Leserartikel BitLocker Hardware Encryption eDrive

[tox1c90]

Hab mal das neueste Erzeugnis von Asrock in Gestalt der neuen UEFIs, die sie quer durch die Intel-Riege released haben, getestet.

Vorher natürlich Bitlocker auf der NVMe deaktiviert, sonst wäre das ja dümmstenfalls ein Weg ohne Wiederkehr.
Dann wieder meine Test-SATA-SSD mit aktiviertem eDrive angestöpselt.

Resultat: Blackscreen

Hätte mich jetzt auch hart gewundert wenn es geklappt hätte.
Dann geh ich mal wieder zurück zu meiner 4.20A (das ist glaub ich immer noch die, die du mir mal weitergeleitet hattest @Bob.Dig ^^)

Ein Glück scheint für x.xxA oder x.xxB Versionen keinerlei Downgradsperre zu greifen. Betas kann man wohl immer drüber bügeln, auch wenn bei den neueren Updates steht man könne nicht downgraden.

 

[Bob.Dig]

@tox1c90 Das darf doch nicht wahr sein...

Btw. der Startpost kann etwas 💕 vertragen. 😉

 

[palace]

Da hab ich doch glatt ne sinnvolle Antwort von Samsung erhalten:

Dear Mr. X

Thank you for your answer.
We have escalated the case to our headquester.
We found that encryption(TCG OPAL or e-Drive) failed at some latest system(main board) with the latest Samsung NVMe SSDs (970 EVO, 970 PRO) supporting new encryption feature feature of BSID(Block SID).
Through technical collaboration with one of the major BIOS chipset companies, we have verified that a new BIOS update of the motherboard BIOS works well with the H/W encryption function in our SSD drives.
We expect that the motherboard manufacturers will publicize the information of their BIOS updates for a solution.
Block SID Support is a TCG specification that covers BIOS and OS communication to handle locking events for a self-encrypting(hardware) storage disk.
And this security feature is implemented at Samsung SSDs (970 EVO/PRO)
If you would like to enable hardware encryption those Samsung SSDs in the latest system supporting BSID feature, you need to disable BSID feature in BIOS and OS.
For more information please contact the system manufacturer.
※ Samsung SSDs (older than the 970 EVO / PRO) do not support BSID function, so you can use hardware encryption without disabling BSID on the same system.

We do hope that we have adequately informed you.

Should you have any other questions, please do not hesitate to contact us.

Ich hoffe, ich komme die Tage zu ausprobieren - ich meine es gäbe da so ne BSID Option in meinem BIOS.

 

[Bob.Dig]

@palace Bei ASRock ist es standardmäßig aus glaube ich.

@Beneee Konntest Du inzwischen etwas testen?

 

[palace]

Wenn man bei mir im BIOS „Disable Block SID“ auf „enabled“ stellt, dann gilt das nur für den nächsten Bootvorgang. Installiert man genau dann Windows auf eine zuvor mit Secure Erase gelöschte Disk, dann klappt es mit dem SED enable einer Samsung 970. Das aktivieren als Datadisk funktionierte jedoch nicht (habs aber auch nur einmal probiert).Weiter geht’s in den nächsten Tagen.

PS: Ich glaub, ich hab schon Terrabyte auf die SSD geschrieben, ohne sie bisher sinnvoll genutzt zu haben.

 

[Bob.Dig]

@palace Wow, na das wär ja mal eine gute Neuigkeit. Sag Bescheid, wenn die Tabelle angepasst werden soll, mit Screenshot aber bitte.

Ob das auch für den Rest gilt und nicht nur Gigabyte? Ich meine nein...

Ergänzung (12. November 2019)

Interessanterweise habe ich heute nach Aktivieren dieser Geschichte ein Dialogfenster bekommen mit einer Auswahloption.

Warum sehe ich das jetzt zum ersten mal, weil ich auch ein SATA-Laufwerk verbaut habe oder war die Option noch bis vor kurzem einfach nicht richtig implementiert gewesen und daher ohne Folgen? Sollte das gar die Lösung für das NVMe-Problem sein?

This specification defines a mechanism by which a host application can alert the storage device to block
attempts to authenticate the SID authority until a subsequent device power cycle occurs.
This mechanism can be used by BIOS/platform firmware to prevent a malicious entity from taking ownership of
a SID credential that is still set to its default value of MSID.

Mir ist eigentlich weder klar was das soll, noch warum es für eine SATA-SSD nicht erheblich sein soll, wohl aber für ein NVMe-Drive?
Versuch macht kluch. 😝

 

[palace]

Genau wie auf Deinem Bild sieht es bei mir auch aus. Also die Option ist bei mir schon immer da, nur habe ich sie nicht weiter beachtet, da es bei TPM steht und ich -mangels Wissen- keinen Zusammenhang gesehen habe.
Ich bin momentan noch am sichern - deswegen kann ich im Moment nichts machen.

 

[Bob.Dig]

Interessanterweise steht es bei ASRock immer da, auch wenn das TPM deaktiviert ist, nur halt direkt darunter. 😉
Es ist also definitiv nicht TPM-spezifisch, war aber früher ohne Funktion!

Sinn soll wohl sein, dass ein Drive im Zustand "ready to enable" nicht einfach böswillig verschlüsselt werden kann. Wenn die älteren (SATA-)Laufwerke das Feature nicht unterstützen, dann muss man es wohl auch nicht im BIOS triggern.

Warum ich meine 970 Evo+ (über Umwege) trotzdem verschlüsseln konnte ist mir nicht klar. Vielleicht weil das BIOS zu der Zeit (2.00) dieses ganze Featureset noch nicht unterstützt hatte.
Werde morgen testen mit psid-Revert und allem drum und dran!

 

[palace]

https://trustedcomputinggroup.org/w...t_Opal_Integration_Guidelines_v1.00_r1.00.pdf
Ab 4.2. Es hat auf SATA vermutlich keinen Einfluss, weil (S)ATA wohl ein anderes Commandset verwendet (FreezeLock).
Also, wenn Du am probieren bist, ich meine, wenn BlockSID wirkt, was ja (nun?) Default zu sein scheint, kann man trotz Encryption Enabled BitLocker über Hardware nicht aktivieren auf der NVMe. Kann aber auch sein, dass ich es mit was Anderem zerschossen hatte.

PS: Habe gerade gesehen, dass Du Seite 1, Post 1 schön aufgehübscht hast. 👍

PPS: Mir scheint, man sollte die Systemprüfung des BitLockers unbedingt vermeiden. Faselt was von Recovery geht dann nicht mehr, um ne neue OEM/Recoverypartition an zu legen.

PPPS: Habe aktuell BIOS F10c (AM4) drauf und bin nicht gewillt, nur zum Spaß noch mal down zu graden.

PPPPS: Wenn wirklich funktionieren sollte, geb ich mit Bild natürlich sofort Bescheid.

 

[tox1c90]

Wenn das alles so gedacht ist, hat sich da irgendwer auf jeden Fall den Preis für die benutzerunfreundlichste Lösung des Jahrzehnts verdient.

 

[Bob.Dig]

Zeitlich passend ist gestern Win 1909 erschienen, das schreit doch nach einer Neuinstall. 😁

 

[palace]

Update:

Antwort von Gigabyte (bemüht sind sie ja):

Sehr geehrter GIGABYTE Kunde,
Update von unserem Team:
Oh, sorry, wir haben letztes Mal 960 EVO getestet, wir haben jetzt noch einmal mit 970 EVO plus getestet und wir können den Fehler reproduzieren.
Wir haben auch auf Mainboards anderer hersteller mit der neuesten BIOS-Version und dem neuesten Samsung Magier-Tool getestet, dasselbe Problem.
Aber alle diese Boards haben nicht das Problem auf 960 EVO.
Scheint, dass Samsung FW von 970 EVO plus mit seinem Tool aktualisieren muss.
Bitte wenden Sie sich an den Samsung-Support, um weitere Unterstützung zu erhalten.

 

[Bob.Dig]

Update:

So, da kann ich dann widersprechen. 😄

Win-Install (1909) hat, so wie von Dir und dem GB-Support beschrieben, einwandfrei geklappt, kein BIOS-Downgrade mehr nötig gewesen um eDrive zu aktivieren.
Ich hatte zuerst versucht nur als Datenlaufwerk zu aktivieren, aber inzwischen hatte ich auf meiner SATA-SSD Win Server installiert und da war BitLocker OOTB gar nicht möglich, hab mich daher dann auf eine Neuinstall als Bootlaufwerk beschränkt.

Muss sagen, mich verwundert jetzt die letzte Reaktion von Gigabyte. Danke für das Zusammenfügen des fehlenden Puzzle-Teils an @palace und Gigabyte.

 

[palace]

Top! Das freut mich sehr.

Hast Du jetzt alles komplett von vorne durchgespielt?
Hast Du BSID nochmal disabled, außer für die Windowsinstallation?
Hast Du die BitLocker Systemprüfung laufen lassen? - Edit: Offensichtlich nicht. Ok.
Hat das dann einen Neustart überlebt?

Bei mir war alles gut, Bitlocker lief bis zu einem Neustart. Danach ging Bitlocker GUI nicht mehr und manage-bde zeigt kein c: an. Kann es also auch nicht deaktivieren und somit die Updates nicht einspielen. War aber auch keine Cleaninstall und ich hatte den Effekt schon bei der SATA SSD.

Gigabyte habe ich nun mit den Infos von Samsung (BlockSID) versorgt.

Wenn ich die 970 noch mal platt mache, sollte da ein Diskpart Clean genügen? Oder sollte ich das ganze Geraffel von TPM Clear, PSID Revert usw. noch mal durchprügeln (mir geht die Motivation aus)?
Dann würde ich die Tage mal probieren, ob mit einer 1909 Cleaninstall bei mir auch endlich alles gut wird .
(hab eigentlich gar kein Bock auf n frisches Windows - bei mir war alles so, wie ich es wollte und bestimmt wird es nie wieder so )

 

[Bob.Dig]

Top! Das freut mich sehr.

Mich erst.

Ich hab es so gemacht wie im Guide auf Seite 1 beschrieben. Diese Block SID Geschichte zu deaktivieren (durch enablen im UEFI) ist eine einmalige Sache (bei ASRock) und deaktiviert sich danach von alleine. Eine initiale Clean-Install muss schon sein. Nachher könnte man vielleicht ein Image von c: zurückspielen, aber ich vermute nur, wenn dieses bereits im UEFI-Modus installiert wurde.
PSID Revert hatte ich gemacht, sonst hätte es ohnehin bei mir geklappt.
Die BitLocker Systemprüfung habe ich tatsächlich nicht gemacht. Wär natürlich interessant gewesen, ob das einen Unterschied macht, was sehr gut sein könnte!

Hatte auch mal direkt nach der WinInstall mit Magician gecheckt, ob eDrive aktiviert ist und war es. Wobei Magician leider auf eine Internetverbindung besteht um das initial zu prüfen...

 

[palace]

Ja, ja, jaaaaaah!!! I did it!!!! Oh my God! Nach all den Jahren!

Der Reihe nach:

• Ich habe kein PSID Revert gemacht.
• Ich konnte über eine externe Windowsinstallation tatsächlich meine 970 entsperren und BitLocker deaktivieren.
• Dann habe ich auf Windows 10 1909 aktualisieren können
• Habe ausserdem in Deinem Startpost die TPM Policy entdeckt

Hier das Bild:

Dass das nun plötzlich funktioniert kann aus meiner Sicht an zwei Dingen (nach BlockSID) liegen:
- Windows 10 1909
oder wie ich befürchte:
- der Policy "Reqire additional authentication at startup", bzw. "Zusätzliche Authentifi´zierung beim Start anfordern"

Ich bin euch sooo dankbar und ich bin gerade sooo happy

 

[Bob.Dig]

😃@palace

Ich entnehme deiner Beschreibung, dass Du Windows nicht neu installiert hast? D.h. dein Drive war vermutlich in Magician schon immer aktiviert?

PS: Hab von ASRock ne Mail bekommen aufgrund meines Kontaktes von vor ein paar Tagen, ich soll doch einfach kein PSID-Revert machen, nur ein Secure Erase, Problem gelöst...
😆
Hab sie mal ins Bild gesetzt.

Würde mich nicht wundern, wenn der "deutsche BIOS-Support" von ASRock und Gigabyte von den selben Leuten gemacht würde. Müsste man mal die E-Mail-Header vergleichen.

PPS: Hab gestern Abend ein Image von meinem neuen System gemacht um das ganze Prozedere noch mal zu verifizieren und das konnte ich, ohne Block SID Option ließ sich das psid-revertete Drive nicht aktivieren, mit der Block SID Option sofort. Leider ließ sich aber mein anschließend zurück gespieltes Image nicht mehr booten. Keine Ahnung was ich falsch gemacht haben könnte aber ich musste Win wieder neu installieren und vor allem einrichten. Passend dazu ist dann gestern auch noch der Homeserver in Teilen ausgefallen, ich vermute Nachwirkungen des letzten Patchday, yay.
Btw. die BitLocker Systemprüfung kann man machen, einzig entscheidend ist die Windowsinstallation an sich, hinterher spielt keine Rolle (wie z.B. die BitLocker Einrichtung) für eDrive.

 

[palace]

@Bob.Dig: Die 970 war vom letzten Versuch mit BSID auf “Encryption enabled“, als BitLocker sich aktivieren ließ, aber sich danach nicht mehr verwalten ließ. Also, für Erstinstallationen stimmt Deine Anleitung .
Sind die Samsungs erst mal im Status „Encryption Enabled“, braucht es wohl kein PSID oder BlockSID mehr.

Ich habe es auch noch nicht hin bekommen, ein Image eines anderen Windows auf Blockebene zurück zu spielen. Auf Dataieebene - in meinem Fall „DISM“ - aber schon. Das Volume muss meiner Ansicht nach erhalten bleiben. Also maximal „format“, da ich schätze, dass sich die Volume ID nicht ändern darf.

 

[Bob.Dig]

Ich habe es auch noch nicht hin bekommen, ein Image eines anderen Windows auf Blockebene zurück zu spielen. Auf Dataieebene - in meinem Fall „DISM“ - aber schon. Das Volume muss meiner Ansicht nach erhalten bleiben. Also maximal „format“, da ich schätze, dass sich die Volume ID nicht ändern darf.

Da kenn ich mich zu wenig aus. Hatte dieses mal die bestehende C-Partition vorher gelöscht, vielleicht war das der Fehler?

 

[tox1c90]

Edit: ok, ich hab vermutlich falsch gelesen, da du schriebst du hast ja nach dem PSID-Revert wieder eDrive aktiviert, nehme ich an du hast das über die temporäre Neuinstallation gemacht und dann nur C: aus dem Backup genommen?

Ich mach das immer mit True Image und wähle als Quelle C: im Backup und Ziel C: auf dem eDrive. Wie TI das dann technisch genau umsetzt, weiß ich nicht, aber ich vermute mal die Partitions-ID wird dann vorher/nachher identisch sein. Vielleicht ist das tatsächlich anders, wenn man vorher die Partition erstmal komplett löscht?

Spoiler: ursprüngliche Antwort

Wenn ich das richtig verstehe wie du es beschrieben hast, hast du auch einen Fehler gemacht. Die wichtigen Informationen für eDrive liegen in der System- und MSR-Partition, und diese sind fest gekoppelt an die IDs des jeweiligen eDrives. Machst du ein PSID-Revert setzt du diese zurück und bei der erneuten Aktivierung von eDrive sind die IDs dann natürlich komplett anders. Das ist als würdest du dann ein anderes Laufwerk bespielen.

System- und MSR-Partition müssen immer zur sozusagen eDrive-"Session" passen. Nach einem PSID-Revert müssen die daher neu gemacht werden. Das geht nur mit Neuinstallation.
Was gegangen wäre, ist Neuinstallation und anschließend dann nur die C:-Partition aus dem Backup über die neuinstallierte C:-Partition auf dem eDrive drüberbügeln.
Sodass du dann die ans neue eDrive angepasste System- und MSR-Partition der Neuinstallation, in Kombination mit der C:-Partition der alten Installation aus dem Backup hast.

Da Bootloader etc. bei System- und MSR-Partition immer gleich sind, bootet das auch wenn man ihm eine andere (ältere) C:-Partition unterschiebt.