüsselung sich nicht aktivieren lässt ist das Thema.

Hier kannst Du dich auch noch ein wenig bilden, schau dir insbesondere die 4K Werte des Vergleiches an. Links Softwareverschlüsselung, rechts Hardwareverschlüsselung. Und das trift genauso auf BitLocker in Software zu. Wenn Du dazu noch Redebedarf hast, dann gerne in dem anderen Thread.
Ergänzung ()

Habe mir jetzt noch ein Asrock Board bestellt um dann zu gucken ob das ein AM4 Problem oder eines von MSI ist.
 
  • Gefällt mir
Reaktionen: Pfandfinder

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.977
Habe ich nicht getestet aber vermutlich das selbe wegen halt dem Softwarelayer dazwischen.
 
  • Gefällt mir
Reaktionen: Pfandfinder

Mente

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.535
Hi,
hast du den CSM deaktiviert un auch dein Boot im Uefi Modus eingestellt für win10?
Ich hatte das bei mir im test gemacht und da ging es problemlos im Uefi modus.
Aber ich nutze keine Samsung SSDs und auch kein MSI Board daher ....
lg
 
  • Gefällt mir
Reaktionen: Bob.Dig

Mente

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.535
so wie der TE es haben will ja, und CMS muss komplett aus sein und TPM an.
 

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.977
Zitat von Mente:
Aber ich nutze keine Samsung SSDs und auch kein MSI Board daher ....
lg
Aber AM4 hoffe ich. Welches Brett denn?
Ergänzung ()

Zitat von Mente:
so wie der TE es haben will ja, und CMS muss komplett aus sein und TPM an.
Also ich meine SecureBoot ist nicht pflicht und ein TPM auch nicht, wenn man die entsprechende Policy einstellt.
 
Zuletzt bearbeitet:

Mente

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.535
Hi,
laut MS und Samsung ist es Pflicht für Hardware Support, ich hab nen C6H und C7h und da lief beim Test die hardware Verschlüsslung der Vector problemlos.
Aber die anderen User hier haben recht mit entsprechender Hardware ist software Verschlüsselung nicht wirklich langsamer und auch sicherer.
lg
PS: wenn du mal mehr lesen möchtest zur "Sicherheit"
 
Top