Leserartikel BitLocker Hardware Encryption eDrive

[Starbuck80]

Fakt ist, ich konnte die Hardware Verschlüsselung mit einer aktuellen 21H2 ISO aktivieren. Das steht dem entgegen was in der Übersicht geschildert ist. Daher habe ich meine Beobachtung dazu geschildert.

Aber vielleicht hat nicht jeder Bock oder die Möglichkeit diese ganze Upgrade-Prozedur durchzuführen, dann wäre der geschilderte Weg ja zumindest einen Versuch wert. Ich hab es soweit getestet wie ich derzeit konnte.

Und wenn du ein Problem damit hast das ich dazu meine Annahme geäußert habe, ist das dein Problem. Eine plausible, fundierte Erklärung dazu lieferst du jedenfalls nicht. Nur gefährliches Halbwissen, aber vielleicht darf man das ja wenn man schon solange ein einem Forum aktiv ist

 

[Bob.Dig]

Fakt ist, ich konnte die Hardware Verschlüsselung mit einer aktuellen 21H2 ISO aktivieren. Das steht dem entgegen was in der Übersicht geschildert ist. Daher habe ich meine Beobachtung dazu geschildert.

Das ist auch ok. Jetzt wäre aber interessant, was genau hast Du davor mit dem Drive gemacht... Fakten sind hier gerne gesehen, wilde Spekulationen von Anfängern weniger.

 

[Starbuck80]

Ich habe die SSD (Kingston A2000) in einem Desktop-System wie hier beschrieben mit dem Hersteller-Tool vorbereitet. Und im UEFI des Notebooks (HP) "Allow OPAL Hard Drive SID Authentication" aktiviert. Sobald ich eine weitere kompatible SSD habe werde ich das auch mal auf dem Desktop-System testen. Eine andere Möglichkeit habe ich jetzt leider nicht.

 

[Bob.Dig]

Und im UEFI des Notebooks (HP) "Allow OPAL Hard Drive SID Authentication" aktiviert.

Hattest Du eDrive davor schon mal am Laufen gehabt mit dem Drive? Wie wäre es mit einem Screenshot, der den bde-status zeigt?

 

[Sidechain]

Also wenn das auch mit c: ginge, dann wäre das tatsächlich ein gravierender Unterschied zwischen Win10 und Win11, dann wäre das Problem bei Win11 gefixt. Freu mich von Dir zu lesen.


Hab den Bench mit dem CPU-Auslastungsvergleich aus dem Startpost nun etwas unfreiwillig noch mal mit aktuellerer Hardware wiederholt, das Bild ist dabei das gleiche wie zuvor.

Anhang anzeigen 1162851

Ich habe heute meine 980 Pro 2TB softwareseitig per Bitlocker verschlüsselt und massive Leistungseinbußen festgestellt. Handelt es sich bei deinem Screenshot um Veracrypt oder Bitlocker?

Hier mal meine Ergebnisse zum Vergleich (links ohne und rechts mit Bitlocker):

Auf dem Bild handelt es sich um eine 20GB große Testpartition aber die Ergebnisse sind auch bei einer Full Disk Encryption ebenfalls nahezu identisch.

 

[Bob.Dig]

Ich habe heute meine 980 Pro 2TB softwareseitig per Bitlocker verschlüsselt und massive Leistungseinbußen festgestellt.

Massiv sind sie nicht. Was ich meine, aber hier nicht gezeigt habe, ist tatsächlich eine Halbierung bei Seq. Die 980 Pro ist davon aber nicht betroffen. Die 4K Werte von Q32T16 sind größtenteils nicht aussagekräftig, der untere Wert dagegen zählt was.
Mein Screenshot bezieht sich nur auf BitLocker.

 

[Sidechain]

Habe jetzt nochmal die Firmware meiner 980 Pro aktualisiert

Die sequentiellen Werte sind kaum betroffen, die random Werte, inkl. der single thread Werte aber schon.

Was TCG Opal bzw. Hardwareverschlüsselung angeht, bin ich mir immer noch ziemlich unsicher. Ich stimme Bob.Dig schon zu, dass das Paper überdramatisiert wurde, dennoch ist man auf die Implementierung des Herstellers angewiesen und würde behaupten, dass die jeweiligen Implementierungen im Gegensatz zu Bitlocker, dm-crypt & co weniger bis kaum kampferprobt sind.

 

[Bob.Dig]

Hab mal Win10 auf 22H2 angehoben, auch wenn ich nicht sagen kann, in wieweit dies dem finalen Win10 22H2 entsprechen wird. Auch damit lässt sich die HE nicht aktivieren.

Kann man eigentlich nur hoffen, dass es am Ende bei Win11 nicht nur ein Versehen war und vielleicht wieder zurückgezogen wird.

 

[Bob.Dig]

Das erste Mal Win11 installiert mit 22H2 und funzt... unfair!

 

[Bob.Dig]

Dann installierst du auf eine eDrive-enabled SSD ein neues Windows. Alles wichtige für HW-Verschlüsselung ist nämlich nicht auf C:, sondern auf der EFI-Systempartition sowie der MSR-Partition.

Nachdem mir Win11 (wie erwartet) nicht zugesagt hat, habe ich es so gemacht. Alle bis auf die ersten zwei Partitionen von der Win11 Installation gelöscht, dann wieder das aktuelle Win10 installiert. Anschließend ließ sich die hardwarebasierte Verschlüsselung auch unter Win10 nutzen. Allerdings, wie gehabt, darf man sie dann nie wieder komplett deaktivieren, pausieren ist kein Problem.

PS: Bin dann dennoch wieder auf Win11, einfach weil die hardwarebasierte Verschlüsselung so schön, fast OOTB, funktioniert. Alles andere ist aber "anstrengend".

 

[Bob.Dig]

Interessanterweise musste ich heute unter Win11 für ein reines Daten-Drive (fixed data drive) die SB-Encryption nicht extra deaktivieren, wohl aber die entsprechende Policy setzen. Dies entspricht somit auch erstmals der Beschreibung.

 

[tox1c90]

Du meinst ohne das Häkchen links rauszunehmen um Software-Verschlüsselung komplett zu unterbinden?

Das ist auch die bessere Variante, denn Software-Bitlocker komplett zu blockieren hat Nebeneffekte, weil es Windows-Features geben kann, die darauf aufsetzen. Z.B. der extra gesicherte „Persönliche Ordner“ für Dokumente von OneDrive. Der wird als virtuelles, im OneDrive-Ordner gemountetes Laufwerk mit einer extra Bitlocker-Verschlüsselung eingerichtet (damit er nur wenn man ihn braucht unlocked wird). Da das virtuell ist, logischerweise nur softwareverschlüsselt. Das schmiert bei der Einrichtung dann immer mit unbekanntem Fehler ab, wenn man das per Richtlinie untersagt und nur Hardware erlaubt.

 

[Bob.Dig]

Du meinst ohne das Häkchen links rauszunehmen um Software-Verschlüsselung komplett zu unterbinden?

Jau.
One Drive nutze ich nicht, aber gut zu wissen. Also nachträglich den Haken für das Operating System Drive wieder reinsetzen.

 

[Bob.Dig]

Es tut sich was. Ich habe heute (notgedrungen) Server 2022 neu aufsetzen müssen. Ich habe diesen alle Updates ziehen lassen und nach einem Neustart die HE policy gesetzt, wobei ich sogar die alternative softwarebasierte Verschlüsselung aktiviert hatte, da ich nicht damit rechnete, dass eDrive genutzt würde. Zu meiner Überraschung aber wurde direkt hardwareverschlüsselt, den Vorab-Test hatte ich verneint.
Also das ist definitiv neu.

🥳

Das Drive war von früher schon eDrive enabled gewesen.

Wer testet Win10 22H2?

 

[R4Z3R]

Hi, Frage: gibt es bei der Neuinstallation (Windows 11) etwas zu beachten, wenn eDrive mit der bisherigen Windows-Installation erfolgreich aktiviert ist?

Habe vor alle Partitionen zu formatieren und dann via USB-Stick 2022H2 zu installieren.

 

[Bob.Dig]

@R4Z3R Nix zu beachten, BitLocker-HE kann mit Win11 jederzeit wieder eingerichtet werden. Es muss nur die Policy für HE noch eingeschaltet werden.

 

[Bob.Dig]

Mal was "Neues" zum Software BitLocker (OffTopic)!
Manche Festplatten, wie die Toshiba Enterprise Capacity, nutzen nur Sektoren 4KB mit Emulation (512e). Wenn diese nun in Windows mit 4K formatiert werden, dann geht die BitLocker Performance beim sequentiellen Schreiben den Bach runter. Wenn ich nun aber mit 512kb formatiere, habe ich das Problem nicht mehr...

Noch etwas weiter getestet, das Problem scheint generell nicht mehr aufzutreten, also war es ein Bug mit BitLocker, der inzwischen behoben wurde. Ob das heißt, dass er auch nicht wieder kommt, wird die Zeit zeigen.

 

[R4Z3R]

Weiß jemand, wie man bei den Samsung OEM Client SSD e-drive aktiviern kann? Magician soll ja mit denen nicht laufen.

Weiß hier jemand etwas neues? Schnelle Google-Suche zeigt, dass das Thema noch nischiger ist als eDrive ohnehin.

Da Magician bekanntlich wegfällt, vielleicht geht da mit sedutil was.

 

[Bob.Dig]

Hab hier ein brandneues Samsung Drive und will dieses in einem Lenovo Laptop nutzen. Ich vermute, das wird so nicht klappen, da dessen UEFI keine disable Block SID Funktion hat.

 

[Bob.Dig]

Ernüchterung macht sich breit. BitLocker HE ließ sich weiterhin nicht auf Win10 aktivieren. Unter Win11 konnte ich BitLocker HE auf dem Lenovo Laptop zwar aktivieren, aber beim nächsten Neustart wurde kein Bootmedium mehr gefunden. Also zumindest das Lenovo Legion Laptop ist inkompatibel mit BitLocker HE, getestet mit einer Samsung 980.