Frage zu Truecrypt Header

[marcelwr]

Hallo,

ich kann seit vorgestern meine externe mit TrueCrypt verschlüsselte Platte nicht mehr mounten. Es kommt immer die Meldung, dass das Passwort bzw. die Keyfiles falsch seien oder es keine TrueCrypt Partition ist. Ich habe heute den ganzen Tag damit zugebracht, das Forum zu durchstöbern und habe auch schon einiges ausprobiert:

• Ich habe versucht, das Laufwerk mit dem embedded backup header zu mounten, es kommt jedoch immer die Meldung, dass das Passwort falsch sei.
• Ich habe TestCrypt im Auto-Modus drüberlaufen lassen. Er findet zwar die Partition aber keinen Header.

Jetzt meine Frage: Ich habe noch ein anderes Laufwerk, das mit den gleichen Keyfiles und dem gleichen Passwort verschlüsselt ist. Kann ich den Header von dieser Platte exportieren und ihn dann irgendwie als Header für die kaputte Platte verwenden? Ist die Plattengröße irgendwie im Header gespeichert? Wenn ja wie kann ich den Header anpassen, damit die Plattengröße der funktionierenden Platte im Header übereinstimmt mit der defekten TrueCrypt Platte?

Vielen Dank für eure Hilfe!
Marcel

 

[Simanova]

Du brauchst den Rettungsdatenträger. Dieser sollte als Image oder auf CD gebrannt vorliegen.
Sollte dieser "weg" sein, so sind die Daten verloren.

Der Header eines anderen verschlüsselten Laufwerks kann nicht genutzt werden, da der Hashwert nicht gleich ist.

 

[marcelwr]

Ich habe keinen Datenträger. Es handelt sich nicht um das Bootlaufwerk, sondern um eine externe Festplatte ,die als ganzes mit Truecrypt verschlüsselt wurde.

 

[Kristatos]

Auf keinen Fall versuchen den Header von einer anderen Platte zu kopieren!! Der Header muss ja nicht defekt sein, kann viele Gründe haben. Lade Dir mal eine Linux Live CD PartedMagic und versuch die Platte damit zu mounten (da ist Truecrypt mit enthalten): http://www.chip.de/downloads/Parted-Magic_32391033.html

Ansonsten könntest Du noch versuchen die Platte mit Veracrypt zu mounten:
https://veracrypt.codeplex.com/

 

[Kronos60]

Ich hoffe nur, dass du deine Daten an einen anderen Ort gesichert hast.

 

[marcelwr]

Auf keinen Fall versuchen den Header von einer anderen Platte zu kopieren!! Der Header muss ja nicht defekt sein, kann viele Gründe haben. Lade Dir mal eine Linux Live CD PartedMagic und versuch die Platte damit zu mounten (da ist Truecrypt mit enthalten): http://www.chip.de/downloads/Parted-Magic_32391033.html

Ansonsten könntest Du noch versuchen die Platte mit Veracrypt zu mounten:
https://veracrypt.codeplex.com/

Danke für den Tipp. Werde es als nächstes per VeraCrypt probieren!
Ich dachte nur, wenn TestCrpt nicht mal einen Header findet, ist er auf jeden Fall hinüber.

Ergänzung (2. November 2015)

Danke für den Tipp. Werde es als nächstes per VeraCrypt probieren!
Ich dachte nur, wenn TestCrpt nicht mal einen Header findet, ist er auf jeden Fall hinüber.

Also mit VeraCrypt funktioniert es leider auch nicht. Habe es mit TrueCrypt Mode an/aus, automatischer und manueller Hash-Erkennung und use embedded header probiert.

 

[ichmich2000]

Das wird leider nicht funktionieren.

Der Header ist ab Bit 64 komplett verschlüsselt, du kannst ihn also nicht ändern ohne den Schlüssel.
Die ersten 64 Bit sind ein Salt, also eine Zufallszahl, die mit deinem Passwort und deinen Keyfiles genutzt wird, um den Header-Schlüssel zu berechnen.
Ob für den ersten und zweiten Header im Volume der gleiche Salt verwendet wird, kann ich dir nicht sicher sagen. Wenn das so wäre, könnte man den ersten Salt mit zweitem Rest-Header oder umgekehrt ausprobieren. Ich würde aber vermuten, dass auch die beiden Header unterschiedliche Salts haben, da man ansonsten ein TC-Volume als solches identifizieren könnte.
Für unterschiedliche Volumes werden aber auf jeden Fall ein neuer/neue Salt(s) generiert, so dass du mit einem gleich großen Volume mit gleichem Passwort und gleichen Keyfiles trotzdem nichts anfangen kannst.

Die einzige Chance wäre, wenn du das andere Volume nicht mit Truecrypt angelegt, sondern das jetzt defekte einfach nur kopiert hättest. Nur dann wären die Header gleich.

Ich würde an deiner Stelle die Platte mal ausbauen und direkt an Sata anschließen (wenn die externe per USB angeschlossen wird und der Controller nicht an dem Format der Platte herumbastelt).

Wenn wirklich der erste und zweite Header beschädigt sind, dann ist das ja keine Sache von einem gekippten Bit, da muss schon deutlich mehr kaputt sein. Mit sehr sehr viel Glück zickt der Controller beim Lesen und die Daten sind noch intakt.

Vielleicht vorher nochmal ausprobieren, ob du die Partition oder die ganze Platte ausgewählt hast, in dem du einfach mal beides versuchst zu mounten (also HarddiskX\Partition0 oder HarddiskX\Partition1).

 

[marcelwr]

Das wird leider nicht funktionieren.

Der Header ist ab Bit 64 komplett verschlüsselt, du kannst ihn also nicht ändern ohne den Schlüssel.
Die ersten 64 Bit sind ein Salt, also eine Zufallszahl, die mit deinem Passwort und deinen Keyfiles genutzt wird, um den Header-Schlüssel zu berechnen.
Ob für den ersten und zweiten Header im Volume der gleiche Salt verwendet wird, kann ich dir nicht sicher sagen. Wenn das so wäre, könnte man den ersten Salt mit zweitem Rest-Header oder umgekehrt ausprobieren. Ich würde aber vermuten, dass auch die beiden Header unterschiedliche Salts haben, da man ansonsten ein TC-Volume als solches identifizieren könnte.
Für unterschiedliche Volumes werden aber auf jeden Fall ein neuer/neue Salt(s) generiert, so dass du mit einem gleich großen Volume mit gleichem Passwort und gleichen Keyfiles trotzdem nichts anfangen kannst.

Die einzige Chance wäre, wenn du das andere Volume nicht mit Truecrypt angelegt, sondern das jetzt defekte einfach nur kopiert hättest. Nur dann wären die Header gleich.

Ich würde an deiner Stelle die Platte mal ausbauen und direkt an Sata anschließen (wenn die externe per USB angeschlossen wird und der Controller nicht an dem Format der Platte herumbastelt).

Wenn wirklich der erste und zweite Header beschädigt sind, dann ist das ja keine Sache von einem gekippten Bit, da muss schon deutlich mehr kaputt sein. Mit sehr sehr viel Glück zickt der Controller beim Lesen und die Daten sind noch intakt.

Vielleicht vorher nochmal ausprobieren, ob du die Partition oder die ganze Platte ausgewählt hast, in dem du einfach mal beides versuchst zu mounten (also HarddiskX\Partition0 oder HarddiskX\Partition1).

Danke für deine Hilfe. Habe schon sowohl Partition0 als auch Partition1 versucht zu mounten. Funtioniert beides nicht. Werde die Platte jetzt direkt an den SATA-Controller hängen, ohne Docking-Station.

 

[ichmich2000]

Also mit VeraCrypt funktioniert es leider auch nicht. Habe es mit TrueCrypt Mode an/aus, automatischer und manueller Hash-Erkennung und use embedded header probiert.

Ohne dich entmutigen zu wollen: Weitere Experimente mit Veracrypt bringen nichts. Die Änderungen im Code zu Truecrypt sind wirklich nur die auf der Seite beschriebenen Funktionen. Was die Wiederherstellbarkeit des Headers betrifft gibt es keine Änderungen.

 

[marcelwr]

Ohne dich entmutigen zu wollen: Weitere Experimente mit Veracrypt bringen nichts. Die Änderungen im Code zu Truecrypt sind wirklich nur die auf der Seite beschriebenen Funktionen. Was die Wiederherstellbarkeit des Headers betrifft gibt es keine Änderungen.

Dann bleibt nur noch die LinuxCD bzw. USB Stick mit PartitionMagic.

Direkt ans SATA anschließen hat leider auch nicht geklappt. Ich weiss gar nicht wie es dazu kommen konnte. Ich hatte die Platte noch vor zwei Tagen ganz normal genutzt und unmounted und als ich sie Stunden später wieder mounten wollte plötzlich nichts mehr.

 

[Simpson474]

Mach mal einen Screenshot von der Partitionsübersicht in TestCrypt, wo man die vorhandenen Partitionen auf der HDD erkennen kann. Allerdings sieht es hier nicht wirklich gut aus, zumindest ein Header hätte von TestCrypt gefunden werden müssen. Funktioniert die zweite HDD mit identischem Passwort und Keyfile noch? Ein Kopieren des TrueCrypt Headers ist aus den von "ichmich2000" genannten Gründen nicht möglich, allerdings kann man mit der zweiten HDD ausschließen, dass das Keyfile verändert wurde. Wie groß ist die HDD und welche USB-Dockingstation wurde verwendet? Leider funktionieren HDDs ab 3 TB in vielen USB-Dockingstationen problemlos, bis die 2.2 TB Grenze mit Daten überschritten wird. Sobald dies der Fall ist, wird statt am Ende der HDD wieder am Anfang der HDD geschrieben, womit zumindest der normale TrueCrypt-Header (und meist noch deutlich mehr) zerstört wird.

 

[marcelwr]

Mach mal einen Screenshot von der Partitionsübersicht in TestCrypt, wo man die vorhandenen Partitionen auf der HDD erkennen kann. Allerdings sieht es hier nicht wirklich gut aus, zumindest ein Header hätte von TestCrypt gefunden werden müssen. Funktioniert die zweite HDD mit identischem Passwort und Keyfile noch? Ein Kopieren des TrueCrypt Headers ist aus den von "ichmich2000" genannten Gründen nicht möglich, allerdings kann man mit der zweiten HDD ausschließen, dass das Keyfile verändert wurde. Wie groß ist die HDD und welche USB-Dockingstation wurde verwendet? Leider funktionieren HDDs ab 3 TB in vielen USB-Dockingstationen problemlos, bis die 2.2 TB Grenze mit Daten überschritten wird. Sobald dies der Fall ist, wird statt am Ende der HDD wieder am Anfang der HDD geschrieben, womit zumindest der normale TrueCrypt-Header (und meist noch deutlich mehr) zerstört wird.

Die Partitionsübersicht in TestCrypt sieht folgendermaßen aus:


Volume 2
================================================================================
Type: FixedMedia
Size: 750156374016 Bytes
Bytes per Sector: 512
Geometry: 91201/255/63

Partition 1
================================================================================
Type: 7 - HPFS/NTFS
Bootable: False
Start Offset: 0/32/33 (1048576 Bytes)
End Offset: 91201/20/19 (750154416128 Bytes)
Hidden Sectors: 2048

Begin of Partition Analyzer
================================================================================
Partition 1: None

End of Partition Analyzer
================================================================================
Partition 1: None

Begin of Volume Analyzer
================================================================================
Automatic

End of Volume Analyzer
================================================================================
Automatic

Custom Analyzer
================================================================================

Scan Ranges (optimized)
================================================================================
0/0/1 (0 LBA) - 0/65/2 (4096 LBA)
91200/10/59 (1465128688 LBA) - 91201/80/63 (1465149167 LBA)

Die zweite HDD funktioniert mit den gleichen Keyfiles und gleichem Passwort einwandfrei. Die Platte ist insgesamt 750GB groß. Als DockingStation benutze ich eine Icy.

 

[Simpson474]

Die Analysebereiche von TestCrypt passen - keine Ahnung was da mit den TrueCrypt Headern passiert ist. Du könntest noch einen Screenshot von Sektor 2048 (z.B. mit WinHex oder HxD) hier reinstellen: ich befürchte jedoch, dass man dort auch nicht mehr erkennen kann.

 

[wupi]

Du solltest immer ein Header Backup machen, es kann immer was passieren. :/

 

[marcelwr]

Die Analysebereiche von TestCrypt passen - keine Ahnung was da mit den TrueCrypt Headern passiert ist. Du könntest noch einen Screenshot von Sektor 2048 (z.B. mit WinHex oder HxD) hier reinstellen: ich befürchte jedoch, dass man dort auch nicht mehr erkennen kann.

So, ich habe einen Screenshot von Sektor 2048 gemacht.

 

[Simpson474]

So wie es aussieht, hat FreeBSD (oder ein Ableger) eine FAT32 Partition über die TrueCrypt Partition geschrieben. Was steht in Sektor 1465145343 bzw. 1465145344?

 

[marcelwr]

So wie es aussieht, hat FreeBSD (oder ein Ableger) eine FAT32 Partition über die TrueCrypt Partition geschrieben. Was steht in Sektor 1465145343 bzw. 1465145344?

Bei den beiden Sektoren steht überall 0 drin.
Bei Sektor 1465141247 ist der Übergang zwischen random und 0.

 

[Simpson474]

Sieht so aus, als wurde auch der Backup-Header des TrueCrypt-Volumes überschrieben.