eDrive (Samsung 970 Evo), Bitlocker und Hardwareverschlüsselung

[stefan1976]

Hallo zusammen,
ich habe eine 1 TB Samsung M2 970 Evo (neueste FW), Win10 1803. Diese möchte ich gern hardwareverschlüsselt mit Bitlocker nutzen.

Mainboard ist ein Asus Z170-A - hiermit hatte ich bereits erfolgreich die 950 Pro M2 (256 GB) hardwareverschüsselt betrieben.

1. Versuch:
Neuinstallation Win10 Pro. Samsung Magician meldet "TGC Opal" voreingestellt. Bitlocker möchte nur Softwareverschlüsseln, egal was ich in den Group Policies einstelle.

2. Versuch:
Umstellen im Samsung Magician auf "eDrive". Booten vom Samsung Stick, komplett Erase der SSD.
Neuinstallation Windows 10.

Bitlocker macht nun eine Hardwareverschlüsselung. Aber: Beim nächsten Neustart eine "Automatische Reperatur wird vorbereitet" Bootloop.

Was tun?

 

[BSS]

Servus,

bei mir hat es ohne Probleme funktioniert.

Habe einfach erst Win 10 installiert, mit Samsung Magician Encrypted Drive eingestellt. Dann ist ein Secure erase notwendig.
Da es hier nicht mit dem Samsung USB stick geklappt hat, da ich nicht davon booten konnte, habe ich das mit einem anderen Programm gemacht.

Danach noch einmal Win 10 Pro installiert, die Gruppenrichtlinien so eingestellt wie ich das möchte, mit Passwort vorm booten.
mit manage-bde den Status überprüft und gut.

 

[bearl]

@BBS
Mit welcher Software hast Du den Secure Erase ausgeführt? Was für ein Mainboard hast Du?

 

[bearl]

Hier jetzt mein Feedback zu meinen Erfahrungen mit hardwareverschlüsseltem Bitlocker.
Ich habe bis jetzt mit 2 Mainboards und ein Laptop dabei benutzt. Bei den Mainboards ein Supermicro X11SCZ-F und ein ASUS ROG Strix B450-F Gaming habe ich ein 970 Evo 250 und ein 500 probiert ohne die Hardwareverschlüsselung hinzukriegen. Hatte auch manchmal Probleme in Samsung Magician bei eDrive den Status von "ready to enable" zu "enabled" zu kriegen zum Schluß hat es bei mir funktioniert wenn ich nach dem Secure erase nach dem Neustart zuerst die SSD initialisert habe und dann im Computer Manager die SSD partitioniert habe. Bei meinem neuen Laptop MSI GP73 Leopard 8RE mit der Bios Version E17C5IMS.10D hat es funktioniert. Ich kann daraus nur schliessen das es am Bios liegt ob die Samsung 970 Evo mit hardwareverschlüsseltem Bitlocker funktionieren.

 

[Hummerman]

@*******: Ist vermutlich vom BIOS abhängig, beim Lenovo ThinkPad X1 Carbon 6th geht es problemlos mit einer 970 EVO Plus.

 

[Fallwrrk]

Ich bin mir nicht sicher, ob ihr das wirklich haben wollt: SSD-Schwachstelle hebelt (Bitlocker) Verschlsselung aus | Borns IT- und Windows-Blog

Was spricht denn gegen Softwareverschlüsselung? Moderne CPUs ver- und entschlüsseln schneller als eine Samsung 970 schreibt, und das nahezu ohne Anstieg der CPU-Last.

 

[Fallwrrk]

Joa, deine Benchmarks entsprechen so ziemlich den Ergebnissen von CPUs ohne AES-NI: The difference Intels AES-NI make surprised me (benchmarks) : linux

Als Alternative könntest du also eher mal schauen wieso deine AES-Performance so beschissen ist, ich hol aus dem gleichen Benchmark nämlich über 1 GB/s write raus.

 

[ChrisKS92]

Zweitens, anhand meiner eigenen Benches kannst Du sehen, dass sowohl die Übertragungsraten leiden (SATA-SSD) als auch die CPU-Last merklich steigt (NVMe-SSD), wenn Softwareverschlüsselt wurde. Dabei ist es egal ob BitLocker oder Veracrypt verwendet wurde, beides natürlich nur mit AES).
Anhang anzeigen 465437 Anhang anzeigen 465438 Anhang anzeigen 465439

Hallo *******,
danke für deine Tests/Ergebnisse und Screenshots!
Bitte lass dich hier von niemandem dumm anmachen...

Könntest du noch kurz erklären, was du gemacht hast, um diese hohe CPU-Last zu erzeugen?
Also war das im Idle? Hast du etwas kopiert? Und hast du bei beiden Screenshots das identische gemacht?

 

[Fallwrrk]

Bitte lass dich hier von niemandem dumm anmachen...

Alles klar...

 

[Gelöschtes Mitglied 144635]

ChrisKS92 ChrisKS92 ist offline
Matrose
Registriert seit
06.06.2017
Beiträge
2

aha
Ich sehe Totengräber.

Warum hängt der Bob eigentlich so an Windows? Zocken ohne Ende?

 

[Fallwrrk]

Bitte jetzt nicht wieder ne Diskussion anfangen. Linux ist nicht immer die Lösung für alles.

 

[BSS]

@BBS
Mit welcher Software hast Du den Secure Erase ausgeführt? Was für ein Mainboard hast Du?

Hi Sorry für die späte Antwort, es handelt sich um ein Lenovo T470s Laptop. Board weiß ich also nicht.
Ich bin aber gerade am aufbauen meines neuen Desktop Rechners mit Asrock Phantom Gaming 4 Board und auch einer 1 TB Evo 970.
Wenn ich es hinbekommen habe melde ich mich. (falls ich es nicht vergesse)
Programm zum secure erase war partition magic

 

[BSS]

Hallo,

ich wollte mich noch einmal melden.
Ich habe es jetzt mit allen mitteln versucht, allerdings ohne Erfolg. Ich kann einfach die 970 EVO im Desktopsystem nicht dazu bringen den E Drive Status auf Aktiviert zu verändern.
Ich würde es gerne mit meinem Laptop versuchen, und dann Windows neu installieren, ich hab nur Angst, dass ich dann meine bestehendes System auf der 970 Evo im Laptop zerschieße.
Wenn noch jemand einen Tipp hat, immer her damit.
Ich kann die 970 Evo im Desktopsystem leider bisher auch als nicht Betriebssystemplatte nicht dazu überreden mit Bitlocker verschlüsselt zu werden.

 

[palace]

Device Encryption Support Reasons for failed automatic device encryption: Hardware Security Test Interface failed and device is not Modern Standby, Un-allowed DMA capable bus/device(s) detected

@*******: Welches Tool schmeisst denn diese Meldung?
Aktuell verzweifel ich ebenfalls, den Status auf Aktiviert zu bekommen.

 

[palace]

Sooo alt ist der Thread jetzt auch nicht
Leider habe ich es nun amtlich:

Dear customer,

Thank you for emailing GIGABYTE.
We would like to help you with your technical inquiry.
GIGABYTE retail bios for endusers does not support hardware encryption to prevent users from data loss caused by hardware changes or bios udate. Only for system integrators we can offer such bios.

 

[palace]

Hi,

Du warst das auch auf CB, oder?
Ja, nun sitz ich auf dem MoBo - ist halt das einzige X570 im ITX Format. Bei einem >200€ Brett habe ich eine solche Limitierung schlicht nicht erwartet.
Wobei, wenn das so weiter geht, ist 200€ demnächst Entrylevel.

 

[palace]

eDrive wird mMn nach kaumst genutzt.

... was aber auch an mangelnder Bekanntheit liegt und man vorher wissen sollte, dass man es verwenden will. Ein schöner Artikel auf den einschlägigenSeiten könnte da sicher was ändern.
Also gerade hinsichtlich Performance lohnt sich das doch - nicht zu letzt weil Softwareverschlüsselung den SSDs richtig weh tut (keim TRIM).

 

[Fallwrrk]

Windows-Sicherheit: Bitlocker vermeidet zukünftig Hardware-Verschlüsselung | heise online

 

[Fallwrrk]

Du hast auch nur ne Festplattenverschlüsselung, um deine Daten vor dem Kleinkriminellen von nebenan zu verstecken, oder? Wenn die damals meistverkauften SSDs aufm Markt alle mindestens eine Implementierung haben, die bewiesen unsicher ist, dann vertraust du deine gesamten Daten also einer Impementierung an, die NOCH nicht geknackt wurde? Wenn die Hersteller allesamt bei mindestens einer Implementierung so sehr geschlampt haben, dann ist das für mich Grund genug keiner der Implementierungen mehr zu vertrauen.

Und immernoch: Prüf mal, ob AES-NI bei dir überhaupt funktioniert. Deine Auslastung ist nämlich nahezu identisch zu nicht-AES-NI-Verschlüsselung.

 

[Fallwrrk]

Ich meine von BitLocker. AES-NI wird nicht automatisch genutzt. Nur weil dir irgendein 3rd-Party-Programm sagt, dass es aktiv ist, heißt das noch lange nicht, dass jedes Programm der Meinung ist. Wenn BitLocker keinen Support für AES-NI erkennt, aus welchem bescheuerten Grund auch immer, dann wird es nicht genutzt, egal was andere Programme sagen. Der gesunde Menschenverstand sollte schon zeigen, dass wenn mit AES-NI 7 GB/s verschlüsselt werden können, dass man mit ner SATA-SSD wohl kaum 40% CPU-Leistung in Anspruch nimmt.

 

[Fallwrrk]

Auf meinem PC mit NVMe-SSD läuft Windows 10, allerdings unverschlüsselt. Auf meinem Notebook mit SATA-SSD läuft Linux, verschlüsselt. Ich kann dir also nicht die Ergebnisse liefern, die du gerne hättest, sonst hätte ich das schon längst getan. Bevor ich das Notebook hatte, hatte ich ein verschlüsseltes Linux neben Windows auf dem PC installiert. Lese- und Schreibraten waren gut 100 MB/s unter denen von Windows, was ich auf das Dateisystem schieben würde. Die CPU-Last ist gestiegen, aber eher auf 5-10%, nicht auf 40. Ich gebe zu, ich hab noch nie BitLocker genutzt, weil meine Windows-Installation keinerlei schützenswerte Daten beinhaltet, wenn man mal von Steam-Logindaten absieht. Ich kann mir aber kaum vorstellen, dass BitLocker wirklich so ineffizient ist.