Leserartikel BitLocker Hardware Encryption eDrive

Bob.Dig

Commander
Dabei seit
Dez. 2006
Beiträge
2.500
BitLocker Hardware Encryption eDrive

Die hardwarebasierte Verschlüsselung von SSDs und HDDs (Drives) mittels BitLocker als Encrypted Hard Drive (eDrive) ist performant, ohne zusätzlichen Ressourcenverbrauch. Hardwarebasiert bedeutet in diesem Zusammenhang, dass das Drive seine eigene, eingebaute Verschlüsselung nutzt, BitLocker wird nur zur Verwaltung und nicht für die Verschlüsselung genutzt. eDrive ist allgemein abhängig vom Drive selbst, von der Windowsversion und dem UEFI des Mainboards.

Mit der im Mai 2020 veröffentlichten Version 2004 von Windows 10 lässt sich die hardwarebasierte Verschlüsselung nicht mehr einrichten!

Nähere Details sind nicht bekannt.

Mit Upgrades statt Neuinstallationen kann
die hardwarebasierte Verschlüsselung aber weiter genutzt werden.​

Mit einigen aktuellen Mainboards lässt sich eDrive nicht mehr nutzen. Auch kann es Unterschiede zwischen den verschiedenen Plattformen (AMD, intel) beim selben Mainboard-Hersteller geben und ob auch ein NVMe-Drive als eDrive verwendet werden kann.

Übersicht Mainboardhersteller

ASRock​
ASUS​
Gigabyte​
MSI​
Rest​
Sockel:​
AM4​
1151v2​
AM4​
1151v2​
AM4​
1151v2​
AM4​
1151v2​
❔​
SATA:​
✅​
:skull_alt:
❔​
❔​
❔​
❌​
❔​
NVMe:​
:skull_alt:
❔​
❔​
❌​
❔​
Datenlage gering, daher alle Angaben ohne Gewähr.

Wer eigene Erfahrungen beisteuern kann, bitte hier posten.
Aktuellstes, noch empfohlenes UEFI ist Pflicht [Achtung bei ASRock - intel].
Neben der Angabe des Drives bitte einen Screenshot beifügen und auf Besonderheiten hinweisen.
gfgfgffdgfg.PNG
Benchmarkvergleich von software- und hardwarebasierter Verschlüsselung

  • 970 EVO Plus 500GB, M.2
nvme.JPG


How-To: BitLocker eDrive als Bootlaufwerk

  • Warnung
    • Das ganze Prozedere ist für Anfänger nicht geeignet.
    • Es droht Datenverlust. Es sollte daher immer ein aktuelles Backup angelegt werden.
    • Aufgrund von BitLocker-Recovery-Maßnahmen sollte mindestens ein weiterer PC jederzeit zur Verfügung stehen.
    • Windows muss auf das Drive frisch installiert werden! 😝
  • Mindestvoraussetzung
    • Drive mit geeigneter Verschlüsselungsfunktion
    • Mainboard mit geeignetem UEFI
    • Win10 Pro
    • Keine Voraussetzung für BitLocker ist ein Trusted Platform Module (TPM). Viele aktuelle CPUs enthalten selbst ein TPM, dieses kann im UEFI aktiviert werden.
      56w42.jpg
  • Vorbereitung
    • SSDs von Samsung müssen mit dem Herstellertool (Magician) vorbereitet werden (Ready to enable).
      Ready to enable.JPG
      Ausnahme: Das Drive ist bereits eDrive enabled.
      Capture.JPG
    • Für SSDs von Crucial gilt dies, soweit bekannt, nicht. Es kann aber nicht schaden, sich ebenfalls mit dem Herstellertool (Storage Executive) vertraut zu machen.
    • Das Drive muss leer und uninitialisiert sein, dafür dieses mittels diskpart cleanen.
      diskpart.JPG
      Oder, sofern vorhanden und geeignet, entsprechende Angebote im UEFI nutzen (z.B. NVME Sanitation Tool, SSD Secure Erase Tool).
      Ein Secure Erase an sich ist nicht erforderlich, erledigt den Job aber ebenfalls.
    • Windows muss auf das Drive frisch installiert werden, im sogenannten UEFI-Modus.
    • Ein USB-Stick als Installationsmedium muss FAT*-formatiert sein, am Besten das offizielle Media Creation Tool (MCT) von Microsoft für die Erstellung des Sticks nutzen.
    • Im UEFI des Mainbords muss das Compatibility Support Module (CSM) deaktiviert sein. Dieses findet sich zumeist bei den Boot-Optionen.
      Secure boot ist keine Voraussetzung für BitLocker.
  • Windowsinstallation
    • Wie bei jeder Installation von Windows sollten alle anderen Drives vorher abgeklemmt werden.
    • Im UEFI muss für aktuellere Drives disbale Block Sid aktiviert werden, es empfiehlt sich daher die generelle Aktivierung. Dieser Vorgang gilt nur für den nächsten Boot und erlaubt die SID authentication in TCG Storage Device, indem diese notwendige Authentifizierung eben nicht länger blockiert wird.
      BlockSID.jpg
      Die darauf folgende Frage muss mit F10 bestätigt werden, worauf das Mainboard erneut bootet.
      gjhhj.jpg
      Nun muss Windows unmittelbar installiert werden.
      Ausnahme: Das Drive ist bereits eDrive enabled.
    • Auf die Verwendung eigener Storage-Treiber (z.B. intel_RST, Samsung_NVM_Express_Driver) sollte nach Möglichkeit verzichtet werden. Diese sind bei einem aktuellen Windows 10 auch nicht mehr nötig.
    • Nach der Installation kann in der System Information überprüft werden, ob Windows tatsächlich im UEFI-Modus installiert wurde.
      uefimod.JPG
      Darüber hinaus kann im Falle von Samsung-Drives jetzt auch schon mittels Magician überprüft werden, ob das Drive eDrive enabled ist.
  • Konfiguration von BitLocker
    • Als erstes sollte BitLocker über Group Policy (GP) mittels des Group Policy Editor (gpedit.msc) konfiguriert werden.
      GP1.JPG
    • Um sich schneller ein Bild machen zu können, ob die Hardwareverschlüsselung erfolgreich sein wird oder doch nur eine Verschlüsselung in Software möglich ist, sollte neben der obligatorischen Aktivierung der hardwarebasierten Verschlüsselung die softwarebasierte Verschlüsselung dafür vorerst abgewählt werden.
      GP2.JPG
    • Für die Eingabe einer PIN bei einem TPM folgende GP aktivieren. Wer kein TPM hat oder dieses bewusst nicht zugeschaltet hat, muss zusätzlich oben den Haken setzen.
      GP3.JPG
  • Verschlüsselung mittels BitLocker
    • Ein Rechtsklick im Explorer auf das Bootlaufwerk erlaubt nun die Verschlüsselung einzuschalten. Neben der empfohlenen Vergabe eines Passwortes oder einer PIN (TPM), wird in den folgenden Dialogen auch ein Wiederherstellungsschlüssel generiert. Diesen unbedingt aufbewahren! Im Falle von Problemen ist teilweise eine Entschlüsselung nur noch mit diesem möglich, selbst wenn Passwort/PIN bekannt sind! Bei der enhanced PIN oder Passwortvergabe ist zu beachten, dass diese für ein Bootlaufwerk mit dem englischen Tastaturlayout eingeben werden sollten.
    • Wenn der Assistent eine Fehlermeldung ausgibt oder fragt, ob das Drive in Teilen verschlüsselt werden soll oder die Verschlüsselung länger als ein paar Sekunden dauert, dann war zumindest die Verschlüsselung in Hardware nicht erfolgreich. Dies kann auch wie folgt überprüft werden.
      bde.JPG
    • Nach erfolgreichem Test empfiehlt sich die Verschlüsselung zunächst wieder abzuschalten und Windows in Ruhe fertig zu konfigurieren, denn gerade durch die Verwendung eines TPM und Secure boot können schon kleine Veränderungen ein nerviges BitLocker-Recovery auslösen.​


Q&A

  • Wie sicher ist die hardwarebasierte Verschlüsselung mittels BitLocker?
    Diese ist immer abhängig vom jeweiligen Drive. Da Microsoft keinerlei Versprechungen machen kann, was die Sicherheit der Implementierung der verschiedenen Hersteller betrifft, ist die hardwarebasierte Verschlüsselung mittels BitLocker inzwischen nicht mehr die Voreinstellung von Windows und kann wie folgt aktiviert werden.
    Capture.JPG

  • Wie schnell ist die hardwarebasierte Verschlüsselung mittels BitLocker?
    Es gibt keinen Unterschied zwischen unverschlüsseltem und verschlüsseltem Drive.

  • Kann die eDrive-Aktivierung (eDrive enabled) an einem anderen PC vorgenommen werden?
    Wenn euer PC z.B. die disbale Block Sid-Funktion im UEFI vermissen lässt, aber ein anderer PC hat diese, dann kann man die Schritte für eine eDrive-Aktivierung als Zweitlaufwerk wie folgt zusammen fassen:
    1. Ready to Enable mittels Magician
    2. uninitialisiertes Drive
    3. disbale Block Sid im UEFI aktivieren
    4. Windows als reines UEFI-System
    5. (GP Hardwarebasiertes BitLocker in Windows aktivieren)
    6. Initialisieren des Drives in der Datenträgerverwaltung (oder bei der Windowsinstallation).
  • Kann die einmal erfolgte eDrive-Aktivierung (eDrive enabled) zurückgenommen werden?
    Anders als im folgenden Screenshot zu lesen ist, kann dies mittels PSID-Revert erreicht werden. Ein Secure Erase langt dafür nicht. Die dazu nötige Physical Security ID (PSID) findet sich auf dem Aufkleber direkt auf dem Drive. Gerade bei M.2-Drives kann es nicht schaden, diesen Aufkleber vorher abzufotografieren.
    Capture.JPG


  • Gibt es für die hardwarebasierte Verschlüsselung nach dem OPAL-Standard Alternativen?
    SEDutil gibt es für Windows und Linux.


Besonderen Dank

🏆
@tox1c90 @palace
 
Zuletzt bearbeitet:

Faust2011

HTTP 418 - I'm a teapot
Moderator
Dabei seit
Aug. 2011
Beiträge
11.784
Eigentlich sollte das funktionieren. Bitlocker braucht ein TPM (Trusted Platform Module), das in der Ryzen CPU drin ist. Es kann jedoch auch Probleme geben, siehe Quick pro tip about Ryzen and TPM
 

foofoobar

Lieutenant
Dabei seit
Dez. 2011
Beiträge
846
Ryzen ist doch schnell genug: (Und das ist nur ein Core)
Code:
$ cryptsetup benchmark
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1      1081006 iterations per second
PBKDF2-sha256     764268 iterations per second
PBKDF2-sha512     544431 iterations per second
PBKDF2-ripemd160  661145 iterations per second
PBKDF2-whirlpool  261882 iterations per second
#  Algorithm | Key |  Encryption |  Decryption
     aes-cbc   128b  1054,4 MiB/s  3396,5 MiB/s
serpent-cbc   128b    95,9 MiB/s   348,8 MiB/s
twofish-cbc   128b   178,2 MiB/s   360,9 MiB/s
     aes-cbc   256b   801,6 MiB/s  2928,7 MiB/s
serpent-cbc   256b    96,0 MiB/s   348,8 MiB/s
twofish-cbc   256b   178,1 MiB/s   360,2 MiB/s
     aes-xts   256b  1621,5 MiB/s  1623,1 MiB/s
serpent-xts   256b   340,9 MiB/s   338,4 MiB/s
twofish-xts   256b   358,1 MiB/s   358,8 MiB/s
     aes-xts   512b  1435,5 MiB/s  1437,0 MiB/s
serpent-xts   512b   341,0 MiB/s   338,4 MiB/s
twofish-xts   512b   358,3 MiB/s   358,8 MiB/s
$ lscpu
Architecture:          x86_64
CPU op-mode(s):        32-bit, 64-bit
Byte Order:            Little Endian
CPU(s):                16
On-line CPU(s) list:   0-15
Thread(s) per core:    2
Core(s) per socket:    8
Socket(s):             1
NUMA node(s):          1
Vendor ID:             AuthenticAMD
CPU family:            23
Model:                 1
Model name:            AMD Ryzen 7 1700X Eight-Core Processor
Stepping:              1
CPU MHz:               2200.000
CPU max MHz:           3400,0000
CPU min MHz:           2200,0000
BogoMIPS:              6787.27
Virtualization:        AMD-V
L1d cache:             32K
L1i cache:             64K
L2 cache:              512K
L3 cache:              8192K
NUMA node0 CPU(s):     0-15
Flags:                 fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt pdpe1gb rdtscp lm constant_tsc rep_good nopl nonstop_tsc cpuid extd_apicid aperfmperf pni pclmulqdq monitor ssse3 fma cx16 sse4_1 sse4_2 movbe popcnt aes xsave avx f16c rdrand lahf_lm cmp_legacy svm extapic cr8_legacy abm sse4a misalignsse 3dnowprefetch osvw skinit wdt tce topoext perfctr_core perfctr_nb bpext perfctr_l2 mwaitx hw_pstate retpoline retpoline_amd vmmcall fsgsbase bmi1 avx2 smep bmi2 rdseed adx smap clflushopt sha_ni xsaveopt xsavec xgetbv1 xsaves clzero irperf xsaveerptr arat npt lbrv svm_lock nrip_save tsc_scale vmcb_clean flushbyasid decodeassists pausefilter pfthreshold avic v_vmsave_vmload vgif overflow_recov succor smca
$
 
Zuletzt bearbeitet:

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.500
Warum die Hardwareverschlüsselung sich nicht aktivieren lässt ist das Thema.

Hier kannst Du dich auch noch ein wenig bilden, schau dir insbesondere die 4K Werte des Vergleiches an. Links Softwareverschlüsselung, rechts Hardwareverschlüsselung. Und das trift genauso auf BitLocker in Software zu. Wenn Du dazu noch Redebedarf hast, dann gerne in dem anderen Thread.
Ergänzung ()

Habe mir jetzt noch ein Asrock Board bestellt um dann zu gucken ob das ein AM4 Problem oder eines von MSI ist.
 

Mente

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.366
Hi,
hast du den CSM deaktiviert un auch dein Boot im Uefi Modus eingestellt für win10?
Ich hatte das bei mir im test gemacht und da ging es problemlos im Uefi modus.
Aber ich nutze keine Samsung SSDs und auch kein MSI Board daher ....
lg
 

Mente

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.366
so wie der TE es haben will ja, und CMS muss komplett aus sein und TPM an.
 

Bob.Dig

Commander
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
2.500
Aber ich nutze keine Samsung SSDs und auch kein MSI Board daher ....
lg
Aber AM4 hoffe ich. Welches Brett denn?
Ergänzung ()

so wie der TE es haben will ja, und CMS muss komplett aus sein und TPM an.
Also ich meine SecureBoot ist nicht pflicht und ein TPM auch nicht, wenn man die entsprechende Policy einstellt.
 
Zuletzt bearbeitet:

Mente

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.366
Hi,
laut MS und Samsung ist es Pflicht für Hardware Support, ich hab nen C6H und C7h und da lief beim Test die hardware Verschlüsslung der Vector problemlos.
Aber die anderen User hier haben recht mit entsprechender Hardware ist software Verschlüsselung nicht wirklich langsamer und auch sicherer.
lg
PS: wenn du mal mehr lesen möchtest zur "Sicherheit"
 
Top