SfN

Die Festplatten-Echtzeitverschlüsselung

Egal, ob am privaten Computer oder am Arbeitsplatz: Fotos, Verträge und andere sensible Daten sollten vor neugierigen und unbefugten Blicken geschützt werden. Da das Passwort für Windows oder Mac beim Anmelden nur einen begrenzten Schutz bietet und auch die Passwortsicherung bei Word-Dokumenten oder PDFs in puncto Sicherheit nicht optimal ist, kommen spezielle Verschlüsselungsprogramme ins Spiel.

VeraCrypt ist ein leistungsstarkes Open-Source-Tool zur Datenverschlüsselung, das Benutzern ermöglicht, ihre sensiblen Daten effektiv zu schützen. Mit VeraCrypt können ganze Laufwerke oder Partitionen sowie virtuelle verschlüsselte Laufwerke erstellt werden. Es bietet robuste Algorithmen, um Daten vor unbefugtem Zugriff zu sichern, und ist ideal für Privatpersonen und Unternehmen, die Wert auf Datensicherheit legen.

Der Leitfaden

Nach dem Ende von Truecrypt war guter Rat teuer - mit welcher Software sollte man nun seine Daten verschlüsseln? Veracrypt bot sich da schnell als Verschlüsselungsprogramm an. Nicht nur der Name der kostenlosen Open-Source-Software erinnert an das bekannte Vorbild, auch sonst haben die beiden Tools viel gemein.

Als inoffizieller Nachfolger, der auf Truecrypt 7.1a basiert, übernimmt VeraCrypt Oberfläche und auch Funktionsumfang der Verschlüsselungssoftware, die Sicherheitslücken sind jedoch behoben. Mit VeraCrypt können sowohl ganze Systeme, Partitionen und auch einzelne Ordner mit Verschlüsselungen abgesichert werden. Angeboten werden die Verschlüsselungs-Algorithmen AES, Serpent und Twofish. Nach der Passwort-Eingabe werden die VeraCrypt-Volumes wie eine virtuelle Festplatte gemountet und die Daten bei Zugriff im RAM entschlüsselt. Die Veracrypt-Container können auch versteckt werden.

Für Umsteiger interessant: VeraCrypt ist auch zu bestehenden TrueCrypt-Archiven kompatibel und kann diese einlesen. Neben der Windows-Version gibt es das Verschlüsselungsprogramm auch für MacOSX, Linux und als Portable. Letzteres ist praktisch, um verschlüsselte Archive auch unterwegs nutzen zu können. Über Third-Party-Apps ist es sogar möglich, auf VeraCrypt-Volumes auch unter Android oder iOS zuzugreifen.

Verschlüsselungs- und Hash-Algorithmen von VeraCrypt

Das Programm arbeitet mit den Verschlüsselungsalgorithmen Advanced Encryption Standard (AES)Twofish sowie Serpent. Der Anwender hat die Wahl, einen einzelnen Algorithmus zu wählen oder die Algorithmen hintereinander zu kaskadieren (alle Reihenfolgen sind möglich). Alle drei Verschlüsselungsmethoden gelten aktuell als absolut sicher, wobei AES auch in vielen Ländern und bei den Militärs (z.B. USA) in der Kategorie “höchste Geheimhaltungsstufe” zugelassen ist. Am sichersten erscheint uns die Kaskadierung aller drei Algorithmen.

Ferner stehen die Hash-Algorithmen SHA512Whirlpool und RIPEMD-160, zum “Zerhacken” der zu verschlüsselnden Daten und zum Generieren der Header-Keys, zur Verfügung. Wir bevorzugen RIPEMD-160 (bit), da zu diesem bisher keine Kollisionen gefunden wurden und er sehr perfomant arbeitet. Du kannst jedoch bedenkenlos den populären SHA512- oder den ebenso sicheren Whirlpool-Hash-Algorithmus verwenden.

Unterstützte Systeme und Installation von VeraCrypt

VeraCrypt unterstützt in der Version 1.23 die Windows-Systeme 10,8, 7 und Vista (32/64-bit), XP (32/64-bit), W2K und Server 2003 und 2008 (32/64-bit) sowie Mac OS X 10.4 Tiger/10.5 und 10.6 (Snow) Leopard und Linux mit Kernel 2.4.x, 2.6.x (32/64-bit). Für Linux wurde seit Version 5.0 auch eine GUI (graphische Bedienoberfläche anstatt wie bisher ausschliesslich kommandozeilenbasiert) bereitgestellt.

Hier gezeigte Programmversion: 1.23-Hotfix-2

Zuerst lädst du dir die neuste Version von VeraCrypt herunter.

Nachdem du die Datei mit einem Doppelklick geöffnet hast, bist du sofort in der Sprachauswahl. Du wählst hier Deutsch, danach direkt auf Ok.

blank
In diesem Fenster musst du, wie bei allen Programmen die Lizenzvereinbarung akzeptieren. Setze also den Haken und drücke auf Weiter.
blank
Natürlich willst du das Programm auf dem Computer installieren und nicht nur entpacken. Du wählst also den Punkt Installieren und bestätigst mit einem Klick auf Weiter.
blank
In folgendem Fenster wird nun der Installationsort festgelegt sowie ein Wiederherstellungspunkt für Windows angelegt. Die Haken kannst du alle gesetzt lassen, wenn du jedoch weißt was du tust kannst du sie auch entfernen.
blank
Nachdem du mit Installieren bestätigt hast beginnt die Installation des Programms.
blank
Nach wenigen Sekunden siehst du dieses Fenster. Die Installation ist jetzt abgeschlossen und du bestätigst mit OK, danach sofort Fertig stellen.
blank
In einem weiterem Fester wirst du gefragt ob du eine Hilfestellung für VeraCrypt benötigst. Wenn du weiterhin mit unserem Leitfaden arbeitest wird diese jedoch nicht benötigt, deswegen kannst du hier auf Nein klicken.
blank
Nun kannst du das Programm über das Startmenü oder die Desktop-Verknüpfung starten. Es erscheint direkt die Frage ob du das Benutzerhandbuch lesen möchtest. Falls du der englischen Sprache mächtig bist und viel Zeit hast, kann du dies tun. In unserem Falle überspringst du aber diesen Punkt. Du hast nun das Hauptfenster in deutscher Ausgabe vor Augen.
blank

Die einfachste Möglichkeit seine privaten Daten zu verschlüsseln, ist die mittels eines Datentresors. Diese sogenannte Containerdatei wird beim Erstellen mit Zufallsdaten gefüllt und kann anhand des Passwortes in das System eingehängt werden. Dieser Tresor erscheint dann im Arbeitsplatz als neues Laufwerk. Du kannst ihn auch wie ein solches behandeln. Daten davon lesen, löschen, ihn mit neuen beschreiben – alles geschieht verschlüsselt in Echtzeit. Diese Tresore kann man entweder auf seiner Festplatte oder auf mobilen Datenträgern erstellen.

Im Hauptfenster drückst du auf Volumen erstellen.

blank

Hier wählst du “Eine verschlüsselte Containerdatei erstellen” und drückst auf Weiter.

blank
Nun wählst du Standart VeraCrypt-Volume und Weiter.
blank

Im folgenden Fenster musst du nun den Speicherort sowie den Dateinamen des Tresors bestimmen.Weiter!

Erst einmal musst du auf dem Computer, wo auch immer du den Container haben möchtest, per Rechtsklick auf der Computer-Maus eine Datei erstellen. Der Name sowie die Dateiendung spielen hierbei überhaupt keine Rolle! Wir haben unsere Datei nun “tresor” mit der Endung “.hc” gatauft und in in das Verzeichnis des Laufwerk “E:\” gelegt.
blank
Als nächstes wird der Algorithmus ausgewählt, welcher die Grundlage der Verschlüsselung bieten soll. Am Besten wählst du den Advanced Encryption Standard (AES) oder Twofish. Diese bieten eine sichere Verschlüsselung bei wenig Systembelastung. Als Hash-Algorithmus kannst du RIPEMD-160 lassen. Weiter!
blank
In diesem Fenster wählst du die Größe des Tresors, welche er am Ende haben soll. Diese richtet sich natürlich danach, was du alles darin speichern willst. Wenn es lediglich für ein paar Dokumente sein soll, reichen wenige Megabyte. Sollen jedoch ganze USB-Speicherstifte verschlüsselt werden, richtet sich die Größe nach der Stiftgröße. Ist er 1 Gigabyte groß empfiehlt es sich für rund 800 Megabyte zu wählen. Die restlichen 200 Megabyte dienen dem Programm VeraCrypt falls es ein Rechner, auf dem man den Tresor öffnen will, noch nicht installiert hat und andere Dateien, die nicht zwingendermaßen verschlüsselt werden müssen oder zum schnellen Dateiaustausch mit Freunden und Kameraden dienen. Weiter!
blank

Nun musst du ein Passwort wählen.

Bitte den Abschnitt Das Passwort beachten! Du kannst optional auch eine Schlüsseldatei benutzen.

Weiter!

blank

Im folgenden Fenster wählst du das Dateisystem. Wenn du Daten die größer als 4 GB in deinem Datentresor lagern möchtest nimmst du NTFS ansonsten sollte FAT bleiben.

Den Mauszeiger in diesem Fenster zufällig hin und her bewegen. Je länger (min. 30 Sekunden) du die Maus bewegst, desto besser. Dies trägt zu einer verbesserten Verschlüsselung bei.
Ist der Fortschrittsbalken voll bestätigst du mit einem Klick auf Formatieren.
blank

Nach einem Klick auf JA beginnt VeraCrypt seine Arbeit.

Die Datei die du für VeraCrypt erstellt hast, in unserem Fall: “tresor.hc“, wird jetzt komplett Formatiert und erhält die eben von dir angegebene Größe. VeraCrypt warnt dich in diesem Fenster noch einmal das diese Datei gelöscht und durch eine neue ersetzt wird.
blank
VeraCrypt verschlüsselt jetzt deine Datei. Je nach Rechenleistung und größe der Datei kann das schon einige Minuten dauern.
blank
Wenn die Verschlüsselung fertig ist bestätigst du die Meldung mit OK.
blank

Du erhälst das Bestätigungsfenster. Jetzt wird noch einmal Weiter drücken und du bist wieder am Anfang. Falls du keinen weiteren Tresor erstellen möchtest, drückst du auf Beenden.

blank

Möchtest du diesen Tresor nun in dein System einbinden, wählst du ihn im Hauptfenster unter Datei aus, wählst oben einen Laufwerksbuchstaben und drückst auf Einbinden. Du gibst das Passwort ein und bestätigst mit OK.

blank
Je nachdem welchen Laufwerksbuchstaben du gewählt hast, erscheint nun im Arbeitsplatz das neue Laufwerk, welches solange der Tresor ins System eingebunden ist, wie ein handelsüblicher USB-Speicherstift benutzt werden kann. Möchtest du den Tresor schließen drückst du im Hauptfenster auf Trennen.

Du kannst mit VeraCrypt auch ganz einfach eine externe Festplatte oder einen Speicherstift komplett verschlüsseln. Auch diese Speichermedien erscheinen dann im Arbeitsplatz als neues Laufwerk. Man kann sie auch wie eines behandeln. Daten davon lesen, löschen, ihn mit neuen beschreiben – alles geschieht verschlüsselt in Echtzeit.

Im Hauptfenster drücken wir auf Volumen erstellen.

blank

Hier wählst du “Verschlüsselt eine Partition/ein Laufwerk” und drückst auf Weiter.

blank
Nun wählst du Standart VeraCrypt-Volume und klickst auf Weiter.
blank
Im folgenden Fenster musst du nun den Speicherort bestimmen. Du klickst auf Durchsuchen, suchst dir da die externe Festplatte oder deinen Speicherstift und wählst ihn aus. Bestätige das ganze mit einem Klick auf Weiter!
blank
Es ist besser und sicherer das zu verschlüsselnde Laufwerk durch VeraCrypt formatieren zu lassen. Also nimmst du den ersten Punkt. Weiter!
blank
Als nächstes wird der Algorithmus ausgewählt, welcher die Grundlage der Verschlüsselung bieten soll. Wähle am besten den Advanced Encryption Standard (AES) oder Twofish. Diese bieten eine sichere Verschlüsselung bei wenig Systembelastung. Als Hash-Algorithmus kannst du RIPEMD-160 lassen. Weiter!
blank
In diesem Fenster siehst du die Volumen Größe. Diese kannst und musst du natürlich nicht ändern da du den Datenträger ja komplett Verschlüsseln willst. Weiter!
blank

Nun musst du ein Passwort wählen.

Bitte den Abschnitt Das Passwort beachten! Du kannst optional auch eine Schlüsseldatei benutzen.

Weiter!

blank
Im folgenden Fenster wählst du das Dateisystem. Wenn du Daten die größer als 4 GB auf deiner Festplatte lagern möchtest nimmst du JA ansonsten sollte NEIN angeklickt bleiben. Weiter
blank

Im folgenden Fenster fährst du etwas mit der Maus im Fenster hin und her (um Zufallsdaten zu sammeln).

Den Mauszeiger in diesem Fenster zufällig hin und her bewegen. Je länger (min. 30 Sekunden) du die Maus bewegst, desto besser. Dies trägt zu einer verbesserten Verschlüsselung bei.
Ist der Fortschrittsbalken voll bestätigst du mit einem Klick auf Formatieren.
blank
Jetzt öffnet sich eine Warnung. Alle Dateien auf der zu verschlüsselnden Festplatte werden gelölscht. Du bestätigst mit einem Klick auf Ja. Wenn du Daten auf Festplatte hast wird gleich nochmal eine Warnung angezeigt. Auch diese kannst du durch einen Klick auf Löscht alle Daten .... bestätigen.
blank
blank
Jetzt fängt VeraCrypt an deine Festplatte zu verschlüsseln. Das kann natürlich, je nach Größe des Datenträgers einige Zeit in Anspruch nehmen.
blank
Wenn die Verschlüsselung fertig ist bestätigst du die Meldung mit OK.
blank
Jetzt wird noch einmal Weiter gedrückt und du bist wieder am Anfang. Falls du kein weiteres Volumen erstellen möchtest, drückst du auf Beenden.
blank

Möchtest du diesen Tresor nun in dein System einbinden, wählst du ihn im Hauptfenster unter Datenträger aus, wählst oben einen Laufwerksbuchstaben und drückst auf Einbinden. Du gibst das Passwort ein und bestätigst mit OK.

blank
Je nachdem welchen Laufwerksbuchstaben du gewählt hast, erscheint nun im Arbeitsplatz das neue Laufwerk, welches solange der Tresor ins System eingebunden ist, wie ein handelsüblicher USB-Speicherstift benutzt werden kann. Möchtest du den Tresor schließen drückst du im Hauptfenster auf Trennen.

Kleiner Nachteil dieser Variante

Wenn wir unseren Datenträger (USB Stift, externe Festplatte) vollständig mit VeraCrypt verschlüsseln, erkennt das Betriebssystem beim Verbinden mit dem Rechner kein gültiges Dateisystem – für Windows handelt es sich bei der mit VeraCrypt verschlüsselten Partition um eine »fehlerhafte« Partition. Um das vermeintliche »Problem« zu lösen, schlägt Windows eine Formatierung des Datenträgers vor:
blank
An dieser Stelle solltest du natürlich auf Abbrechen klicken und die Formatierung ablehnen.
Du solltest den USB Stift bzw. die externe Festplatte äußerlich kennzeichnen, damit du auch noch nach einem halben Jahr weisst, dass die Partition mit VeraCrypt verschlüsselt wurde und du sie nicht versehentlich löschst / formatierst.

Wenn du deinen ganzen Computer verschlüsseln möchtest, d.h. die komplette Systemfestplatte, dann bietet dir VeraCrypt auch dafür eine Möglichkeit. Dadurch ist das gesamte System geschützt und nicht nur einzelne Teile auf einer Festplatte.

Nach dem Verschlüsseln erscheint vor dem Hochfahren des Computers eine Passwortabfrage, ohne welche man keinen Zugriff auf gleichen erhält.

Im Hauptfenster drückst du auf Volumen erstellen.

blank

Hier wählst du “System-Partition bzw. System-Laufwerk verschlüsseln” und drückst auf Weiter.

blank
Im folgenden Fenster wählst du Normal und bestätigst mit Weiter.
blank
Wenn du deine Festplatte partitioniert hast und den Punkt: Die Windows-System Partition verschlüsseln nimmst, wird nur die C:// Festplatte verschlüsselt. Die Restlichen Partitionen musst du extra Verschlüsseln. Das Gesamte Laufwerk sollte aber nur verschlüsselt werden wenn sich auf der Festplatte keine andere durch VeraCrypt verschlüsselte Datei befindet da es sonst passieren könnte das du dir die schon vorhandene verschlüsselte Datei zerstörst! Das heißt für dich alle auf dem System befindlichen, verschlüsselten Dateien auf einer externe Festplatte oder einem anderen Speicherplatz sichern! Wenn die Option "Das gesamte Laufwerk verschlüsseln" nicht verfügbar (ausgegraut) ist, muss der "Secure Boot" im BIOS deaktiviert werden, bevor VeraCrypt ausführt werden kann.

Hier kannst du wählen zwischen der Verschlüsselung einer Partition oder des Gesamten Laufwerks. Wir wählen immer Gesamtes Laufwerk verschlüsseln.

blank
Jetzt wirst du gefragt ob du den geschützten Bereich des Hosts mitverschlüsseln möchtest. Wenn du dir sicher bist, das keine Systemkomponenten deines Computers diesen Bereich benötigen, klickst du auf Ja. Für Nutzer die dies nicht sicher bestimmen können empfiehlt es sich Nein zu wählen.
Egal welche Option du wählst, die Sicherheit der Verschlüsselung ändert sich nicht.
blank
blank
Da du im Regelfall nur ein Betriebssystem auf deinem Computer Installiert hast wählst du im folgenden Fenster Ein Betriebssystem aus uns bestätigst mit Weiter.
blank
Als nächstes wird der Algorithmus ausgewählt, welcher die Grundlage der Verschlüsselung bieten soll. Am besten wählst du den Advanced Encryption Standard (AES) oder Twofish. Diese bieten eine sichere Verschlüsselung bei wenig Systembelastung. Als Hash-Algorithmus kannst du SHA-256 lassen. Weiter!
blank

Nun musst du ein Passwort wählen.

Bitte den Abschnitt Das Passwort beachten!Du kannst optional auch eine Schlüsseldatei benutzen.

Weiter!

blank

Im folgenden Fenster fährst du etwas mit der Maus im Fenster hin und her (um Zufallsdaten zu sammeln) und drückst anschließend auf Weiter.

Den Mauszeiger in diesem Fenster zufällig hin und her bewegen. Je länger (min. 30 Sekunden) du die Maus bewegst, desto besser. Dies trägt zu einer verbesserten Verschlüsselung bei.
blank
Die Schlüssel wurden erfolgreich erstellt. Hier klickst du wieder auf Weiter.
blank

Im folgenden Punkt musst du eine sogenannte Rettungs-CD (Rescue Disk) erstellen. Diese wird benötigt, falls der Boot-Loader (Programm welches direkt nach dem Hochfahren startet und das Passwort verlangt) oder das Betriebssystem defekt ist, oder von einem Virus befallen wurde.

Diese CD ersetzt natürlich NICHT das sichere Passwort.

Du wählst einen Ort an dem das Abbild der CD gespeichert werden soll und bestätigst mit Weiter.

blank
Dieses Abbild muss nun mit einem Brennprogramm, beispielsweise Nero (kommerziell) oder ImgBurn(kostenlos) gebrannt werden, um mit der VeraCrypt Verschlüsselung fortfahren zu können.
blank
Du kannst solange nicht mit Weiter bestätigen, bis VeraCrypt die gebrannte Rettungs-CD im CD-Laufwerk erkennt. Nachdem du die CD gebrannt hast erhälst du die Meldung, dass die Rettungs-CD erfolgreich erkannt wurde. Jetzt kannst du mit Weiter fortfahren.
blank
Bewahre die Rettungs-CD an einem Ort auf, wo diese vor Beschädigungen geschützt ist und Du sie im Notfall auch wieder findest!

Im folgenden Fenster werden dir nun verschiedene Sicherheitsstufen von Lösch-Methoden angeboten, durch welche die Daten auf der Festplatte sicher gelöscht werden können. Am besten wählst du 7-pass (US DoD 5220.22-M), um einen Kompromiss aus Sicherheit und Schnelligkeit zu erhalten. Weiter! Es erscheint nun eine Meldung, die dich davor warnt, dass diese Lösch-Methoden einige Zeit in Anspruch nehmen können, bestätige mit Ja.

Es werden keine Daten auf der Festplatte gelöscht. Diese Löschung gilt nur dem Freien Speicherplatz!
blank
In dem nächsten Fenster wird dir nochmal erklärt dass das löschen des freien Speichers einige Zeit in anspruch nehmen kann. Bestätige mit einem Klick auf Ja.
blank
Im nächsten Fenster teilt dir das Programm mit, dass es nun deinen Computer auf Kompatibilität testet und einige notwendige Veränderungen vornimmt. Drücke auf Test.
blank
Drücke bei der Meldung, dass die Passwortabfrage nach dem Start des Computers nur in Englisch verfügbar ist, auf Ja. Nun noch zweimal auf OK bzw. Ja klicken und der Computer startet neu.
blank
blank
blank
Du musst nun auch das erste Mal dein gewähltes Passwort eingeben, um das Betriebssystem starten zu können. Beim Neustart des Systems wirst du aufgefordert, dein VeraCrypt-Passwort und das PIM einzugeben. Geben also dein Passwort ein und drücke die Eingabetaste und dann an der PIM- Eingabeaufforderung erneut die Eingabetaste.
Wenn du wiederholt das richtige Kennwort eingibst, VeraCrypt jedoch mitteilt, dass das Kennwort falsch ist, gerate nicht in Panik (das Laufwerk ist noch nicht verschlüsselt). Starte einfach den Computer neu (aus und wieder ein) und drücken im VeraCrypt Boot Loader-Bildschirm die Esc- Taste auf deiner Tastatur. Windows wird gestartet. Deinstalliere dann die Pre-Boot-Authentifizierungskomponente, wenn du von VeraCrypt dazu aufgefordert wirst.
blank
Hast du dein Passwort richtig eingegeben und dein Computer ist wieder hochgefahren, erhälst du die Meldung, dass der Test erfolgreich durchgeführt wurde. Du drückst nun auf Verschlüsseln. blank

Nach Bestätigen des aufgehenden Fensters mit OK beginnt das Programm deinen Computer zu verschlüsseln. Je nach Rechenleistung und Festplattengröße kann dieser Prozess etwas länger dauern, in der Regel jedoch mehrere Stunden.

Du kannst während des Vorgangs an deinem Computer arbeiten. Wenn du den Verschlüsselungsvorgang abbrichst oder verschieben möchtest, klicke auf die Schaltfläche Später und gehe dann vom VeraCrypt-Programm aus zu:
  • System -> Resume Interrupted process: Wenn du den Verschlüsselungsprozess fortsetzen möchtest
  • System -> Systempartition / Laufwerk dauerhaft entschlüsseln: Wenn du den Verschlüsselungsvorgang beenden möchtest
blank
Hat VetaCrypt das Verschlüsseln deiner Festplatte beendet, kannst du mit OK Bestätigen und auf Fertig stellen klicken.
blank
Die komplette Festplatte ist nun vollständig verschlüsselt. Bei jedem Start des Rechners muss nun das gesetzte Passwort eingegeben werden.
blank

Ab diesem Zeitpunkt werden jegliche Daten welche von der Festplatte gelesen oder auf sie geschrieben werden (Festplatte <-> Arbeitsspeicher) in Echtzeit mit dem gewählten Algorithmus kodiert. Nach dem Herunterfahren sind die Daten natürlich komplett verschlüsselt und für einen Nutzer ohne das gesetzte Passwort absolut unbrauchbar.

Auch durch einen Ausbau der Festplatte und Zugriff von Linux auf das Dateisystem kommt man nicht an die Daten heran

Optional: Das Boot-Menü anpassen

Wenn du nicht willst, dass jeder beim Hochfahren des Rechners sofort sehen kann, dass dieser mit VeraCrypt verschlüsselt ist, so lässt sich über Einstellungen -> Systemverschlüsselung die Passworteingabe beim Systemstart beeinflussen. Ein Haken bei Keine Texte im Pre-Boot ... sorgt dafür, dass beim nächsten Start lediglich ein schwarzer Bildschirm mit blinkendem Cursor erscheint. Weder im Verlauf der Passworteingabe, noch bei fehlerhaften Passwörtern erscheint irgendetwas auf dem Bildschirm. Erst beim richtigen Passwort und drücken der Eingabe-Taste fährt der Recher wie gewohnt hoch. Zudem kannst du im Feld darunter mit bis zu 24 Zeichen eine eigene Meldung festlegen, die bei der Passworteingabe erscheinen soll. Z.B. die von Truecrypt vorgeschlagene gefälschte Fehlermeldung “Missing Operating System”. Ansonsten verhält sich die Passworteingabe auch hier wie oben beschrieben.

So verwendest du die VeraCrypt Rettungs-CD bei Problemen

Wenn dein VeraCrypt-geschützter Computer nicht normal gestartet werden kann, starte den Computer von der VeraCrypt-Rettungs-CD und drücke die Taste F8, um auf die Reparaturoptionen zuzugreifen. Drücke dann die entsprechende Zifferntaste, um die Reparaturaktion zu starten, die dem Problem entspricht.
blank
  • [1] Systempartition / -laufwerk dauerhaft entschlüsseln: Verwende diese Option, wenn Windows nicht gestartet werden kann (nach Eingabe des Passworts), um die Partition / das Laufwerk dauerhaft zu entschlüsseln.
  • [2] Vera Crypt-Bootloader wiederherstellen: Verwenden diese Option, wenn der VeraCrypt- Bootloader- Bildschirm nach dem Starten des Computers nicht angezeigt wird (oder wenn Windows nicht bootet), um den Bootloader wiederherzustellen und den Zugriff auf deinen verschlüsselten Computer wiederherzustellen System und Daten.
  • [3] Schlüsseldaten wiederherstellen (Volume-Header): Verwenden diese Option, um den Hauptschlüssel oder andere wichtige Daten wiederherzustellen, wenn du wiederholt das richtige Kennwort eingegeben hast, VeraCrypt jedoch meldet, dass das Kennwort falsch ist.
  • [4] Ursprünglichen Systemlader wiederherstellen : Verwenden diese Option nach dem Entschlüsseln der Systempartition / des Laufwerks, um den ursprünglichen System/Bootloader wiederherzustellen (Windows).

In den vorherigen Beiträgen wurde beschrieben, wie sich VeraCrypt installieren lässt und wie Container bzw. Partitionen verschlüsselt werden können. Bestehende TrueCrypt Volumes lassen sich auch mit VeraCrypt öffnen. Soll ein Volume dauerhaft mit VeraCrypt gemountet werden, ohne den dafür bereitgestellten TrueCrypt Mode zu nutzen, ist eine VeraCrypt Migration möglich. Danach ist das Volume zu 100% VeraCrypt kompatibel und lässt sich nicht mehr mit TrueCrypt mounten.

Für eine Migration sollte als Erstes der Volume Header des Containers oder der Partition mit TrueCrypt gesichert werden.

blank

Das Volume darf dazu nicht eingebunden sein. Über den Menüpunkt Extras/Volume Kopfdaten Sichern / Tools/Backup Volume Header kann der Vorgang gestartet werden. Es erscheint ein Hinweis der Bestätigt werden muss und danach wird das Passwort des Volumes eingegeben.

blank

Vor dem Backup möchte TrueCrypt noch wissen, ob es sich um ein normales oder ein verstecktes Volume handelt.

blank
Das Backup muss noch bestätigt werden.
blank

Der Header wird für das Backup neu verschlüsselt. Der Hash Algorithmus kann beliebig gewählt werden.

blank

Sobald der Vorgang erfolgreich abgeschlossen ist, kann die Meldung bestätigt werden.

blank
Jetzt kann das TrueCrypt Volume mit VeraCrypt gemountet werden. Dazu muss der Haken bei TrueCrypt Mode gesetzt werden.

blank

Wenn das Volume in VeraCrpyt eingebunden ist, kann über den Button Volumen Operationen das Passwort geändert werden.

blank

Der TrueCrypt Mode muss aktiviert werden! Das VeraCrypt Passwort kann natürlich auch wieder dasselbe werden. Der Header Algorithmus lässt sich bei Bedarf auch gleich mit ändern.

blank

Auch bei der Migration des Volumes muss ein neuer Schlüssel generiert werden. Nachdem die Maus einige Sekunden hin und her bewegt wurde, kann mit Continue der Prozess gestartet werden.

blank

Die gesamte Prozedur kann eine kleine Weile dauern.

blank

Wenn alles sauber durchgelaufen ist, wurde das TrueCrypt Volume komplett in ein VeraCrypt Volume migriert.

blank

Ab sofort lässt sich das Volume nur noch über VeraCrypt mounten. Der „TrueCrypt Mode“ wird jetzt nicht mehr benötigt.

Beim Versuch das Volume weiterhin mit TrueCrypt zu mounten, erscheint prompt eine Fehlermeldung.

blank

Nach der kompletten Prozedur kann der gesicherte Volume Header wieder gelöscht werden.

Einige der in TrueCrypt bekannten Bugs wurden bereits von den Entwicklern behoben. Nebenbei wurden auch einige sicherheitsrelevante Funktionen verbessert. Dazu gehören z.B. die Durchläufe (Iterationen), die zum Ver- bzw. Entschlüsseln von Laufwerken und Containern benötigt werden. Diese Anzahl wurde in VeraCrypt deutlich erhöht. Für ein Systemlaufwerk werden aktuell 200.000 und für einen Container 500.000 Durchläufe verwendet.

Mit der Version 1.12 wurde mit den PIMs „Personal Iterations Multiplier“ eine neue Funktion implementiert, um die Sicherheit bei eher schwachen Passwörtern zu erhöhen. Ein PIM ist wie ein zweiter Faktor zu sehen, der zusätzlich zum Passwort eingegeben werden muss. Dies erhöht natürlich auch den Schutz vor Bruteforce Attacken. Allerdings gibt es bei den PIMs einiges zu beachten, damit es sauber funktioniert. Daher soll dieser Beitrag ein wenig Licht ins Dunkel bringen. Grundsätzlich muss bei einem Einsatz von PIMs zwischen verschlüsselten Systemlaufwerken und Containern unterschieden werden. Je nach Einsatzzweck ist eine Mindestgröße erforderlich, sofern das Passwort weniger als 20 Stellen hat. Somit wird sichergestellt, dass die standardmäßige Durchlaufanzahl nicht unterschritten wird. Denn das würde die Sicherheit wieder schwächen. Folgende PIM Mindestgrößen werden benötigt, sofern das Passwort weniger als 20 Stellen hat.

  • Mindestwert für Systemlaufwerke = 98
  • Mindestwert für Container = 485

Sofern das Passwort mindestens 20 Stellen hat, beträgt der Mindestwert jeweils „1“. Ohne Eingabe eines PIM wird der VeraCrypt Standard verwendet. Die PIM kann direkt beim Prozess des Verschlüsselns oder nachträglich beim Ändern des Header Passworts gesetzt werden.

Wichtig ist auf jeden Fall, sich die vergebene PIM zu merken. Ohne diese lässt sich das Laufwerk nicht mehr mounten!
blank

Die PIM ist als zusätzlicher Schutz wie eine „Zwei Faktor Authentifizierung“ zu sehen, wenn das verwendete Passwort nicht allzu stark ist. Allerdings muss berücksichtigt werden, dass eine sehr hohe PIM sich auf die Geschwindigkeit beim Mounten auswirkt. Je höher die PIM, desto mehr Durchläufe werden beim Ver- bzw. Entschlüsseln der Laufwerke / Container benötigt. Dadurch steigt auch die Wartezeit die benötigt wird, bis das Laufwerk nutzbar ist.

Wenn du Anregungen oder Fragen zum Leitfaden hast, tritt gerne unserer Diskussionsgruppe auf Telegram bei oder kontaktiere uns über das Kontaktformular.
Diese Seite wurde zuletzt am 27.09.2024 aktualisiert.

Blogbeiträge

Das Ende von Truecrypt

Was ist mit Truecrypt passiert? Plötzlich hat die offizielle Webseite auf die Projektseite bei Sourceforge umgeleitet. Truecrypt sei nicht mehr sicher, heißt es dort, neben einer Anleitung zum Umstieg auf Bitlocker...

Nützliche Kryptologie

Ich möchte vorausschicken, daß ich hier nur eine kleine Einführung verfasse. Wer sich gründlicher über Verschlüsselungen informieren möchte, dem kann ich gerne ein Seminar vermitteln, in dem das Thema umfassender...

Unterstützen

Jede Unterstützung, ob groß oder klein, hilft uns, unsere Arbeit fortzusetzen und langfristig unabhängige, parteilose Projekte zu ermöglichen. Dein Beitrag trägt direkt dazu bei, dass wir unsere Inhalte kostenfrei anbieten können und unser Engagement nachhaltig gestärkt wird. Vielen Dank für deine Unterstützung!
Bitcoin
bc1per9vee5kfflruqutwlev0tkm80wgfjmg04x2hd7ga3y94at6z0fs77tpjw
Ethereum
0x67f6498F194BC257DB06D78E8b0E9f6074aE4433
Monero
4Ahy234zByKFtnDy9X4hJ7eqp4Wxvaqht7eeDMVQTBfcUPJWmrCMvttZkxzXStFJEpQfnDszeDhnGQm8minYEZySBLbruA2
Unabhängig davon, ob du Bitcoin Cash, Litecoin, Solana oder eine andere Kryptowährung bevorzugst – wir freuen uns über jede Form der Unterstützung für unsere Arbeit. Wenn du uns finanziell unterstützen möchtest, kontaktiere uns einfach über das Kontaktformular. Nach deiner Nachricht werden wir dir die passende Wallet-Adresse für deine gewünschte Kryptowährung zukommen lassen.

blank

blank

Es liegt an dir selbst, was du für dich und deine Sicherheit übernimmst.