OPAL/eDrive hardware-based Encryption mit BitLocker, aber wie?

sheng

Lt. Commander
Dabei seit
Apr. 2010
Beiträge
1.109
[gelöst] eDrive Hardware-Verschlüsselung mit BitLocker, aber wie?

Ich konnte mein Problem lösen und mache hier nun aus der Frage einen kurzen Guide.

Q: Was bringt mir dieser Guide?
A: Eine Anleitung zur Verschlüsselung für Laptops und PCs mit einer eDrive-Kompatiblen SSD, um die Daten bei Verlust oder Diebstahl zu schützen.

Q: Meine SSD kann kein eDrive. Kann ich trotzdem Bitlocker verwenden?
A: Ja, aber dann ohne Hardware-Verschlüsselung und somit mit Leistungs-Einbußen. Sollte die SSD kein eDrive unterstützen ist zudem der ganze Guide obsolet. Einfach BitLocker aktivieren, fertig.

Q: Ich habe kein Windows 7,8,8.1 in der Edition "PRO oder Enterprise". Kann ich trotzdem Bitlocker verwenden?
A: Nein

Q: Mein Rechner kann kein UEFI. Kann ich trotzdem Bitlocker mit eDrive verwenden?
A: Nein

Q: Mein Rechner hat kein Trusted Platform Module. Kann ich trotzdem Bitlocker mit eDrive verwenden?
A: Ja


Ich habe die folgende Anleitung verwendet, jedoch mit ein paar Abweichungen.
http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

Benötigte Utensilien:


Ausgangssituation:

  • Laptop ohne TPM
  • CSM nicht verfügbar (wenn verfügbar muss es ausgeschaltet sein)
  • Vorinstalliertes Windows. unverschlüsselt
  • Samsung 850 PRO, 840 EVO oder 850 EVO - Diese Anleitung verwendet eine Funktion des Samsung Magician zur Vorbereitung auf die Verschlüsselung. Solltet ihr eine andere SSD z.B. Crucial M500/550 haben, müsst ihr googeln, wie ihr die SSD für die Verschlüsselung vorbereitet. Wenn jemand weiß wie es geht, füge ich die Info gerne hier ein.
  • Achtung: Laut meiner Info funktioniert das Verfahren NICHT mit Intels RST AHCI Treibern. Habe es aber noch nicht getestet. Diese Info habe ich aus dem Lenovo Support Forum, aber auch noch nicht weiter verfolgt.

Vorgehensweise:

  1. Samsung Magician herunterladen und installieren (http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/support/downloads.html)
  2. Im Bereich "Data Security" bei "Encrypted Drive" auf "Anleitung zum Aktivieren", dann auf "Zur Aktivierung bereit" klicken. Das ist die Vorbereitung. Sollen mehrere Laufwerke verschlüsselt werden, muss dieser Schritt für alle Laufwerke ausgeführt werden. Die Auswahl des Laufwerks erfolgt auch im "Data Security" bereich.
    SMSETTINGS.png
  3. Nun kommt die Weitere Vorbereitung. Rufus Installieren, ISOs bereitstellen.
  4. USB-Stick 1 anschließen, Rufus starten, Einstellungen für MBR - BIOS und UEFI setzen. Parted Magic auf USB- stick aufspielen.
    RUFUSPM.png
  5. USB-Stick 2 anschließen, Rufus starten, Einstellungen für GPT - UEFI setzen. Windows Image auf USB- stick aufspielen.
    RUFUSWIN.png
  6. USB-Stick mit Parted Magic einstecken, PC herunterfahren.
  7. Ins BIOS/UEFI booten. Um Parted Magic zu starten werdet ihr folgende Optionen wählen müssen: Secure Boot aus, Leagacy bott anstatt UEFI boot einschalten, Evlt. das Compatibility Support Module aktivieren (CSM) sofern überhaupt vorhanden. Mein Notebook hat das nicht. Einstellungen speichern.
  8. Reboot - Boot Medium Auswahl aufrufen, z.B: mit F12 bei DELL Notebooks.unter Legacy Boot den USB-Stick mit Parted Magic auswählen. Booten. (32bit runs from RAM, erste Bootoption wählen).
  9. In Parted Magic dann "Erase Disk" starten. Secure Erase auswählen, ca. 4 mal mit "OK" bestätigen. Passwort kann auf "NULL" stehen bleiben - Es wird mit ATA command ein SE ausgeführt, das dauert im besten Fall nicht mal eine Sekunde. Sollte eure SSD im sog. "frozen state" sein, dann schlägt Parted Magic ein "Standby" vor, anschließend wieder starten. Hat bei mir immer geklappt.
  10. Hat der Secure Erase geklappt einfach den PC herunterfahren.
  11. USB-Sticks wechseln, Parted Magic raus, Windows Boot Medium rein.
  12. In BIOS/UEFI booten. Einstellungen machen: Legacy Boot aus, UEFI an, CSM deaktivieren, Secure Boot einschalten.
  13. Reboot in Windows Boot Medium, Windows installieren: Option "Erweitert", bei Partitionsauwahl muss ein leerer Bereich stehen. Diesen auswählen und auf "Weiter" klicken. Ob eine manuelle Partitionierung geht, kann ich nicht sagen, ich Partitioniere meine SSDs eigentlich nie, schon gar nicht beim Setup (wegen Alignment, wobei das seit Win8 auch gehen sollte).
  14. Nachdem Windows installiert wurde, startet ihr msinfo32. (Windows-Taste, Eingabe: "msinfo32", Enter. Steht bei Systemübersicht - BIOS-Modus: UEFI, dann ist alles OK.
  15. Wenn ihr wie ich klein Trusted Platform Module (TPM) habt, müsst ihr noch was einstellen. Dazu Windows-Taste+R, "gpedit.msc" eingeben, Enter. Dann "Asministrative Vorlagen" - "Windows-Komponenten" - "BitLocker - Laufwerksverschlüsselung", anschließend rechts auf "Zusätzliche Authentifizierung beim Start anfordern" doppelklicken. Im Fenster "Aktiviert" klicken, mit OK bestätigen. Wenn Windows rebooten möchte, dann rebooten.
    2015-07-28 10_43_00-Zusätzliche Authentifizierung beim Start anfordern.png
  16. Dann geht ihr im Explorer/Arbeitsplatz zu eurer Systemplatte (C) und aktiviert über Rechtsklick den BitLocker.
  17. BitLocker fragt nach der Verschlüsselungsmethode, dort gebt ihr "Passwort" an. Passwort eingeben, anschließend am besten den Wiederherstellungsschlüssel auf ein USB-Drive speichern. Das ist wichtig, verliert ihr das und vergesst das Passwort, kommt ihr nicht mehr an die Daten auf der SSD ran.
  18. Nun fragt BitLocker nach einer Systemprüfung, dann weiter klicker, dann müsste Windows nach einem Neustart verlangen. Den führt ihr aus. Beim Starten muss dann das BitLocker Passwort eingegeben werden.
  19. Wenn nach dem Neustart keine weitere Fragen von Bitlocker kommen ist es aktiv und verschlüsselt alle Daten auf Hardware-Ebene und somit quasi ohne Leistungsverlust.
  20. Achtung: Wenn BitLocker nach dem Neustart fragt, welche teile der Festplatte es verschlüsseln soll oder ein langwieriger Fortschrittsbalken kommt, hat es nicht geklappt.


An dieser Stelle vielen Dank an Steffen von www.ckode.dk.

Grüße
sheng









Ursprünglicher Post:
Ich scheitere leider gerade daran, eine Hardwareseitige Verschlüsselung einzurichten.
Folgendes Scenario:
Es soll Bitlocker "hardwareseitig" verwendet werden. Ich möchte nicht zwangsweise Behörden ausschließen, nur meine Daten sichern für den Fall von Diebstahl oder Verlust. Aber ich möchte keinen Performanceverlust durch die Verschlüsselung.

Hardware:
- Laptop
- KEIN TPM
- UEFI aktiv
- SSD Samsung 850 PRO
- Windows 8.1 PRO

Problem 1 habe ich gelöst, über eine Änderung an einer administrativen group policy kann man BitLocker auch ohne TPM nutzen. (http://www.eightforums.com/tutorials...ndows-8-a.html)

Ich habe mal Bitlocker nach der Installation aktiviert, jedoch läuft die Verschlüsselung aktuell "softwareseitig", sehe ich beispielsweise daran, dass die Schreibgeschwindigkeit anstatt bei 500 MB/s nur noch bei 180-200 MB/s liegt.

Kann mir jemand sagen, was noch passieren muss, dass BitLocker, das ja OPAL2/eDrive kompatible Laufwerke laut Spezifikation hardwareseitig verschlüsseln kann, funktioniert?

Danke und Grüße
 
Zuletzt bearbeitet: (Korrekturen)

KillerCow

Lieutenant
Dabei seit
Jan. 2012
Beiträge
963
dass die Schreibgeschwindigkeit anstatt bei 500 MB/s nur noch bei 180-200 MB/s liegt.
Ist das Laufwerk schon komplett fertig verschlüsselt? Wenn du keine Fortschrittsanzeige beim initialen Verschlüsseln siehst, sollte das ein Zeichen für eine funktionierende, hardwareseitige Verschlüsselung sein. So zumindest wurde mir das mal erklärt. Wenn aber von Bitlocker ein Fortschritt angezeigt wird, läuft es wohl per Software.

Was ich gerade nicht weiß ist, ob OPAL2/eDrive zwingend ein TPM voraussetzt... vielleicht liegt ja da schon das Problem.
 

sheng

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2010
Beiträge
1.109
Ist das Laufwerk schon komplett fertig verschlüsselt? Wenn du keine Fortschrittsanzeige beim initialen Verschlüsseln siehst, sollte das ein Zeichen für eine funktionierende, hardwareseitige Verschlüsselung sein. So zumindest wurde mir das mal erklärt. Wenn aber von Bitlocker ein Fortschritt angezeigt wird, läuft es wohl per Software.
Ich hatte beim verschlüsseln definitiv einen Fortschrittsbalken. Die Verschlüsselung des blanken Betriebssystems ohne Programme hat schon mehr als eine Minute gedauert.

Was ich gerade nicht weiß ist, ob OPAL2/eDrive zwingend ein TPM voraussetzt... vielleicht liegt ja da schon das Problem.
Laut Microsoft ist TPM nicht zwingend notwendig, zumindest steht es nicht bei den System Requirements:

https://technet.microsoft.com/en-us/library/hh831627.aspx

Ich habe das über die Group Policies eingestellt:
2015-07-28 10_43_00-Zusätzliche Authentifizierung beim Start anfordern.png
Ergänzung ()

Problem gelöst. Infos im ersten Post eingefügt. =)

Grüße
sheng
 
Zuletzt bearbeitet:

Linus9000

Ensign
Dabei seit
Juli 2012
Beiträge
189
Freut mich dass es geklappt hat und danke für den Guide, vorbildlich! :) Sobald ich Win10 habe (entweder heute nachmittag oder nach Wacken) werd ich mal schauen, ob es da dann Unterschiede zu 8.1 Pro gibt, die diesen Guide hier betreffen ;)
 

sheng

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2010
Beiträge
1.109
Ich habe gerade das Update auf Windows 10 durchgeführt. Hat ohne Probleme geklappt.
Mit dem Media Creation Tool die Win10 Pro 64bit geladen und "diesen PC upgraden" gewählt.
Ich hatte während des Prozesses den USBstick mit dem BitLocker Key angeschlossen. Evtl. muss man das Passwort eingeben, falls man den weg lässt.

Eine Neuinstallation kommt aus Zeitmangel aktuell leider nicht für mich in Frage.
 

maggus14

Ensign
Dabei seit
Apr. 2016
Beiträge
216
Welchen Nutzen hat denn das TPM Modul bei Nutzung der Hardwareverschlüsselung überhaupt? Klar, wenn softwareseitig verschlüsselt wird, kann der Schlüssel sicher abgelegt werden. Aber im Falle einer Hardwareverschlüsselung liegt der Schlüssel meiner Meinung nach im Controller der SSD.

Überlege mir nämlich gerade das Modul nachzurüsten, wobei die neuen Asus Module leider überall ausverkauft sind...
 
Top