TrueCrypt & VeraCrypt mit Windows 10 nur Probleme

[EthanHunt]

PC:
Lenovo ThinkPad T400 (hat kein UEFI)
Windows 10 Pro 64bit
SSD

Folgendes:

Windows 10 neu Installiert und gleich das ganze System verschlüsselt. (Der Host bereich wurde nicht verschlüsselt)
Funktioniert einwandfrei.

Windows 10 macht irgend ein Update
Beim neustart eingabe des richtigen Passworts hängt Windows beim Booten (Beim Logo und den sich drehenden punken).
bzw.: Die punkte drehen sich noch, aber nichts passiert.

Nach 3 Neustarts kommt die möglichkeit, Windows zu Reparieren.
Funktioniert alles nicht.
Bei VeraCrypt hat es zu Anfangs noch irgendwie funktioniert, es kam dann als Windows sich auf Starpobleme überprüft hat die Meldung das ein Neustart helfen könnte. Dann ging es seltsamerweise.
Aber später gings nicht mehr.

RettungsCD: Wiederherstellung des Bootloaders / Passwort wiederherstellen:
Bringt alles nichts.

Es lief jetzt 2 Tage mal ohne Probleme. Jetzt habe ich die VeraCrypt Version geupdatet. Der Bootloader wurde auch erneuert. Dachte mir gleich, dass das nicht gut geht. Aber wer nicht wagt, der nicht gewinnt, was?! =)


Es bleibt jetzt wieder hängen. Habe die Rettungs CD eingelegt und den Bootloader zurückgesetzt.
Jetzt geht nichts mehr. Falsches Passwort. Beim bestägigen der PIM kommt jetzt auch nichts mehr.
Vorher hat es da immer etwas eingefügt. Ich habe die PIM nicht vergeben.

Mounten kann ich das Laufwerk auch nicht. Den haken bei ,,Partition mit Systemverschl. ohne Pre-Boot Authentifikation einbinden.'' habe ich gestetzt.

Immer falsches Passwort. Ich kann die Komplette HDD nicht einbinden, da es eine Fehlermeldung gibt. Ich kann nur die einzelen Partitionen wählen. Aber keine der beiden (Windows/500MB Partition) funktoiniert.

Update: Es bootet zwar immer noch nicht, aber den Header hatte es wohl auch zerschossen.
Habe Ihn (Mit der Rettungs CD) wiederhergestellt. Es dauert eine Weile, bis das Passwort erkannt wird und man gefragt wird,ob man die Wiederherstellung des Header ausführen will.


Was meint Ihr, ist da noch was zu machen?

Ich finde das total beschissen, dass das mit Windows 10 nicht rund läuft. Microsofts BitLocker trau ich nicht nicht über den Weg.


bzw.: Vielen Dank schonmal für eue Antworten.

 

[Merle]

Entschlüssel das System mit der RescueCD komplett (*edit: wenn er dabei das Passwort nimmt). Ja, das dauert ewig.
Danach mit GParted die Bootloaderpartition (500MB) wieder aktiv setzen.

 

[EthanHunt]

Danke für deine Antwort.

Update:

Also ich habe jetzt nochmals den Header wiederhergestellt. Es ging doch, es dauert nur eine ganze Weile.
Jetzt konnte ich auch über USB auf die SSD zugreifen.

Also hatte es den Header zerschossen.

Was ich vorher auch versucht habe, ist bei der Windows Reparaturfunktion (Eingabeaufforderung)folgendes einzugeben:

BootRec /fixmbr -> Ist ja die gleiche funktion wie auf der Rettungsfunktion, den Originalen Bootloader wiederherzustellen.
BootRec /FixBoot -> Hier geht dann garnix mehr. Ich musste da zuerst den VeraCrypt Bootloader wiederherstellen. Danach kommt allerdings, dass keine Bootbare Partition mehr gefunden wurde.

 

[StockholmSyndr.]

Wenn Du eine SED-fähige SSD (oder HDD) hast, probier doch das.
Self-Encrypting Drives bringen AES-Verschlüsselung von Haus aus mit und das hat Vorteile gegenüber Softwarelösungen wie VeraCrypt, da es noch _vor_ dem Betriebssystem im BIOS ansetzt. Es könnte also kein Keylogger daherkommen und Dein PW abgreifen während Du es eingibst... oder eben diese dämlichen Windows10-Spirenzchen.

 

[EthanHunt]

Wenn Du eine SSD hast, nutze SED (self-encrypting drive)
Es verschlüsselt Deine komplette Festplatte mit AES 256bit und ist sicherer als VeraCrypt, da es noch _vor_ dem Betriebssystem im BIOS ansetzt. Es könnte also kein Keylogger daherkommen und Dein PW abgreifen während Du es eingibst.

Danke für die Antwort. =)

Der Grundgedanke war, dass ich das Notebook zu Hause gut schütze. Da es unbeaufsichtigt als ,,Server'' rumsteht.
Wenn man ein Windows Passwort setzt, kann man dieses ja mit er ,,Offline NT Password & Registry Editor'' BootCD umgehen.
Da hier das System vor dem Booten verschlüsselt geht das ja nicht.

Zudem ist mein Notebook auch wirklich verschlüsselt.
Hab wegen deines Beitrags auch mal im Bios geschaut, man kann da ein HDD Passwort setzen.
Ich weiß aber aktuell nicht, wie sicher das ganze ist bzgl. Datenwiederherstellung.

Ich hab hier nur eine SanDisk SSD Plus mit 120GB drin.

 

[Merle]

Der Grundgedanke war, dass ich das Notebook zu Hause gut schütze. Da es unbeaufsichtigt als ,,Server'' rumsteht.
Wenn man ein Windows Passwort setzt, kann man dieses ja mit er ,,Offline NT Password & Registry Editor'' BootCD umgehen.
Da hier das System vor dem Booten verschlüsselt geht das ja nicht.

Dem Grundgedanken gehst du auch mit encrypted devices nach. Da fragt das BIOS nach dem PW, ansonsten kann auf die Windowspartition/HDD nicht zugegriffen werden.

 

[EthanHunt]

Aber die SanDisk SSD Plus mit 120GB, hat aber keine Hardwareverschlüsselung oder?

 

[Creati]

Vor welchen Gefahren möchtest Du dich mit der Verschlüsselung schützen? Wenn Du dein Notebook nur vor normalen Langfingern absichern willst, reicht jede Maßnahme. Da kannst Du ein einfaches HDD Passwort nehmen, kannst die SED-verschlüsselung nutzen oder TC/Veracrypt/Bitlocker.

Willst Du Dich vor einer Staatsmacht schützen, hilft Dir nur eine Verschlüsselung mittels TrueCrypt/VeraCrypt und meiner Meinung nach auch Bitlocker bei deutschen Behörden. Sofern Microsoft eine Hintertür in Bitlocker verbaut mit einem einem Masterkey, werden sie den bestimmt nicht an deutsche Behörden geben. Der öffentliche Aufschrei wäre riesig. Die entsprechende Sicherheit ist aber auch nur vorhanden, wenn der Server aus ist. Solange dein Server an ist, hilft Dir keine Maßnahme. Im laufenden Betrieb kann bei den Softwarelösungen der Key aus dem RAM im laufenden Betrieb ausgelesen werden oder da es ein Windows-System ist, kann auch schnell die Bildschirmsperre umgangen werden.
Ich weiß gerade nicht, ob bei Lösungen mit TPM der Verschlüsselungskey auch im RAM liegt.

Ein normales HDD-Passwort stellt gegenüber Sicherheitsbehörden keinen ausreichenden Schutz dar. Meine letzte Recherche zu dem Thema hatte ergeben, dass es entsprechende Lösungen zum Bruteforcen der Passwörter gibt und angeblich kann es durch andere Lösungen auch umgangen werden, wenn es fehlerhaft implementiert wurde. Genaueres kann ich dazu nicht sagen, da ich es nur gelesen habe und die technischen Details nicht mehr im Kopf habe.

Meiner Meinung nach reicht ein HDD Passwort aus. Zusätzlich kannst Du noch Bitlocker nehmen, da damit eine entsprechende Kompatiblität vorhanden ist. Die SanDisk SSD Plus scheint keine Hardwareverschlüsselung zu haben.
Ich selbst hatte bis vor einer Woche alle System mit TC verschlüsselt. Inzwischen ist überall VeraCrypt im Einsatz (3 Windows 10 Systeme, 1 Windows Server 2012, 1 Windows Server 2012 R2, 3 Windows 7 Rechner).

 

[EthanHunt]

Hi,

Danke Creati für deine Antwort.
Ich möchte die Daten nur vor unbefugtem Zugriff schützen.

Wenn der Staat drauf zugreift wäre mir es egal, da der Inhalt für die
eh uninteressant ist.

Nur falls es jemand aus der Gegend klaut und allgemein jemand der mich kennt etc.
Geht den nix an was ich auf dem Rechner hab.

Achja, die SSD habe ich mit dem Passwort geschrottet, bzw.: mein ThinkPad hat Sie geschrottet.
Das Password ging am Anfang noch, beim 3. mal Booten ist überhaupt keines (Weder user, noch Masterpassword)
angenommen worden.

 

[Merle]

Wie bei VeraCrypt? Numlock? Capslock?

 

[M@rsupil@mi]

Ich möchte die Daten nur vor unbefugtem Zugriff schützen.

Dann gibt es keinen Grund Bitlocker nicht zu trauen.

Wenn du beim Aktivieren von BL einen lokalen Admin-Account verwendest, dann wird der Bitlocker-Key nicht online im MS-Account gespeichert, sondern du hast als letzten Rettungsweg nur den Recovery-Key, der bei der Aktivierung angelegt wird und entsprechend sicher verwahrt werden sollte.

 

[EthanHunt]

Wie bei VeraCrypt? Numlock? Capslock?

Ne, beim HDD (User+Master) Passwort, welches man im Bios vergeben kann.


Hab zwar schon was gefunden, wie man das HDD Passwort auslesen könnte,
aber das ist mir noch zu aufwendig und wurde auch nur bei einer SSD von WD getestet.

Der herkömmlichen Mittel (PartedMagic bzw.: Terminal -> HdParm) funktionieren nicht.

Dann gibt es keinen Grund Bitlocker nicht zu trauen.

Wenn du beim Aktivieren von BL einen lokalen Admin-Account verwendest, dann wird der Bitlocker-Key nicht online im MS-Account gespeichert, sondern du hast als letzten Rettungsweg nur den Recovery-Key, der bei der Aktivierung angelegt wird und entsprechend sicher verwahrt werden sollte.

Gut. :-)

Danke. =)

PS:
Habe es nochmals mit VeraCrypt, der aktuellen Version versucht.
Hängt sich nach einem Update immer noch auf.

Scheint wohl ein Hardware Problem zu sein.