Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container

Überall, z.b. in den Massenmedien fällt im gleichen Atemzug der Begriff Verschlüsselung, wenn das Thema sich Laptops oder Computern zuwendet. Medial berühmt ist der Begriff spätestens seit dem IS oder dem Darknet, bzw. dessen Erkundung durch staatliche Fernsehsender…

Was aber ist genau damit gemeint, wenn erwähnt wird dass der Computer bzw. die Festplatte/das Medium verschlüsselt ist. Warum JEDER seine Geräte verschlüsseln sollte. Was sind die Vorteile und Nachteile von Verschlüsselung im allgemeinen und der drei gebotenen Optionen von VeraCrypt und wie kann ich konkret meinen Computer verschlüsseln, bzw. Teile davon. Dem widmet sich dieser Artikel bebildert im Detail. Damit danach jeder selbst seine Daten verschlüsseln kann.

Macht Verschlüsselung Sinn?

Über den Sinn und Unsinn von Verschlüsselung kann man nicht streiten, oft besteht das allgemeine Vorurteil dass dies nur von Kriminellen genutzt wird, weil was hat man denn zu verbergen, wenn man sich gesetzestreu verhält?!

Diese Meinung ist grundlegend falsch. Sparbücher und ähnliche Schriftstücke bewahrt man in Tresoren oder abschließbaren Schränken. Das digitale Pendant, die auf der Festplatte von jedem gespeicherten persönlichen Dateien und Zugänge überlasst man hingegen getrost dem Benutzer-Passwort bei Windowsanmeldung. Gefährlich, suggeriert man hier doch eine Art Sicherheit.

Aber ein BIOS-Passwort reicht doch dann, oder?

Nein, spätestens der Ausbau der Festplatte und Anschluss an ein anderes System gibt uneingeschränkten Zugriff auf alles darauf Gespeicherte. Eigentlich sollte JEDER seine Systeme verschlüsseln und nicht nur weil Menschen dazu neigen Handy oder Laptop auf Wegen oder bei Aufenthalten zu vergessen.

Man muss sein Glück nicht herausfordern. Verschlüsselung versetzt einen selbst also im weiteren Sinne in die Lage, eigene Informationen (Früher war Gold das wertvollste in Geld, dann kam Platin, heute sind es Informationen) besser unter Kontrolle zu behalten, indem sie den Zugriff darauf einschränkt,. Weswegen sie eine Form der Zugriffskontrolle und Authentifizierung darstellt. Allerdings eine praktisch unüberwindbare.

Auch das Argument dass bei Problemen mit verschlüsselten Partitionen die Daten weg sind, da ja nicht auf das Dateisystem zugegriffen werden kann, ist schlichtweg falsch. Dafür sind Rettungsdatenträger gedacht. Auch darauf wird noch eingegangen.

Darum mein eindringlicher Apell, verschlüsseln Sie Ihre Datenträger/PCs/Laptops/Mobiltelefone und Speichermedien wie USB-Sticks. Das Teilen dieses Artikels ist ebenfalls ausdrücklich gewünscht.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container

Dazu die folgende komplett bebilderte Schritt-für-Schritt Anleitung Festplatten Verschlüsselung mit VeraCrypt. Auf Grund des sich abzeichnenden Umfangs des Artikels bei Erstellung veröffentliche ich den komplette Artikel in Teil-Beiträgen. Es wird von Windows als Betriebssystem ausgegangen. Verwendet wird dazu im weiteren der Nachfolger von TrueCrypt, Veracrypt (hier erhältlich). Im Gegensatz zur Windows eigenen Verschlüsselung Bitlocker unterliegt die französische Hersteller-Firma IDRIX mit VeryCrypt nicht US-Recht. Die Firma kann damit nicht mit dem Patriot-Act gezwungen werden, Hintertüren in die Verschlüsselung einzubauen. Außerdem wurden bekannt gewordene Schwachstellen des abrupt eingestellten Vorgängers Truecrypt ausgemerzt.

Nachdem VeraCrypt heruntergeladen und installiert worden ist (das werde ich nun nicht extra beschreiben…^^) sollte euch ca. dieser Anblick begrüßen.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
VeraCrypt Startfenster nach Installation

Weil dieser Blog auf auf deutsch gehalten ist, klickt auf „Settings – Language“, wählt in der Liste „Deutsch“ aus und bestätigt mit „OK“.

Verschlüsselten Bereich/Verschlüsselte Partition (Container) zur Benutzung in Windows erstellen

Generell gibt es drei Optionen. Entweder man verschlüsselt die gesamte physische Festplatte inkl. Boot-Partition (also das Metallkästchen selbst). Dann muss ein Bootloader installiert werden (vereinfacht wird dann nicht zuerst Windows geladen, da dieses ja verschlüsselt ist, sondern zuerst wird nach erfolgreicher Passwort-Eingabe die Festplatte „entschlüsselt“ und dann Windows geladen). Mehr dazu weiter unten.

Weiter ist es möglich, ganze nicht-boot Partitionen zu verschlüsseln (wird als 2. beschrieben). Letztendlich lässt sich noch eine verschlüsselte Datei (beliebige Endung) auf bestehenden Partitionen erstellen, welche dann zur Benutzung als Laufwerk wieder eingebunden wird. Diese Datei wird Container genannt und die Methode zur Erstellung und Einbindung im folgenden erklärt.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Die Verschlüsselungs-Optionen von VeraCrypt

Klickt dazu als erstes auf den Button „Volume erstellen“ (auf den die Maus gerade zeigt). Wählt „Eine verschlüsselte Containerdatei erstellen“ aus und klickt auf „Weiter“. Im folgenden Fenster wählt den Standard Container aus und bestätigt mit „Weiter“.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Auswahl des Containers

Verstecktes VeraCrypt Volume

Mit dem versteckten Container kann die Existenz eines verschlüsselten Bereiches auf eurer Festplatte (HDD = Hard Disk Drive) verschleiert werden. Dazu wird in einem Container ein zweiter Container erstellt, wobei der erste Container mit einem Passwort geschützt wird, das im Notfall verraten wird. Der Penetrator ist zufrieden und man selbst weiß seine Daten in Sicherheit.

Auch forensisch ist der zweite, innere Container nicht nachzuweisen. Dazu aber mehr in einem separaten Beitrag. VeraCrypt fragt nun, wo die verschlüsselte Datei abgelegt werden soll, wie diese heißt und welche Endung sie haben soll.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Speicherort, Dateiname und -Endung

Hier gezeigt, wurde links der Bibliothekenordner „Musik“ gewählt, der Dateiname und die Dateiendung (.mp3) auf eine sinnige Variante geändert. Ohne Wissen um die Verschlüsselung und Auto-Mount Optionen ist für einen dritten nicht so einfach festzustellen, dass das keine defekte Musik-Datei ist, welche sich nur nicht abspielen lässt, sondern ein VeraCrypt-Container. 🙂
Mit „Speichern“ werden die Informationen in VeraCrypt eingetragen. Lasst die Checkbox mit „Verlauf nicht speichern“ aktiviert und bestätigt mit „Weiter“.

Hashalgorithmus:

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Algorithmus zur Verschlüsselung

Hier sind die Standardeinstellungen, also AES und SHA-511 für den Anfang genügend. Interessierte Können sich mehr über Hash-Algorithmen durch einen Klick auf den unterstrichenen Link durchlesen. Sehr aufschlussreich…! Der Klick auf „Benchmark“ führt einen Leistungstest auf eurem System aus. Auf einer virtuellen Maschine mit begrenzten Ressourcen sieht das ganze so aus:

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Algorithmus Benchmark VeraCrypt

Man erkennt, warum die Standardeinstellungen überzeugen.

Gebt nun die gewünschte Größe des Containers an (wieviel Speicher darin zur Verfügung stehen soll) und klickt auf „Weiter“.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Größe des VeraCrypt Containers

Passwort zum Entschlüsseln einstellen.

Ihr werdet nun nach einem Passwort gefragt. Je länger desto besser, je ungewöhnlicher (Stichwort Sonderzeichen) desto sicherer. Aber Ihr müsst euch daran erinnern…^^ Gebt also auserkorenes Passwort zweimal ein, lasst es euch zur Not durch Klick auf die Checkbox „Passwort anzeigen“ in Klartext darstellen.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Passwort eingeben

Deaktiviert die Checkbox „PIM verwenden“ wie nicht auf dem Bild zu sehen. Dies ist eine erweiterte Sicherheitsfunktion, die je nach sinkender Komplexität des Passwortes die Anzahl der Iterationen erhöht. In der Praxis entscheidet sich hier, wie lange bei einer Pre-Boot Identifizierung der Bootvorgang dauert. Alles jenseits von 40 Sekunden macht absolut keinen Spaß. Einige Stunden Recherche später, ließ sich der Effekt mit Angabe der PIM-Nummer aufheben. Allerdings erkläre ich hier die Container-basierte Methode, bei der ich noch nicht testen konnte, inwieweit sich diese Zahl auswirkt. Also bis belastbare Erfahrungen dieser Seite vorliegen ohne manuelle Reduzierung der PIM. Bestätigt mit einen Klick auf „Weiter“.

Im nächsten und letzten Fenster wählt als Dateisystem „NTFS“ falls Ihr Dateien über 4GB benutzt, oder z.b. auch FAT32, falls nicht. Clustergröße bleibt auf Vorgabe und die Checkbox „dynamisch“ deaktiviert.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Zufallszahlen erstellen durch Maus bewegen

Bewegt nun so lange die Maus asystematisch in dem VeraCrypt Fenster, bis sich die anfangs gelbe Leiste unten vollständig grün füllt. Dadurch erreicht Ihr einebessere Verschlüsselung. Ein Klick auf „Formatieren“ erstellt den Container. Je nach Größe des Containers und Geschwindigkeit des Systems dauert das verschieden lange. Der aktuelle Fortschritt wird aber immer angezeigt.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Verschlüsselungsvorgang

Wenn dieser Vorgang beendet ist, bestätigt die aufpoppende Frage der Benutzerkontensteuerung mit „ja“. Beendet den Vorgang mit Klick auf „Beenden“.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Erstellen des Containers beendet

Weiter mit dem Einbinden und der Verwendung des gerade erstellten mit AES verschlüsselten VeraCrypt Containers.

Verschlüsselten Bereich/Verschlüsselte Partition (Container) zur Benutzung in Windows einbinden

Öffnet das Hauptfenster von VeraCrypt klickt auf den Laufwerksbuchstaben, welchen Ihr dem verschlüsselten Laufwerk zuweisen wollt, in meinem Fall „F:“ und dann auf „Datei“ wie im Bild markiert um VeraCrypt mitzuteilen, wo euer Container sich auf eurem System befindet.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Laufwerksbuchstabe und Container auswählen

Im folgenden Fenster wählt Ihr die unter Schritt eins erstellte Container-Datei aus, in meinem Fall die Datei „Mozart – Alte Werke.mp3“ in der Bibliothek „Musik“ und bestätigt mit „Öffnen“.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Einzubindenden Container auswählen

Ein Klick auf „Einbinden“ (Maus zeigt darauf) und VeraCrypt fragt nach dem eingestellten Passwort..

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Einbinden ausführen

An den Einstellungen braucht ihr nichts zu ändern, nur Passwort eingeben und mit „Ok“ bestätigen.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Passwort eingeben

Voila, ab jetzt ist euer verschlüsselter Container als Laufwerk (Buchstabe wie vorher markiert) eingebunden und ganz normal benutzbar. Alles was ihr auf diesem Laufwerk speichert ist verschlüsselt.

Bei Herunterfahren des PC hängt VeraCrapt den Container automatisch aus und erst nach wiederholen des kompletten Unterpunkte ab der Überschrift wieder ein. Wollt Ihr den Container vorher schon wieder „aushängen“ also vom System trennen, damit sich niemand an eurem PC daran zu schaffen machen kann, klickt Ihr im Hauptfenster von VeraCrypt auf „Alle trennen“.

Festplatten Verschlüsselung mit VeraCrypt inkl. Pre-Boot oder Container - Ch4rma.net
Container wieder trennen vom System

Somit sind Sie in der Lage einen verschlüsselten Container in Ihrem System zu erstellen, zu mounten (=einhängen/verbinden) und auch wieder zu dismounten (=aushängen/trennen). Teil 2/3 wird bald folgen.

Fragen, Fehler und/oder Anregungen gerne in den Kommentaren…

Zum einfacheren nachvollziehen, zusätzlich auch als Video-Tutorial: