Samsung PSID Revert Tool

[Jo_30]

Hallo zusammen,

im Rahmen von Windows 8.1 habe ich auf meiner Samsung SSD 840 EVO eDrive aktiviert, so dass jetzt meine komplette SSD verschlüsselt ist. Jedoch habe ich mir hiermit die Möglichkeit genommen, andere BS zu installieren. Lt. div. Foren gibt es von Samsung ein PSID Revert Tool, mit dem man das eDrive wieder deaktivieren kann. Samsung bestreitet dies. Kennt jemand dieses Tool? gibt es jemand, der mir dieses Tool zu Verfügung stellen kann?

Vielen herzlichen Dank

Gruß

Jo

 

[kili]

Google ;-) http://forums.anandtech.com/showthread.php?t=2366848

 

[Overlord]

Offtopic und zum Verständnis: Bei der 840 Pro wird die Hardwareverschlüsselung mit dem HDD Passwort im Bios aktiviert, oder? Kann das die EVO nicht mehr, oder wieso braucht man da ein Tool? Wie kann man erkennen, ob die 840 Pro wirklich verschlüsselt ist?

 

[Jo_30]

Hi. Die EVO unterstützt, genauso wie die Pro auch die Vergabe des HDD passworts. Jedoch unterstützt die EVO zusätzlich die EDrive-Funktion, bei der die Passwortverwaltung der SSD-Verschlüsselung von Windows 8 übernommen wird. Voraussetzung ist ein aktiviertes UEFI, Windows 8 und ein eDrive-Kompatibeles Laufwerk. Bitlocker nutzt, wenn man edrive aktiviert hat die Hardware-eigene SSD-Verschlüsselung und setzt keine softwareseitige drauf.

das Problem ist, dass Magican klar sagt, dass mit der Aktivierung der eDrive-Funktion ein zurück nicht mehr ohne weiteres möglich ist. Deswegen benötige ich das o.g. Tool.

LG

PS. Vielen Dank, kili

 

[blafoo]

Wird nur das Password umgangen (gelöscht) oder auch die Daten "unwiederruflich" vernichtet?!

Grüße

 

[think_pad]

Hi. Das Problem ist, dass Magican klar sagt, dass mit der Aktivierung der eDrive-Funktion ein zurück nicht mehr ohne weiteres möglich ist. Deswegen benötige ich das o.g. Tool. LG PS. Vielen Dank, kili

ATA-Passwörter für HDD/SSD bezeichnet man als Class 0-Security. Besitzt das BIOS keine ATA-Sperre, kommt ein "TCG Opal"-kompatibles Laufwerk zum Einsatz, welches mit zusätzlicher Software von Drittanbietern verschlüsselt wird.

eDrive-fähige Laufwerke verwenden zusätzlich eine Verschlüsselung mit einem intern zufällig generierten Wert, der nicht rückgängig gemacht werden kann. So ist die Sache gedacht, als immer wieder abrufbares Einmal-Passwort; insofern kann WINDOWS 8 auch nicht die Passwortverwaltung einer intern geregelten SSD übernehmen und auch Bitlocker bleibt eigentlich außen vor, wenn man mal davon absieht, dass man durchaus verschlüsselte Daten erneut verschlüsseln kann. Richtig ist aber, dass WINDOWS 8 die Security-Mechanismen von UEFI nutzt, und UEFI die Voraussetzung für das eDrive ist.

Die einzige Möglichkeit, diesen Vorgang rückgängig zu machen, ist die Platte mit "HDD Secure Erase" komplett zu löschen, und damit auch die zufällig generierte Passphrase. Das Problem ist also in Wirklichkeit, warum Du Deine SSD nicht als Image auf eine unverschlüsselte USB-Platte als Backup ablegst, und dann die SSD samt eDrive-Passwort löschst. Damit ist die SSD wieder entschlüsselt, leer, und Du kannst Dein Backup unverschlüsselt zurückspielen und dann weitere Betriebssysteme aufspielen. Danach kannst Du wieder ein ATA-Passwort setzen und wieder eDrive verwenden.

Nur dieses Verfahren, dass Dich als Passwort-Kenner und Besitzer der Daten ausweist, garantiert ein sauberes Verfahren, denn ein eDrive, welches man zurücksetzen kann, ist kein eDrive. Und sollte das Zurücksetzen schiefgehen, musst Du ohnehin das Backup nach einem "HDD Secure Erase" zurückspielen, es kommt also auf dasselbe heraus.

Der juristische Hintergrund ist der, dass Du zufällig an dieses verschlüsselte Laufwerk gelangt sein kannst: Du darfst es behalten, sollst aber logischerweise nicht die Daten einsehen können. Daher ist es zwingend vorgeschrieben, die SSD zu löschen.

 

[kili]

Deswegen benötige ich das o.g. Tool.

Hat es den mit dem verlinktem Tool funktioniert?

 

[cuco]

Wird nur das Password umgangen (gelöscht) oder auch die Daten "unwiederruflich" vernichtet?!

AFAIK letzteres. Also die Daten werden wohl nicht vernichtet, aber der Key verworfen. Man hat danach also wohl nur noch Datenmüll und kann daher nichts mehr wiederherstellen.

Besitzt das BIOS keine ATA-Sperre, kommt ein "TCG Opal"-kompatibles Laufwerk zum Einsatz, welches mit zusätzlicher Software von Drittanbietern verschlüsselt wird.

Nein, bei TCG Opal kümmert sich die Software nur um die Verwaltung. Die Verschlüsselung macht das Laufwerk. Ein SED ist also Voraussetzung.

insofern kann WINDOWS 8 auch nicht die Passwortverwaltung einer intern geregelten SSD übernehmen und auch Bitlocker bleibt eigentlich außen vor, wenn man mal davon absieht, dass man durchaus verschlüsselte Daten erneut verschlüsseln kann.

Nein. BitLocker wird für die Verwaltung der eDrive-Entsperrung genutzt. Die Daten erneut zu verschlüsseln bietet BitLocker dann auch nicht an, wenn man das Setup richtig eingerichtet hat.
eDrive ist daher eher Bitlocker, bei dem die Verschlüsselung aber nicht in der CPU, sondern im SED stattfindet.

Die einzige Möglichkeit, diesen Vorgang rückgängig zu machen, ist die Platte mit "HDD Secure Erase" komplett zu löschen, und damit auch die zufällig generierte Passphrase.

Auch hier wieder: Nein. Hast du das eigentlich je ausprobiert oder schreibst du mal wieder einfach so ins Blaue herein? Ich vermute ja letzteres.
Ein HDD Secure Erase funktioniert nicht bei einem eDrive von Samsung. Daher ja auch das PSID-Revert-Tool, um das es hier im Thread geht. Wenn ein Secure Erase reichen würde, bräuchten wir diesen Thread nicht.

Das Problem ist also in Wirklichkeit, warum Du Deine SSD nicht als Image auf eine unverschlüsselte USB-Platte als Backup ablegst, und dann die SSD samt eDrive-Passwort löschst.

Weil das eben so nicht geht. Man KANN die SSD nicht einfach so löschen, wenn eDrive aktiv ist. Also man kann natürlich alle Daten löschen, aber nicht die eDrive-Funktion zurücksetzen.

Danach kannst Du wieder ein ATA-Passwort setzen und wieder eDrive verwenden.

Nein. Entweder ATA-Passwort oder eDrive.

denn ein eDrive, welches man zurücksetzen kann, ist kein eDrive.

Das ist korrekt, widerspricht aber irgendwie deinen Aussagen von davor.

Der juristische Hintergrund ist der, dass Du zufällig an dieses verschlüsselte Laufwerk gelangt sein kannst: Du darfst es behalten, sollst aber logischerweise nicht die Daten einsehen können. Daher ist es zwingend vorgeschrieben, die SSD zu löschen.

Das verstehe ich nicht so ganz. Wie sollte man "zufällig" an das Laufwerk kommen?

 

[blafoo]

Den dran zerrenden Typen einfach umknocken schon hast du zufaellig ne SSD gefunden, inkl. Laptop

Grüße

 

[think_pad]

1. Nein, bei TCG Opal kümmert sich die Software nur um die Verwaltung. Die Verschlüsselung macht das Laufwerk. Ein SED ist also Voraussetzung.
2. Nein. BitLocker wird für die Verwaltung der eDrive-Entsperrung genutzt. Die Daten erneut zu verschlüsseln bietet BitLocker dann auch nicht an, wenn man das Setup richtig eingerichtet hat.
3. eDrive ist daher eher Bitlocker, bei dem die Verschlüsselung aber nicht in der CPU, sondern im SED stattfindet.
4. Auch hier wieder: Nein. Hast du das eigentlich je ausprobiert oder schreibst du mal wieder einfach so ins Blaue herein? Ich vermute ja letzteres.
5. Ein HDD Secure Erase funktioniert nicht bei einem eDrive von Samsung. Daher ja auch das PSID-Revert-Tool, um das es hier im Thread geht. Wenn ein Secure Erase reichen würde, bräuchten wir diesen Thread nicht.
6. Weil das eben so nicht geht. Man KANN die SSD nicht einfach so löschen, wenn eDrive aktiv ist. Also man kann natürlich alle Daten löschen, aber nicht die eDrive-Funktion zurücksetzen.
7. Nein. Entweder ATA-Passwort oder eDrive.
8. Das ist korrekt, widerspricht aber irgendwie deinen Aussagen von davor.
9. Das verstehe ich nicht so ganz. Wie sollte man "zufällig" an das Laufwerk kommen?

-

1. Richtig, das war ungenau: Es dient als Ersatz für UEFI bei SED-Laufwerken und kann das SED-Laufwerk verwalten und entsperren.
2. Richtiger: Bitlocker kann das SED-Laufwerk via UEFI unter WINDOWS entsperren. Die erneute Verschlüsselung war ironisch als theoretischer Fehler angedacht.
3. Richtiger: Bitlocker kümmert sich wie TCG Topal nur um die Verwaltung, die Verschlüsselung selbst findet im SED-Laufwerk statt.
4. Das ist schon völlig ok, die Platte komplett zu löschen, statt zu versuchen, die Verschlüsselung rückgängig zu machen: Ein Self-Encrypting Drive (SED) verschlüsselt Daten nicht mit dem gewählten Passwort, sondern mit einem intern generierten Zufallswert. Wenn man diesen mit dem Befehl „HDD Secure Erase“ löscht, sind alle gespeicherten Daten unwiederbringlich verloren und das SED generiert einen neuen internen Schlüssel.
5. dito
6. dito -> "Also man kann natürlich alle Daten löschen, aber nicht die eDrive-Funktion zurücksetzen." -> Genau darum geht es!
7. Meiner Kenntnis nach wird der SED-Schlüssel auch aus dem HDD-Passwort mit gebildet, will mich aber dafür nicht verbürgen.
8. "...denn ein eDrive, welches man zurücksetzen kann, ist kein eDrive." -> Das war der Sinn meiner Ausführungen auch in Hinblick auf ein Backup und dessen Restore auf eine komplett "eraste" und unverschlüsselte SSD!!
9. In dem man bei ebay einen Laptop von einem Käufer ersteigert, der dachte: "Ein Laufwerk, auf dem keine Daten zu sehen sind, da sind bestimmt auch keine drauf...!"

 

[cuco]

Zu 4./5./6.: Ich wiederhole nochmals: Hast du das eigentlich je ausprobiert oder schreibst du einfach so ins Blaue herein? Denn (nochmals): Ein Secure Erase geht nicht bei einer Samsung SSD, die im eDrive benutzt wurde. Daher ja auch das PSID-Revert-Tool. Secure Erase ist nicht möglich!

7.) Der Schlüssel wird zufällig gebildet und entweder nur bei korrekter Eingabe des ATA-Passworts freigegeben oder eben via eDrive/BitLocker verwaltet. Beides geht aber nicht.

 

[think_pad]

Zu 4./5./6.: Ich wiederhole nochmals: Hast du das eigentlich je ausprobiert oder schreibst du einfach so ins Blaue herein? Denn (nochmals): Ein Secure Erase geht nicht bei einer Samsung SSD, die im eDrive benutzt wurde. Daher ja auch das PSID-Revert-Tool. Secure Erase ist nicht möglich!

Nein, das habe ich nicht ausprobiert, weil kein UEFI und kein SED, aber jetzt mal völlig ernsthaft: Reden wir bei "Secure Erase" über das Löschen von Daten oder über das Löschen bzw. Zurücksetzen eines Keys? Hast Du es ausprobiert? Berichtest Du darüber hier, ich zitiere mal...

AFAIK letzteres. Also die Daten werden wohl nicht vernichtet, aber der Key verworfen. Man hat danach also wohl nur noch Datenmüll und kann daher nichts mehr wiederherstellen.

... und frage: Welchen Sinn soll es haben, wenn jemand an ein Betriebssystem eine weiteres anhängen will und an der Verschlüsselung der SSD scheitert, wenn er nach dem Verwerfen des Key nur noch Datenmüll vorfindet? Also macht derjenige doch zuallererst ein unverschlüsseltes Backup auf eine externe Platte, und ... danach ... versucht er in aller Ruhe die SSD platt zu machen, um das Image auf eine unverschlüsselte SSD zurückzuspielen.

Selbst wenn es so sein sollte, dass ausgerechnet SAMSUNG-SSDs kein klassisches "Secure Erase" erlauben, warum sollte SAMSUNG dann die Existenz dieses REVERT-Tools verleugnen? Wenn es die einzige Möglichkeit ist, eine SAMSUNG-SSD zurückzusetzen, ist doch SAMSUNG dazu verpflichtet, dieses Tool bereitzustellen, um eine SSD wieder in Gebrauch nehmen zu können.

Es gibt also irgend einen anderen Grund, und der liegt im UEFI: Die SSD ist an das Gerät gekoppelt.

Eine

1. SED-Verschlüsselung zurückzusetzen,
2. eine SAMSUNG-SSD auf Werkszustand zurückzusetzen,
3. ein unverschlüsseltes Betriebssystem zurückspielen zu können,

sind drei ganz grundverschiedene Probleme, und so sollten wir sie auch behandeln...

 

[cuco]

Wir reden bei Secure Erase über die Variante per ATA-Befehl(en). Da gibt es keinen Unterschied zwischen Löschen von Daten oder Löschen von Keys. Es gibt nur ein Secure Erase.

Und natürlich ermöglichen die Samsung-SSDs auch Secure Erase. Aber nur, wenn man das ATA Passwort noch kennt oder eben kein eDrive einsetzt. Hat man das Passwort vergessen oder eDrive aktiviert (wie hier der Ersteller des Threads) geht kein Secure Erase mehr.

 

[Jo_30]

Ich habe soeben mein System mit ner ubuntu live dvd gestartet... mittels hdparm -I /dev/sda habe ich, im Gegensatz zu Nicht-eDrive-gesicherten Laufwerken GAR KEINE Informationen über den Sicherheitsstatus erhalten. Zugreifen konnte ich natürlich nicht. Natürlich konnte ich auch kein passwort mit hdparm setzen ("Input/Output error") im gegensatz zu Class 0-Schutz bzw. ungeschützten System.

Ein Class 0-System kann man ja zurücksetzen... einfach die klassischen Tools einsetzen (hdparm, gpartet, Magician etc.).

Der Support von Samsung behauptet auch nicht, dass ein Zurücksetzen eines eDrive-Laufwerks nicht möglich ist. Die wollen, dass ich meine SSD einschicke, damit die es für mich vornehmen.

Ich vermute, dass sie so die Kontrolle über die Sicherheit der SSD behalten wollen. Ein Dieb kann ja auch i.d.R. keine Rechnung der SSD vorlegen, wenn Diese eingeschickt wird, zumal die Hemmschwelle für ein Dieb deutlich höher ist, sich darauf einzulassen

LG

Jo