VeraCrypt ist die ideale Lösung für alle Windows-Nutzer, die ihr System oder auch nur bestimmte Teile davon sicher und zuverlässig verschlüsseln möchten. Dieses bemerkenswerte Programm hat sich in der...
Die Festplatten-Echtzeitverschlüsselung
Egal, ob am privaten Computer oder am Arbeitsplatz: Fotos, Verträge und andere sensible Daten sollten vor neugierigen und unbefugten Blicken geschützt werden. Da das Passwort für Windows oder Mac beim Anmelden nur einen begrenzten Schutz bietet und auch die Passwortsicherung bei Word-Dokumenten oder PDFs in puncto Sicherheit nicht optimal ist, kommen spezielle Verschlüsselungsprogramme ins Spiel.
VeraCrypt ist ein leistungsstarkes Open-Source-Tool zur Datenverschlüsselung, das Benutzern ermöglicht, ihre sensiblen Daten effektiv zu schützen. Mit VeraCrypt können ganze Laufwerke oder Partitionen sowie virtuelle verschlüsselte Laufwerke erstellt werden. Es bietet robuste Algorithmen, um Daten vor unbefugtem Zugriff zu sichern, und ist ideal für Privatpersonen und Unternehmen, die Wert auf Datensicherheit legen.
Der Leitfaden
Nach dem Ende von Truecrypt war guter Rat teuer - mit welcher Software sollte man nun seine Daten verschlüsseln? Veracrypt bot sich da schnell als Verschlüsselungsprogramm an. Nicht nur der Name der kostenlosen Open-Source-Software erinnert an das bekannte Vorbild, auch sonst haben die beiden Tools viel gemein.
Als inoffizieller Nachfolger, der auf Truecrypt 7.1a basiert, übernimmt VeraCrypt Oberfläche und auch Funktionsumfang der Verschlüsselungssoftware, die Sicherheitslücken sind jedoch behoben. Mit VeraCrypt können sowohl ganze Systeme, Partitionen und auch einzelne Ordner mit Verschlüsselungen abgesichert werden. Angeboten werden die Verschlüsselungs-Algorithmen AES, Serpent und Twofish. Nach der Passwort-Eingabe werden die VeraCrypt-Volumes wie eine virtuelle Festplatte gemountet und die Daten bei Zugriff im RAM entschlüsselt. Die Veracrypt-Container können auch versteckt werden.
Für Umsteiger interessant: VeraCrypt ist auch zu bestehenden TrueCrypt-Archiven kompatibel und kann diese einlesen. Neben der Windows-Version gibt es das Verschlüsselungsprogramm auch für MacOSX, Linux und als Portable. Letzteres ist praktisch, um verschlüsselte Archive auch unterwegs nutzen zu können. Über Third-Party-Apps ist es sogar möglich, auf VeraCrypt-Volumes auch unter Android oder iOS zuzugreifen.
Verschlüsselungs- und Hash-Algorithmen von VeraCrypt
Das Programm arbeitet mit den Verschlüsselungsalgorithmen Advanced Encryption Standard (AES), Twofish sowie Serpent. Der Anwender hat die Wahl, einen einzelnen Algorithmus zu wählen oder die Algorithmen hintereinander zu kaskadieren (alle Reihenfolgen sind möglich). Alle drei Verschlüsselungsmethoden gelten aktuell als absolut sicher, wobei AES auch in vielen Ländern und bei den Militärs (z.B. USA) in der Kategorie “höchste Geheimhaltungsstufe” zugelassen ist. Am sichersten erscheint uns die Kaskadierung aller drei Algorithmen.
Ferner stehen die Hash-Algorithmen SHA512, Whirlpool und RIPEMD-160, zum “Zerhacken” der zu verschlüsselnden Daten und zum Generieren der Header-Keys, zur Verfügung. Wir bevorzugen RIPEMD-160 (bit), da zu diesem bisher keine Kollisionen gefunden wurden und er sehr perfomant arbeitet. Du kannst jedoch bedenkenlos den populären SHA512- oder den ebenso sicheren Whirlpool-Hash-Algorithmus verwenden.
Unterstützte Systeme und Installation von VeraCrypt
VeraCrypt unterstützt in der Version 1.23 die Windows-Systeme 10,8, 7 und Vista (32/64-bit), XP (32/64-bit), W2K und Server 2003 und 2008 (32/64-bit) sowie Mac OS X 10.4 Tiger/10.5 und 10.6 (Snow) Leopard und Linux mit Kernel 2.4.x, 2.6.x (32/64-bit). Für Linux wurde seit Version 5.0 auch eine GUI (graphische Bedienoberfläche anstatt wie bisher ausschliesslich kommandozeilenbasiert) bereitgestellt.
Hier gezeigte Programmversion: 1.23-Hotfix-2
Zuerst lädst du dir die neuste Version von VeraCrypt herunter.
Nachdem du die Datei mit einem Doppelklick geöffnet hast, bist du sofort in der Sprachauswahl. Du wählst hier Deutsch, danach direkt auf Ok.
Die einfachste Möglichkeit seine privaten Daten zu verschlüsseln, ist die mittels eines Datentresors. Diese sogenannte Containerdatei wird beim Erstellen mit Zufallsdaten gefüllt und kann anhand des Passwortes in das System eingehängt werden. Dieser Tresor erscheint dann im Arbeitsplatz als neues Laufwerk. Du kannst ihn auch wie ein solches behandeln. Daten davon lesen, löschen, ihn mit neuen beschreiben – alles geschieht verschlüsselt in Echtzeit. Diese Tresore kann man entweder auf seiner Festplatte oder auf mobilen Datenträgern erstellen.
Im Hauptfenster drückst du auf Volumen erstellen.
Hier wählst du “Eine verschlüsselte Containerdatei erstellen” und drückst auf Weiter.
Im folgenden Fenster musst du nun den Speicherort sowie den Dateinamen des Tresors bestimmen.Weiter!
Nun musst du ein Passwort wählen.
Weiter!
Im folgenden Fenster wählst du das Dateisystem. Wenn du Daten die größer als 4 GB in deinem Datentresor lagern möchtest nimmst du NTFS ansonsten sollte FAT bleiben.
Nach einem Klick auf JA beginnt VeraCrypt seine Arbeit.
Du erhälst das Bestätigungsfenster. Jetzt wird noch einmal Weiter drücken und du bist wieder am Anfang. Falls du keinen weiteren Tresor erstellen möchtest, drückst du auf Beenden.
Möchtest du diesen Tresor nun in dein System einbinden, wählst du ihn im Hauptfenster unter Datei aus, wählst oben einen Laufwerksbuchstaben und drückst auf Einbinden. Du gibst das Passwort ein und bestätigst mit OK.
Du kannst mit VeraCrypt auch ganz einfach eine externe Festplatte oder einen Speicherstift komplett verschlüsseln. Auch diese Speichermedien erscheinen dann im Arbeitsplatz als neues Laufwerk. Man kann sie auch wie eines behandeln. Daten davon lesen, löschen, ihn mit neuen beschreiben – alles geschieht verschlüsselt in Echtzeit.
Im Hauptfenster drücken wir auf Volumen erstellen.
Hier wählst du “Verschlüsselt eine Partition/ein Laufwerk” und drückst auf Weiter.
Nun musst du ein Passwort wählen.
Weiter!
Im folgenden Fenster fährst du etwas mit der Maus im Fenster hin und her (um Zufallsdaten zu sammeln).
Möchtest du diesen Tresor nun in dein System einbinden, wählst du ihn im Hauptfenster unter Datenträger aus, wählst oben einen Laufwerksbuchstaben und drückst auf Einbinden. Du gibst das Passwort ein und bestätigst mit OK.
Kleiner Nachteil dieser Variante
Wenn wir unseren Datenträger (USB Stift, externe Festplatte) vollständig mit VeraCrypt verschlüsseln, erkennt das Betriebssystem beim Verbinden mit dem Rechner kein gültiges Dateisystem – für Windows handelt es sich bei der mit VeraCrypt verschlüsselten Partition um eine »fehlerhafte« Partition. Um das vermeintliche »Problem« zu lösen, schlägt Windows eine Formatierung des Datenträgers vor:Wenn du deinen ganzen Computer verschlüsseln möchtest, d.h. die komplette Systemfestplatte, dann bietet dir VeraCrypt auch dafür eine Möglichkeit. Dadurch ist das gesamte System geschützt und nicht nur einzelne Teile auf einer Festplatte.
Nach dem Verschlüsseln erscheint vor dem Hochfahren des Computers eine Passwortabfrage, ohne welche man keinen Zugriff auf gleichen erhält.
Im Hauptfenster drückst du auf Volumen erstellen.
Hier wählst du “System-Partition bzw. System-Laufwerk verschlüsseln” und drückst auf Weiter.
Hier kannst du wählen zwischen der Verschlüsselung einer Partition oder des Gesamten Laufwerks. Wir wählen immer Gesamtes Laufwerk verschlüsseln.
Nun musst du ein Passwort wählen.
Weiter!
Im folgenden Fenster fährst du etwas mit der Maus im Fenster hin und her (um Zufallsdaten zu sammeln) und drückst anschließend auf Weiter.
Im folgenden Punkt musst du eine sogenannte Rettungs-CD (Rescue Disk) erstellen. Diese wird benötigt, falls der Boot-Loader (Programm welches direkt nach dem Hochfahren startet und das Passwort verlangt) oder das Betriebssystem defekt ist, oder von einem Virus befallen wurde.
Du wählst einen Ort an dem das Abbild der CD gespeichert werden soll und bestätigst mit Weiter.
Im folgenden Fenster werden dir nun verschiedene Sicherheitsstufen von Lösch-Methoden angeboten, durch welche die Daten auf der Festplatte sicher gelöscht werden können. Am besten wählst du 7-pass (US DoD 5220.22-M), um einen Kompromiss aus Sicherheit und Schnelligkeit zu erhalten. Weiter! Es erscheint nun eine Meldung, die dich davor warnt, dass diese Lösch-Methoden einige Zeit in Anspruch nehmen können, bestätige mit Ja.
Nach Bestätigen des aufgehenden Fensters mit OK beginnt das Programm deinen Computer zu verschlüsseln. Je nach Rechenleistung und Festplattengröße kann dieser Prozess etwas länger dauern, in der Regel jedoch mehrere Stunden.
Du kannst während des Vorgangs an deinem Computer arbeiten. Wenn du den Verschlüsselungsvorgang abbrichst oder verschieben möchtest, klicke auf die Schaltfläche Später und gehe dann vom VeraCrypt-Programm aus zu:- System -> Resume Interrupted process: Wenn du den Verschlüsselungsprozess fortsetzen möchtest
- System -> Systempartition / Laufwerk dauerhaft entschlüsseln: Wenn du den Verschlüsselungsvorgang beenden möchtest
Ab diesem Zeitpunkt werden jegliche Daten welche von der Festplatte gelesen oder auf sie geschrieben werden (Festplatte <-> Arbeitsspeicher) in Echtzeit mit dem gewählten Algorithmus kodiert. Nach dem Herunterfahren sind die Daten natürlich komplett verschlüsselt und für einen Nutzer ohne das gesetzte Passwort absolut unbrauchbar.
Optional: Das Boot-Menü anpassen
Wenn du nicht willst, dass jeder beim Hochfahren des Rechners sofort sehen kann, dass dieser mit VeraCrypt verschlüsselt ist, so lässt sich über Einstellungen -> Systemverschlüsselung die Passworteingabe beim Systemstart beeinflussen. Ein Haken bei Keine Texte im Pre-Boot ... sorgt dafür, dass beim nächsten Start lediglich ein schwarzer Bildschirm mit blinkendem Cursor erscheint. Weder im Verlauf der Passworteingabe, noch bei fehlerhaften Passwörtern erscheint irgendetwas auf dem Bildschirm. Erst beim richtigen Passwort und drücken der Eingabe-Taste fährt der Recher wie gewohnt hoch. Zudem kannst du im Feld darunter mit bis zu 24 Zeichen eine eigene Meldung festlegen, die bei der Passworteingabe erscheinen soll. Z.B. die von Truecrypt vorgeschlagene gefälschte Fehlermeldung “Missing Operating System”. Ansonsten verhält sich die Passworteingabe auch hier wie oben beschrieben.
So verwendest du die VeraCrypt Rettungs-CD bei Problemen
Wenn dein VeraCrypt-geschützter Computer nicht normal gestartet werden kann, starte den Computer von der VeraCrypt-Rettungs-CD und drücke die Taste F8, um auf die Reparaturoptionen zuzugreifen. Drücke dann die entsprechende Zifferntaste, um die Reparaturaktion zu starten, die dem Problem entspricht.- [1] Systempartition / -laufwerk dauerhaft entschlüsseln: Verwende diese Option, wenn Windows nicht gestartet werden kann (nach Eingabe des Passworts), um die Partition / das Laufwerk dauerhaft zu entschlüsseln.
- [2] Vera Crypt-Bootloader wiederherstellen: Verwenden diese Option, wenn der VeraCrypt- Bootloader- Bildschirm nach dem Starten des Computers nicht angezeigt wird (oder wenn Windows nicht bootet), um den Bootloader wiederherzustellen und den Zugriff auf deinen verschlüsselten Computer wiederherzustellen System und Daten.
- [3] Schlüsseldaten wiederherstellen (Volume-Header): Verwenden diese Option, um den Hauptschlüssel oder andere wichtige Daten wiederherzustellen, wenn du wiederholt das richtige Kennwort eingegeben hast, VeraCrypt jedoch meldet, dass das Kennwort falsch ist.
- [4] Ursprünglichen Systemlader wiederherstellen : Verwenden diese Option nach dem Entschlüsseln der Systempartition / des Laufwerks, um den ursprünglichen System/Bootloader wiederherzustellen (Windows).
In den vorherigen Beiträgen wurde beschrieben, wie sich VeraCrypt installieren lässt und wie Container bzw. Partitionen verschlüsselt werden können. Bestehende TrueCrypt Volumes lassen sich auch mit VeraCrypt öffnen. Soll ein Volume dauerhaft mit VeraCrypt gemountet werden, ohne den dafür bereitgestellten TrueCrypt Mode zu nutzen, ist eine VeraCrypt Migration möglich. Danach ist das Volume zu 100% VeraCrypt kompatibel und lässt sich nicht mehr mit TrueCrypt mounten.
Für eine Migration sollte als Erstes der Volume Header des Containers oder der Partition mit TrueCrypt gesichert werden.
Das Volume darf dazu nicht eingebunden sein. Über den Menüpunkt Extras/Volume Kopfdaten Sichern / Tools/Backup Volume Header kann der Vorgang gestartet werden. Es erscheint ein Hinweis der Bestätigt werden muss und danach wird das Passwort des Volumes eingegeben.
Vor dem Backup möchte TrueCrypt noch wissen, ob es sich um ein normales oder ein verstecktes Volume handelt.
Der Header wird für das Backup neu verschlüsselt. Der Hash Algorithmus kann beliebig gewählt werden.
Sobald der Vorgang erfolgreich abgeschlossen ist, kann die Meldung bestätigt werden.
Wenn das Volume in VeraCrpyt eingebunden ist, kann über den Button Volumen Operationen das Passwort geändert werden.
Der TrueCrypt Mode muss aktiviert werden! Das VeraCrypt Passwort kann natürlich auch wieder dasselbe werden. Der Header Algorithmus lässt sich bei Bedarf auch gleich mit ändern.
Auch bei der Migration des Volumes muss ein neuer Schlüssel generiert werden. Nachdem die Maus einige Sekunden hin und her bewegt wurde, kann mit Continue der Prozess gestartet werden.
Die gesamte Prozedur kann eine kleine Weile dauern.
Wenn alles sauber durchgelaufen ist, wurde das TrueCrypt Volume komplett in ein VeraCrypt Volume migriert.
Ab sofort lässt sich das Volume nur noch über VeraCrypt mounten. Der „TrueCrypt Mode“ wird jetzt nicht mehr benötigt.
Beim Versuch das Volume weiterhin mit TrueCrypt zu mounten, erscheint prompt eine Fehlermeldung.
Nach der kompletten Prozedur kann der gesicherte Volume Header wieder gelöscht werden.
Einige der in TrueCrypt bekannten Bugs wurden bereits von den Entwicklern behoben. Nebenbei wurden auch einige sicherheitsrelevante Funktionen verbessert. Dazu gehören z.B. die Durchläufe (Iterationen), die zum Ver- bzw. Entschlüsseln von Laufwerken und Containern benötigt werden. Diese Anzahl wurde in VeraCrypt deutlich erhöht. Für ein Systemlaufwerk werden aktuell 200.000 und für einen Container 500.000 Durchläufe verwendet.
Mit der Version 1.12 wurde mit den PIMs „Personal Iterations Multiplier“ eine neue Funktion implementiert, um die Sicherheit bei eher schwachen Passwörtern zu erhöhen. Ein PIM ist wie ein zweiter Faktor zu sehen, der zusätzlich zum Passwort eingegeben werden muss. Dies erhöht natürlich auch den Schutz vor Bruteforce Attacken. Allerdings gibt es bei den PIMs einiges zu beachten, damit es sauber funktioniert. Daher soll dieser Beitrag ein wenig Licht ins Dunkel bringen. Grundsätzlich muss bei einem Einsatz von PIMs zwischen verschlüsselten Systemlaufwerken und Containern unterschieden werden. Je nach Einsatzzweck ist eine Mindestgröße erforderlich, sofern das Passwort weniger als 20 Stellen hat. Somit wird sichergestellt, dass die standardmäßige Durchlaufanzahl nicht unterschritten wird. Denn das würde die Sicherheit wieder schwächen. Folgende PIM Mindestgrößen werden benötigt, sofern das Passwort weniger als 20 Stellen hat.
- Mindestwert für Systemlaufwerke = 98
- Mindestwert für Container = 485
Sofern das Passwort mindestens 20 Stellen hat, beträgt der Mindestwert jeweils „1“. Ohne Eingabe eines PIM wird der VeraCrypt Standard verwendet. Die PIM kann direkt beim Prozess des Verschlüsselns oder nachträglich beim Ändern des Header Passworts gesetzt werden.
Die PIM ist als zusätzlicher Schutz wie eine „Zwei Faktor Authentifizierung“ zu sehen, wenn das verwendete Passwort nicht allzu stark ist. Allerdings muss berücksichtigt werden, dass eine sehr hohe PIM sich auf die Geschwindigkeit beim Mounten auswirkt. Je höher die PIM, desto mehr Durchläufe werden beim Ver- bzw. Entschlüsseln der Laufwerke / Container benötigt. Dadurch steigt auch die Wartezeit die benötigt wird, bis das Laufwerk nutzbar ist.