Leserartikel BitLocker Hardware Encryption eDrive

[Bob.Dig]

Hier mal der Vergleich, wie es sein sollte, wenn es wieder ginge:

 

[Bob.Dig]

Heute habe ich tatsächlich noch eine Antwort von ASRock(NL), allerdings auf Englisch, bekommen, in welcher man mir ein angeblich downgradefähiges BIOS hat zukommen lassen, was ich jetzt aber nicht mehr brauche, da ich mir einen entsprechenden Adapter gekauft hatte um meine SSD in einem anderen PC zu entschlüsseln.
Ich habe den Support nun auf Englisch nochmals über das ziemliche Problem informiert, denn nach wie vor habe ich nicht den Eindruck, dass sie es wirklich verstanden haben...

Dear ASRock Support,

first, thank you for providing the BIOS.

Now to the problem, like discussed here, ASRock has screwed up its BIOSes, not only for the AM4 platform but also for intel.
It is not longer possible, to use Windows BitLocker with hardware encryption of SSDs (eDrive).
You can still activate those drives but the BIOS never bootes correctly after that, it is only showing a black screen.
If you had an BitLocker hardware encryption running and then updating the BIOS you had no chance even noticing what was happens,
you just get a black screen and have no chance even going in the BIOS or booting the OS.

As a long time customer of ASRock Motherboards I want to use hardware encryption like I could all those years before.
And never should a system go in an state where even the BIOS is not reachable.

Please report this urgent problem to ASRock Headquarters and that all BIOSes since a month for AMD and intel are faulty in the regards of hardware encryption of SSDs
(Windows BitLocker eDrive, Samsung, Crucial)

Thank you, best regards

🙏

 

[tox1c90]

Ja, so 100% sicher, dass mein Support-Kontakt das Problem wirklich komplett verstanden hat, war ich mir auch nicht.
Denn in diesem Falle wäre die Aussage, ich soll die Verschlüsselung vor dem Neustart abschalten, damit das Board booten kann, auf meine Frage, wie ich denn nun Bitlocker nutzen soll, geradezu ignorant und fast irgendwie frech.

Ich hoffe ja ehrlich gesagt, dass irgendwann mal eine Firma, die Asrock-Boards in vielleicht hunderten PCs hat und aus Sicherheitsgründen die Hardwareverschlüsselung nutzt, das neueste UEFI aufspielt und dann dort die Bildschirme schwarz bleiben. Dann hätte man sicher eine größere Motivation, dem Problem auf den Grund zu gehen.

 

[Bob.Dig]

ASRock ist wohl, zu recht wie man hier sieht, nur ein kleiner Fisch und in Firmenrechnern eh nicht vertreten. Habe aber auch mal geguckt was ein entsprechend ausgestattetes Mainboard von Asus kostet. Das ist gleich mal um 30 EUR teurer, was fast ein Drittel des Kaufpreises ist. Ich meine, ich weiß schon, warum ich in der Vergangenheit oft ASRock gekauft habe.
Aber wenn das nicht gefixt wird und z.B. bei Asus es noch geht, dann war das definitiv mein letztes ASRock Board. Schade, dass es kaum Leute gibt die eDrive nutzen, wie man auch an diesem Thread sieht. Denn ich hätte mal gerne gewusst wie es bei Gigabyte und Co so aussieht. Dass MSI es ebenfalls nicht mehr unterstützt, aber auf die richtige Weise - ohne Blackscreen, könnte ein Hinweis sein, dass es nicht mehr gewollt ist?!

 

[tox1c90]

An sich ist die Hardware ja eigtl. schon gut. Ich habe Asrock nicht nur wegen des Preises gekauft, sondern weil die Pro-Modelle kaum Bloat bzw. für mich überflüssige Zusatzchips an Bord haben, und weil die Asrock-Boards richtig konfiguriert auch zu den energieeffizientesten/stromsparendsten gehören (laut mehrere c't-Messungen, da sieht Asus z.B. häufig eher nicht so gut aus).
Das ist halt ärgerlich, dass sie da jetzt so einen Bug ins UEFI eingebaut haben. Es hat ja über Generationen von Chipsätzen/Boards anstandslos geklappt. Mein Asrock davor war ein H77 Pro4, damit lief eDrive auch einwandfrei.

 

[Bob.Dig]

Hatte ein MSI-Brett aus Sandy-Zeiten, damit ging es problemlos, wie zahllose ASRock Billigheimer später. Allen gemein aber war, dass es intel-Systeme waren. Daher dachte ich, dass irgendwie AMD Schuld sein muss, Pustekuchen.
Danke daher nochmal für deinen Beitrag hier!
Auf AM3 hatte ich aber schon richtig Probleme mit ASRock, da waren sie einfach grottig damals. Auch heute sind deren BIOSe mäßig, aber sie laufen halt irgendwie... bis jetzt auf einmal so was passiert.

Asus nervt mich aber auch mit ihren Tools, Systemdiensten, die direkt aus dem BIOS geladen werden und haben sie nicht gerade Malware an Millionen Laptops verteilt.

 

[Bob.Dig]

ASRock(NL) konnte das Problem bis jetzt nicht nachstellen, schrieb man mir. Habe ihnen daraufhin mal erklärt, wie das geht, mit der Hardwareverschlüsselung unter Windows.
🙏

 

[Bob.Dig]

@tox1c90 Hast Du eigentlich ein TPM drin?

 

[tox1c90]

Ja, das dedizierte TPM 2.0 - Modul von Asrock zum Aufstecken (als ich das mitbestellt hatte wusste ich noch nicht, dass Intel in den neuen Chipsätzen ein Firmware-TPM integriert hat und man daher eigtl kein extra Modul mehr braucht). Hab ich testweise auch schon mal ausgebaut um zu gucken, ob das vielleicht die Ursache für das Problem ist, aber nein.

 

[Bob.Dig]

Genau das selbe bei mir. Wusste nicht, dass intel das auch schon integriert hat. Der ASRock Support mein nun, dass fTPM im BIOS aktiviert sein soll. Habe eigentlich keine Lust mehr zu testen. Weiß nur noch, dass es mit und ohne TPM der CPU da war, das Problem. Warum testen die es nicht einfach selbst mal? 🙁

 

[tox1c90]

Das hab ich strenggenommen nicht ausprobiert. Ich hab das TPM-Modul abgezogen, aber dadurch alleine aktiviert sich das Intel TPM noch nicht. Dafür muss man diese "Intel Platform Trust Technology" (oder ähnlich) aktivieren.

Ist jetzt natürlich die Frage, ob da wirklich was dran ist, oder ob da nur ein unkundiger Support-Mitarbeiter mal schnell in die Hilfe geschaut und was von TPM für Bitlocker gelesen hat...

 

[tox1c90]

Hab es eben mal getestet, macht keinen Unterschied welches TPM aktiv ist. Hab das Modul abgezogen und die Intel PTT / das fTPM aktiviert. Danach meine hardwareverschlüsselte Test-SSD angeschlossen und zack wieder Blackscreen.

 

[Bob.Dig]

Jau, hatte eigentlich auch alles durch, bevor ich mich hier echauffiert hatte.

 

[tox1c90]

Das Intel Plattform-TPM würde ich übrigens auch nicht benutzen, das schmiert reproduzierbar ab, wenn man den PC aus dem Standby aufweckt. Dann geht Windows Hello und damit die Anmeldung mittels PIN/Gesichtserkennung nicht mehr ("Die PIN ist derzeit nicht verfügbar...") und man muss neustarten, damit er wieder auf das TPM zugreifen kann. Mail an den Asrock-Support ist schon raus

Ich glaube mittlerweile, mehr als die UEFI defaults testen die gar nicht, und alle Funktionen, die zwar eingebaut aber nicht standardmäßig eingeschaltet sind, ist dann persönliches Risiko des Nutzers ob die es überhaupt tun oder halt eben nicht.

 

[Bob.Dig]

@tox1c90 Letzte Mail war wieder, sie könnten es nicht nachstellen, bei ihnen lief alles, selbst eine 970Evo als Bootlaufwerk... Ich vermute nach wie vor, sie kriegen überhaupt keine Hardwareverschlüsselung hin sondern testen munter die Softwareverschlüsselung. ☹

Mit Standby zusammen mit Gesichtserkennung hab ich noch keine Erfahrungen gemacht. nur normaler Standby aber ohne TPM, der ging früher immer. Halte TPM eh für unnötig.

 

[tox1c90]

Als du denen das erklärt hast, hast du berücksichtigt dass Microsoft mit einem der letzten Updates das Standardverhalten bezgl Hardware/Softwareverschlüsselung geändert hat? Nach den bekannt gewordenen Sicherheitslücken in manchen SSDs, erfolgt jetzt über die GUI standardmäßig immer Softwareverschlüsselung, auch wenn alles für eDrive bereit ist.
Hatte mich erst schon gewundert, warum er nach dem Deaktivieren auf der gleichen SSD beim wieder Aktivieren nur Software machen wollte.
Leider auch auf SSDs, die von den Lücken überhaupt nicht betroffen sind.

Man muss jetzt entweder in den Gruppenrichtlinien die Verschlüsselungsmethode explizit auf Hardware erzwingen, oder man macht die Einrichtung über Kommandozeile manage-bde, da gibt es einen Parameter für Hardware.

 

[Bob.Dig]

@tox1c90 Nope, scheint extrem neu zu sein und keine wirklich nachvollziehbare Entscheidung von MS obendrauf. Werde deinen Hinweis weitergeben. Aber gut, das problematische BIOS-Verhalten bei ASRock ist ja nun auch schon fast zwei Monate alt.

 

[tox1c90]

Sie wissen ja genau, welche SSDs betroffen sind, also müssten sie es per Blacklist machen statt einfach alle erstmal zu blocken.
Sind ja schon einige krasse Fälle dabei. Eine der untersuchten SSDs hat wohl sogar intern mit nem leeren String als Passwort für den Masterkey gearbeitet. Sprich man konnte die SSD zwar vermeintlich mit Bitlocker verwalten, aber im Endeffekt konnte man sie daran vorbei einfach unlocken...

 

[Bob.Dig]

Sie wissen ja genau, welche SSDs betroffen sind, also müssten sie es per Blacklist machen statt einfach alle erstmal zu blocken.

Wobei die Testauswahl recht gering war. So gesehen vielleicht doch nachvollziehbar, letztlich wissen wir es nicht, weil nur Samsung und Crucial getestet wurden...

 

[Bob.Dig]

Hab nochmals Antwort erhalten, irgendwer irgendwo bei ASRock konnte es inzwischen nachstellen, aber man habe keine Ressourcen der Sache nachzugehen. Aber ein Beta-BIOS basierend auf AGESA 1006 könne man mir zur Verfügung stellen. Habe dankend abgelehnt.

@tox1c90 Bist Du mit intel eigentlich auch mit dem regulären BIOS betroffen und auch wenn Du nur eine SATA-SSD hw-verschlüsselst oder betrifft das nur das Beta-BIOS mit angeblichem NVMe-Support? Ist langsam schwer den Überblick zu behalten.