ComputerBase Menü
Aktuelles

Leserartikel BitLocker Hardware Encryption eDrive

tox1c90 schrieb:
Es ist nichtmal nötig, eine Partition anzulegen. Schon bei der Initialisierung wird abgeklopft, ob Laufwerk und UEFI eDrive unterstützen und selbiges aktiviert.
Heißt aber auch, wenn das Laufwerk initialisiert wird ohne dass diese Aktivierung stattfindet, kann es danach nicht mehr klappen, erst wenn man das Laufwerk mittels Diskpart clean oder Secure Erase wieder deinitialisiert.
Zum Vergrößern anklicken....
Verstehe ich das richtig, ich muss nicht mal Windows installieren um das herauszufinden, es reicht die Initialisierung in einem anderen Windows aber auf dem selben Rechner?
 
Bob.Dig schrieb:
Da ich noch die Beta-BIOSe habe und wenn diese noch flashbar sind, müsste ich bei der nächsten Neu-Install wieder auf meine Hardwareverschlüsselung kommen können...
Zum Vergrößern anklicken....

Geheimtipp: Das geht auch ohne, bzw. nur mit einer temporären. Wichtig ist nur eine Initialisierung im eDrive-Modus und dass man diese erhält. Das ist am einfachsten durch eine Neuinstallation hinzubekommen, weshalb das fälschlicherweise oft als nötige Voraussetzung angegeben wird. Wenn man allerdings einen Weg nutzt, um die bestehende Windows-Installation auf ein eDrive-initialisiertes Laufwerk umzuziehen, kann man die bestehende Installation auch weiter nutzen.

Der Weg ist ganz einfach:
1. Ein Image der zu klonenden C:-Partition machen, sonst nix, insbesondere nicht die System/MSR-Partitionen.
2. SSD wipen mit diskpart clean oder Secure Erase.
3. Eine temporäre Neuinstallation auf dieser SSD machen. Danach prüfen, dass die SSD wirklich in den eDrive-Modus geschaltet wurde ("Aktiviert" im Magician)
4. Jetzt das Image der C:-Parition zurückspielen. Ganz wichtig ist, dabei NUR die C:-Partition der temporären Neuinstallation mit der alten C:-Partition zu überpinseln. Also nicht das ganze Laufwerk wiederherstellen. Die System- und MSR-Partition muss unangetastet bleiben, denn darin liegen die eDrive-Daten.
5. Jetzt hat man System+MSR-Partition der temporären Neuinstallation, kombiniert mit der C:-Partition der alten Installation auf der SSD. Das sollte problemlos booten (Windows-Edition und -Version sollten natürlich identisch sein!) und danach kann man Hardwareverschlüsselung nutzen.

Genauso hab ich ja von Software-Verschlüsselung auf Hardware-Verschlüsselung auf meiner 970 umgestellt, als es endlich ging. :)
Hatte keine Lust neu zu installieren und daher bisschen rumprobiert. Bis ich bemerkt habe, dass es nur wichtig ist, eine zum eDrive-Status des Laufwerks passende System+MSR-Partition zu haben.
 
  • Gefällt mir
Reaktionen: palace und Bob.Dig
Woher weißt Du so was... 😁
Werde ich wohl heute noch testen, wobei das Image anlegen auch heftigst dauert.

Nützt natürlich den Leuten hier, ohne entsprechendem Beta-BIOS, auch nichts.
Ergänzung ()

Was mir heute das erste mal aufgefallen ist, man kann ein HDD-Passwort setzen. Seit wann das denn?
IMG_20191029_113202.jpg

Oder habe ich das nur nicht gesehen, weil ich die ganze Zeit eDrive aktiviert war?
 
Zuletzt bearbeitet:
Bob.Dig schrieb:
Woher weißt Du so was... 😁
Werde ich wohl heute noch testen, wobei das Image anlegen auch heftigst dauert.

Nützt natürlich den Leuten hier ohne entsprechendem Beta-BIOS auch nichts.
Zum Vergrößern anklicken....

Hab in irgendeinem Forum-Thread gelesen, wie Leute die für eDrive relevanten (versteckten) Dateien auf der MSR-Partition identifiziert haben bzw. das Verglichen haben zwischen alter und neuer Installation. Und dann sind die darauf gekommen, dass die entsprechenden Dateien aus einem Backup bzw. von einer anderen SSD nicht zu der ID etc. der neuen SSD passen und darum kein eDrive funktioniert. Da diese aber nur beim Initialisieren erzeugt werden, muss man diesen Umweg nehmen. Dann hab ich das einfach mal selber ausprobiert und festgestellt, es funktioniert tatsächlich :D

Gleiche Prozedur klappt natürlich auch, wenn man ein sekundäres Datenlaufwerk nachträglich hardwareverschlüsseln will. Ne temporäre Neuinstallation braucht man dafür natürlich nicht. Aber man muss nach dem wipen einmal die Partitionsstruktur drauf anlegen, und dann kann man auch hier ein Partitionsimage einspielen. Wenn man dabei auch die MSR-Partition unangetastet lässt, akzeptiert das Laufwerk danach eDrive.
Ergänzung ()

Bob.Dig schrieb:
Was mir heute das erste mal aufgefallen ist, man kann ein HDD-Passwort setzen. Seit wann das denn?

Oder habe ich das nur nicht gesehen, weil ich die ganze Zeit eDrive aktiviert war?
Zum Vergrößern anklicken....

Exakt. HDD-Passwort ist aus dem ATA-Security Featureset, zu dem auch Secure Erase gehört. Im Opal/eDrive-Modus ist ATA-Security nicht verfügbar, darum geht ohne PSID-Revert weder HDD-Passwort noch Secure Erase.
 
tox1c90 schrieb:
Hab in irgendeinem Forum-Thread gelesen
Zum Vergrößern anklicken....
Wäre mal interessant wo. Wenn es dir einfällt, gerne hier posten. Gleichgesinnte zu kennen ist nie verkehrt. 😉
Ergänzung ()

tox1c90 schrieb:
Exakt. HDD-Passwort ist aus dem ATA-Security Featureset, zu dem auch Secure Erase gehört. Im Opal/eDrive-Modus ist ATA-Security nicht verfügbar, darum geht ohne PSID-Revert weder HDD-Passwort noch Secure Erase.
Zum Vergrößern anklicken....
Wahrscheinlich ist das die unsichere Methode bzw. ohne fachmännische Auskunft nicht wirklich empfehlenswert.
Ergänzung ()

Durfte gerade feststellen, dass sich das Beta-BIOS nicht mehr flashen lässt.
Ich sitze also mit Euch im Boot. 😕
 
Zuletzt bearbeitet:
Mir ist es nach zig Stunden des Ausprobierens dann letztlich gelungen, den alten Zustand wiederherzustellen.

Ich habe dazu Windows 10 1903 genutzt mit der hardwarepolicy, wobei ich Softwareverschlüsselung ausgeschlossen habe. Ein Secure Erase habe ich mal mit dem Samsung Tool, mal mit dem Tool im ASRock BIOS gemacht, war aber nie nötig gewesen.

Wie ich zuletzt vermutet hatte, musste ich erst Windows auf eine SATA-SSD installieren und hardwareverschlüsseln und anschließend die NVMe-SSD als Datenlaufwerk ebenfalls hardwareverschlüsseln. Das Problem, auch die Verschlüsselung nur als Datenlaufwerk in Hardware war nicht möglich.
Ich musste das BIOS downgraden auf Version 2.00, welches mir ASRock als Downgradefähiges BIOS mal in einer E-Mail zur Verfügung gestellt hatte. Dieses BIOS ist kein Beta-BIOS gewesen.

Erst damit konnte ich dann die NVMe als Datenlaufwerk hardwareverschlüsseln.

Anschließend bin ich dann die BIOS-Leiter wieder aufgestiegen, ohne das BlackScreen-BIOS, bis ich das aktuelle BIOS geflasht habe. SATA-SSD ab und die "eDrive Aktivierung" der NVMe-SSD blieb erhalten. Dann wieder Win 10 1903 installiert, dieses mal auf die NVME-SSD, und es läuft!

Habe dann noch mit Clonezilla die C-Partition aus einem Backup zurückgespielt, wie von @tox1c90 beschrieben.

Alles in allem schon übel. War also eher Zufall, dass es so die ganze Zeit bei mir lief.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: tox1c90
Uff, was ein hin und her. :D

Irrsinn, dass man für ein Feature, das gerade von Samsung und Crucial immer noch bei jeder neuen SSD wieder als Vorteil beworben wird, solche Verrenkungen machen muss.

Derweil hat die c't in der neuesten Ausgabe sich extra bequemt, einen Artikel zu schreiben, wie man Bitlocker von einer vorhandenen Hardwareverschlüsselung auf die Softwareverschlüsselung umstellt, weil angeblich sicherer und die CPU-Last bemerke man eh nicht. :rolleyes:
Wenigstens weist man darauf hin, dass die neuen Serien von den aufgekommenen Sicherheitslücken nicht betroffen sind. Und dass die SATA-SSDs von Samsung es in Kombination mit eDrive auch nie waren! Die dortige Lücke betraf nämlich das HDD-Passwort nach ATA, der TCG Opal Modus sowie eDrive ist mit allen, auch älteren Samsung SSDs, sicher. Das wusste nicht mal ich bevor ich den Artikel gelesen habe.
Aber irgendwie lustig so ein Artikel vor dem Hintergrund, dass das Interesse von eigtl. jedem, der sich mit dem Thema ernsthaft beschäftigt, wenn dann genau in die entgegengesetzte Richtung (Software -> Hardware) geht.
 
  • Gefällt mir
Reaktionen: R4Z3R, palace und Bob.Dig
@tox1c90 So ist es. Wenn etwas in Hardware möglich ist, dann bitte machen. Merke schon, seit dem der Homeserver softwareverschlüsselt ist, dass die Performance phasenweise leidet. Auf dem Desktop bin ich aber noch viel sensibler, da muss alles rennen. Die Entwicklung in letzter Zeit macht mich da traurig. Hatte wirklich andere Pläne, was die nächsten Aufrüstaktionen betrifft. Wollte eigentlich überall auf NVMe setzen, aber so?

Danke Mod, fürs aufräumen und umbenennen. 🙂
 
Zuletzt bearbeitet:
Ich verstehe immer noch nicht, wann die Samsung SSD beschließt, Hardware Encryption auf enabled zu stellen.
Es erscheint mir sicher, daß „ready to enable“ ein Zustand der SSD ist. Ferner glaube ich nicht, daß die SSD erkennt, daß sie gerade einen GPT Block geschrieben bekommen hat. Auf der anderen Seite, wenn es ein Kommando gäbe, gäbe es das doch bestimmt schon im NVMe Tool, oder dergleichen, oder?
Zwischendurch dachte ich schon, es liegt an der Windows Version (1903), welche bei der Installation einfach kein eDrive mehr aktiviert. Meine SATA SSD habe ich nämlich als “Datendisk“ auf enabled bekommen.
Würde ich HW Encryption auf enabled bekommen, glaube ich inzwischen fast, dass der Rest dann auch funktionieren würde.
 
tox1c90 schrieb:
Derweil hat die c't in der neuesten Ausgabe sich extra bequemt, einen Artikel zu schreiben, wie man Bitlocker von einer vorhandenen Hardwareverschlüsselung auf die Softwareverschlüsselung umstellt, weil angeblich sicherer und die CPU-Last bemerke man eh nicht. :rolleyes:
Zum Vergrößern anklicken....
Jetzt auch mal gelesen, einfach nur schlecht der Artikel.

@palace Ja, das ist wohl aktuell das Problem bei ASRock und NVMe. Scheint aber in Teilen BIOS-Abhängig zu sein. Denke nicht, dass das Drive dafür was kann. Was für ein Brett hast Du nochmal?
 
palace schrieb:
Ich verstehe immer noch nicht, wann die Samsung SSD beschließt, Hardware Encryption auf enabled zu stellen.
Es erscheint mir sicher, daß „ready to enable“ ein Zustand der SSD ist. Ferner glaube ich nicht, daß die SSD erkennt, daß sie gerade einen GPT Block geschrieben bekommen hat. Auf der anderen Seite, wenn es ein Kommando gäbe, gäbe es das doch bestimmt schon im NVMe Tool, oder dergleichen, oder?
Zum Vergrößern anklicken....

Es ist eigtl. ganz einfach: Ab Werk meldet keine Samsung-SSD die Unterstützung für TCG Opal, eDrive, usw.. D.h. jede Software dafür, einschließlich Windows und Bitlocker, findet keine Unterstützung für Hardwareverschlüsselung und wird es darum auch nicht anbieten einzurichten.
Wenn du im Magician den Schalter umlegst, wird im Zuge eines anschließenden Secure Erase in der SSD die Unterstützung für Hardwareverschlüsselung freigeschaltet, d.h. ab sofort antwortet die SSD auf entsprechende Kommandos hinsichtlich TCG Opal usw.. Dies beschreibt den Zustand "Ready to enable", der jederzeit wieder im Magician aufgehoben werden kann.

Was jetzt passiert, wenn du das Drive in dem Zustand im GPT-Layout initialisierst: Windows sendet an das Laufwerk das Kommando zum Einrichten der Rechteverwaltung. Das Laufwerk legt den entsprechenden verschlüsselten Container an, allerdings noch so, dass der Key nicht mit dem Userpasswort gesperrt ist, sondern automatisch unlocked wird ("unverschlüsselter" Zustand, wenn Bitlocker deaktiviert ist). Ab diesem Zeitpunkt steht der Status im Magician auf "Enabled", und rückgängig machen lässt es sich nur noch unter Datenverlust über PSID Revert.

Das Laufwerk erkennt selber nix hinsichtlich GPT etc., aber Windows wird beim Initialisieren im MBR-Layout schlicht keine Kommandos hinsichtlich eDrive rausschicken, weil MBR-Partitionen das einfach nicht unterstützen.

Zu diesem Zeitpunkt ist eDrive bereits vollständig eingerichtet und aktiviert, darum auch "Enabled" im Magician. Das einzige, was Bitlocker im Hardware-Modus dann noch macht, ist, der SSD sozusagen die Kontrolle über den Verschlüsselungskey einer Partition zu "entreißen", also praktisch den vorher immer steckenden Schlüssel aus der Haustür zu ziehen. Ab dann kann die SSD diese Partition nicht mehr alleine von sich aus bereitstellen, sondern muss warten, bis Bitlocker den Key freigibt.

Fazit: Direkt nach der Windows-Installation muss Magician "Enabled" melden. Dafür musst du Bitlocker noch gar nicht angefasst haben. Wenn da noch "Ready to enable" steht, ist es schon schiefgegangen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: R4Z3R
tox1c90 schrieb:
Was jetzt passiert, wenn du das Drive in dem Zustand im GPT-Layout initialisierst: Windows sendet an das Laufwerk das Kommando zum Einrichten der Rechteverwaltung. Das Laufwerk legt den entsprechenden verschlüsselten Container an, allerdings noch so, dass der Key nicht mit dem Userpasswort gesperrt ist, sondern automatisch unlocked wird ("unverschlüsselter" Zustand, wenn Bitlocker deaktiviert ist). Ab diesem Zeitpunkt steht der Status im Magician auf "Enabled", und rückgängig machen lässt es sich nur noch unter Datenverlust über PSID Revert.
Zum Vergrößern anklicken....
Sprich man müsste es schon direkt nach der Installation mit Magician sehen können?

Aber was, wenn das UEFI keinen Boot im verschlüsselten Zustand unterstützt? Das dürfte doch auch das Problem vieler Boards sein vermute ich...

Habe auch mal ASRock auf die Problematik mit der Aktivierung hingewiesen.
 
Zuletzt bearbeitet:
palace schrieb:
Ich glaube, ich bestell mir bald ne 960 Pro, wenn das so weiter geht.
Zum Vergrößern anklicken....
Meinste das macht einen Unterschied? Bei mir läuft es ja nur durch einen "Hack" würde ich mal sagen, was mir vorher so nicht bewusst war.

Bin gerade dabei dem ASRock Support das Problem verständlich zu machen. Da ich bis jetzt noch keine vollständige Lösung irgendeines Mainboard-Herstellens gesehen habe, darf man aber skeptisch bleiben.

Ich kann übrigens mit der Entscheidung von MS, die hardwarebasierte Verschlüsselung bei BitLocker nicht mehr automatisch vorzuziehen, gut leben. Insbesondere, da MS ja tatsächlich keinerlei Versprechungen machen kann was die Sicherheit dieser Implementierungen betrifft, die liegt ja immer beim jeweiligen Hersteller. Also ist das nur konsequent und solange ich Vertrauen zu z.B. Samsung habe, kann ich es selbst aktivieren. Wenn es so bleibt, eine gute Lösung.

Edit: Gerade etwas am ASRock BIOS herum gespielt betreffend DeviceGuard und wieder mit dem BlackScreen bzw. OffScreen konfrontiert worden. Diesmal half immerhin ein CMOS-Reset.
 
Zuletzt bearbeitet:
Derzeit bin ich immer noch mit Samsung und Gigabyte Support beschäftigt.
Gigabyte gibt sich wenigstens hilfsbereit. Mit der 970er Serie scheint sich nochmal etwas geändert zu haben. User, die eine 960 in Betrieb hatten, scheitern an einer 970.
Mit mal eben eine 960 zu bestellen war ich wohl etwas vorlaut - die gibt’s ja kaum noch und wenn, zu überzogenen Preisen.
Beim SedUtil konnte ich Opal auch erst nach einem PSID Revert einschalten. Magician 6 meldet dann Drive Encryption disabled. Die nun aufkeimende Hoffnung, nun auch eDrive aktivieren zu können, wurde leider enttäuscht (natürlich nach erneutem zurücksetzen).
 
@palace Ich glaub die 960 hatte noch ein eigenes Boot-ROM? Letztlich ist das aber überholt und ich würde da keine Mühe drauf verschwenden.
Der Fakt, dass es bei mit läuft, zeigt ja, dass es praktisch möglich ist. Die Mainboardhersteller sind gefordert.
 
ASRock hat sich gemeldet und behauptet, bei Ihnen ginge es mit aktuellem BIOS. Die Reihenfolge sei folgende gewesen.
ASRock Support schrieb:
Zuerst wurde das Datenlaufwerk verschlüsselt, danach das Bootlaufwerk.
B450M Pro4_3.png
Zum Vergrößern anklicken....
Ich meine das schon getestet zu haben... und es ging nicht.
 
Zuletzt bearbeitet:
Gähn.

Hab jetzt auch im Startpost kurz was dazu ergänzt, in der Hoffnung, wir werden hier zukünftig verschont. 😉

Und ich hab bei allen das ❌ gesetzt, denn niemand hat eine Lösung für NVMe OOTB, nicht mal annähernd!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: tox1c90 und palace
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

jube
Bitlocker-Verschlüsselung aktivieren Fehlermeldung
Antworten
1
Aufrufe
606
jube
jube
S
Probleme mit Bitlocker nach BIOS-Update
Antworten
7
Aufrufe
1.681
schmex
S
Ro155
Frage zu Win11 Home Bitlocker
Antworten
9
Aufrufe
1.373
Ro155
Ro155
Apopex
  • Umfrage
BitLocker Vorteile/Nachteile? Nutzt ihr BitLocker?
2
Antworten
33
Aufrufe
8.314
andy_m4
andy_m4
Lurtz
Bitlocker deaktiviert nach Lenovo UEFI-Update
Antworten
3
Aufrufe
2.378
Lurtz
Lurtz

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz