T470/s/p Samsung PM981 - Bitlocker mit Hardwareverschlüsselung

[sl500]

Hallo,

habe hier ein neues T470p (20J60016GE) - verbaut ist eine Samsung PM981 mit 512GB.

Leider bekomme ich auch nach einer sauberen UEFI-Neuinstallation von Windows 10 Pro keine Bitlocker-Hardwareverschlüsselung aktiviertinch:

TCG OPAL 2.0 unterstützt sie ja laut Datasheet, von IEEE 1667 finde ich aber nirgendswo was :

https://cdn-reichelt.de/documents/datenblatt/E600/SAMSUNG_PM981_DB_EN.pdf

Samsung Magican für Consumer SSD's erkennt die PM981 natürlich nicht - das Data Center Magician SSD Management Utility will auch nicht funktionieren...


Hat also irgendjemand eine Idee wie ich zur Lösung des Problems komme?

 

[Big2Daddy]

Hallo,

ich möchte mich der Suche nach einer Lösung anschließen. Wir haben hier zwei Lenovo T480s mit der PM981 in der 1 TB Variante (Modell SAMSUNG MZVLB1T0HALR-000L7). Wie aktivieren wir die SED (SelfEncryptingDevice) Funktion der Samsung SSD? Die Samsung Tools für die Consumer Reihe aber auch die Pro Reihe unterstützen die PM981 nicht bzw. habe ich kein passendes Tool gefunden. Bitlocker haben wir testweise für die Systempartition aktiviert. Er macht dies aber in Software bzw. im Prozessor und nicht wie gewünscht in der SSD selbst. Dies führt natürlich zu einer Verkürzung der Laufzeit und gegebenenfalls zu einer Reduzierung der Performance.

Ich würde mich über jeden hilfreichen Hinweis sehr freuen.

LG Big2Daddy

 

[SandManTR]

die NVME variante unterstützt kein Bitlocker Hardware encryption. Dazu hatten wir hier schon einen Thread vor kurzem.

https://thinkpad-forum.de/threads/2...ME-SSD-mit-Software-Bitlocker-Samsung-960-EVO


Laut Samsung wird ein neues Bios benötigt:
https://us.community.samsung.com/t5...ard-id/memoryandstorage/thread-id/188/page/11

 

[Fusel Wusel]

Man könnte es mit modifizierten Treibern testen: https://www.win-raid.com/t29f25-Recommended-AHCI-RAID-and-NVMe-Drivers.html

Oder mal bei Dell schauen. Deren Data Protection Tools unterstützen SED bei der PM981 wohl. Vlt bekommt man da irgendwie einen Treiber raus.

 

[Quichote]

Muss es die Bitlocker-Verschlüsseling sein?
Zumindest bei früheren Evo-SSDs wurde die festplattenseitige AES-Verschlüsselung (auch wenn das durchaus kontrovers diskutiert wurde) meiner Erinnerung nach durch Aktivieren des FP-Paßwortes im Bios aktiviert. Möglicherweise ist das im UEFI und mit der Platte genauso?

Gruß

Quichote

 

[Big2Daddy]

@Fusel: Das Dell die PM981 mit SelfEncryption unterstützt hatte ich auch gelesen und hatte deshalb von Seiten Lenovo auf Unterstützung gehofft. Auch bei Samsung stand es werde unterstützt. Aber bei Samsung gebe ich auf die Datenblätter offen gestanden nicht mehr viel.... Eventuell kommt ja noch was.
@SandMaTr: Die 960 meine ich nicht. Es handelt sich um eine OEM PM981. Die genaue Modellnummer habe ich oben aufgeführt.
[EDIT]
Im Datenblatt habe ich noch etwas gefunden. Es gibt wohl Varianten mit SED und ohne SED. Die Stelle 17 und 18 der Partnummer identifiziert dies. Seite 5 oder Kapitel 1.3
https://gzhls.at/blob/ldb/4/b/7/f/63615517d004b8ee7452f4f76469c7129df9.pdf
[/EDIT]
Vielen Dank erst einmal. Ich denke ich werde einfach zu einem späteren Zeitpunkt schauen ob sich diesbezüglich etwas ergibt.
gn8

 

[Fusel Wusel]

Ich behalte das Thema für meine PM981 in meinem T480s auch mal im Auge.

 

[SandManTR]

das Grundproblem der NVME SSDs ist das gleiche, egal ob PM981 oder EVO 960.

 

[Big2Daddy]

das Grundproblem der NVME SSDs ist das gleiche, egal ob PM981 oder EVO 960.

Das ist wohl Tatsache eine hoffnungslose Sache. Warten wir mal auf Microsoft. Hier eine Aussage eines Moderators aus dem Samsung Forum vom 16.08.2017:

Hello userJ3GddBfYDO and BaronKrause,Unfortunately there are no current plans for adding E-drive support to the 960 drives. The IEEE 1667 Standard for E-drive does not support NVME, so until Microsoft addresses this, Samsung cannot go about preparing E-drive for our NVME drives.
E-drive was not announced for the 960 drives. Some reviewers misreported that.
"Samsung spoke repeatedly of 'future firmware upgrades' for EDrive IEEE 1667" That was only for the 950 Pro and due to the above reason, the message was changed to "The plan to provide a firmware update to enable TCG/OPAL and IEEE1667 has been put on hold".

Quelle: https://us.community.samsung.com/t5...ION-OF-960-PRO/m-p/152320/highlight/true#M639

[EDIT]
Samsung trägt halt selbst zur Verwirrung bei. Laut dem folgenden Datenblatt kann z.B. die 960 Pro TCG Opal + Encrypted Drive nach IEEE 1667. Damit müsste Bitlocker Hardware-Verschlüsselung eigentlich möglich sein.

Advanced data encryptionThe 960 PRO provides the same dataencryption features as other Samsung SATASSDs. Self-Encrypting Drive (SED) securitytechnology will help keep data safe at alltimes. It includes an AES 256-bit hardwarebasedencryption engine to ensure that yourpersonal files remain secure. Beinghardware-based, the encryption enginesecures your data without performancedegradation that you may experience with asoftware-based encryption. Also, the960PRO is compliant with advanced securitymanagement solutions (TCG Opal andEncrypted Drive - IEEE1667).

Quelle: https://s3.ap-northeast-2.amazonaws...ic/Samsung_SSD_960_PRO_Data_Sheet_Rev_1_2.pdf
[/EDIT]

 

[Fusel Wusel]

Die Kompatibilität zu Microsoft eDrive ist aber doch mit dem Opal 2.0 Standard gegeben. So lange man eine SED Version der SSD hat, sollte das also auf Hardwareebene funktionieren.
Leider glaube ich, bekommt man aktuell nur die non-SED Version zu kaufen... (SED: MZVLB1T0HALR-00007, non-SED: MZVLB1T0HALR-00000).

 

[cuco]

Nein, OPAL und eDrive sind nicht automatisch "das gleiche". Musste ich auch mal feststellen, dass eine Samsung-OEM-SSD in einem T550 daher nur OPAL und kein eDrive kann. Nach Austausch der Firmware dagegen schon. Siehe dazu diesen Beitrag über die Samsung PM851, wie sie von Lenovo verkauft wurde: https://thinkpad-forum.de/threads/188375-HowTo-eDrive-mit-Lenovo-branded-Samsung-PM851

Zu eDrive mit der 960 Evo & Pro: Offenbar wollte Samsung das per Firmware-Update nachrüsten. Leider haben sie dabei festgestellt, dass ein Firmware-Update alleine nicht reicht. Bzw. doch, eDrive geht inzwischen mit den 960ern, aber nicht, wenn die per eDrive verschlüsselte SSD gleichzeitig das Boot-Laufwerk ist (was wohl bei den meisten der Fall sein wird). Ist das eDrive-verschlüsselte Laufwerk gleichzeitig die Boot-SSD, fehlt Unterstützung im BIOS, die muss nachgerüstet werden. Außerdem ist das Firmware-Update wohl auch noch etwas buggy. Für die Pro-Variante gibt es eine neue Version ohne die Bugs, für die Evo nicht, da sind die Bugs wohl noch drin.
Threads dazu: https://www.computerbase.de/forum/showthread.php?t=1727573 und https://us.community.samsung.com/t5...oard-id/memoryandstorage/thread-id/188/page/1
Interessant ist insbesondere dieser Beitrag: https://us.community.samsung.com/t5...ON-OF-960-PRO/m-p/289909/highlight/true#M2147 und dieser hier https://us.community.samsung.com/t5...ON-OF-960-PRO/m-p/291742/highlight/true#M2164

Kurz: eDrive für die Boot-SSD mit der 960 Pro funktioniert, mit der 960 Evo eventuell (mit Bugs oder zukünftigem Firware-Update) auch, aber nur, wenn das BIOS mit entsprechenden Fixes/Features nachgerüstet wird. Nach aktuellem Stand gibt es aber wohl noch kaum (oder gar kein?) BIOS/UEFI mit eben dieser Funktionalität...

 

[Big2Daddy]

Nach meinem Verständnis: Es muss Opal 2.0 für die Verschlüsselung vorhanden sein + IEEE 1667 für den Schlüsselaustausch zwischen TPM und SED. Weiterhin muss UEFI only aktiv + CSM aus und KEIN Intel RST Treiber (oder einer >= 15.x da bin ich mir nicht sicher) + das SSD muss erstes Laufwerk sein. Laut T480s Anleitung muss nur ein Hardwarepasswort gesetzt werden. Aber dann muss nach meinem Verständnis im Anschluss noch das Windows neu installiert werden. Nur um es mal auszuprobieren schon ein wenig Aufwand...

Quelle unter anderem: https://docs.microsoft.com/en-us/windows/security/hardware-protection/encrypted-hard-drive

Auch interessant in dem Zusammenhang: https://www.winmagic.com/de/drive-compatibility?manufacturer=Samsung Hier wird die SAMSUNG MZVLB1T0HALR-000L7 nicht als IEEE-1667 kompatibel ausgewiesen.

[EDIT]
Das Lenovo Drive Erase Utility von 2015 funktioniert übrigens auch mit der PM981, obwohl diese nicht als unterstützt aufgeführt wird. Hierfür habe ich mit Rufus ein DR-Dos USB Bootmedium erstellt, das Erase Tool aus dem Zip auf den formatierten USB Datenträger kopiert, den CSM Mode aktiviert, die SSD mit Option 2 gelöscht, das CSM wieder deaktiviert und UEFI only aktiviert, Windows clean installiert. Dies hat jedoch in Bezug auf die Hardware Encryption der SSD keinen Erfolg gebracht.[/EDIT]

 

[cuco]

Ergänzung: Ich habe inzwischen ein T480s mit einer Samsung 970 Pro (1TB, wobei die Größe irrelevant sein dürfte für eDrive). Was soll ich sagen? Es war einfacher als gedacht. BIOS und Firmware der SSD waren bei Auslieferung schon auf dem derzeit aktuellen Stand.

Kurz: eDrive funktioniert!

Lang:
Im BIOS habe ich grundsätzlich die OS-optimized-Defaults geladen (ist standardmäßig nicht der Fall!), durchaus dann aber noch Kleinigkeiten verändert. Im Detail kann ich es jetzt nicht sagen, aber auf jeden Fall muss UEFI angeschaltet und CSM ausgeschaltet, sowie das TPM aktiviert sein.
Ich habe dann Windows 10 Pro 1803 installiert und geupdatet, den Magician installiert, im Magician eDrive aktiviert, mit dem Magician einen SecureErase-Stick erstellt, UEFI im BIOS deaktiviert bzw. CSM aktiviert, vom SecureErase-Stick gebootet, SecureErase ausführen lassen (es gibt dabei offenbar auch keine "frozen Security" mehr, wo man dann im laufenden Betrieb die SSD aus- und wieder einbauen muss wie "früher" bei den SATA-SSDs), CSM wieder deaktiviert bzw. auf UEFI umgestellt, Windows wieder installiert (beim Anlegen der Partitionen keine manuell angelegt und einfach den leeren Bereich angeklickt und auf Weiter geklickt), fertig. Dauerte alles zusammen nur ein paar Minuten, Laptop und SSD sind ja schnell Zunächst noch der Schock, der Magician behauptete, nicht mit der SSD kompatibel zu sein. Aber es half, einfach die Windows-Updates einzuspielen, dann findet der Magician auch die SSD wieder und zeigt, dass eDrive aktiv ist.
Danach ließ sich BitLocker einwandfrei aktivieren und nutzt die Hardwareverschlüsselung. Per gpedit.msc muss man dann natürlich noch unter "Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerksverschlüsselung | Betriebssystemlaufwerke" den Punkt "Zusätzliche Authentifizierung beim Start anfordern" auf "Aktiviert" setzen, außerdem kann man noch "Erweiterte PINs für Systemstart zulassen" aktivieren. Nun kann man für BitLocker auch ein Passwort festlegen.

Ergebnis:

C:\Windows\system32>manage-bde -status
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Datenträgervolumes, die mit BitLocker-Laufwerkverschlüsselung
geschützt werden können:
Volume "C:" []
[Betriebssystemvolume]

    Größe:                        905,58 GB
    BitLocker-Version:            2.0
    Konvertierungsstatus:         Vollständig verschlüsselt
    Verschlüsselt (Prozent):      100,0 %
    Verschlüsselungsmethode:    Hardwareverschlüsselung - 1.3.111.2.1619.0.1.2
    Schutzstatus:                 Der Schutz ist aktiviert.
    Sperrungsstatus:              Entsperrt
    ID-Feld:                      Unbekannt
    Schlüsselschutzvorrichtungen:
        Numerisches Kennwort
        TPM und PIN

 

[harpo]

Auch wenn es hier eigentlich um die Bitlocker-Verschlüsselung geht, möchte ich einen vorangegangen Post dennoch nicht unkommentiert lassen:

Muss es die Bitlocker-Verschlüsseling sein?
Zumindest bei früheren Evo-SSDs wurde die festplattenseitige AES-Verschlüsselung (auch wenn das durchaus kontrovers diskutiert wurde) meiner Erinnerung nach durch Aktivieren des FP-Paßwortes im Bios aktiviert. Möglicherweise ist das im UEFI und mit der Platte genauso?

Jein. Zumindest bei der 850 Evo ist die hardwareseitige AES-Verschlüsselung bereits ab Werk aktiv. D.h., die Daten sind von vornherein damit verschlüsselt. Nur der Schlüssel ist nicht mit einem Passwort gesichert. Dies geschieht dann mit der Vergabe des HD-Passwortes im BIOS bzw. UEFI. Dann zeigt Magician auch an, dass die Verschlüsselung aktiv ist. Aber korrekterweise war sie auch vorher schon "aktiv", nur halt nicht passwortgeschützt, so dass jeder an die Daten ran kam.

 

[SandManTR]

mit der 970 Evo (500 GB) funktioniert es auch. Mit der 960 Evo nicht.

 

[Big2Daddy]

Heute Firmware Update für die PM981 SSD des T480s installiert. Allerdings noch keine Infos über die Änderungen gefunden...

 

[mcb]

Den Bericht kennt ihr?

"35c3-9671-eng-deu-Self-encrypting_deception_hd"

Samsung rät zur software-Verschlüsselung!

 

[cuco]

Es kommt halt immer drauf an, wogegen man sich schützen will. Wenn ein Angriff nötig ist, der das Zerlegen der SSD und das Flashen einer selbst modifizierten/gehackten Firmware für den SSD-Controller erfordert, dann ist der Schutz schon für viele Fälle ausreichend. Nicht vor Geheimdiensten, aber beim Rest ist man schon ganz gut geschützt.

Mich würde mal interessieren, ob neuere Geräte von Samsung diese Lücke überhaupt noch so haben. Getestet wurde ja eine 840 Evo und eine 850 Evo hat ähnliche Lücken. Ob die 860/870/960/970 und ob die Pro-Modelle auch so betroffen sind? Durchaus möglich. Durchaus auch möglich, dass nicht.

Für meine Anwendungen ist der Schutz aber so ok.

 

[mcb]

Ich sehe das andersrum wenn Samsung selbst davon abrät und mich die Softwareverschlüsselung nichs kostet außer ein wenig Rechenleistung ...

 

[cuco]

Naja, Samsung rät davon ab, sofern einen die Möglichkeit dieser Low-Level-Hardware-Attacke stört. Es wird nicht grundsätzlich von der Funktion der SED abgeraten. Und sie äußern sich auch nicht explizit zu den Modellen. Da kann man jetzt rein interpretieren, dass alle SSDs betroffen sind. Aber es ist auch nur eine Interpretation. Es kann genauso gut einfach das heißen, was sie gesagt haben: Nämlich gar nichts für neuere SSDs.

Grundsätzlich ist ja auch nicht der Standard an sich geknackt. Wenn er mal vernünftig in den Geräten implementiert werden würde (in einer "vernünftigen" Firmware), wäre er auch deutlich sicherer.

Ist halt immer die eigene Entscheidung. Möchte man mehr Sicherheit und opfert dafür etwas Rechenleistung und Akkulaufzeit? Dann Softwareverschlüsselung, aber am besten OpenSource bzw. überprüfbar (das wäre dann nicht BitLocker, sondern eher VeraCrypt, oder z.B. LUKS/dmcrypt auf Linux). Ist etwas weniger Sicherheit auch ok? Dann reicht auch eDrive/SED. Reicht ein Basisschutz? Dann reicht auch schon die Sicherheit eines HDD-Passworts im BIOS auch bei nicht selbstverschlüsselnden HDDs/SSDs.

Ich hatte auf einem W520 mal Benchmarks gemacht und hatte dabei etwa 90% weniger in Scores beim SSD-Benchmark bei gemischten Zugriffen. Trotz AES-NI. Genutzt wurde TrueCrypt. Wie viel das bei der Akkulaufzeit ausgemacht hat, habe ich nicht getestet, aber es wird wohl auch mindestens messbar, evtl. auch merkbar sein. Das war/ist es mir nicht Wert, und für den Zugriff auf meine Daten bei einfachem/typischem Diebstahl und Co. reicht der Schutz von eDrive bzw. SEDs.