T480/s T480 edrive (Bitlocker HW Verschlüsselung)

coolfranz

Member
Registriert
27 Dez. 2012
Beiträge
40
Hallo,

ich habe ein T480 mit einer Samsung 970 evo Plus und versuche edrive (Bitlocker Hardware Verschlüsselung) zu aktivieren. Leider ohne Erfolg, obwohl ich schon diverse Anleitungen/ befolgt habe.

Die NVMe ist die Startplatte.

An einigen Stellen habe ich auch schon gelesen, das einige Geräte die edrive Verschlüsselung bei NVMe Systemplatten einfach nicht unterstützen. Kann das wer für das T480 bestätigen/ widerlegen?

Was mich zudem noch etwas wundert ist, ist dass es beim Vorgänger (T460s mit M.2 Sata SSD) problemlos funktioniert hat.

MfG
 
Freue dich und benutze Softwareverschlüsselung.
 
Mache ich aktuell... aber inzwischen hat mich auch etwas der Ehrgeiz gepackt ;-)

Auch habe ich schon von positiven Ergebnissen beim X1C6 ubd T480s gelesen... daher liegt die Vermutung nahe, dass es beim T480 eigentlich auch gehen müsste.
 
Danke, ich kenn die Problematik schön wär trotzdem zu wissen ob oder ob etwas nicht geht. Und rumbasteln / was ausprobieren ist nicht zwingend Arbeit ;-)
 
Danke, ich kenn die Problematik schön wär trotzdem zu wissen ob oder ob etwas nicht geht. Und rumbasteln / was ausprobieren ist nicht zwingend Arbeit ;-)
Erfahrung mit eDrive auf einem T480 habe ich leider nicht, dafür kann ich Dir einiges zu eDrive auf einem X1C 6th erzählen. Gleich vorneweg: Ich teile die Einschätzung vom mcb und kann von der Verwendung von eDrive - insbesondere in Verbindung mit Samsung-SSDs - nur abraten. Aber dazu später mehr.

Ich hatte eDrive erfolgreich auf einer Samsung 970 Evo (1TB) in einem ThinkPad X1 Carbon 6th (20KH) eingerichtet. Die Samsung war das Systemlaufwerk für Windows 10 Enterprise 1809.
Die Einrichtung an sich erfordert ziemlich viel Handarbeit, ist zeitaufwendig, aber machbar:

  • Prüfen, ob das BIOS der SSD sowie des ThinkPads aktuell ist und ggf. updaten
  • In den BIOS-Einstellungen des ThinkPads alle Festplatten-Kennwörter deaktivieren, sofern welche gesetzt sind
  • In den BIOS-Einstellungen des ThinkPads CSM deaktivieren und "UEFI only" auswählen
  • Unter einem bereits installierten Windows 10 den aktuellen Samsung NVMe-Treiber installieren
  • Unter einem bereits inistallierten Windows 10 den Samsung Magician installieren
  • Im Samsung Magician unter "Data Security" die Funktion "Encrypted Drive" aktivieren
  • Ein Secure Erase der SSD durchführen, z. B. hiermit: https://support.lenovo.com/de/de/downloads/ds019026
  • Auf der nun blanken SSD Windows 10 neu installieren
  • Unter dem neu installierten Windows in den Gruppenrichtlinien unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerksverschlüsselung\Betriebssystemlaufwerke die "Verwendung der hardwarebasierten Verschlüsselung für Betriebssysteme konfigurieren", indem man den Status auf "Aktiviert" setzt
  • Bitlocker regulär aktivieren
  • Mit manage-bde -status prüfen, ob die Hardwareverschlüsselung ordnungsgemäß aktiviert wurde


Soweit, so gut. Unabhängig davon, ob eDrive technisch auch auf Deinem T480 funktioniert, gibt es zwei Gründe, weshalb ich an Deiner Stelle davon absehen würde, eDrive zu nutzen.


1. Sicherheit
In den Unterschungen niederländischer Sicherheitsforscher kam heraus, dass die Hardwareverschlüsselung zahlreicher SSDs unsachgemäß implementiert wurde, sodass sich die Versschlüsselung - mit etwas technischem Aufwand - umgehen lässt, vgl. https://www.ru.nl/publish/pages/909282/draft-paper.pdf und https://www.ru.nl/english/news-agen...oud-university-researchers-discover-security/. Samsung hat sich in dieser Angelegenheit nicht sehr rühmlich hervorgetan, insbesondere was die Kommunikation zu diesen Sicherheitslücken und eine mögliche Behebung anbelangt, siehe z.B. hier: https://eu.community.samsung.com/t5...elbstverschlüsselnden-Samsung-SSDs/m-p/744554
Ich kenne den Schutzbedarf Deiner Daten nicht, aber wenn Du schon Zeit und Engagement für die Datenverschlüsselung aufwendest, sollte hinterher auch alles "sicher" sein. Und das ist es bei Verwendung von eDrive auf Samsung-SSDs offensichtlich nicht. Das haben sowohl Microsoft als auch Samsung erkannt und empfehlen daher die Nutzung einer softwarebasierten Verschlüsselung, vgl. https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180028 und https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/

2. Aufwand und Praktikabilität

Wie Du selbst schon festgestellt hast, ist es nicht gerade einfach, eine lauffähige eDrive-Konfiguration zu bekommen. Insbesondere bei der Verwendung von Samsung-SSDs ist der Einrichtungsaufwand deutlich höher im Vergleich zu einer "normalen" Installation, bei der man eine softwarebasierte Verschlüsselung jederzeit mit ein paar Mausklicks durchführen kann. Richtig übel wird es allerdings, wenn Du - aus welchen Gründen auch immer - Deine Samsung-SSD vom eDrive-Modus "befreien" möchtest (Stichwort: PSID-Revert), um beispielsweise wieder ein klassisches Festplatten-Kenntwort im BIOS setzen zu können. Das ist mit normalen Mitteln nämlich gar nicht möglich und von Samsung, geschweige denn Microsoft, wirst Du hierfür keinen qualifizierten Support bekommen, vgl. z. B. https://www.heise.de/forum/c-t/Komm...Drive-Kein-Weg-zurueck/posting-33768838/show/

Ich musste selbst die leidvolle Erfahrung machen, dass Du mit eDrive (vor allem in Verbindung mit einer Samsung-SSD!) nur Stress hast und keinerlei Benefits. Der einzige merkliche Geschwindigkeitsvorteil besteht nur bei der erstmaligen Verschlüsselung (d.h. genau EINMAL!), da diese bei eDrive in einer Sekunde erledigt ist, wohingegen Du bei einer software-basierten Bitlocker-Verschlüsselung auf einer schnellen NVMe-SSD vielleicht 10 Minuten warten musst. Ist die Verschlüsselung einmal aktiv, wirst Du bei einem halbwegs aktuellen Laptop mit AES-NI (wie beispeilsweise Dein T480) im Arbeitsalltag keinen Geschwindigkeitsunterschied zwischen Hardware- und Softwareverschlüsselung spüren.

Lange Rede, kurzer Sinn: Wenn Du unbedingt Bock drauf hast, weiter rumzufrickeln, nur zu! Mein ernst gemeinter Rat an Dich ist allerdings: Lass es und nutz Deine kostbare Zeit für etwas Sinnvolles!
 
Zuletzt bearbeitet:
ich nutze die Samsung Evo 970 mit 500 GB in einem X1C 5th mit eDrive und das funktioniert ohne Probleme.

1. SSD mit Parted Magic löschen, das Tool dafür ist in Parted Magic enthalten. Auch das "frozen state" Problem wird beim secure erase per Klick gelöst.
2. Win 10 Pro neu installieren, alle Treiber installieren und dann Bitlocker aktivieren. Wenn Bitlocker fragt ob die ganze SSD verschlüsselt werden soll, ist etwas schief gelaufen...

Es funktioniert meiner Erfahrung nach nicht immer im ersten Anlauf. Ich hatte auch schon Laptops bei denen ich 2 oder 3 Mal den secure erase machen musste bis es klappte.

Wie beastiesoft schon sagt, es gibt mittlerweile Sicherheitsbedenken. Deswegen und weil es aufwendig ist, verzichte ich mittlerweile auf eDrive und nutze die Softwareverschlüsselung.

Zu dem Sicherheitsaspekt muss man aber auch noch sagen das es darauf ankommt, welche Szenarien man erwartet. Bei einem random Diebstahl wird wohl keiner die Daten knacken.
Bei einem gezielten Diebstahl, bsp. Politiker in höheren Ämtern, Vorstand, Entwicklungsabteilungen von großen Konzernen ect. könnte das wiederum anders aussehen.
 
Vielen Dank für eure Antworten!
Dank der Antwort von beastiesoft habe ich es nun zum Laufen gebracht. Ganz einfach, ohne Neuinstallation etc. ich hatte vor einiger Zeit schon mal versucht das Ganze ans Laufen zu bekommen und habe auch alle Punkte wie oben beschrieben durchgeführt (mehrmals). Nur den Punkt mit der Gruppenrichtlinie habe ich nicht gemacht. Nun schnell ausprobiert, die Gruppenrichtlinie entsprechend angepasst und sofort hat eine Verschlüsselung per edrive geklappt.

Hier wäre meine Erklärung nun, dass Microsoft wohl bei der 1903 etwas am Verhalten geändert hat. Beim Vorgänger (T460s mit 1809) hat sich die Bitlocker Verschlüsselung automatisch aktiviert nachdem ich mich mit einem Microsoft Konto eingeloggt habe. Irgendwie bin ich davon ausgegangen, dass dies eigentlich beim T480 (jetzt halt mit 1903) genau so sein sollte. Wars aber nicht.

Abschließend kann ich sagen, dass es sich für mich jetzt schon gelohnt hat. Ich hatte vor einigen Wochen mal ein paar mal Windows neu installiert (dank der Geschwindigkeit vom T480 und der SSD auch nur ein paar Stunden ;-) ) um dann vergeblich edrive zum Laufen zu bekommen. Mit der Hervorragenden Beschreibung von
beastiesoft konnte ich dieses "Projekt" nun aber abschließen und habe damit ein etwas befriedigenderes Ergebnis bekommen. In dem ganzen Zug habe ich auch einiges über NVMe SSD's und deren Verschlüsselungsmethoden gelernt, somit ist die Zeit und der Aufwand auch nicht komplett verloren. Zudem steht jetzt am Ende auch die Erkenntnis, dass die edrive Hardwareverschlüsselung auch mit dem T480 funktioniert.

Im weiteren Produktiveinsatz werde ich aber auch auf die Software Variante setzen (immerhin habe ich die Möglichkeit einfach auf HW Verschlüsselung umzustellen falls es mal ein Update geben sollte - was aber wohl unwahrscheinlich ist)

Zu guter letzt noch ein kurzer Benchmark Vergleich der Verschlüsselungsmethoden beim T480 mit der 970 evo Plus (bei ruhendem Windows Desktop):

ohne Verschlüsselung:
unencrypted.jpg

edrive HW Verschlüsselung:
edrive_encrypted.jpg

Software Verschlüsselung:
software_encrypted.jpg
 
Danke für den Vergleich! Von der Geschwindigkeit ja doch messbar, in der Praxis wohl völlig egal.
 
Vielen Dank für eure Antworten!
Dank der Antwort von beastiesoft habe ich es nun zum Laufen gebracht.

Freut mich, dass es jetzt läuft :thumbup:! Wenn Du ganz auf "Nummer sicher" gehen willst, kannst Du im BIOS ein Festplatten-Kennwort aktivieren (Class-0-Security) und zusätzlich Bitlocker als Software-Verschlüsselung nutzen. Somit müsste ein potenzieller Angreifer zwei Hürden überwinden...

- - - Beitrag zusammengeführt - - -

Danke für den Vergleich! Von der Geschwindigkeit ja doch messbar, in der Praxis wohl völlig egal.

Auch von meiner Seite aus vielen Dank an coolfranz für die Messung. Ich würde die Werte jetzt allerdings nicht überbewerten. Abgesehen davon, dass gemäß der Messung einzelne Schreibraten bei Softwareverschlüsselung sogar höher sein sollen als bei Hardwareverschlüsselung, werden die gemessenen Differenzen im Alltagsbetrieb nicht spürbar sein.
 
An einigen Stellen habe ich auch schon gelesen, das einige Geräte die edrive Verschlüsselung bei NVMe Systemplatten einfach nicht unterstützen. Kann das wer für das T480 bestätigen/ widerlegen?
Ja, mit der 960er-Serie gab es tatsächlich Probleme: Mit der Pro geht es erst nach einem Update, mit der Evo nicht, wenn sie das Startmedium ist. Siehe dazu auch mein Beitrag hier: https://thinkpad-forum.de/threads/2...schlüsselung?p=2145704&viewfull=1#post2145704 bzw. insbesondere die dort verlinkten Threads und Beiträge.

Da es bei der 970er-Serie "damals" wenig Infos dazu gab, habe ich daher auch die Pro-Variante genommen und nicht die Evo. Mit der 970 Pro im T480s funktioniert es seitdem einwandfrei. Wie ich es zum Laufen bekommen habe, steht hier: https://thinkpad-forum.de/threads/2...schlüsselung?p=2149951&viewfull=1#post2149951

Laut deinem Test geht es mit der 970 Evo nun aber ja auch :) Darüber gab es zu meinem Kaufzeitpunkt halt zu wenig Infos und nach den Berichten über eDrive mit der 960 Evo war ich bei der 970 Evo vorsichtig.

Was mich zudem noch etwas wundert ist, ist dass es beim Vorgänger (T460s mit M.2 Sata SSD) problemlos funktioniert hat.
Ja, offenbar war das ganze intern mit SATA einfacher als mit NVMe, zumindest sind mir von damals keine solchen kuriosen Probleme wie eDrive geht nur mit nicht-Systemplatten und/oder nach BIOS-Update bekannt.

Ja, eDrive zu knacken ist möglich. Aber mit einem erheblichen Aufwand verbunden. Die SSD muss ausgebaut werden, die Firmware des Controllers muss ausgelesen oder aus anderen Quellen besorgt werden, dann muss die Firmware manuell analysiert werden, um die Schwachstellen zu identifizieren und zu modifizieren und dann muss die modifizierte Firmware wieder auf den SSD-Controller geflasht werden und dann kann man mit einer Kombination aus Software auf dem PC/Laptop und der modifizierten Firmware auf der SSD den Schutz umgehen. Dieser Hack ist zwar möglich, aber schon eine erhebliche Hürde. Siehe dazu auch meine Meinung hier: https://thinkpad-forum.de/threads/2...schlüsselung?p=2190371&viewfull=1#post2190371 und insbesondere hier: https://thinkpad-forum.de/threads/2...schlüsselung?p=2190387&viewfull=1#post2190387

eDrive ist außerdem nicht an sich geknackt - falls Samsung die Implementierung inzwischen geändert hat, kann das ganze durchaus sicher sein. Laut dem Beitrag hier: https://thinkpad-forum.de/threads/2...schlüsselung?p=2190489&viewfull=1#post2190489 wurde seit der 960er-Serie was verändert. Aber Quellen dafür gibt's leider nicht.

Ach ja, Class 0 Security (BIOS/HDD-Passwort) müsste sich übrigens, wenn ich die Sachen richtig verstehe, ähnlich leicht oder sogar noch leichter knacken lassen, wenn man die gleichen Tricks anwendet.

Zu guter letzt noch ein kurzer Benchmark Vergleich der Verschlüsselungsmethoden beim T480 mit der 970 evo Plus (bei ruhendem Windows Desktop):

ohne Verschlüsselung:
Anhang anzeigen 149407

edrive HW Verschlüsselung:
Anhang anzeigen 149408

Software Verschlüsselung:
Anhang anzeigen 149409

Danke für diese Messwerte! Das ist wirklich interessant. Dass eDrive keinerlei Leistung frisst ist klar. Aber der Unterschied zwischen der Variante ohne Verschlüsselung bzw. mit eDrive und der Variante mit Softwareverschlüsselung ist ja doch deutlich geringer geworden, als es mal war.
Viele Leute denken immer: Ach, AES_NI schafft mehrere GB/s zu ver-/entschlüsseln, da kann man doch von der Softwareverschlüsselung gar nichts merken. Was dabei vergessen wird: Wenn mehrere GB/s an Crypto in der CPU ablaufen, dann ist das dank AES-NI zwar schneller bzw. solche Größenordnungen sind überhaupt erst dank AES-NI möglich, aber trotzdem ist die CPU damit ausgelastet und hat diese Leistung entsprechend nicht für andere Dinge zur Verfügung. Außerdem muss jedes Datenpaket den "kompletten Pfad" durch die CPU ablaufen - Dinge wie DMA (Direct Memory Access) kann man dann vergessen.

Im W520 (mit i7 der Sandy-Bridge-Generation) lagen die sequentiellen Datenraten bei mir im Test zwar dank AES-NI weiterhin relativ hoch und gefühlt konnte man auch erst einmal kaum einen Unterschied merken, aber durch die höheren Latenzen und damit geringeren Geschwindigkeiten bei vielen kleinen Zugriffen lag der Score von AS SSD am Ende ca. 70% niedriger als ohne Verschlüsselung (und die Werte ohne Verschlüsselung sind prinzipbedingt gleich wie bei eDrive). Verwendet wurde übrigens TrueCrypt.

70% Einbuße bei der SSD-Leistung und ein erhöhter Stromverbrauch (den ich aber nicht quantifiziert darlegen kann) waren für mich genügend Argumente, eDrive statt Software-Lösungen einzusetzen. Siehe dazu auch mein Beitrag hier: https://thinkpad-forum.de/threads/2...schlüsselung?p=2113650&viewfull=1#post2113650 und besonders auch die dort verlinkten Beiträge/Threads/Messungen. Ich habe damals gedacht, ich hätte einen Fehler gemacht bei den Ergebnissen. Wie sich bei weiteren Recherchen dann zeigte, waren das aber durchaus normale Werte für eine softwarebasierte Vollverschlüsselung mit TrueCrypt. Bei BitLocker sahen die Werte damals leicht anders aus, aber nicht unbedingt besser, nur anders.

Von daher interessant, dass es jetzt nur noch knapp unter 10 bis an die 30% Einbuße sind, je nach Messwert, bei einigen Messerten wie z.B. den sequentiellen Datenraten gibt es gar keinen Unterschied mehr. Das hat sich dann offenbar inzwischen verbessert. Für die Vergleichbarkeit mit meiner Messung vor etwa 7 Jahren wären die Messungen mit AS SSD interessant :) Wenn du Langeweile hast, kannst du die ja vielleicht auch mal ausführen :)
 
Zuletzt bearbeitet:
Freut mich, dass es jetzt läuft :thumbup:! Wenn Du ganz auf "Nummer sicher" gehen willst, kannst Du im BIOS ein Festplatten-Kennwort aktivieren (Class-0-Security) und zusätzlich Bitlocker als Software-Verschlüsselung nutzen. Somit müsste ein potenzieller Angreifer zwei Hürden überwinden...

Geht jetzt nicht mehr, da die SSD ja jetzt im edrive Modus ist. Hier müsste ich ja jetzt einen PSID revert durchführen und neu installieren.

Zur Info:
Bei meinen Tests musste ich diesen auch mal durchführen und das hatte augenscheinlich mit dem Tool: https://github.com/Drive-Trust-Alliance/sedutil/wiki/PSID-Revert funktioniert (Linux Live Image verwenden, welches dieses an Bord hat / nachinstallieren). Dabei war es ganz praktisch, dass ich die SSD fotografiert habe bevor ich diese ins T480 eingebaut habe. Hat mich davor bewahrt nochmal alles zu zerlegen, was beim T480 ja doch nicht so einfach ist mit den ganzen Plastikhaken und dann noch dem 2.5" M.2 Adapter...

@cuco

Vielen Dank für die ganzen weiterführenden Links!

Ich habe auch noch schnell Benchmarks mit AS-SSD gemacht.

ohne Verschlüsselung:
as-ssd_unencrypted.jpg

edrive HW Verschlüsselung:
as-ssd_edrive_encrypted.jpg

Software Verschlüsselung:
as-ssd_software_encrypted.jpg
 
@cuco

Vielen Dank für die ganzen weiterführenden Links!

Ich habe auch noch schnell Benchmarks mit AS-SSD gemacht.

ohne Verschlüsselung:
Anhang anzeigen 149436

edrive HW Verschlüsselung:
Anhang anzeigen 149437

Software Verschlüsselung:
Anhang anzeigen 149438

Danke! Sehr interessant, da vergleichbar mit meinen 7 Jahre alten Messungen. Das heißt, dass die Leistung der SSD bei Software-Verschlüsselung bei heutiger Hardware nur noch um ~16% einbricht, nicht mehr um 70%. Durchaus beruhigend bzw. positiv anzusehen! Auf der anderen Seite sind auch 16% noch ein Argument, eDrive nicht pauschal auszuschließen. Von ggf. erhöhtem Stromverbrauch ganz abgesehen.
 
Jupp... Schade... Die Idee dahinter ist ja eigentlich super, der Standard ist erstmal nicht per se unsicher, die Benchmarks sind auch top - anstatt die Hersteller dazu zu bringen, den Standard mal vernünftig umzusetzen, wird nun die Software-"Krücke" benutzt. Ja, die Krücke ist besser geworden, aber es gäbe ja eine technisch bessere Lösung: eDrive.

Das nächste Ding ist, dass der Software-Key der Verschlüsselung standardmäßig im Microsoft-Account gebackupt wird. Das muss man explizit abwählen, wenn ich mich richtig erinnere. Ist das sicherer, dass MS dann die meisten Zweitschlüssel besitzt?
 
Ohne Microsoft Account wird da erstmal gar nichts in die Cloud geladen. Das Cloud-Backup bewahrt die Leute davor sich selbst auszusperren :facepalm: ...

^^ wenn man Microsoft soweit nicht traut sollte man Veracrypt verwenden !
 
Ohne Microsoft Account wird da erstmal gar nichts in die Cloud geladen.
Stimmt.

Das Cloud-Backup bewahrt die Leute davor sich selbst auszusperren :facepalm: ...
Ich wüsste eine noch bessere Methode, sich davor zu bewahren, sich selbst auszusperren: Gar nicht verschlüsseln. Ich finde die Variante, einen Zweitschlüssel bei MS abzulegen, als Standardeinstellung nicht gerade gut. Oder anders gesagt: Ich mache demnächst einen Schlüssel-Service in unserer Stadt auf. Von jedem, der bei mir ein Schloss kauft, bewahre ich den Zweitschlüssel auf. Richtig gut, man kann sich nicht mehr aus der Wohnung aussperren, einfach zu mir kommen, ich hab' alle Schlüssel für alle Wohnungen im Umkreis da. Praktisch :) Unglücklich wird es nur, wenn mal jemand bei mir einbricht, dann sind vielleicht alle Schlüssel auf mal weg. Und unglücklich wird es auch, wenn mich jemand (z.B. eine öffentliche Behörde) dazu zwingt, die Schlüssel auszuhändigen. Vor allem, falls ich (wie MS) unter dem Recht eines ganz anderen Staates stehe.

^^ wenn man Microsoft soweit nicht traut sollte man Veracrypt verwenden !
Das stimmt.
 
Ich würde auch im Karree springen wenn meine KryptoKeys in der Cloud liegen.

Aber unbeabsichtiges Aussperren, besonders bei unbedarften Anwendern ist leider auch nicht so selten.

Gruß
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben