Veracrypt benötigt für externe 2TB-HDD minimum 1-2 Tage. Alternative Schnell-Formatierung sicher?

Ich fange jetzt einfach mal mit der neuen externen Festplatte an. Also Veracrypt Schnell-Formatierung - und gut ist.
Hierzu gleich aber nochmal eine Frage:

In der Veracrypt-Anleitung wird darauf hingewiesen, dass nur unpartionierte Festplatten verschlüsselt werden. Also die frisch in der Windows-Datenträgerwaltung angelegte Partition wieder gelöscht. (Mach ich halt immer so, um eine Zuweisung/ Laufswerksbuchstaben zu erhalten)

Jetzt bei der Vorbereitung der Verschlüsselung warnt Veracrypt aber - mE im Widerspruch zu obigem Hinweis - vor der Verschlüsselung der gesamten unpartitionierten Festplatte, weil so die Festplatte eventuell beim Mounten zerstört werden könnte(?!) Ob ich also doch nicht lieber eine Partition anlegen und nur diese verschlüsseln möchte.

Ja nee iss klar. :rolleyes:


Mach ich dann, auch wenn ich den logischen Faux-Pas nicht verstehe, halt einfach mal? Auf die dabei paar verlorene Bytes soll es dabei jedenfalls nicht ankommen.
 
Zuletzt bearbeitet:
Wenn du eine komplett unpartitionierte Platte verschlüsselst, kann es sein, dass Windows beim Verbinden des Laufwerks danach das Partitionslayout nicht erkennt und deswegen davon ausgeht, die Platte sei nicht initialisiert. In Windows poppt dann manchmal eine entsprechende Meldung auf, die dich zum Initialisieren auffordert. Wenn du dann nicht aufpasst und auf "Ja" klickst, wird ggf. der VeraCrypt Volume Header überschrieben, wodurch du das Volume erst mal nicht mehr mounten kannst. Es ist daher sicherer, eine Partition darauf anzulegen und nur diese zu verschlüsseln. Um noch mal etwas sicherer zu gehen, könntest du auch zwei Partitionen anlegen: Eine kleine (z.B. 16 MB große) Partition, die du nicht nutzt (die wird nicht verschlüsselt und auch nicht mit Daten beschrieben). Und dahinter dann über die restliche Größe die verschlüsselte Datenpartition. Somit hättest du am Anfang des Datenträgers einen kleinen Puffer, damit Windows nicht wegen Unachtsamkeit des Nutzers die verschlüsselte Partition überschreibt.
 
  • Gefällt mir
Reaktionen: rd1808
Vielen Dank für die gute Erklärung! Dann mach ich das doch auf jeden Fall.
Die zweite16 MB Partition, wie von Dir vorschgeschlagen, lege ich auch vorab entsprechend über die Datenträgerverwaltung an, richtig? Und was genau meinst Du mit "dahinter"? Spielt da die Reihenfolge der Anlegung eventuell auch noch eine Rolle? Wenn ich zuerst die zu verschlüsselnde Hauptpartition anlege und erst anschließend die zweite mit 16 MB, würde erstere dann nicht wie erwünscht 'dahinter' liegen? Vergebung, falls das eine dumme Frage ist.
 
Zuletzt bearbeitet:
Eine Partition in maximaler Größe reich vollkommen aus, bloß halt nicht formatieren und keinen Laufwerksbuchstaben zuweisen.
 
  • Gefällt mir
Reaktionen: rd1808
Das muss man dann mit Diskpart machen.

Ich bin sogar noch einen Schritt weiter gegangen und habe die Partition als Recovery Partition definiert und zusätzlich die GPT Attribute wie bei einer Recovery Partition gesetzt. Somit bekommt die Partition keinen Buchstaben zugewiesen und kann in der DV nicht gelöscht werden.

Man kann auch trotzdem eine kleine normale Partition anlegen um z.B. Veracrypt portable oder sonstwas drauf zu speichern, was man vielleicht immer dabei haben möchte.
 
Nach Posting #24 fühlte ich mich gerade endgültig bereit loszulegen, jetzt drohen neue Fragen den Horizont zu verfinstern und manche Klarheit wieder zu beseitigen. Muss ich mich für meine Zwecke jetzt wirklich auch noch u.a. in dieses Diskpart einarbeiten. Oder wäre das schätzungs- hoffnungsvollerweise nicht doch eher was für die türlich alle Hacks im Ärmel ziehenden Spezis unter euch? :freaky:
 
Zuletzt bearbeitet:
Diskpart ist unnötig, das geht locker in der Datenträgerverwaltung... let's go? Sonst bis Du in diesem Monat nie fertig. 😉
 
  • Gefällt mir
Reaktionen: el.com und rd1808
Richtig. Mit diskpart bitte nur arbeiten, wenn man sich damit auskennt. Als Laie hat man da schnell alles kaputt gemacht. Die Datenträgerverwaltung reicht dafür völlig aus. Und auch die Sache mit der kleinen 16 MB Partition am Anfang ist rein optional. Du musst das nicht machen. VeraCrypt wird auch vernünftig laufen, wenn du nur eine Partition anlegst und diese verschlüsselst. Denk nur dran, dieser Partition in der Datenträgerverwaltung den Laufwerkwerksbuchstaben wegzunehmen. Sonst meldet sich Windows jedes Mal mit dem "Möchten Sie den Datenträger formatieren?" Dialog. Das wird auf Dauer

a) nervig, und
b) gefährlich, wenn du doch mal versehentlich auf "Formatieren" klickst.
 
  • Gefällt mir
Reaktionen: rd1808
Lief dank auch Eurem gutem Zuspruch alles fix nach Plan. :daumen:
Will ich doch zumindest glauben.

In der Datenträgerverwaltung habe ich mal einfach mal für die zu verschlüsselnde Partition nicht die maximale Größe ausgereizt, mich also nicht lumpen lassen und für den guten Zweck 27MB gespendet. In meiner Jugend immerhin ein stattlicher Stapel Disketten. :D Da ich so keinen Platz für vielleicht noch eine, wie von einem User vorgeschlagen, Puffer-Partition vor bzw. links von meiner Hauptpartition erreicht habe (siehe Bildanhang), war diese Aktion wahrscheinlich wirklich nicht so unverzichtbar.

Die "Schnell-Formatierung" durch Veracrypt hat dann tatsächlich nur wenige Sekunden gedauert.
Kann das eigentlich wirklich sein?!
Kommt mir fast zu schnell um wahr zu sein vor.
Laufwerk lässt sich jedenfall jetzt in Veracrypt problemlos mounten.
Hatte auch damit gerechnet, dass das Mounten wesentlich länger dauern würde, geht aber alles ratzfatz.

Vielen Dank nochmals allen für die nette und kompetente Unterstützung, hätte ich so nicht so ohne weiteres hinbekommen!
 

Anhänge

  • part.jpg
    part.jpg
    31,2 KB · Aufrufe: 191
Zuletzt bearbeitet:
Wenn du die kleine Partition dahinter anstatt davor erstellt hast, macht sie wirklich keinen Sinn, denn deine eigentliche (verschlüsselte) Datenpartition liegt jetzt an erster Stelle in der Partitionierung. Aber sei es drum. Mach dir sicherheitshalber ein Header Backup von dem Volume und bewahr es gut auf (aber bitte auf einem separaten Speichermedium).
 
Weiß nichtmal, ob das überhaupt als Partition durchgeht, wird als unzugeordneter Bereich aufgeführt. Und wurde von der Win-Datenträgerverwaltung ohne mein Zutun oder mich zu fragen in dieser Reihenfolge festgelegt.


Aber wenn ich diese Minipartition ja sowieso nicht zwingend brauche, ist das ja eigentlich auch irrelevant. Dann lass ich es einfach mal so.

el.com schrieb:
Mach dir sicherheitshalber ein Header Backup von dem Volume und bewahr es gut auf (aber bitte auf einem separaten Speichermedium).

Sorry abermals für die Ahnungslosigkeit, aber was genau ist das bzw. warum & wie erstelle ich sowas? Google hilft mir da irgendwie auch nicht richtig weiter.

Merci!
 
rd1808 schrieb:
was genau ist das bzw. warum & wie erstelle ich sowas? Google hilft mir da irgendwie auch nicht richtig weiter.
Ernsthaft? Du kannst nicht drei/vier Wörter in Google eingeben und den links auf der ersten Seite folgen und ein bisschen lesen?
Bereits der erste Treffer liefert im Prinzip schon die Antwort:
https://veracrypt.eu/en/docs/program-menu/#tools-restore-volume-header

Oder etwas weiter unten:
https://xuad.net/artikel/truecrypt-fuer-einsteiger-teil-3-header-backup-und-automatisches-mounten
Ist zwar TC, aber macht keinen Unterschied vom Prinzip

Oder, oder, oder….
 
In VC auf Datenträger klicken und in der Liste die verschlüsselte Partition auswählen, aber danach nicht auf Einhängen klicken. Stattdessen klickst du auf Extras > Volumen-Kopfdaten sichern und folgst den Anweisungen. Dazu musst du ein mal das korrekte Volumepasswort eingeben.

Das Backup bewahrst du dann gut auf, und zwar auf einem separaten Datenträger (z.B. USB-Stick).

//edit:

Etwas Hintergrundinfo dazu: Jedes VC-Volume hat am Anfang einen Volume Header, in dem einige Metadaten über das verschlüsselte Volume stehen (u.a. der verschlüsselte Master Key, Salt, etc.) Wenn dieser Header beschädigt wird (z.B. durch eine Datenträgerinitialisierung oder Änderung des Partitionslayouts), kann das Volume mit VC nicht mehr gemountet werden. Alle VC-Volumes (außer verschlüsselten Systempartitionen) haben am Ende des Volumes noch ein integriertes Backup dieses Volume Headers, für den Fall dass der Header am Anfang beschädigt wird. Wenn allerdings auch der Header am Ende der Partition beschädigt wird, kannst du auf das Volume nicht mehr zugreifen. Deshalb sollte man sich von jedem verschlüsselten VC-Volume ein externes Headerbackup anlegen und auf einem separaten Datenträger speichern.

Übrigens: Wenn du mehrere Datenträger mit VC verschlüsselt hast, solltest du dieses Headerbackup für jedes dieser Volumes einzeln anlegen, auch wenn du überall das selbe Passwort verwendest, denn jedes Volume hat einen eigenen zufallsgenerierten Master Key. Soll heißen: Selbst wenn du für alle Volumes das gleiche Passwort nutzt, kannst du nicht das Headerbackup von Volume A zum Recovern von Volume B nutzen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: rd1808
Halte ich für unnötig, da es wie schon gesagt eh ein "Backup" gibt. Nicht verrückt machen lassen hier. 🤕
 
  • Gefällt mir
Reaktionen: rd1808
@el.com Ganz Herzlichen Dank für die hochgeschätzte Mühe und super Erklärung,
wieder was dazugelernt. Und wenn nach mir mal ein Veracrypt-Greenhorn die selbe Frage hat, wird er hoffentlich auf deinen Beitrag stoßen. :)

@Bob.Dig

Iwo, aber besser einmal zuviel als zuwenig. Schadet ja nicht.
;)
 
Ich hab gerade mal just4fun eine verschlüsselte Platte mit dem "Disks" Tool von Linux Mint angelegt.
Geht alles wesentlich einfacher, wahrscheinlich sogar DAU-tauglich.
 
rd1808 schrieb:
Kann man denn irgendo einsehen, wieviele Überschreibungsvorgänge Veracrypt standardmäßig durchführt und gibt es eine Option das ggf. nach unten anzupassen?
Veracrypt macht keine mehrfachen Überschreibvorgänge. Und nein, die Überschreiberei ist soweit ich weiß spätestens seit ATA Platten überflüssig. Urban Legend.
Veracrypt schreibt einfach beim voll formatieren die gesamte Platte mit Zufallsdaten voll. (Die man dann von den von dir geschriebenen Zufallsdaten (das Verschlüsselte) halt nicht unterscheiden kann. Ansonsten könnte da ja ein bekanntes Muster stehen, was man abgrenzen könnte.
Guck mal hier:
https://www.heise.de/security/meldung/Sicheres-Loeschen-Einmal-ueberschreiben-genuegt-198816.html
 
Zuletzt bearbeitet:
h2f schrieb:
Veracrypt macht keine mehrfachen Überschreibvorgänge

Interessant, Dank dir für die nehme ich jetzt einfach mal an zutreffende Info.
(Dass 1x Überschreiben hinreicht, habe ich wie geschrieben, auch schon allenorts gelesen)

Dass führt dann doch wieder auf die Ausgangsfrage zurück:
Warum benötigt Vercrypt mit standardmäßiger Verschlüsselung für die Verschlüsselung meiner 1,8TB-Partition 1-2 Tage.

Dagegen mit Schnell-Verschlüsselung, wie jetzt von mir scheinbar erfolgreich durchexerziert, offenbar nur wenige Sekunden.

Denn: eine einfache Überschreibung von 1,8TB mit Zufallsdaten dauert doch bestimmt keine 1-2 Tage.
 
Überschreiben bei Verschlüsselung, ist zum einen um alte Daten los zu werden, zum anderen um freien Speicher unsichtbar zu machen. Letzteres spielt, in der Praxis, jedoch absolut keine Rolle.

Übertriebene Sorgen der Cryptographie Experten und spätestens mit SSD so wie so Geschichte - sofern man TRIM weiter hin erlaubt, ist der freie Speicher, auch bei verschlüsselter SSD, sichtbar. Das ist ganz normal - die Daten selbst, bleiben weiter verschlüsselt somit, gar kein Problem.

Bei Festplatte macht man es einfach weiter hin erstmalig, weil man es kann und weil es nichts kostet bis auf das einmalige initialisieren - bei erneuter Verschlüsselung kann man dann schnell formatierung machen die Platte ist ja schon voll, mit Zufallsdaten

Und das voll schreiben kann schon so lange dauern - je nach Geschwindigkiet des PCs und des Laufwerks selbst
 
Zurück
Oben