XMG 2017 SED Hardware Encryption - Passwort Vergabe

[Manni79]

Hallo zusammen,

ich besitze das u507, aber ich denke folgende Frage ist genereller Natur, da die Bios Features der aktuellen NBs der Serien sicher ähnlich sind.

Ich habe eine EVO 850 drin, das ist eine SED also self-encryption-device. SED klingt dabei an sich schon sicher, da es sich im Prinzip selbst verschlüsselt, aber wenn man nun weiter drüber liest (bzw. nachdenkt) ist klar, ohne einen vergebenen Schlüssel (AK = Authentification Key) zu setzen, macht es keinen Sinn. Mit dem AK verschlüsselt man den größeren Schlüssel, der die SED an sich verschlüsselt.

Obwohl zumindest gesundes Halbwissen drüber hatte, habe ich noch Stunden im Internet nach Lösungen gesucht, da ich keine Optionen im Bios finde, um das PW zu setzen. Es gibt ein user pw und ein Supervisor pw, aber diese sollen eigentlich unabhängig von dem AK für die SED sein.

Dies wird im BIOS normal über ein ata-Password bzw. hdd-password in Rubrik HDD-Security oder ATA-Security... je nach Bios ... gesetzt.

Ich finde in meinem aktuellen Aptio Setup Bios nichts dazu. Es sind eh nur sehr wenige Aktionen im Bios möglich. Ich habe zwischendurch auch user und Supervisor PW gesetzt, da ich gelesen habe, dass die HDD/ATA Security erst dann erscheint, aber auch das war nicht der Fall.

An den Schenker Support wende ich mich natürlich parallel, da mir das Feature extrem wichtig ist.
Ggf. jemand aus dem Forum eine Lösung?

Bios Version habe ich geprüft, sollte die neuste sein, die man auf der Schenker Seite auch findet.

Danke und liebe Grüße
Manni

Anbei auch mal ein paar Screenshots, die dieses ATA/HDD Passwort bzw. HDD/ATA Security Bereich zeigen, den ich nicht sehe:

http://www.nastrojkabios.ru/images/stories/bios/2/set-hdd-password.jpg
(Hier sieht man auch, dass es nicht das admin/user/supevisor PW ist)

http://blog.devilatwork.de/wp-content/uploads/2016/07/samsung-rv515_03.jpg

https://fud.community.services.support.microsoft.com/Fud/FileDownloadHandler.ashx?fid=bb773ca3-93d7-4bbb-a319-ee0c430349a7

Genau wie in Folgendem zu sehen, stelle ich mir das aktuell eigentlich vor. in der HDD Sektion müsste es nochmal ein HDD User Password und auch ein HDD Master Password geben. Aktueller Stand der Schlüsselvergabe für die SED sind genau diese beiden Passwörter/Schlüssel im Bios. Wo finde ich das beim u507?
https://images.gutefrage.net/media/fragen/bilder/bios-beenden-bringt-nichts-was-los/3_big.jpg

[XMG Community]

Hallo Manni79,

ATA-Password steht bei keinem unserer aktuellen Notebooks zur Verfügung. Mehr Informationen weshalb und warum findest du in unseren FAQ: https://www.mysn.de/faq#Encryption

Da die Samsung 850 EVO auch eDrive unterstützt empfehlen wir dies zur Verschlüsselung. Eine sehr ausführliche Anleitung zur Nutzung von eDrive finden Sie hier: http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

Grüße,
XMG|Thomas

[Manni79]

Finde ich schade, dagegen sprechen andere Seiten im Netz, auch von Qualität der CT/Heise, die SED Verschlüsselung mit ATA/HDD PW abwägen gegenüber Bitlocker, die Bitlocker nicht zwanghaft vorziehen.

"... funktioniert nur mit bestimmten Festplatten/SSD-Modellen und auch nur dann, wenn das Feature "ATA Password" vom BIOS unterstützt wird."

Vollkommen richtig. Aber genau deswegen habe ich die EVO 850 ja, und diese sollte mit einem Bios das ATA unterstützt eigentlich korrekt verschlüsseln. Ich finde unschön, dass es nicht dem Anwender überlassen wird. Ob das "Freeze Lock" wie in den verlinkten Artikeln dann korrekt gesetzt wird, könnte man ja dann selbst noch ausprobieren.

Der empfohlene Weg "Empfohlen: Self-Encrypting Drives (SED) in Verbindung mit Bitlocker und TPM" hat für mich gerade vor allem den Nachteil, dass man nicht drum rum kommt die komplette Platte wieder komplett leer zu machen und alles neu aufzusetzen.

Gibt es keine Möglichkeit ein Bios zur Verfügung zu stellen, das das Feature hat? Das ihr das im FAQ drin habt, ist ja super und zeugt von eurem guten Support, aber das FAQ liest man ja nicht bei allen Belangen. Bei einem neuen Notebook, damit auch mit aktuellem Bios, sollte man denke ich davon ausgehen dürfen, dass die ATA/HDD Security Features unterstützt werden. :-(

Irgendein Weg an ein Bios damit zu kommen?

Auch nochmal zur Anleitung:

Download and install the Samsung Magician software, which can be found here: http://www.samsung.com/samsungssd/
After it's installed, run it and click "Data Security" at the bottom of the left-hand menu.

"Data Security" gibt es anscheinend in "Samsung Magician software" nicht mehr, eben geladen. Sollte das nicht eh Default an sein?

Und wenn ich das in der Software nicht setzen kann, kann  ich mir den Secure Erase dann nicht sparen? (Hoffe ich)

Das wäre dann nämlich die einzige Vorkehrung, die ich nicht hatte. UEFI und die anderen Vorkehrungen sind ja eh durch Auslieferungszustand schon gesetzt. Wenn ich Bitlocker starte, kommt allerdings die Frage, ob ich ganz oder teilweise Hardware Encryption anschalten mag. Das spricht wohl dagegen, dass er die mögliche Hardware Encyption erkennt. So steht es zumindest in den Tutorials. :-(

[Manni79]

Ich habe noch etwas rum probiert, aber bisher keine Lösung. Powershell zeigt mir bei versuch bitlocker auf C: (Evo 850) anzuwenden, die Meldung, dass Hardware Encryption nicht supported ist.

Die verlinkte Anleitung scheint auch nicht aktuell zu sein, da wie
oben beschrieben, "Samsung Magician software" (Link oben) den Bereich "Data Security" nicht mehr hat. Mich wundert dies eh, da es ja prinzipiell auf der SED eh an sein sollte und es nur darum gehen sollte, einen Authentifikation Key zu setzen. (Edit: Eben gelesen dass es für das eDriver nötig ist, was aber nichts daran ändert, dass es diese Settings in der Samsung Magican Software nicht mehr gibt). Von daher (dachte ich) sollte das komplette "nochmal alles löschen" keinen Unterschied machen und andere Punkte finde ich in der Anleitung nicht.

Wie gehabt, über ein Bios mit HDD/ATA Security wäre ich sehr erfreut.

Ich habe das Notebook nun bereits 7 Tage und natürlich exzessive getestet, damit mehr als im lokalen Laden und mein Rückgaberecht damit wahrscheinlich verwirkt. Wenn ich die SED aber als "wirklich encrypted und über Hardware-Verschlüsselung" zum Laufen bekomme, würde ich das Gerät aber nicht haben wollen, kann ich es dann trotzdem zurück geben?

Falls ein neues Bios mit dem Feature nicht möglich ist und damit vom BIOS her eine SED bei euch sozusagen nicht unterstützt wird, macht meiner Meinung nach aber auch Sinn, eigene Anleitungen dazu zu haben, es ohne Bios-Feature zu aktivieren (und ohne die Platte leer zu putzen!).
Logisch, eigentlich seit ihr für Software nicht verantwortlich, aber hier spielt Software in Hardware und eben Bios-Features ganz stark ineinander.

[Manni79]

Kennt jemand zufällig diese Lösung?

https://github.com/Drive-Trust-Alliance/sedutil/wiki

[XMG Community]

Hallo Manni79,

ein individuelles BIOS mit ATA-Passwort Option kann ich dir erstmal nicht in Aussicht stellen, weshalb der Weg über eDrive die einzige Möglichkeit scheint.

Samsung hat mit dem Update 5.0 die Magician Software leider "verschlimmbessert". Falls du vor einem Secure Erase nicht zurückschreckst kannst du es nochmal mit Version 4.9.7 testen:
http://www.giga.de/downloads/samsung-ssd-magician-tool/

Grüße,
Thomas

[Manni79]

Bin mir noch unsicher was ich nun mache. Eins kann ich schon mal sagen, das ganze ist extrem ärgerlich.

Waurm...
1.
Nach wie vor meine ich (relativ einleuchtend) zu behaupten zu können, wenn ihr euch bewusst gegen die BIOS Option entscheidet, solltet ihr auch aktuelle Anleitungen pflegen. Ich hoffe dass ich den ganzen Schei** nun nicht umsonst mache, alles lösche und 1-2 Arbeitstage umsonst investiere und am Ende Bitlocker die Hardware Encryption doch nicht kennt.

2.
Weiterhin funktioniert es nur mit Windows Pro. Allerdings geht das SED Feature an sich über das BIOS OS und eigentlich OS Versions unabhängig. Auch das spricht dafür, dass ihr das Feature im Bios haben solltet.
Deswegen sehe ich hier auch kein individuelles Bios, sondern auf Dauer Implementierung im offiziellen Bios. Kostet das eigentlich Lizenzkosten oder macht es das Bios zu kompliziert? Ich meine alleine die Sicherheitsbedenken wie "ATA/HDD PW ist nicht so sicher" kann es ja nicht sein. Denn das kann man im FAQ ja weiter als Tipps lassen, aber vor allem hat man so auch eine Lösungen für alle Betriebssysteme, die kein eDrive encryption tool haben.

3.
Wenn ihr bereits wisst, dass ein "hdd erase" nötig ist und ihr schon wisst (bzw. Bewusst), das euer Bios es nicht unterstützt, stellt sich mir die Frage, wieso ihr nicht aktiv fragt, ob jemand die Platte als SED (encrypted) nutzen mag und damit das eDrive-Feature in de HDD schon aktiviert ausliefert.
Denn jeder muss ja dann sobald er die SED encrypted nutzen will die Platte putzen. Denn da ihr das BIOS Feature nicht bietet, sondern zu Bitlocker tendiert, bleibt ja offensichtlich nichts anderes über.
Was meint ihr wie viele das nicht wissen? Ich denke so gut wie jeder, der nicht zuvor das gleiche Problem hatte.

4. Mit der alten Magician Software mag es gehen, werde ich ggf. auch tun, aber auch das bringt mich dazu, die angebotene Lösung in Frage zu stellen. Denn das sieht ja fast so aus, als wenn Samsung das gar nicht mehr offiziell supportet. :-( Habe nach Magician 5 auch kein alternatives Tool von Samsung gefunden, dass dieses Feature setzt.

Es ist ja nicht so, dass ich vorher nichts gelesen habe, aber zu erst findet man eben die Lösungen über das BIOS per HDD/ATA Passwort.  :-(

[Manni79]

Wieder Stunden vergeudet, keine Lösung. Also dass ihr hier Lösungsvorschläge präsentiert, die ihr besser findet als ATA/HDD Passwort, aber die gar nicht funktionieren, halte ich je mehr ich mich damit beschäftige, (leider) für einen Witz.

1. Problem gelöst... Samsung Magician in eurer 4.x verlinkten Version, macht aus drei meiner USB Sticks keine boot fähigen Stick. Liegt wohl am Software/Notebook-Combi, irgendwas passt da nicht. Nach langem hin und her probieren mit USB-Sticks und Formaten, installierte ich dann nochmal Samsung Magician 5, der zwar den edrive Modus nicht setzen lässt, mit dem ich aber dann einen boot USB stick  erstellen konnte. Damit ging es. Dennoch total nervig.

2. Problem: Booten vom Samsung Magician Stick. Leider fehlt in der von euch verlinkten Anleitung, dass man in dem BIOS/UEFI den UEFI Boot ausstellen muss. Sonst bootet der Samsung boot stick nicht. In der Anleitung stehen zwar andere Randbedingungen, aber davon finde ich da nichts.

3. Problem... ungelöst.
Aber auch das führt mich bisher nur in das secure erase Programm von Samsung, was wiederum sagt, ich solle mitten drin das SSD-Power-Kabel abziehen, aber nicht das ATA Kabel. Soweit ich weiß habe ich eine m2 Evo 850 Version, die denke ich irgendwo eingesteckt ist. Nach kurzem Googlen finde ich keine Lösung. Habt ihr eine Lösung für mein konkretes NB? Da ich mich auch per Mail meldet, müsste meine Config klar sein. Sonst fragt gerne nochmal.


Wie gehabt ... es ist extrem nervig. Die Anleitungen passen einfach nicht 100% zu den Modellen. Und die Punkte 1-4 aus meinem vorherigen Post finde ich nach wie vor Bemängelnswert.

Abschließend die Frage weiterhin, siehe weiter oben, nehmt ihr das NB zurück wenn wir hier keine Lösung finden?

[XMG Community]

Hi,

eine Anleitung wie ein eDrive eingerichtet wird liegt zu internen Zwecken vor und kann bei Bedarf auch unseren Kunden übermittelt werden. Ich fasse die - von mir verfasste - Anleitung mal kurz zusammen:

1.) Encrypted Drive in Magician aktivieren
2.)
a.) PartedMagic von USB-Stick booten (ohne UEFI)
b.) SSD per USB-Adapter anschließen
b.)Secure Erase durchführen
3.) SSD einbauen und Windows 10 Pro installieren (mit UEFI)
4.) Bitlocker aktivieren

Die Anleitung existiert seit Juni 2016, bereits seit dieser Zeit gibt es von uns keine Notebooks mehr mit ATA-Passwort. Diese Info hätten wir bei einer Nachfrage vor dem Kauf natürlich auch so mitgeteilt und bei Nachfrage auch angeboten das System entsprechend einzurichten.

Das gesetzliche Widerrufsrecht existiert strenggenommen nur für private Endverbraucher. Sollte es jetzt ein absolutes Hindernis sein, obwohl eine Verschlüsselung per Bitlocker unserer Meinung nach mehr Vorteile bietet, können wir die Rücknahme aber gerne prüfen. Dann würde ich allerdings darum bitten dies in einer separaten E-Mail an [email protected] kundzutun.

Die bereits existierende E-Mail habe ich vom Supportteam als erledigt markieren lassen, ich denke hier sind alle Fragen beantwortet. Falls nicht stehen wir natürlich zur Verfügung.

Grüße,
XMG|Thomas

[Manni79]

"a.) PartedMagic von USB-Stick booten (ohne UEFI)"

Ja, danke, damit habe ich es nun auch (endlich) geschafft. Secure Erase von Samsung hilft hier leider nicht weiter, bzw nur extrem umständlich. Man kommt um das kostenpflichtige (aber billige) Tool PartedMagic hier kaum drum  herum.

Bei  "1.) Encrypted Drive in Magician aktivieren" würde ich zumindest für Enduser noch zufügen, dass hier nur alte Versionen kompatibel sind. Ggf. müsste man auch mal mit Samsung klären, wieso eDrive damit offiziell gar nicht mehr aktiviert  werden kann. :-(

Naja, nach langem hin und her und tausend versuchen, habe ich es nun geschafft und Bitlocker zeigt mir "Hardware encryption" an. Aber schon ein "krasser" Aufriss.

"b.) SSD per USB-Adapter anschließen"
für euch im Hardware Labor sicher kein Problem. Für Endkunde geht es auch ohne. Am Ende würde meine Anleitung nun so aussehen.

Hier mal, falls jemand auf gleiche Probleme trifft. Aber offensichtlich ist dem Großteil der Anwender die Datengeheimhaltung nicht so wichtig, sonst müssten da ja viel häufiger Fragen kommen.

Folgende Anleitung gilt, wenn ihr die SED für das Betriebssystem (OS) nutzen. Ansonsten braucht man die Neuinstallationen nicht. Ging bei mir mit m2 Samsung Evo 850 als Betriebssystem Drive im H507.

0. Windows temporär installieren, welches später wieder gelöscht wird. Windows muss kurz installiert werden, um den nächsten Schritt auf dem NB auszuführen.

1.) eDrive Funktionalität aktiveiren, ist bei Samsung SED Default aus. (Nebeninfo: Es muss ein Secure Erase folgen, um das Feature wirklich zu aktivieren)
Encrypted Drive (eDrive Funktionalität) in Samsung Magician aktivieren (Es muss eine Samsung  Magician  Version vor 5.0 sein. Siehe Links weiter oben. Ab Samsung Magician 5. ist die Option leider nicht mehr vorhanden.)

2) PartedMagic von USB-Stick booten (ohne UEFI! UEFI Boot somit kurzeitig in Bios deaktivieren).
Alternativ zu PartedMagic geht auch Samsung Secure Erase per Boot-USB-Stick über Samsung Magician. Aber hier gibt es diverse Inkompatibilitäten (ggf. USB Boot nur in Version 5 möglich). Und dazu muss man ggf. beim Secure Erase die SSD vom Strom ziehen, was gerade bei M2 sehr schwer bzw. nicht möglich ist. Deswegen sind die 9 EURO für Parted Magic hier wirklich zu empfehlen. Bevor man booten kann, muss natürlich den Parted Magic Boot USB Stick erstellen.

3) Secure Erase durchführen (in Parted Magic). Falls die Laufwerke frozen sind, hat Parted Magic hier eine Funktion diese aufzuwecken. Dann sollte ein Secure Erase möglich sein, ohne Kabel oder M2 aus dem Notebook zu entfernen.

4. UEFI Boot wieder im BIOS/UEFI aktivieren!

5  Die SSD ist nun leer, also Windows neu installieren.
Es muss Windows PRO sein, sonst ist Bitlocker nicht vorhanden. Ohne Windows Pro und damit ohne Bitlocker, kann die Hardware Encryption der SED nicht genutzt werden. (Zumindest nicht auf einem halbwegs gängigen Weg.). Da Bios HDD/ATA PW nicht existieren, sind Lösungen über Bios/UEFI nicht möglich.

4.) Direkt Bitlocker in Windows aktivieren
Bei aktivieren der Verschlüsselung min Bitlocker für das Laufwerk, darf nicht die Frage kommen, ob man ganz oder teilweise verschlüsseln mag. Dann stimmt was nicht. Dazu geht die Verschlüsselungsaktivierung innerhlab von Sekunden.

5. Windows Commandozeile (CMD) öffnen und folgendes prüfen:
Manage-bde.exe -Status
Bei der betreffenden Disc muss etwas stehen wie:
Hardware Encryption - 1.3.111.2.1619.0.1.2
Sonst hat es nicht geklappt.

6. Als nächstes (falls man es nicht zuvor getan hat), sollte man sich drum kümmern ein PIN oder PW für Bitlocker zu setzen. Denn es sollte klar sein, Bitlocker nutzt Default mäßig "nur" TPM, was dazu führt, dass jeder der das Notebook startet und sich einloggt, ohne ein Passwort für die Verschlüsselung einzugeben, an die Daten muss. Bei dem Schritt überlege ich mir gerade noch eine gute Lösung.

[XMG Community]

Schön das es geklappt hat. Die letzte kostenfreie Version von PartedMagic hätte es auch getan und wurde auch von mir getestet. Auch das kostenfreie GParted kann verwendet werden.

Grüße,
XMG|Thomas