Samsung 840 Evo - Wie Hardwareverschlüsselung aktivieren?

[maetty3]

Hallo Leute,
habe aktuell die Suche des Forums schon bemüht und Google auch schon besucht, jedoch leider ohne großen Erfolg.

Wie der Titel schon sagt: Wie kann die Hardware AES-Verschlüsselung der Samsung 840 Evo aktiviert werden?
Biospasswort für das Laufwerk ist gesetzt, ändert jedoch nichts an der Verschlüsselung (soll wohl auch so sein?).

Was mir nur etwas komisch vorkommt nach meiner Recherche: Wie auf dem unten stehenden Bild zu sehen, wirft mir die Magician Software eine Meldung aus "Auf dem ausgewählten Laufwerk konnte der Vorgang nicht ausgeführt werden". Darunter sieht man sehr schön, dass jegliche Verschlüsselungsart deaktiviert ist. Unten in der Tabelle sind auch die einzelnen SSD´s von Samsung aufgeführt und mit x und o wurde gekennzeichnet, welche SSD welche Verschlüsselungsart unterstützt. Nun ist für die Evo nirgends ein x zu finden - kann sie nun wie auf der Homepage von Samsung angegeben eine 256-Bit AES-Hardwareverschlüsselung oder nicht? Wenn ja: Wie kann diese aktiviert werden?

Hier der Link zu den technischen Daten: http://www.samsung.com/de/consumer/memory-storage/ssd/under-500-gb/MZ-7TE250BW-spec

Vielen Dank für eure Hilfe.


MfG
Matthias

 

[Jo_30]

Guten morgen maetty,

ich war mir bis zu deinem Thread sicher, dass ich meine Laufwerksverschlüsselung auch aktiviert hätte. Jedoch sieht es bei mir im Samsung Magician genauso aus

Gruß

Jo

 

[pepun]

Hallo,

die Hardwareverschlüsselung wird m.W. durch das Setzen des HDD Passwort im BIOS aktiviert - ggf. kann man da 2 Passwörter setzen (User und Master).

Das wird hier im Forum oft kritisch gesehen - begünstigt durch solche Fälle: http://thinkpad-forum.de/threads/170090-HDD-Kennwort-wird-nicht-angenommen-(?

Warum das in der Samsung Software nicht angezeigt wird - leider keine Ahnung.

Poste bitte auch mal die sonstigen Rahmendaten (Thinkpad Modell, Betriebssystem) - dann ist es leicher, dass sich jemand findet, der es nachvollziehen kann.

Grüße, pepun.

 

[maetty3]

Poste bitte auch mal die sonstigen Rahmendaten (Thinkpad Modell, Betriebssystem) - dann ist es leicher, dass sich jemand findet, der es nachvollziehen kann.

Grüße, pepun.

Stimmt, hab ich ganz vergessen :facepalm:

Es handelt sich um ein W530 mit Windows 7 64-Bit. Welche Angaben werden noch benötigt?

MfG
Matthias

 

[pepun]

Hallo,

sicherheitshalber frage ich noch mal nach:

Du hast das "Hard-disk password" der entsprechenden Festplatte gesetzt - nicht nur das BIOS Password ?

Das könnte man auch testen, indem man auf die SSD in einem anderen Rechner zuzugreifen versucht, das funktioniert dann nicht.

Grüße, pepun.

 

[maetty3]

Hallo pepun,

ich habe beide Passwörter gesetzt, nicht nur das Bios-Passwort.
Welche Möglichkeiten gibt es eigentlich zu überprüfen, ob die SSD verschlüsselt ist oder nicht?
Wäre zwar sehr komisch, wenn Samsungs eigene Software dies nicht korrekt anzeigen würde, aber über die Softwarebeigaben von Samsung liest man ja nicht nur gutes

MfG
Matthias

 

[pepun]

Hallo,

ich kenne jetzt nur noch die Möglichkeit, über ein Linux und den Befehl

[FONT='inherit']hdparm -I /dev/sd[B][COLOR=#ff0000]X[/COLOR][/B][/FONT]

zu schauen, ob das ATA-Passwort gesetzt ist (statt sdX die betroffene HDD einsetzen > erste HDD = sda, zweite = sdb ...), was dann so aussieht:

Security:
           supported
           [B][COLOR=#ff0000]enabled[/COLOR][/B]
           locked
    not    frozen
    not    expired: security count
    not    supported: enhanced erase
    Security level high

Ist es gesetzt, ist automatisch die Verschlüsselung aktiv. Kannst du mit einer Live CD (z.B. Ubuntu) probieren.

Immer wichtig: Wenn unsicher, immer vorher alle Daten sichern.

Und: Vielleicht doch über eine Verschlüsselung auf Softwareebene (Truecrypt) nachdenken. Sollte bei einem W530 die Arbeit nicht merkbar verlangsamen.

Grüße, pepun.

 

[cuco]

Hallo pepun,

ich habe beide Passwörter gesetzt, nicht nur das Bios-Passwort.
Welche Möglichkeiten gibt es eigentlich zu überprüfen, ob die SSD verschlüsselt ist oder nicht?
Wäre zwar sehr komisch, wenn Samsungs eigene Software dies nicht korrekt anzeigen würde, aber über die Softwarebeigaben von Samsung liest man ja nicht nur gutes

MfG
Matthias

Die Daten auf den Samsung SSDs sind IMMER verschlüsselt. Es gibt nur zwei Fragen. Erstens: Mit welchem Key? Und zweitens: Wie leicht wird der Key rausgerückt?
Im Standardzustand hat die SSD den Key im Controller und gibt ihn jederzeit frei.
Wenn du das HDD-Passwort setzt, wird der Key nur noch freigegeben, wenn das richtige HDD-Passwort eingegeben wurde. Die Daten sind weiterhin mit dem Key verschlüsselt, mit dem sie vorher auch schon verschlüsselt waren. Nur dass man eben nicht mehr so leicht an den Key kommt.
Und dann gibt es noch die Möglichkeit, dass der Key gar nicht mehr in der SSD vorhanden ist. Stattdessen ist er in einem TPM-Modul gespeichert, wird von Bitlocker von Windows verwaltet/freigegeben und die SSD kümmert sich nur noch ums verschlüsseln/entschlüsseln. Das ist die OPAL/eDrive-Funktion.

 

[maetty3]

Hey Leute,
bin gerade erst zum Testen des Befehls von pepun gekommen.
Für alle, die es auch ausprobieren wollen: Hab dazu Ubuntu genutzt und vor den angegebenen Befehl muss noch sudo gesetzt werden, so dass der Befehl dann wie folgt lautet "sudo hdparm -I /dev/sda". Ohne sudo spuckt das Terminal nur aus "permission denied".

Hab ein Bild von der Ausgabe angehängt. So wie es aussieht ist dann wohl die SSD mit gesetztem Passwort im Bios doch nicht verschlüsselt...

MfG
Matthias

 

[pepun]

Hallo,

entschuldige, ich habe doch glatt das falsche rot markiert (jetzt geändert) - in deiner Ausgabe sieht man, dass das ATA-Passwort gesetzt ist "___ enabled", die Disk ist allerdings entsperrt "not locked", weil du vermutlich beim Booten das Passwort eingegeben hast.

Was hdparm an der Stelle nicht zeigt, dass / ob mit Setzen des ATA-Passwortes die Verschlüsselung aktiviert wurde, wobei das nach dem Post von "cuco" ja so sein sollte.

Grüße, pepun.

 

[maetty3]

Hm, garnicht so einfach die Verschlüsselung 100%-ig zu überprüfen.
Fällt sonst noch jemanden eine Möglichkeit ein?
Wenn nicht gehe ich einfach davon aus, dass es so passt wie es ist und lasse es gut sein, so wichtig sind meine Daten nun auch wieder nicht

EDIT: was mir noch aufgefallen ist: Ohne das Biospasswort für die SSD hatte ich ca. 30 - 40 % höhere IOPS beim Schreiben, Lesen blieb unverändert. Kann man daran evtl. auch ableiten, dass die Verschlüsselung aktiv arbeitet? Nach euren Aufführungen dürfte das aber garnicht sein, da ja bei einer SSD die Verschlüsselung standardmäßig aktiv sein sollte?!? Wer kann dazu noch was beitragen?


MfG
Matthias

 

[cuco]

Eine 100%ige Möglichkeit wird es wohl kaum geben, eine Hardwareverschlüsselung zu überprüfen - außer die Flash-Chips auszulöten und extern auszulesen
Da muss man dann wohl darauf vertrauen, dass Samsung da keinen Müll gebaut hat und einen das Samsung-Tool ("Magician") auch nicht anlügt. Das sagt einem ja, welche Form der Verschlüsselung gerade aktiv ist. Bzw. wie gesagt, die Verschlüsselung ist immer an, nur wo der Key für die Entschlüsselung liegt, unterscheidet sich halt. Standardzustand: In der SSD, wird immer automatisch freigegeben/benutzt. BIOS-Passwort: Key liegt immer noch im SSD-Controller, wird aber nur mit richtigem BIOS/HDD-Passwort freigegeben. OPAL: Keine Ahnung?. eDrive: Key liegt im TPM-Modul. So verstehe ich das zumindest.

Ich habe in meinem Laptop eine 840 (Basic), die ich per BIOS/HDD-PW geschützt habe, das funktioniert ja schön einfach. Das Samsung Tool zeigt das auch korrekt an und mehr geht nun mal bei der Basic nicht.

In meinem neuen Rechner habe ich gerade das Feature ausprobiert, die Verschlüsselung einer 840 Evo als eDrive zu realisieren. Das hat mich ein paar Versuche gekostet und man muss unbedingt ein paar Sachen beachten, die man nur zum Teil im Netz (deutlich) findet. Also in Kurzform:
- neueste Firmware einspielen. Die vorinstallierte Firmware auf meiner 840 Evo war zu alt für das Feature
- mit Samsung Magician im Reiter für die Verschlüsselung auf den eDrive-Reiter gehen und unten auf Aktivieren klicken. Das steht nirgendwo erwähnt, ohne das gemacht zu haben, hat es bei mir aber nie geklappt mit dem eDrive.
- einen Secure Erase der SSD durchführen. Z.B. mit dem Samsung Magician oder einem damit erstellten USB-Stick (schlägt bei mir manchmal fehl, aber spätestens in Versuch 2, 3 oder 4 klappt das Erstellen des Sticks)
- ein eDrive-fähiges Betriebssystem installieren (bei mir Windows 8.1 Pro). Wichtig dabei: Der Installer muss unbedingt im UEFI-Modus gestartet werden und man sollte Windows unbedingt die Partitionierung selbst durchführen lassen. Also nur die leere SSD anwählen in dem Menü, wo man auswählt, wo installiert werden soll und dann auf Weiter klicken. Falls man später umpartitionieren will, sollte das immer noch möglich sein.
- Nach dem Installieren des Betriebssystems dann Rechtsklick auf das Laufwerk und Bitlocker aktivieren. Man merkt, ob es geklappt hat, wenn Windows nicht fragt, wie man den Datenträger denn gerne verschlüsseln will - voll oder nur die freien Bereiche? Wenn die Frage kommt: Es hat nicht geklappt. Wenn die Frage nicht kommt und nur das System auf Kompatibilität überprüft werden soll: Es hat geklappt
- Wichtig: NICHT den Intel Rapid Storage Treiber installieren! Damit geht eDrive nicht mehr! Ich habe es ausprobiert und Windows glaubt dann, der Datenträger sei nicht verschlüsselt, was im besten Fall darin endet, dass man die Verschlüsselung nicht mehr managen kann und Windows gerne noch eine Software-Verschlüsselung darüber legen will, im schlechtesten Fall hatte ich aber ein gar nicht mehr startendes System! Bluescreens bei jedem Start und es half nur, per Systemwiederherstellung auf den Stand vor der Treiberinstallation zurückzusetzen.

Per Magician kann man nun auch noch prüfen, ob alles geklappt hat.

Hardwareanforderungen:
- Samsung 840 Evo (nicht Basic, nicht Pro) mit neuester Firmware
- UEFI fähiges Mainboard mit UEFI >=2.3.1. Außerdem muss das Compatibility Support Module (CSM), welches Betriebssysteme und Hardware-Komponenten ohne UEFI startet, entweder in Version 3 vorliegen oder komplett abgeschaltet werden.
- ein TPM Modul ist angeblich auch Pflicht, ich habe aber von Leuten gelesen, die stattdessen den Key auf einem USB-Stick hatten oder doch wieder im System belassen haben, dann aber per PIN den Key freigegeben haben. Dazu kann ich aber nichts sagen.

Optional, aber sehr empfehlenswert:
- Per gpedit.msc die Gruppenrichtlinien für Bitlocker so verändern, dass Bitlocker nicht nur das TPM-Modul erfordert, sondern zusätzlich noch eine PIN. Sonst bringt die Sicherheit auch nicht viel... Anleitungen fürs Umstellen gibt es zu Hauf im Netz, einfach mal googlen.

Getestet von mir mit:
- Asus Z87-EXPERT Mainboard
- BIOS so eingestellt, dass eigentlich nur UEFI genutzt wird. Das CSM ist zwar angeschaltet, das eine zusätzliche Netwerkkarte sonst den Start verhindert, aber es scheint Version 3 zu sein, denn es klappte ja trotzdem
- Samsung 840 Evo 500GB mit neuester Firmware
- Asus TPM/FW3.19 Aufsteckmodul (da kein TPM onboard aber passender Anschluss vorhanden)
- Windows 8.1 Pro x64 Clean Install

Das dürfte auch keine Performance kosten, @maetty3: das muss bei dir also einen anderen Grund haben, die IOPS sollten durch diese Form der Verschlüsselung nicht einbrechen.

 

[PeKron]

In meinem T410 hab ich meine 840Pro auch mit dem BIOS Passwort verschlüsselt.
Test: Baut man die SSD aus und schließt sie an einen anderen Rechner an, eskaliert jedes System.
Auf meiner Linux Konsole kommen dann tausend Fehler - die Platte ist nicht zum laufen zu kriegen.

Gruß

 

[schoerg]

Das liegt aber an Lenovo, die Hexerei bei der Speicherung des Passwortes betreiben.

 

[yatpu]

die sache mit den fehlermeldungen im kernel-log ist völlig normal für hdds/ssds mit gesetztem passwort, da diese auf nichts zu reagieren scheinen außer auf die entsperrung mit dem richtigen passwort. die bearbeitung des passworts durch das bios verhindert aber leider die entsperrung bei anschluss nach dem booten oder auch in anderen pcs. daher sollte man bei verwendung des passwortes immer ein passendes thinkpad in reichweite haben, um das passwort wieder entfernen zu können.

 

[Hawk2014]

Ist diese Verschlüsselung nicht eigentlich nutzlos?
Es sind keine Sonderzeichen beim HDD-Passwort erlaubt im Gegensatz z.B zu TrueCrypt.

 

[schoerg]

Das macht es nicht unsicherer.

 

[yatpu]

nutzlos nicht unbedingt, aber fragwürdig, wobei sie das ohnehin schon ist, da man im gegensatz zu truecrypt nicht nachgucken kann, ob bei der crypto schmu betrieben wird. vor wenigen tagen wurde übrigens das ergebnis der ersten professionellen audits von truecrypt veröffenlticht. es besteht bei denen durchaus noch luft nach oben, aber hintertüren wurden keine gefunden.

vor dem einfachen dieb schützt auch die interne verschlüsselung der ssd, doch setze ich bei crypto auf open source. folglich verwende ich meine 840 evo ohne passwort und lass linux die crypto machen

 

[Hawk2014]

Dann ist mein Misstrauen ja nicht ganz unberechtigt.
Leider ist momentan noch keine System-Verschlüsselung mit TrueCrypt mit GPT möglich.
Will mir heute die Evo 120 GB kaufen ( ist heute bei Atelco als Filialangebot für 66 Euro zu haben), und dann Windows 8 ganz klassisch mit MBR installieren um wieder das System mit TC verschlüsseln zu können. Hoffe die Performance beim Start leidet nicht wirklich darunter.

Hoffe das in Zukunft die Entwickler diese Möglichkeiten nachrüsten werden, da zu befürchten ist das irgendwann die PC's nur noch Installationen mit GPT anbieten

 

[PeKron]

Ich finde die Hardwareverschlüsselung sehr attraktiv.
BIn selbst mal darauf reingefallen. Notebook verkauft, vorher die (Hardwareverschlüsselte) Festplatte ausgebaut und in das neue Notebook eingebaut.
Ging nicht. Platte einfach tot. Mal an meinen Desktop-Rechner angeschlossen und dabei festgestellt das die SSD nur I/O Errors liefert.
Da hatte ich das alte Notebook schon verpackt und war quasi auf dem Weg zur Post. Gott sei Dank konnte ich das Passwort mit dem alten Notebook noch entfernen.

Früher nutzte ich auch TC, aber das ging mir dann doch zu sehr auf die Performance. Ich denke, die Sicherheit reicht aus wenn man die HW Verschlüsselung nutzt.
Nicht falsch verstehen - ich hab alles verschlüsselt. Von Datenfestplatten über den Medienserver.
Mein Bruder hat mal vor X Jahren eine Hausdurchsuchung bekommen, weil Ermittler im Zuge einer Computerbeschlagnahmung bei einem Kollegen festgestellt haben das sich die beiden Filme über eMule gezogen haben.
Ist zwar schon lange her und war in Bayern, aber gruselig ist es heute noch. Computer & Co hat er nie wieder gesehen.
Ich hab keine Staatsgeheimnisse - für meine Zwecke reicht das.