derwowusste
Goto Top

Erschreckende Erfahrungen mit Samsungs Self Encrypting Drive und Bitlocker

Ich habe hier Haarsträubendes erlebt mit einer Samsung SSD 850 EVO (neueste Firmware).
Windows 10 Enterprise x64, Hardwareverschlüsselung der Platte mit dem aktuellen Samsung Magician aktiviert, Bitlocker Hardwareverschlüsselung samt TPM und PIN angeworfen (-tp -fet hardware), vollverschlüsselt, alles super, Performance astrein.

Das lief so zwei Wochen sehr schön. Dann entschied ich, von einer PIN auf eine enhanced PIN zu gehen, nur um es einmal ausgetestet zu haben. GPO für enhanced PINs gesetzt, versucht, die PIN zu ändern: Aussage kommt, dass hier nur Zahlen akzeptiert werden. Aha, also kann man nur von vornherein eine enhanced PIN nehmen... gut, Platte komplett entschlüsselt, neu verschlüsselt und dann ging auch die enhanced PIN. Neugestartet zum Test...und dann kam's:

Beim Neustart wird die enhanced PIN zwar angenommen, jedoch startet der Rechner danach sofort neu, anstatt zu booten. Das weckte mein Interesse, ich startete also mal WinPE (Windows 10 Setup) um nach dem Rechten zu sehen. WinPE hat natürlich auch eine Kommandozeile und die teilte mir mit, das Laufwerk wäre zwar verschlüsselt, aber "unlocked" und siehe da, ich konnte ohne eine PIN einzugeben auf c: zugreifen - nicht aber auf d:

Entschlüsseln konnte ich an dieser Stelle nicht, nach
manage-bde -off c:
wird mir gesagt, das Laufwerk sei nicht einmal verschlüsselt!
Entschieden verwirrt startete ich dann manage-bde -status c: und da sagt er mir weiterhin, es ist verschlüsselt.

Es wird noch besser: ich schließe WINPE, starte neu und plötzlich funktioniert alles, der Rechner nimmt die enhanced PIN, fährt hoch, das Laufwerk ist verschlüsselt. Nach einem Neustart geht das Grauen jedoch von vorne los: PIN eingegeben, Rechner fährt nicht hoch sondern bootet sofort neu, usw. - nochmal WINPE an, dort genau wie vorher schon, nächster Neustart wieder alles OK.

!?

Alles Murks. Wer soll dem noch irgendwie vertrauen? Ich habe alles resettet, ein Backup zurückgespielt, die Hardwareverschlüsselung weggelassen und dann läuft es auch mit der enhanced PIN wieder sauber.

Hat jemand ähnlich Verwirrendes mit Hardwareverschlüsselung schon einmal erlebt?

Content-ID: 283659

Url: https://administrator.de/contentid/283659

Ausgedruckt am: 24.11.2024 um 03:11 Uhr

108012
108012 23.09.2015 um 12:40:10 Uhr
Goto Top
Hallo,

kann es sein dass dort einmal die Verschlüsselung der SSD und der von BitLocker zum tragen
kommt also zweimal verschlüsselt wird und sich das beides beißt!?

Gruß
Dobby
DerWoWusste
DerWoWusste 23.09.2015 aktualisiert um 23:57:51 Uhr
Goto Top
Moin.

Nee. Bitlocker ab Windows 8 unterstützt ja Hardwareverschlüsselung. Läuft also so: Du schaltest Bitlocker mit der Option "-fet hardware" (=Fulldisk Encryption Type: hardware) an, und Bitlocker nutzt dann die Fähigkeiten des Festplattencontrollers und nicht mehr die der CPU. Ist also so gedacht.
C.R.S.
C.R.S. 23.09.2015 aktualisiert um 23:07:39 Uhr
Goto Top
Zitat von @DerWoWusste:

...Platte komplett entschlüsselt, neu verschlüsselt...

Mit Bitlocker, nehme ich an? Die Reaktion ist insgesamt schon seltsam bzw. wohl fehlerbedingt, aber normal ist, dass Bitlocker bei einer neuen Verschlüsselung davon ausgeht, ein (hinsichtlich Schlüsselmaterial) neues Gerät zu verwalten, und andererseits das Umschlüsseln eines SED ein Rücksetzen erfordert. Du hast im Ergebnis eine PIN-Änderung durch die Hintertür erzwungen, obwohl sie regulär nicht akzeptiert wird (warum auch immer).

Wer soll dem noch irgendwie vertrauen?

Prinzipielle Diskussionen sind hier zwecklos, habe ich gelernt. Aber prinzipiell gehört zur Überprüfbarkeit von Verschlüsselung die Möglichkeit des Zugriffs auf den Schlüsseltext - logischerweise nicht ausschließlich durch das Gerät, das zu verschlüsseln vorgibt.

Grüße
Richard
DerWoWusste
DerWoWusste 23.09.2015 aktualisiert um 23:53:04 Uhr
Goto Top
Moin Richard.

MIt Bitlocker, ja, ich schrieb ja weiterhin von der enhanced PIN.
Ein paar Sachen muss ich Dich bitten, deutlicher zu schreiben:
das Umschlüsseln eines SED ein Rücksetzen erfordert
Wie? Seit Win8 sagt MS doch, dass BL die Hardwareverschlüsselung eingebunden hat und weist (zumindest soweit ich lesen konnte) auf keine Einschränkungen hierbei hin. Woher entnimmst Du, dass ein Umschlüsseln nur auf diesem Wege möglich ist? Das von Dir verlinkte Tool sehe ich immer nur in Gebrauch bei Leuten, die auf Werkseinstellungen zurück wollen, meist,um secure erase nutzen zu können, was sonst nicht gelingt.
Du hast im Ergebnis eine PIN-Änderung durch die Hintertür erzwungen, obwohl sie regulär nicht akzeptiert wird
Was meinst Du mit "regulär nicht akzeptiert"? Was wurde hier von wem nicht akzeptiert? Der Wechsel von PIN auf enhanced PIN klappt nie ohne Neuverschlüsselung, auch bei non-SED-Platten nicht, wie ich lesen konnte.
C.R.S.
C.R.S. 24.09.2015, aktualisiert am 26.09.2015 um 09:56:05 Uhr
Goto Top
Hallo DWW,
Zitat von @DerWoWusste:

Wie? Seit 8.1 sagt MS doch, dass BL die Hardwareverschlüsselung eingebunden hat und weist (zumindest soweit ich lesen konnte) auf keine Einschränkungen hierbei hin. Woher entnimmst Du, dass ein Umschlüsseln nur auf diesem Wege möglich ist? Das von Dir verlinkte Tool sehe ich immer nur in Gebrauch bei Leuten, die auf Werkseinstellungen zurück wollen, meist,um secure erase nutzen zu können, was sonst nicht gelingt.

Die SSD verschlüsselt zunächst mit einem bei der Herstellung (on Chip) erzeugten Schlüssel (MEK). Dieser wird nur bei Gebrauch des Revert-Tools erneuert (entsprechend der Opal SSC 2.0-Spezifikation, Punkt 5.2.2.2). Der MEK ist im Auslieferungszustand für die Firmware im Klartext lesbar bzw. mit einem Null-KEK verschlüsselt. Die Aktivierung der Verschlüsselung mit dem Samsung-Magician ist entsprechend der Spezifikation ein Wechsel des Zustands von Manufacured-Inactive zu Manufactured, erlaubt also die Annahme eines KEK z.B. durch Bitlocker, der den MEK dann sicher verschlüsselt.
Unter anderem weil der kryptografisch wirksame Schlüssel unter diesen Umständen nicht praktikabel zu verwalten ist, würde ich SED nicht im Unternehmen einsetzen. Zwar sind auch Softwarelösungen außerhalb des Geheimschutzbedarfs nicht auf Umschlüsseln auf Sektorebene ausgelegt, aber zumindest ein Ent- und Verschlüsseln mit dieser Wirkung kann ich ja immer anstoßen. Bei SED verpufft das, ohne Einsatz der Hersteller-Tools.

Was meinst Du mit "regulär nicht akzeptiert"? Was wurde hier von wem nicht akzeptiert? Der Wechsel von PIN auf enhanced PIN klappt nie ohne Neuverschlüsselung, auch bei non-SED-Platten nicht, wie ich lesen konnte.

Wir sprechen von der Richtlinie, nicht einer TPM-Option? Das hatte ich anders in Erinnerung. Konnte ich jetzt nicht ausprobieren, da nur ein Sytem mit erweiterter PIN zur Hand. Wenn ich dort die PIN reduziere und die Richtlinie deaktiviere, greift das leider nicht, d.h. die Rückänderung auf eine erweiterte PIN wird trotzdem gestattet. Kann an der Erstverschlüsselung mit erweiterter PIN liegen, vielleicht auch an der Konfiguration TPM+PIN+StartupKey, die schon Admin-Rechte für die PIN-Änderung erfordert. Wenn das TPM (von Anfang an) für erweiterte PINs konfiguriert ist, sehe ich allerdings keinen technischen Grund, warum die Richtlinienänderung eine Neuverschlüsselung nötig machen soll. Weder prüft Bitlocker die PIN-Qualität beim Boot, noch ist die PIN für Bitlocker unmittelbar Schlüsselmaterial. Die Richtlinie hat lediglich den Zweck, in der Konfiguration potenziell nicht unterstützte PINs "abzufangen" und unspezifische/plattformabhängige Fehler (oder Aussperrung) aus der Ablehnung durch das TPM zu vermeiden, falls dieses eben keine erweiterten PINs (im PBE) unterstützt.

Was ich oben mit "seltsam/fehlerbedingt" meinte: Natürlich sollte unabhängig von der Umschlüsselungs-Problematik die wechselnde Verwaltung/Nichtverwaltung ("Ver-/Entschlüsselung") durch Bitlocker an sich funktionieren. Hier geht aber doch SSD-Firmware die Änderung des KEK durch ein (für Bitlocker) erneutes Erst-Provisioning eindeutig nicht fehlerfrei mit. Ich finde naheliegend, dass das an dem dargestellten Unabhängigkeit ihrer Verschlüsselung von Bitlocker liegt. Daher sollte sie in den Zustand der Erstaktivierung ihrer Verschlüsselung versetzt sein, wenn sie von Bitlocker verwaltet wird. Sprich: Das Ver- und Entschlüsseln wird m.E. auch ohne Änderung der PIN-Qualität die gleichen Probleme machen. Hast du das schon mal ausprobiert?
Die Vermutung hat mehrere Hintergründe: Eine gewöhnliche PIN-Änderung, wie sie verweigert wurde (über den Grund mag ich mich irren), ändert selbst den KEK nicht, sondern der Bitlocker-Protector besteht aus einem mit TPM+PIN geschützten KEK. Der Austausch tritt nur bei Ver- und Entschlüsselung oder Erneuerung des Protektors durch Bitlocker auf, ist also möglicherweise keine vom Hersteller ausführlich getestete Angelegenheit (über Opal, bei ATA-Unlock mag das wieder anders sein). Dann muss bei der (erneuten) Verwaltungsübernahme durch Bitlocker der Bitlocker-Boot-Code in die Shadow-Disk geschrieben werden, den die SSD im Locked-Status präsentiert - allerdings vom entperrten bzw. (für Bitlocker) noch "unverschlüsselten" Zustand aus (=> unter Regie der Firmware). Die Firmware muss also auch diese Verwaltungsoperation in deinem Szenario fehlerfrei zulassen, obwohl der Bereich schon mal geschrieben wurde. Der Shadow-MBR ist natürlich auch von der TPM-Validierung umfasst, muss insofern "sitzen".

Grüße
Richard
DerWoWusste
DerWoWusste 25.09.2015 um 08:58:17 Uhr
Goto Top
Moin.

Das ist ja hart zu verdauen, was Du da schreibst. Müsste ich schon mehrfach lesen face-smile
Ich weiß schon, wie die SED arbeitet. Nur habe ich noch keine Hinweise darauf, dass man mit BL nicht "machen kann, was man will", dass sich also SEDs mit aktivierter Hardwareverschlüsselung dort anders verhalten als normale Platten. Wie gesagt, die MS Doku weist darauf auch nicht hin.

Ich würde jetzt mal in einem MS-Forum posten wollen oder gleich deren Support anhauen. Vorher würde ich noch schauen, ob es reproduzierbar ist. Die nächste Samsungplatte liegt schon bereit, mal sehen, wann ich Zeit finde. Ich werde das hier mitteilen.
DerWoWusste
DerWoWusste 29.09.2015 aktualisiert um 11:08:30 Uhr
Goto Top
Es ist zum Heulen face-wink
Ich wollte eben alles dokumentieren und an Microsoft /Samsung melden. Nehme also ein neues Mainboard (selber Typ), einen neuen TPM-Chip (selber Typ) drauf, installiere wieder Win10 auf dem selben SSD-Typ, selbe Firmware, mache alles genau gleich in der gleichen Reihenfolge...und natürlich funktioniert nun alles einwandfrei.
Ich kann ver- und entschlüsseln und PIN ändern von erweitert auf normal wie ich lustig bin, rebooten, alles geht.

Super... sehr vertrauenerweckend.
MarcusMM
MarcusMM 06.10.2015 um 21:21:46 Uhr
Goto Top
Habe auch eine Samsung EVO 850 mit SED erfolgreich im Einsatz (hat aber Mühe gekostet weil nach Win-10-Erstinstall nochmal Magician-SED-Enable nötig war, danach SecureErase samt stromlosmachen mit Spezialkabel (wg. FrozenState) und Win10-ReInstall).

Aber wieso muss man danach bei BL eine PIN angeben, man muss doch nur BL anwerfen und den generierten Key auf USB sichern oder ausdrucken (habe TPM)?

Gruss Marcus
DerWoWusste
DerWoWusste 06.10.2015 um 21:49:02 Uhr
Goto Top
Moin.
Nein, man muss das nicht so machen, aber das ist der bestmögliche Schutz.
geforce28
geforce28 08.10.2015 um 16:11:31 Uhr
Goto Top
Sagtmal, welche Boards nehmt ihr eigentlich so mit die Hardwareverschlüsselung zu nutzen ?
Mein Board (Asus Consumerboard) unterstützt das anscheinend nicht....

Welche Board gibts es für Sockel 1150, welche das können ?
DerWoWusste
DerWoWusste 08.10.2015 um 16:19:31 Uhr
Goto Top
Das ist eine Fähigkeit der Festplatte, nicht des Boards.
MarcusMM
MarcusMM 08.10.2015 aktualisiert um 16:22:15 Uhr
Goto Top
eDrive für SSD

Vor allem wohl:

If you want to boot from the encrypted SSD you also need a motherboard which supports UEFI version 2.3.1 and has the EFI_STORAGE_SECURITY_COMMAND_PROTOCOL defined

und *muss* als UEFI gebootet werden
geforce28
geforce28 08.10.2015 um 16:25:29 Uhr
Goto Top
Echt ?
Ich dachte ich muss im Bios ein HDD Passwort festlegen, was dann die Hardware Verschlüsselung aktiviert.
Habe eine SSD 850 Pro von Samsung, welche ja das Verschlüsseln beherrschen sollte.
Reicht es also einfach Bitlocker zu aktivieren und schon nutzt Bitlocker die Hardware-Verschlüsselung der SSD, bzw. SED ??

Mainboard nutze ich ein ASUS Z97-C !
DerWoWusste
DerWoWusste 08.10.2015 aktualisiert um 16:38:10 Uhr
Goto Top
Du musst:
1 Mit Samsung Magician die Verschlüssleung vorbereiten (unter data security)
2 mit dem Magician danach einen secure erase ausführen
3 win8.1 oder höher installieren
4 mit Bitlocker aktivieren:
manage-bde -on c: -fet hardware
[edit]: wenn Du kein TPM hast, musst Du mittels GPO zuvor noch Bitlocker auch ohne TPM erlauben.
Schritt 2 heißt leider jetzige Installation töten. Ich habe gelesen, dass man es angeblich auf Umwegen auch ohne schafft, musst Du ergooglen.
MarcusMM
MarcusMM 08.10.2015 um 18:59:03 Uhr
Goto Top
Nur ein Install von Windows sollte doch gehen indem man die Platte in zweiten PC einbaut und mit Magician SED enable einstellt, dann im ersten PC nur noch Win-Install. SecureErase muss nur bei schon benutzter Platte gemacht werden, oder irre ich mich?
DerWoWusste
DerWoWusste 09.10.2015 aktualisiert um 08:18:56 Uhr
Goto Top
Du irrst. Oder aber, was Samsung schreibt, stimmt nicht. Die sagen: im Magician einschalten, secure erase, OS installieren, BL mit Hardwareoption aktivieren.
geforce28
geforce28 09.10.2015 um 11:46:06 Uhr
Goto Top
Okay vielen Dank.

Nach welchem Schritt mache ich denn das mit der GPO?
Also 5. Schritt ??

Du meinst doch damit:
gpedit.msc ->
Computerkonfiguration/(Richtlinien)/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke
Und dann Zusätzliche Authentifizierung beim Start anfordern einfach aktivieren ?

Oder wo ?
DerWoWusste
DerWoWusste 09.10.2015 um 13:03:28 Uhr
Goto Top
Die GPO kannst Du sofort setzen, keine Reihenfolge nötig. Ja, diese ist gemeint, genau so.
geforce28
geforce28 09.10.2015 um 13:08:16 Uhr
Goto Top
Okay, dann habe ich nur noch eine Frage:

Was für Nachteile habe ich jetzt, weil ich keinen TPM-Chip im Mainboard habe ??
Perfomance schlechter ?
108012
108012 09.10.2015 um 13:10:07 Uhr
Goto Top
Zitat von @geforce28:

Echt ?
Ich dachte ich muss im Bios ein HDD Passwort festlegen, was dann die Hardware Verschlüsselung aktiviert.
Habe eine SSD 850 Pro von Samsung, welche ja das Verschlüsseln beherrschen sollte.
Reicht es also einfach Bitlocker zu aktivieren und schon nutzt Bitlocker die Hardware-Verschlüsselung der SSD, bzw. SED ??

Mainboard nutze ich ein ASUS Z97-C !
ASUS Z97-C
Bitte einmal unter Anschlüsse (optional) schauen, dort steht dass das Mainboard einen TPM Anschluss hat!
Und dann bitte noch einmal in das Manual bzw. die Bedienungsanleitung schauen welches von den beiden
TPM Modulen man dafür braucht! Beide kosten ~11 € bei Alternate.de
TPM 1
TPM 2

Sollte ja nicht das problem sein an ein TPM zu kommen.

Gruß
Dobby
geforce28
geforce28 09.10.2015 um 13:17:31 Uhr
Goto Top
Danke Dobby, der 1. wirds wohl sein, werde ich mir gleich mal bestellen face-smile)

aber sagmal, was ist jetzt, wenn mir das Board kaputt geht ?
Kann die SED dann garnicht mehr verwendet werden ? Komme ich dann noch an meine Daten ran ?

Vielen Dank schonmal.
DerWoWusste
DerWoWusste 09.10.2015 um 13:25:59 Uhr
Goto Top
Geforce, dies ist ein Erfahrungsbericht über eine neue Technik. Es ist in erster Linie also kein Thread für Deine Probleme face-smile
Nimm Dir einen eigenen thread für diese Fragen zur Hand.

Ja, Du kannst die SSD auch bei Ausfall aller anderen Komponenten noch öffnen mit dem Bitlocker Recovery key.
MarcusMM
MarcusMM 09.10.2015 um 19:18:56 Uhr
Goto Top
Was Samsung schreibt stimmt schon, aber ich denke dass sie das 2-PC-Szenario gar nicht betrachten. Ich habe überlegt wie man mit einer *einmaligen* Windows-Installation auskommen kann. Wie du weiter unten schreibst, ist vieleicht einen neuen Thread wert.