Truecrypt 7.1a und Windows 10 Pro 1607: Mounted Volumes nach Start?

[CHnuschti]

Truecrypt 7.1.a und Windows 10 Pro 1607: Mounted Volumes nach Start?

Will das hier mal posten. Ich benutze Truecrypt 7.1a (TC). Damit habe ich sowohl Container, als auch Festplatten, die ganz verschlüsselt sind (=devices). Nur mit Passwort geschützt.
Das OS ist mit allen Proggis TC inklusive auf einer unverschlüsselten SSD.

Fahre hier mit normalem legacy BIOS, also kein UEFI, da ich UEFI bisher mehr als Behinderung verstanden habe. Die TC Platten wurden damals unter Win 8.0 eingerichtet. Bei den Updates auf Win 8.1. und 10 hab ich jeweils alles abgehängt damit nicht irgendwas irrtümlich zerschossen wird.
Probleme an und für sich habe ich mit TC und Win 10 eigentlich keine, so wie andere berichten mit Win 10, das aber wie mir scheint aufs UEFI zurückzuführen ist.


Bin erst seit kurzem von 8.1 auf Win 10 Pro umgestiegen, dann gleich aufs Anniversary Update, also Version 1607. Und begegne ein Sachverhalt, der mir bisher unbekannt ist. Wird mit gemounteten Festplatten und/oder Container (unabsichtlich) heruntergefahren, so sind diese beim nächsten Start (NICHT Neustart) dann bereits geladen??? Dachte eigentlich, durch das Runterfahren würden diese auf jeden Fall "geschlossen". Würde meinen, dass dies unter Win 8/8.1 sicher so war. Dass das Passwort "aktiviert" sozusagen weiterschlummert beruhigt mich nicht weiter.

Ist einwandfrei reproduzierbar.

Ich habe nie eines dieser TC-Automount Features benutzt, da ja eher witzlos beim eigentlichen Thema. Settings für das obige sehen wie folgt aus:


Wenn ich dort zusätzlich "wipe cached passwords on exit" anhake, bleib der Sachverhalt gleich.
Auch ein Kaltstart, also runterfahren und Stecker ziehen für 10min ändert nix daran.
Fällt mir nur noch auf dass "Wipe Cache" im Mount-Dialog ausgegraut ist.


Was hingegen hilft ist, der sog. Schnellstart in Win 10 abzuschalten, wie hier dargestellt:
https://www.deskmodder.de/wiki/inde...ieoptionen_deaktivieren_aktivieren_Windows_10
(bei mir ohne die dort angegebenen zusätzlichen Änderungen in der Registry)
Nach Neustart sind die TC-Volumes etc. geschlossen wie es ein sollte.

Ist das bereits bekannt und habe ich hier etwas verpasst und übersehen? Eine Einschätzung Dritter würde mich interessieren. Für so richtig vertrauenserweckend halte ich es nicht. Schon nur der Umstand, dass mit PW geöffnete Volumes ein Neustart überhaupt "überleben" können ...

Und nein, an Veracrypt & Al. bin ich vorerst nicht interessiert.

Gruss

 

[Atlan3000]

Mal ins blaue spekuliert: Ist der Schnellstartmodus denn nichts anderes wie früher der Ruhezustand bei einem Laptop, der schnell ein Abbild des Speichers auf die Festplatte schmeisst und wenn man die Klappe öffnet einfach wieder ins RAM lädt mit allen geladenen Programmen inklusive im Speicher aktiven Passwörtern? Wiegesagt nur so ein Gedanke. Tipp noch, angeblich ist Veracrypt abwärtskompatibel zu TC was ja niemals an Win10 angepasst wurde.

 

[miac]

Ja, fast wie der Ruhezustand, nur daß auch Treiberstatus erhalten bleiben.

TC ist eben schon älter, normalerweise müßte nach Neustart das Paßword, wie bei Bitlocker oder DiskCryptor, aus Sicherheitsgründen verlangt werden.

 

[crashbandicot]

Ist leider so.
https://www.computerbase.de/forum/t...rke-werden-nicht-mehr-autom-getrennt.1526578/

Seitdem habe ich den Schnellstart deaktiviert und alles ist wieder so wie gewünscht.

 

[Creati]

Probleme gab es aber auch schon unter Windows 8.1 mit dem Schnellstart und TC, nämlich bei der Vollverschlüsselung. Seite damals musste man schon immer den Schnellstart komplett deaktivieren.

 

[IceDragon2]

Hallo CHnuschti,

es gibt mit VeraCrypt einen kompatiblen, verbesserten TrueCrypt-Nachfolger.
https://sourceforge.net/projects/veracrypt/
https://veracrypt.codeplex.com/

Übrigens sind beide Programme auf Deutsch..

 

[crashbandicot]

VeraCrypt ist leider noch kein würdiger Nachfolger (Sicherheits Audits fehlen).

 

[CHnuschti]

Nun, danke für die Inputs und für die 2 Bestätigungen crashbandicot/creati. Der Ruhezustand, der diese Automount-Eigenschaft von TC bei Win 10 mit sich bringt, lässt sich wie mittels Link oben dargestellt, gänzlich entfernen.

Würde mich interessieren, ob hier jemand eine Vollverschlüsselung der Betriebssystem-Festplatte (system partition) von TC mit Win 10 mit Erfolg und Betrieb bestätigen kann?

Gruss

 

[Creati]

VeraCrypt ist leider noch kein würdiger Nachfolger (Sicherheits Audits fehlen).

Und TrueCrypt verfügt über öffentlich bekannte Sicherheitslücken, die nicht gefixt sind. Je nachdem wovor man sich schützen will, kann VeraCrypt ein würdiger Nachfolger sein.

@ CHnuschti
Kann ich für letztes Jahr bestätigen. Hatte TC bis Ende letzten Jahres im Einsatz als Vollverschlüsselung für Windows 10. Bin danach dann auf VeraCrypt umgestiegen.

 

[crashbandicot]

Und TrueCrypt verfügt über öffentlich bekannte Sicherheitslücken, die nicht gefixt sind.

Die Sicherheitslücken sind aber nicht schwerwiegend.
https://www.computerbase.de/2015-11/truecrypt-verschluesselungssoftware-sicherer-als-geglaubt/

 

[Creati]

Ich meinte auch eher Privilege Escalation: http://security.stackexchange.com/q...ements-for-the-truecrypt-privilege-escalation

Wahrscheinlichkeit geht zwar gegen Null, dass bei einem diese Lücke ausgenutzt wird, aber genauso sehe ich es auch mit dem Einsatz für VeraCrypt (ob es nun einen Audit gibt oder nicht). Vor den Gefahren, vor welchen ich mich schütze (Diebstahl, etc.) macht es keinen Unterschied, ob ich TC oder VC nutze. Zumindest gewichte ich so den fehlenden Audit gegenüber dem Privilege Escalation für mich

 

[miac]

VeraCrypt soll ja jetzt auch UEFI können...
In der neusten Version wurden wieder TC Fehler aus dem Audit behoben.

 

[CHnuschti]

Die Sicherheitslücken sind aber nicht schwerwiegend.
https://www.computerbase.de/2015-11/truecrypt-verschluesselungssoftware-sicherer-als-geglaubt/

Schliesse mich dem an, überzeugt hat mich Veracrypt nicht. In der Hinsicht gehöre ich zu den missmutigen älteren Knackern, die bei "neu, angepasst und besser!" schon rein aus Prinzip sich nicht beeidrucken lassen.

Die eher komischen Umstände und Verlautbarungen bei Einstellung von Truecrypt (TC) bestärkten mich als Laie eigentlich darin, dass die Anwendung doch wohl eher "zu sicher" ist. TC war recht lange ein wenig umstrittener Standard. Wenn es jetzt genommen wird, mit den paar Schwächen, und darum herum das Veracrypt gebastelt wird, gehe ich eher davon aus, dass damit nur noch weitere Schwächen eingebaut werden.

Gem. einigen Meinungen im Netz ist TC auch weiterhin mit Win 10 voll tauglich auch für Systemverschlüsselung, solange man auf den IMO eher zweifelhaften UEFI-Kram verzichtet, und eben die Problematik mit dem Schnellstart beachtet.

Etwas auffällig fand ich die Beflissenheit schon, wie viele sich in den Windschatten von TC hingen und "Nachfolger hier!" wedelten und vom TC Renomee profitieren wollten. Will es nicht schlechtreden, aber mein Eindruck bleibt, dass bei Veracrypt auf Teufel komm raus rumgewurstelt wird, so dass man vermeintlich sagen kann "voll kompatibel!". Z.B. die Meldung hier: http://www.heise.de/security/meldun...ftware-VeraCrypt-kann-jetzt-UEFI-3301464.html "jetzt UEFI!" kann mich nicht so richtig überzeugen, mit ihren wenn und abers.

Gruss

 

[CHnuschti]

Kleines Update.
Eingangs ist das Thema dargelegt, dass Truecrypt bei Neustart die Volumen bzw. Container bereits gemountet hat, die bei vorherigen Runterfahren nicht "dismounted" waren. Soweit so gut, mit den danach beschriebenen Massnahmen, eine Neustart zu "erzwingen", konnte dem entgegnet werden. Seit gestern habe ich auf Win 10 Pro 64 1709 das Update KB4074588, seither ist er Umstand wieder da, gemountete Volumen nach Neustart.
Ist vielleicht auch schon vorher eingetreten mit dem Creators Update, habs möglicherweise nicht bemerkt.

Siehe auch hier: https://www.deskmodder.de/wiki/inde...ks_auch_zum_Ruhezustand_Verlinkungen_und_mehr

Die Massnahme gem. obigem Link Punkt 3 funktioniert hier, "killt" gemountete Volumes beim Runterfahren.

Gruss