Wer sein Laptop direkt von Lenovo mit einer SSD im Auslieferungszustand kauft, bekommt oft die Samsung PM851 verbaut. Diese ist laut den Datenblättern von Samsung fähig, die interne Vollverschlüsselung sowohl per OPAL2.0 als auch per eDrive zu verwalten. Leider liefert Lenovo diese mit einer Firmware aus, in der eDrive nicht nutzbar ist.
Was ist eDrive, was bringt mir das und was brauche ich dafür?
Du brauchst: Windows ab Version 8 in mind. der Professional-Variante, ein TPM Modul (1.2 oder 2.0) und eine eDrive-kompatible SSD mit integrierter Vollverschlüsselung (wie eben die hier angesprochene PM851 von Samsung - es geht auch mit anderen SSDs aber um die geht es hier nicht). Außerdem muss UEFI und Secure Boot vom BIOS unterstützt werden.
Dann hast du die Möglichkeit, Bitlocker in Windows zu aktivieren, ohne dass die Verschlüsselung durch die CPU durchgeführt werden braucht. Das übernimmt dann der Controller auf der SSD. Deine Daten sind also komplett verschlüsselt, der Schlüssel liegt im TPM Modul (lässt sich auch über den Wiederherstellungsschlüssel wiederherstellen) und wird nur dann freigegeben, wenn das richtige Passwort eingetippt wird und/oder die SSD noch "in der vertrauten Hardware steckt". Und das ganze ohne erhöhten Stromverbrauch und ohne jeglichen Leistungsverlust, der selbst bei CPUs mit AES-NI noch 90% in HDD/SSD-Benchmarks betragen kann.
Wenn die Lenovo SSD kein eDrive kann, warum nimmt man dann nicht OPAL?
Weil alle mir bekannte Software zur Nutzung von OPAL statt eDrive Geld kostet und auch eher auf Firmen ausgelegt ist - eDrive ist dagegen schon in Windows "drin" und viel einfacher zu benutzen. Keine weitere Software nötig und keine weiteren Ausgaben.
Warum kann die Lenovo-branded Samsung SSD dann kein eDrive?
Offiziell hat Lenovo den Support für eDrive eingestellt.
Wie kann ich nun also trotzdem eDrive nutzen?
Vorweg: DIESE ANLEITUNG LÖSCHT ALLE DATEN AUF DEINER SSD! Ich hab' dich gewarnt
Außerdem funktioniert diese Anleitung NUR für die Samsung PM851 mit der Lenovo-Firmware. Bezeichnung von Lenovo für die 256GB Variante: "Samsung MZ7TE256HMHP-000L7". FRU: 04X4470. Verbaut u.a. im T550, aber vermutlich auch in anderen Geräten neuerer Bauart. Vermutlich funktioniert diese Anleitung auch für die PM851 anderer Größe aber gleicher Firmware, das müsst ihr dann selbst ausprobieren
- Zunächst noch testen, ob die "richtige" OPAL-Firmware installiert ist. Das kann man z.B. mit dem Samsung Magician nachschauen, auch wenn dieser die SSD gar nicht richtig unterstützt. Nur wenn die Version "EXT09L6Q" aktuell installiert ist, funktioniert diese Anleitung! Bei anderen SSDs mit diesem Problem oder eben jener PM851 aber mit anderer Firmware schreibt mir bitte eine PN und ich schaue mal, was man da machen kann.
- Dann das TPM-Modul im BIOS anschalten, falls es nicht schon an ist. Ins BIOS kommt ihr bei einem Reboot, indem ihr dann "Enter" zum Unterbrechen des Bootvorgangs drückt und dann F1 für Setup auswählt. Oder gleich auf F1 "einhämmern", müsste auch gehen. Leider hab ich gerade nicht mehr exakt im Kopf, wo die Punkte zu finden sind - vielleicht mag das jemand z.B. mit T550 mal nachschauen. Auf jeden Fall kann der "Security Chip" aktiviert werden (Standard TPM 1.2) oder Intel PTT (TPM 2.0). Ich habe letzteres verwendet.
- Danach muss im BIOS "Secure Boot" abgeschaltet werden und der Boot-Modus auf "Legacy Only" oder "Both".
- Nun auf einem anderen Rechner einen USB-Stick erstellen, auf dem FreeDOS ist. Das geht am besten mit "Rufus". Programm starten und folgende Einstellungen wählen: https://bd23.https.cdn.softlayer.ne...content/uploads/2012/04/rufus_dos_install.png
- Folgendes Tool runterladen: https://dl.dropboxusercontent.com/u/62276273/eDrive/EXT09L6Q-to-EXT07L6Q.7z Entpacken und den Inhalt auf den USB-Stick kopieren.
- Nun vom USB-Stick booten (F12 bzw. Enter + F12 beim Booten drücken), bei der FreeDOS-Abfrage "LiveCD only" wählen, "C:" eintippen (ggf. Englische Tastaturbelegung!) und dann "DSRD262.EXE" ausführen. Folge den Schritten auf dem Bildschirm. ACHTUNG, NOCHMALS, DIES WIRD ALLE DATEN AUF DEINER SSD LÖSCHEN!
- Wieder ins BIOS gehen und den Boot-Modus wieder auf UEFI-only stellen, CSM abschalten und SecureBoot wieder einschalten.
- Windows (mind. Windows 8, mind. Pro) installieren. Beim Anlegen der Partitionen keine Partitionen selbst anlegen! Einfach Windows die leere Platte benutzen lassen, damit die Partitionen korrekt für Bitlocker/eDrive/UEFI angelegt werden können. Also einfach nur die leere Platte anklicken und Weiter drücken.
- Nach der Installation in den Arbeitsplatz/Computer wechseln, Rechtsklick auf die SSD und Bitlocker aktivieren. BitLocker sollte sich aktivieren lassen, OHNE die Frage zu stellen, ob nur belegte Bereiche oder alles verschlüsselt werden soll. Kommt diese Abfrage NICHT, hat alles geklappt eDrive ist nun aktiv Kommt die Frage, welcher Bereich verschlüsselt werden soll, kannst du hier abbrechen - irgendwas ist falsch gelaufen Vielleicht solltest du nochmal überprüfen, ob du alles korrekt durchgeführt hast. Das Kennwort kannst du auch verwalten, in dem du einen Rechtsklick auf die SSD machst und "BitLocker verwalten" wählst.
Fertig
Noch ein paar Anmerkungen:
- Ich habe die Anleitung gerade nochmal aus dem Kopf aufgeschrieben, da mir das T550 nicht gehört und ich es auch gerade nicht (mehr) zur Verfügung habe. Falls irgendwas nicht so funktioniert, wie hier beschrieben, dann bitte hier nachhaken, damit ich die Anleitung ggf. anpassen kann.
- Nochmals: ALLE Daten auf deiner SSD werden gelöscht dabei. Ich hoffe, ich hab deutlich genug darauf hingewiesen
- Dank geht an den Lenovo-Mitarbeiter, der als "someotherguy" im Lenovo-Forum aktiv ist.
- Er hat mich aber gebeten, nochmals AUSDRÜCKLICH darauf hinzuweisen, dass Lenovo eDrive nicht mehr (offiziell) unterstützt. Und daher wird auch die Firmware, die hier auf die SSD geflasht wird, nicht offiziell unterstützt.
- Das ganze funktioniert - wie angemerkt - auch nur für diese eine Firmware-Version. Für andere Versionen bitte nochmal nachfragen. Eventuell hat someotherguy da noch was auf Lager
- Bitte das ganze auch nicht weiter verbreiten. Ich habe die Erlaubnis, das hier zu veröffentlichen. Aber insbesondere im offiziellen Lenovo-Forum soll das ganze nicht gepostet werden.
Vermutlich gibt es auch nicht sooo viele, die speziell hier nach suchen - aber wenn ich zumindest denen damit helfen konnte, habe ich doch was erreicht Ich habe jedenfalls eine Weile nach dieser Lösung suchen müssen.
Was ist eDrive, was bringt mir das und was brauche ich dafür?
Du brauchst: Windows ab Version 8 in mind. der Professional-Variante, ein TPM Modul (1.2 oder 2.0) und eine eDrive-kompatible SSD mit integrierter Vollverschlüsselung (wie eben die hier angesprochene PM851 von Samsung - es geht auch mit anderen SSDs aber um die geht es hier nicht). Außerdem muss UEFI und Secure Boot vom BIOS unterstützt werden.
Dann hast du die Möglichkeit, Bitlocker in Windows zu aktivieren, ohne dass die Verschlüsselung durch die CPU durchgeführt werden braucht. Das übernimmt dann der Controller auf der SSD. Deine Daten sind also komplett verschlüsselt, der Schlüssel liegt im TPM Modul (lässt sich auch über den Wiederherstellungsschlüssel wiederherstellen) und wird nur dann freigegeben, wenn das richtige Passwort eingetippt wird und/oder die SSD noch "in der vertrauten Hardware steckt". Und das ganze ohne erhöhten Stromverbrauch und ohne jeglichen Leistungsverlust, der selbst bei CPUs mit AES-NI noch 90% in HDD/SSD-Benchmarks betragen kann.
Wenn die Lenovo SSD kein eDrive kann, warum nimmt man dann nicht OPAL?
Weil alle mir bekannte Software zur Nutzung von OPAL statt eDrive Geld kostet und auch eher auf Firmen ausgelegt ist - eDrive ist dagegen schon in Windows "drin" und viel einfacher zu benutzen. Keine weitere Software nötig und keine weiteren Ausgaben.
Warum kann die Lenovo-branded Samsung SSD dann kein eDrive?
Offiziell hat Lenovo den Support für eDrive eingestellt.
Wie kann ich nun also trotzdem eDrive nutzen?
Vorweg: DIESE ANLEITUNG LÖSCHT ALLE DATEN AUF DEINER SSD! Ich hab' dich gewarnt
Außerdem funktioniert diese Anleitung NUR für die Samsung PM851 mit der Lenovo-Firmware. Bezeichnung von Lenovo für die 256GB Variante: "Samsung MZ7TE256HMHP-000L7". FRU: 04X4470. Verbaut u.a. im T550, aber vermutlich auch in anderen Geräten neuerer Bauart. Vermutlich funktioniert diese Anleitung auch für die PM851 anderer Größe aber gleicher Firmware, das müsst ihr dann selbst ausprobieren
- Zunächst noch testen, ob die "richtige" OPAL-Firmware installiert ist. Das kann man z.B. mit dem Samsung Magician nachschauen, auch wenn dieser die SSD gar nicht richtig unterstützt. Nur wenn die Version "EXT09L6Q" aktuell installiert ist, funktioniert diese Anleitung! Bei anderen SSDs mit diesem Problem oder eben jener PM851 aber mit anderer Firmware schreibt mir bitte eine PN und ich schaue mal, was man da machen kann.
- Dann das TPM-Modul im BIOS anschalten, falls es nicht schon an ist. Ins BIOS kommt ihr bei einem Reboot, indem ihr dann "Enter" zum Unterbrechen des Bootvorgangs drückt und dann F1 für Setup auswählt. Oder gleich auf F1 "einhämmern", müsste auch gehen. Leider hab ich gerade nicht mehr exakt im Kopf, wo die Punkte zu finden sind - vielleicht mag das jemand z.B. mit T550 mal nachschauen. Auf jeden Fall kann der "Security Chip" aktiviert werden (Standard TPM 1.2) oder Intel PTT (TPM 2.0). Ich habe letzteres verwendet.
- Danach muss im BIOS "Secure Boot" abgeschaltet werden und der Boot-Modus auf "Legacy Only" oder "Both".
- Nun auf einem anderen Rechner einen USB-Stick erstellen, auf dem FreeDOS ist. Das geht am besten mit "Rufus". Programm starten und folgende Einstellungen wählen: https://bd23.https.cdn.softlayer.ne...content/uploads/2012/04/rufus_dos_install.png
- Folgendes Tool runterladen: https://dl.dropboxusercontent.com/u/62276273/eDrive/EXT09L6Q-to-EXT07L6Q.7z Entpacken und den Inhalt auf den USB-Stick kopieren.
- Nun vom USB-Stick booten (F12 bzw. Enter + F12 beim Booten drücken), bei der FreeDOS-Abfrage "LiveCD only" wählen, "C:" eintippen (ggf. Englische Tastaturbelegung!) und dann "DSRD262.EXE" ausführen. Folge den Schritten auf dem Bildschirm. ACHTUNG, NOCHMALS, DIES WIRD ALLE DATEN AUF DEINER SSD LÖSCHEN!
- Wieder ins BIOS gehen und den Boot-Modus wieder auf UEFI-only stellen, CSM abschalten und SecureBoot wieder einschalten.
- Windows (mind. Windows 8, mind. Pro) installieren. Beim Anlegen der Partitionen keine Partitionen selbst anlegen! Einfach Windows die leere Platte benutzen lassen, damit die Partitionen korrekt für Bitlocker/eDrive/UEFI angelegt werden können. Also einfach nur die leere Platte anklicken und Weiter drücken.
- Nach der Installation in den Arbeitsplatz/Computer wechseln, Rechtsklick auf die SSD und Bitlocker aktivieren. BitLocker sollte sich aktivieren lassen, OHNE die Frage zu stellen, ob nur belegte Bereiche oder alles verschlüsselt werden soll. Kommt diese Abfrage NICHT, hat alles geklappt eDrive ist nun aktiv Kommt die Frage, welcher Bereich verschlüsselt werden soll, kannst du hier abbrechen - irgendwas ist falsch gelaufen Vielleicht solltest du nochmal überprüfen, ob du alles korrekt durchgeführt hast. Das Kennwort kannst du auch verwalten, in dem du einen Rechtsklick auf die SSD machst und "BitLocker verwalten" wählst.
Fertig
Noch ein paar Anmerkungen:
- Ich habe die Anleitung gerade nochmal aus dem Kopf aufgeschrieben, da mir das T550 nicht gehört und ich es auch gerade nicht (mehr) zur Verfügung habe. Falls irgendwas nicht so funktioniert, wie hier beschrieben, dann bitte hier nachhaken, damit ich die Anleitung ggf. anpassen kann.
- Nochmals: ALLE Daten auf deiner SSD werden gelöscht dabei. Ich hoffe, ich hab deutlich genug darauf hingewiesen
- Dank geht an den Lenovo-Mitarbeiter, der als "someotherguy" im Lenovo-Forum aktiv ist.
- Er hat mich aber gebeten, nochmals AUSDRÜCKLICH darauf hinzuweisen, dass Lenovo eDrive nicht mehr (offiziell) unterstützt. Und daher wird auch die Firmware, die hier auf die SSD geflasht wird, nicht offiziell unterstützt.
- Das ganze funktioniert - wie angemerkt - auch nur für diese eine Firmware-Version. Für andere Versionen bitte nochmal nachfragen. Eventuell hat someotherguy da noch was auf Lager
- Bitte das ganze auch nicht weiter verbreiten. Ich habe die Erlaubnis, das hier zu veröffentlichen. Aber insbesondere im offiziellen Lenovo-Forum soll das ganze nicht gepostet werden.
Vermutlich gibt es auch nicht sooo viele, die speziell hier nach suchen - aber wenn ich zumindest denen damit helfen konnte, habe ich doch was erreicht Ich habe jedenfalls eine Weile nach dieser Lösung suchen müssen.
Zuletzt bearbeitet: