Leserartikel BitLocker Hardware Encryption eDrive

Bob.Dig

Lt. Commander
Dabei seit
Dez. 2006
Beiträge
1.390
BitLocker Hardware Encryption eDrive

Die hardwarebasierte Verschlüsselung von SSDs und HDDs (Drives) mittels BitLocker als Encrypted Hard Drive (eDrive) ist allgemein abhängig vom Drive selbst, von der Windowsversion und dem UEFI des Mainboards.
Mit einigen aktuellen Mainboards lässt sich eDrive in Windows nicht mehr nutzen. Auch kann es Unterschiede zwischen den verschiedenen Plattformen (AMD, intel) beim selben Mainboard-Hersteller geben und ob auch ein NVMe-Drive als eDrive verwendet werden kann.



Übersicht Mainboardhersteller

ASRock​
ASUS​
Gigabyte​
MSI​
Rest​
Sockel:​
AM4​
1151v2​
AM4​
1151v2​
AM4​
1151v2​
AM4​
1151v2​
❔​
SATA:​
✅​
:skull_alt:
✅​
✅​
✅​
❌​
❌​
❔​
NVMe:​
❔​
❔​
❔​
❔​
❌​
❌​
❔​
Datenlage gering, daher alle Angaben ohne Gewähr.

Wer eigene Erfahrungen beisteuern möchte, gerne in diesem Thread posten.
Aktuelles UEFI ist Pflicht [Achtung bei ASRock - intel].
Neben der Angabe des Drives bitte einen Screenshot beifügen und auf Besonderheiten hinweisen.
gfgfgffdgfg.PNG
Benchmarkvergleich von software- und hardwarebasierter Verschlüsselung

SATA-SSD.PNG
Speed.jpg
How-To: BitLocker eDrive als Bootlaufwerk

  • Warnung
    • Das ganze Prozedere ist für Anfänger nicht geeignet.
    • Es droht Datenverlust. Es sollte daher immer ein aktuelles Backup angelegt werden.
    • Aufgrund von BitLocker-Recovery-Maßnahmen sollte mindestens ein weiterer PC sowie ein weiteres Drive jederzeit zur Verfügung stehen.
  • Mindestvoraussetzung
    • Win10 Pro
    • geeignetes Drive mit Verschlüsselungsfunktion
    • geeignetes UEFI (Mainboard)
    • generell keine Voraussetzung für BitLocker ist ein Trusted Platform Module (TPM). Viele aktuelle CPUs enthalten selbst ein TPM, dieses kann im UEFI aktiviert werden.
      56w42.jpg
  • Vorbereitung
    • SSDs von Samsung müssen mit dem Herstellertool (Magician) vorbereitet werden (Ready to enable).
      Ready to enable.JPG
      Ausnahme: Das Drive ist bereits eDrive enabled.
      Capture.JPG
    • Für SSDs von Crucial gilt dies, soweit bekannt, nicht. Es kann aber nicht schaden, sich ebenfalls mit dem Herstellertool (Storage Executive) vertraut zu machen.
    • Das Drive muss leer und uninitialisiert sein, dafür dieses mittels diskpart cleanen.
      diskpart.JPG
      Oder, sofern vorhanden und geeignet, entsprechende Angebote im UEFI nutzen (z.B. NVME Sanitation Tool, SSD Secure Erase Tool).
      Ein Secure Erase an sich ist nicht erforderlich, erfüllt aber den Job ebenfalls.
    • Windows muss auf die SSD frisch installiert werden, im sogenannten UEFI-Modus.
    • Ein USB-Stick als Installationsmedium muss FAT*-formatiert sein, am Besten das offizielle Media Creation Tool (MCT) von Microsoft für die Erstellung des Sticks nutzen.
    • Im UEFI des Mainbords muss das Compatibility Support Module (CSM) deaktiviert sein. Dieses findet sich zumeist bei den Boot-Optionen.
      Secure boot sollte erst nach der Windowsinstallation aktiviert werden.
  • Windowsinstallation
    • Wie bei jeder Installation von Windows, sollten alle anderen Drives vorher abgeklemmt werden.
    • Im UEFI muss die SID authentication in TCG Storage Device für aktuellere Drives aktiviert werden. Es kann nicht schaden, dies generell zu tun. Dieser Vorgang gilt nur für den nächsten Boot.
      BlockSID.jpg
      Die darauf folgende Frage muss mit F10 bestätigt werden, worauf das Mainboard erneut bootet.
      gjhhj.jpg
      Nun muss Windows unmittelbar installiert werden.
      Ausnahme: Das Drive ist bereits eDrive enabled.
    • Auf die Verwendung eigener Storage-Treiber, wie z.B. intel_RST oder Samsung_NVM_Express_Driver, sollte nach Möglichkeit verzichtet werden. Diese sind bei einem aktuellen Windows 10 auch nicht mehr von Vorteil.
    • Nach der Installation kann in der System Information überprüft werden, ob Windows tatsächlich im UEFI-Modus installiert wurde.
      uefimod.JPG
      Darüber hinaus kann im Falle von Samsung-Drives jetzt auch schon mittels Magician überprüft werden, ob das Drive eDrive enabled ist.
  • Konfiguration von BitLocker
    • Als erstes sollte BitLocker über Group Policy (GP) mittels des Group Policy Editor (gpedit.msc) konfiguriert werden.
      GP1.JPG
    • Um sich schneller ein Bild machen zu können, ob die Hardwareverschlüsselung erfolgreich sein wird oder doch nur einer Verschlüsselung in Software möglich ist, sollte neben der obligatorischen Aktivierung der hardwarebasierten Verschlüsselung die softwarebasierte Verschlüsselung dafür vorerst abgewählt werden.
      GP2.JPG
    • Für die Eingabe einer PIN bei einem TPM folgende GP aktivieren. Wer kein TPM hat oder dieses bewusst nicht zugeschaltet hat muss oben noch zusätzlich den Haken setzen.
      GP3.JPG
  • Verschlüsselung mittels BitLocker
    • Ein Rechtsklick im Explorer auf das Bootlaufwerk erlaubt nun die Verschlüsselung einzuschalten. Neben der empfohlenen Vergabe eines Passwortes oder einer PIN (TPM), wird in den folgenden Dialogen auch ein Wiederherstellungsschlüssel generiert. Diesen unbedingt aufbewahren! Im Falle von Problemen ist teilweise eine Entschlüsselung nur noch mit diesem möglich, selbst wenn das Passwort bekannt ist! Bei der enhanced PIN oder Passwortvergabe ist zu beachten, dass diese für ein Bootlaufwerk mit dem englischen Tastaturlayout eingeben werden sollten.
    • Wenn der Assistent eine Fehlermeldung ausgibt oder fragt, ob das Drive in Teilen verschlüsselt werden soll oder die Verschlüsselung länger als ein paar Sekunden dauert, dann war zumindest die hardwarebasierte Verschlüsselung nicht erfolgreich. Dies kann wie folgt überprüft werden.
      bde.JPG
    • Nach erfolgreichem Test empfiehlt sich die Verschlüsselung zunächst wieder abzuschalten und Windows in Ruhe fertig zu konfigurieren, denn gerade durch die Verwendung eines TPM und Secure boot, können schon kleine Veränderungen ein nerviges BitLocker-Recovery auslösen.​


FAQ

  • Wie sicher ist die hardwarebasierte Verschlüsselung mittels BitLocker?
    Dies ist immer abhängig vom jeweiligen Drive. Da Microsoft keinerlei Versprechungen machen kann, was die Sicherheit der Implementierung der verschiedenen Hersteller betrifft, ist die hardwarebasierte Verschlüsselung mittels BitLocker inzwischen nicht mehr die Voreinstellung von Windows und kann wie folgt aktiviert werden.
    Capture.JPG

  • Wie schnell ist die hardwarebasierte Verschlüsselung mittels BitLocker?
    Es gibt keinen Unterschied zwischen einem unverschlüsseltem und einem verschlüsseltem Drive.

  • Warum ist softwarebasierte Verschlüsselung langsamer?
    Ein Erklärungsansatz dazu von Holt.
    Der Grund warum eine Softwareverschlüsselung immer Leistung kostet ist, dass dies eben immer ein weiterer Schritt ist, die Daten müssen erst gelesen werden, bevor sie entschlüsselt werden können und beim Schreiben müssen sie eben auch erst verschlüsselt werden, bevor sie geschrieben werden können.

    Damit erhöht sich also die Latenz und nun ist die Frage was der Hersteller der Verschlüsselungssoftware macht, ob er also wartet bis die ganzen Daten, bei AHCI können dies pro Zugriff bis zu 2^32 LBAs sein, was bei 512 Byte pro LBA dann 32MB sind, dann steigt die Latenz auch entsprechend. Oder er will die Latenz nicht stark steigen lassen, dann bricht er die Zugriffe in mehrere kurze Zugriffe auf, HDDs erreichen bereits bei 64k pro Zugriff ungefähr ihre maximalen Transferraten, SATA SSDs oft erst bei 256 oderr 512 Byte und für NVMe SSDs können auch 2MB oder 4MB noch zu wenig sein. Wenn die Verschlüsselungsoftware sowas macht, wovon man direkt ja nichts merkt, dann fällt der maximale Durchsatz wegen der kürzeren Zugriffe viel mehr als wegen der Zeit die die CPU zum Verschlüsseln braucht.
    In meinen Benchmarks machte es im Übrigen keinen Unterschied, ob softwarebasiertes BitLocker oder Veracrypt genutzt wurde.

  • Kann die einmal erfolgte eDrive-Aktivierung (eDrive enabled) zurückgenommen werden?
    Anders als im folgenden Screenshot zu lesen ist, kann dies mittels eines PSID-Revert erreicht werden. Ein Secure Erase reicht dafür nicht. Die dazu nötige Physical Security ID (PSID) findet sich auf dem Aufkleber direkt auf dem Drive. Gerade bei M.2-Drives kann es nicht schaden, diesen Aufkleber vorher abzufotografieren.
    Capture.JPG

  • Gibt es für die hardwarebasierte Verschlüsselung nach dem OPAL-Standard Alternativen?
    SEDutil gibt es für Windows und Linux.


Besonderen Dank

🏆
@tox1c90 @palace
 
Zuletzt bearbeitet:

Faust2011

1+1=10
Teammitglied
Dabei seit
Aug. 2011
Beiträge
10.501
Eigentlich sollte das funktionieren. Bitlocker braucht ein TPM (Trusted Platform Module), das in der Ryzen CPU drin ist. Es kann jedoch auch Probleme geben, siehe Quick pro tip about Ryzen and TPM
 

foofoobar

Lieutenant
Dabei seit
Dez. 2011
Beiträge
643
Ryzen ist doch schnell genug: (Und das ist nur ein Core)
Code:
$ cryptsetup benchmark
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1      1081006 iterations per second
PBKDF2-sha256     764268 iterations per second
PBKDF2-sha512     544431 iterations per second
PBKDF2-ripemd160  661145 iterations per second
PBKDF2-whirlpool  261882 iterations per second
#  Algorithm | Key |  Encryption |  Decryption
     aes-cbc   128b  1054,4 MiB/s  3396,5 MiB/s
serpent-cbc   128b    95,9 MiB/s   348,8 MiB/s
twofish-cbc   128b   178,2 MiB/s   360,9 MiB/s
     aes-cbc   256b   801,6 MiB/s  2928,7 MiB/s
serpent-cbc   256b    96,0 MiB/s   348,8 MiB/s
twofish-cbc   256b   178,1 MiB/s   360,2 MiB/s
     aes-xts   256b  1621,5 MiB/s  1623,1 MiB/s
serpent-xts   256b   340,9 MiB/s   338,4 MiB/s
twofish-xts   256b   358,1 MiB/s   358,8 MiB/s
     aes-xts   512b  1435,5 MiB/s  1437,0 MiB/s
serpent-xts   512b   341,0 MiB/s   338,4 MiB/s
twofish-xts   512b   358,3 MiB/s   358,8 MiB/s
$ lscpu
Architecture:          x86_64
CPU op-mode(s):        32-bit, 64-bit
Byte Order:            Little Endian
CPU(s):                16
On-line CPU(s) list:   0-15
Thread(s) per core:    2
Core(s) per socket:    8
Socket(s):             1
NUMA node(s):          1
Vendor ID:             AuthenticAMD
CPU family:            23
Model:                 1
Model name:            AMD Ryzen 7 1700X Eight-Core Processor
Stepping:              1
CPU MHz:               2200.000
CPU max MHz:           3400,0000
CPU min MHz:           2200,0000
BogoMIPS:              6787.27
Virtualization:        AMD-V
L1d cache:             32K
L1i cache:             64K
L2 cache:              512K
L3 cache:              8192K
NUMA node0 CPU(s):     0-15
Flags:                 fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt pdpe1gb rdtscp lm constant_tsc rep_good nopl nonstop_tsc cpuid extd_apicid aperfmperf pni pclmulqdq monitor ssse3 fma cx16 sse4_1 sse4_2 movbe popcnt aes xsave avx f16c rdrand lahf_lm cmp_legacy svm extapic cr8_legacy abm sse4a misalignsse 3dnowprefetch osvw skinit wdt tce topoext perfctr_core perfctr_nb bpext perfctr_l2 mwaitx hw_pstate retpoline retpoline_amd vmmcall fsgsbase bmi1 avx2 smep bmi2 rdseed adx smap clflushopt sha_ni xsaveopt xsavec xgetbv1 xsaves clzero irperf xsaveerptr arat npt lbrv svm_lock nrip_save tsc_scale vmcb_clean flushbyasid decodeassists pausefilter pfthreshold avic v_vmsave_vmload vgif overflow_recov succor smca
$
 
Zuletzt bearbeitet:

Bob.Dig

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
1.390
Warum die Hardwareverschlüsselung sich nicht aktivieren lässt ist das Thema.

Hier kannst Du dich auch noch ein wenig bilden, schau dir insbesondere die 4K Werte des Vergleiches an. Links Softwareverschlüsselung, rechts Hardwareverschlüsselung. Und das trift genauso auf BitLocker in Software zu. Wenn Du dazu noch Redebedarf hast, dann gerne in dem anderen Thread.
Ergänzung ()

Habe mir jetzt noch ein Asrock Board bestellt um dann zu gucken ob das ein AM4 Problem oder eines von MSI ist.
 

Mente

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.084
Hi,
hast du den CSM deaktiviert un auch dein Boot im Uefi Modus eingestellt für win10?
Ich hatte das bei mir im test gemacht und da ging es problemlos im Uefi modus.
Aber ich nutze keine Samsung SSDs und auch kein MSI Board daher ....
lg
 

Mente

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.084
so wie der TE es haben will ja, und CMS muss komplett aus sein und TPM an.
 

Bob.Dig

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
1.390
Aber ich nutze keine Samsung SSDs und auch kein MSI Board daher ....
lg
Aber AM4 hoffe ich. Welches Brett denn?
Ergänzung ()

so wie der TE es haben will ja, und CMS muss komplett aus sein und TPM an.
Also ich meine SecureBoot ist nicht pflicht und ein TPM auch nicht, wenn man die entsprechende Policy einstellt.
 
Zuletzt bearbeitet:

Mente

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.084
Hi,
laut MS und Samsung ist es Pflicht für Hardware Support, ich hab nen C6H und C7h und da lief beim Test die hardware Verschlüsslung der Vector problemlos.
Aber die anderen User hier haben recht mit entsprechender Hardware ist software Verschlüsselung nicht wirklich langsamer und auch sicherer.
lg
PS: wenn du mal mehr lesen möchtest zur "Sicherheit"
 
Top