BitLocker en ssd’s met ingebouwde encryptie

Als je BitLocker wilt gebruiken op een station met eigen encryptie, vraagt dat vaak meer werk dan normale software-encryptie. We laten zien waar je rekening mee moet houden.

Vaak beschikken ssd’s in het midden- en hogere segment over een controller die gegevens realtime versleutelt voordat ze naar de flashchips geschreven worden. Een paar van die stations hebben we al eens getest in c’t magazine. Zelfversleutelende ssd’s kun je eenvoudig ver- en ontgrendelen via het BIOS van de computer met het ATA-Security-wachtwoord. Dat gaat nog makkelijker en flexibeler met BitLocker, het programma voor stationsversleuteling van Microsoft. In dat geval versleutelt BitLocker echter niet zelf, maar verzorgt het alleen het sleutelbeheer.

Om de zelfversleuteling met BitLocker te laten samenwerken, moet het station voldoen aan de eDrive-standaard. Voor de meeste modellen geldt dat echter al. Het besturingssysteem moet Windows 8.1 of 10 zijn, in een Pro-, Enterprise- of Education-editie. De computer moet ook UEFI-boot ondersteunen. De meeste systemen die niet ouder zijn dan ongeveer zes jaar kunnen dat. Voor standaard-pc’s die met Windows 8 werden verkocht was het zelfs verplicht.

Volgens de specificatie moet een eventueel aanwezige CSM (Compatibility Support Module) gedeactiveerd zijn in het BIOS. Het apparaat moet zo geconfigureerd worden dat bootloaders alleen in de UEFI-modus zijn toegestaan, niet in de legacy-modus.

Controleer daarom voordat je Windows installeert of UEFI Boot is ingeschakeld en CSM is uitgeschakeld. Dat doe je bij de BIOS-instellingen. Hoe je daar komt, verschilt van pc tot pc. Gewoonlijk dien je tijdens de eerste seconden na het inschakelen van de computer meerdere keren op de juiste toets drukken, wat dan bijvoorbeeld Del, F2 of F12 kan zijn. Kijk voor aanwijzingen op het scherm of in de documentatie van de fabrikant. Soms gaat de instelling voor de CSM schuil achter aanduidingen zoals Compatibility Mode of Allow Legacy OS.

Overigens is een Trusted Platform Module (TPM), anders dan wel wordt gedacht, zeker geen vereiste voor het gebruik van een ssd als eDrive. Hetzelfde geldt voor de startmodus Secure Boot, waarbij de firmware van de pc uitsluitend alleen een ondertekende boot­loader laadt.

Bij sommige ssd’s moet de eigen versleuteling eerst geactiveerd worden, bijvoorbeeld bij sommige modellen van Samsung. Dat doe je met het Samsung-programma Magician. Na het inschakelen van de eDrive-modus raadt Samsung aan om een Secure Erase uit te voeren, waarvoor je bij Magician een opstartbare usb-stick met het benodigde programma kunt maken. Zoals de naam al aangeeft, worden daarmee alle gegevens op de ssd onherroepelijk verwijderd.

Bij onze tests werkte de hardwareversleuteling in veel gevallen ook zonder Secure Erase, maar een schone herinstallatie van Windows blijft vereist na het activeren van de eDrive-modus met Magician. Andere ssd’s, zoals die van de Crucial MX-serie, zijn af fabriek ingesteld als eDrive, zodat gedoe met een apart programma niet nodig is.

Het installeren van Windows verloopt zoals gewoonlijk met behulp van een opstartbare usb-stick of een installatie-dvd, die je kunt maken met behulp van de Media Creation Tool van Microsoft. Als de ssd niet nieuw is, of daar net een Secure Erase op is uitgevoerd, moet je Windows niet onmiddellijk gaan installeren als het installatiemedium is opgestart. Eerst maak je de ssd volledig leeg en breng je hem vervolgens in een niet-geïnitiali­seerde toestand.

Dat kan met behulp van het opdracht­regelprogramma diskpart.exe met een paar eenvoudige stappen. Wanneer het installatiemedium is gestart, druk je op Shift+F10 om een opdrachtprompt te openen. Met de opdracht diskpart start je dan het partitioneringsprogramma. Met de opdracht list disk geef je de aangesloten stations weer. Zoek de nieuwe ssd (kijk bijvoorbeeld naar de grootte) en onthoud het stationsnummer. Meestal is het station 0. Met select disk 0 selecteer je de ssd om hem te bewerken.

Met de opdracht clean maak je het station leeg, waarna dan wel alle erop aanwezige gegevens verwijderd worden. Let op! Dat gebeurt zonder verdere bevestigingsprompt. Controleer daarom eerst twee of drie keer dat je het juiste station hebt geselecteerd met de opdracht select disk!

Als je pc geen TPM heeft, moet je wel toe­staan dat Windows de schijf kan ontgrendelen met een opstartwachtwoord of een usb-stick voordat je BitLocker kunt inschakelen. Open daarvoor de Groeps­beleideditor door op de Windows-toets te drukken, ‘gpedit.msc’ in te typen en op Enter te drukken. Klik door naar de map ‘Computerconfiguratie / Beheersjablonen / Windows-onderdelen / BitLocker-stationsversleuteling / Besturingssysteemstations’. Dubbelklik op het groepsbeleid ‘Extra authenticatie vereisen bij opstarten’, stel die in op ‘Ingeschakeld’ en bevestig met OK.

In een paar gevallen, met name bij oudere Windows 8.1-tablets en andere touchapparaten, dien je mogelijk ook het beleid in te schakelen waarmee de BitLocker-authenticatie wordt gebruikt met pre-boot toetsenbordinvoer. Dat geldt met name voor apparaten die in de basisversie zonder toetsenbord werden geleverd.

Klik nu in Verkenner bij ‘Deze pc’ met de rechtermuisknop op station C: en selecteer ‘BitLocker inschakelen’. Eerst controleert de wizard of de grootte van de door het systeem gereserveerde partitie voldoende is om de nood- en reparatieomgeving Windows RE daarheen te verplaatsen. Als die te klein is, wil de Bit­Locker-wizard ongeveer 800 MB van schijf C: afpakken om een nieuwe, grotere herstelpartitie te maken. Hoewel het maken van die nieuwe partitie meestal zonder problemen verloopt, ging het verplaatsen van Windows RE naar die partitie bij onze test steeds weer verkeerd. Om die omgeving later in geval van nood toch te kunnen gebruiken, moet je hem zelf weer inschakelen. Daarover verderop meer.

Het versleutelen van het complete station kan enige tijd duren.

Als de computer niet over een TPM beschikt, vraagt de BitLocker-wizard je dan hoe je de computer bij het opstarten wilt ontgrendelen. Een wachtwoord is gebruikelijk. Ontgrendelen via een usb-stick is vooral nodig als er geen toetsenbordhardware aanwezig is – of wel aanwezig, maar door een Bluetooth-verbinding niet beschikbaar voor het opstarten van Windows.

Bij de volgende stap vraagt de wizard je om de herstelsleutel op te slaan. Doe dat beslist! Het is je laatste kans om het systeem te ontgrendelen voor het geval de gebruikelijke authenticatie mislukt. Dat kan gebeuren als je het wachtwoord vergeet of de ontgrendelingsstick kwijtraakt, of als een TPM om de een of andere reden beschadigd is of leeg.

Bij het volgende dialoogvenster zie je of de eDrive ook echt beschikbaar is. Als dat zo is, is de installatie bijna klaar en krijg je alleen nog de vraag of je een BitLocker-systeemcontrole wilt. Dat is wel zinvol. De pc start dan opnieuw, zonder de versleuteling ook echt in te schakelen, maar controleert wel of de authenticatie werkt zoals de bedoeling is. Na het opnieuw opstarten is de versleuteling dan actief. In Verkenner zie je dat aan het geopend-slot-symbooltje op station C:. Als je via de opdrachtregel met manage-bde -status c: de status opvraagt, zou je de hardwareversleuteling dan moeten zien.

Ten slotte schakel je de herstelomgeving weer in. Bij onze test lukte dat altijd met de opdracht reagentc /enable, uitgevoerd in een opdrachtprompt met administratorbevoegdheden. Bedenk voordat je daar te veel tijd in steekt, dat andere reddingssystemen intussen handiger en universeler toepasbaar kunnen zijn.

Bij een gewone schijf gebruikt BitLocker softwarematige AES-encryptie. Bij een eDrive staat bij de encryption method dan ‘Hardware Encryption’.

Als het installatieprogramma van BitLocker je echter vraagt of het nu de hele of alleen de werkelijk gebruikte schijfruimte moet versleutelen, of dat het de nieuwe of de compatibele versleutelingsmodus moet gebruiken, is er iets misgegaan. Uit die vragen blijkt dat BitLocker de ssd niet herkent als een eDrive en in plaats daarvan terugvalt op zijn eigen softwareversleuteling. Dat kan komen door een verkeerde BIOS-configuratie. Is de CSM echt uitgeschakeld? Start Windows misschien toch niet in de UEFI-modus? Dat laatste kun je achterhalen bij de systeeminformatie. Druk op de Windows-toets, typ ‘msinfo32’ in en bevestig met Enter. De ‘BIOS-modus’ moet UEFI zijn.

Als dat zo is en het nog steeds niet klopt, kun je in het BIOS zien of je Secure Boot kunt activeren – als dat nog niet gebeurd is. Soms is de CSM dan pas echt uitgeschakeld. Speel wat met de opties. In de loop van de tijd zijn we behoorlijk slordige tot avontuurlijk geprogrammeerde BIOS-versies tegengekomen die ook met een actieve Secure Boot de CSM niet hebben uitgeschakeld, of die gewoon niet meer konden booten als je de CSM gericht hebt uitgeschakeld.

Als je een SATA-ssd gebruikt in een pc met Intel-cpu, is er nog een andere valkuil. In sommige gevallen werkt Intels SATA-AHCI-stuurprogramma Rapid Storage namelijk niet samen met eDrive. Welk stuur­programma is geïnstalleerd, zie je in Apparaatbeheer. Open het via Windows+X en ‘Apparaatbeheer’. Klap de sectie ‘IDE ATA / ATAPI-controllers’ uit en dubbelklik op de controller(s). Klik vervolgens op het tabblad Stuurprogramma op ‘Details van stuurprogramma’. Als het stuurprogrammabestand ‘iaStor.sys’ heet of iets dergelijks, is dat het mogelijk incompatibele Rapid-Storage-stuur­programma.

Om het te verwijderen en te vervangen door het standaard AHCI-stuurprogramma van Microsoft, moet je eerst zorgen dat Windows Update het niet meteen opnieuw laadt. Open daarvoor de Groepsbeleideditor door op de Windows-toets te drukken, ‘gpedit.msc’ in te typen en op Enter te drukken. Klik door naar de map ‘Computerconfiguratie / Beheer­sjablonen / Windows-onderdelen / Windows Update’. Dubbelklik op het beleid ‘Nooit stuurprogramma’s via Windows-Update installeren’, stel het in op ‘Ingeschakeld’ en bevestig met OK.

Klik in Apparaatbeheer met de rechtermuisknop op de AHCI-controller en kies ‘Apparaat verwijderen’. Vink het selectievakje aan naast ‘Stuurprogramma’s voor dit apparaat verwijderen’, bevestig met ‘Installatie ongedaan maken’ en start de computer opnieuw op. Daarna zou in Apparaatbeheer op dezelfde plaats een ‘standaard SATA AHCI-controller’ moeten verschijnen met het stuurprogramma-bestand storahci.sys.

De Samsung 860 Evo en 970 Evo vertoonden een bijzonder vervelend probleem bij onze test. Na het opnieuw installeren van Windows was het mogelijk de drive precies eenmaal te versleutelen als een eDrive. Toen we BitLocker later deactiveerden en het opnieuw wilden activeren, kon het station alleen nog via software versleuteld worden. Dat was zelfs nog het geval toen we de installatie van BitLocker tussendoor hadden afgebroken en opnieuw opgestart hadden. Pas na het opnieuw schoon installeren van Windows 10 kwam de eDrive-mogelijkheid terug.

Er zijn gevallen waarin je een ssd die momenteel met BitLocker is versleuteld als eDrive toch liever via software wilt versleutelen, bijvoorbeeld vanwege beveiligingslekken in de ssd-firmware die niet langer door de fabrikant worden gedicht met een update.

Een dergelijke overstap is vrij makkelijk. Schakel eerst BitLocker voor die schijf uit. Klik daarvoor in Verkenner met de rechtermuisknop bij ‘Deze PC’ op de schijf en vervolgens op ‘BitLocker beheren’. Met een klik op ‘BitLocker uitschakelen’, deactiveer je de eDrive-versleuteling. Vervolgens deel je Windows mee dat BitLocker geen hardwareversleuteling mag gebruiken. Open de Groeps­beleideditor (Windows-toets, ‘gpedit.msc’, Enter) en klik door naar de map ‘Computerconfiguratie / Beheersjablonen / Windows-­onderdelen / BitLocker-stationsversleuteling / Besturingssysteemstations”. Dubbelklik op het beleid ‘Gebruik van op hardware gebaseerde versleuteling voor stations met besturingssysteem configureren’, stel dat in op ‘Uitgeschakeld’ en klik vervolgens op OK. Als je BitLocker opnieuw configureert, zal het terugvallen op softwareversleuteling.

(Jan Schüßler, c’t magazine)