Veracrypt komplettes System verschlüsseln

Topfkopf

Newbie
Registriert
Juli 2018
Beiträge
4
Hallo,
Ich möchte gerne mein Notebook mit Win10 komplett verschlüsseln, nun habe ich zwei Proleme:

1. Bei der System SSD Platte lässt sich nur das Windows System verschlüsseln, ich hätte aber gerne das komplette Laufwerk verschlüsselt jedoch ist dieses Feld ausgegraut. Gibt es hierzu eine Lösung?

Systemverschlüsselung.jpg



2. Auch meine zweite Daten Platte möchte ich komplett verschlüsseln, hier ist das Problem das nach frischer Einrichtung mit GPT Automatisch eine 16MB große Partition erstellt wird, was das komplette verschlüsseln des laufwerks ebenfalls verhindert und so nurnoch einzelne Partitionen verschlüsseln lässt. Kann ich die Platte löschen, verschlüsseln und dann erst Einrichten oder muss ich zwangsweise bei der Einrichtung MBR statt GPT wählen?

Datenverschlüsselung.jpg



Hier noch ein Screen der Datenträgerverwaltung:
Datenträgerverwaltung.jpg
 
Kann bei 1 nicht funktionieren, da die Bootloader auf der EFI-Partition liegen. Würde VeraCrypt die verschlüsseln könntest du nicht mehr davon Booten...

Zu 2: Verschlüssel doch einfach die Partition - oder besser gesagt: Was denkst du wäre ein Nachteil von der Methode?
 
Beim 2. Problem bin ich shcon etwas weiter gekomme, undzwar habe ich die Platte formatiert und den haken bei "Schnellformatierung durchführen" weggelassen. Nun scheint es wirklich nur eine partition auf der Platte zu sein jedoch kommt von Veracrypt immernoch die selbe meldung. Wo ist der Fehler?

daten.jpg

iamunknown schrieb:
Kann bei 1 nicht funktionieren, da die Bootloader auf der EFI-Partition liegen. Würde VeraCrypt die verschlüsseln könntest du nicht mehr davon Booten...

Zu 2: Verschlüssel doch einfach die Partition - oder besser gesagt: Was denkst du wäre ein Nachteil von der Methode?

Zu 1, kann man das durch ein clean install ändern, also das alles nurnoch auf einer partition gelegt wird.

Zu2, ich glaube dadurch eine angreifbare lücke auf der Platte zu haben, ich bin mir sicher das es nie dazu kommen wird das jemand mich oder mein pc als ziel hat, aber der Gedanke alleine stört mich nur.
 
1. Wenn du im Legacy-Modus installierst ja.
2. Was soll hier angreifbar werden? Der MBR? Evtl. funktioniert es wenn du eine unpartitionierte Platte verschlüsselst und danach eine oder mehrere Partitionen anlegst. Allerdings sehe ich darin nur Nachteile.
 
Topfkopf schrieb:
lässt sich nur das Windows System verschlüsseln, ich hätte aber gerne das komplette Laufwerk verschlüsselt jedoch ist dieses Feld ausgegraut. Gibt es hierzu eine Lösung?

Wie hier schon gesagt wurde, du hast das OS auf der Platte und nachträglich lassen sich dann nur Container verschlüsseln.
Ich empfehle dir in dem Fall Bitlocker.
 
Topfkopf schrieb:
Zu2, ich glaube dadurch eine angreifbare lücke auf der Platte zu haben, ich bin mir sicher das es nie dazu kommen wird das jemand mich oder mein pc als ziel hat, aber der Gedanke alleine stört mich nur.
Du benutzt Windows 10 aber das darüber theoretischerweise und in einem äußerst hypothetischen Szenario ein Angriff möglich sein könnte, das stört Dich? WTF?
 
  • Gefällt mir
Reaktionen: Googli und I'm unknown
Stimmt, wer Windows mit seinen ganzen Hintertüren im Betrieb nutzt, muss sich diese Frage stellen. Wobei es ihm wohl einfach darum ging, dass er Angst hat, irgendjemand könnte von "außen" von der einen Partition auf die andere Partition "eindringen".

Besser eine Verschlüsselung als gar keine. Denn wenn eine Hausdurchsuchung ansteht, um den bloßen Anfangsverdacht zu festigen, ist man aus der Nummer raus. Beweissicherung nicht möglich. Und heutzutage reicht die Bemerkung eines Nachbarn, man hätte etwas mit XY-Videos zu tun, schon aus, um eine Razzia auszulösen. Ich habe mit diesem Verein schon meine Erfahrungen gemacht. Ohne Verschlüsselung hast Du ganz ganz große Probleme.
 
  • Gefällt mir
Reaktionen: smart-
Mir ist bewusst das Windows Intern genug Angriffsfleche bietet, das heisst aber nicht das ich jetzt auch die Platte nicht mehr verschlüsseln brauch.

Nichts desto trotz hat sich nun ein neues Problem angebahnt, undzwar habe ich mich mit dem Gedanken abfinden können "nur" die Systempartition zu verschlüsseln, jedoch musste ich schnell festellen das auch hier viele Probleme auftreten.

Angefangen damit das wenn ich mit den Verschlüsselungsvorgang soweit bin dass die Medung kommt "Wollen Sie jetzt Neustarten?" um den Bootloader zu testen, klicke ich auf Ja dann starten der PC nicht neu sondern fährt einfach runter. Starte ich den PC selbst wieder, kommt eine Fehlermeldung:

"Secure Boot Violation
Invalid signature detected. Check Secure Boot Policy in Setup."

Daraufhin habe ich versucht manuell im im Bios und über powershell die zertifikate hinzuzufügen. Das habe ich natürlich nicht hinbekommen :(

Dann habe ich Secure Boot einfach abgeschalten und nochmal von vorne probiert, bis zur Frage wieder mit dem Neustart, da habe ich dann eigenständig den PC neu starten lassen aber der PC startet leider keinen Bootloader sonder kommt direkt wieder ins Windows zurück. Ich hatte beim letzten Versuch den rescue stick noch drinne, beim neustart bootete nun der stick und ich hatte eine auswahl an verschiedenen möglichkeiten, lediglich Auswahl ")d decrypt OS" und ")E exit" haben reagiert. Jedoch bei der Passwort abfrage kam immer nach eingabe ein fehler das PW Pim oder sonstiges nicht stmmen würde.

Kann mir hier jemand nochmal gründlich erklären wie ich das nun hinbekommen, vorzugsweise mit secure boot eingeschaltet.
 
Ich habe nun nach versucht nach dieser Anleitung zu machen, Ergebniss ist das ich nur Fehler erhalte. Was habe ich falsch gemacht?

PowerShell:
C:\Users\PC\Downloads\SecureBootVeraCrypt>powershell -ExecutionPolicy Bypass -File sb_set_siglists.ps1
Setting KEK-signed content of dbx...
Set-SecureBootUEFI : Falsche Authentifizierungsdaten: 0xC0000022
In C:\Users\PC\Downloads\SecureBootVeraCrypt\sb_set_siglists.ps1:18 Zeichen:1
+ Set-SecureBootUEFI -Time 2018-07-05T00:00:00Z -ContentFilePath $scrip ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Secur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
   reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.SecureBoot.Commands.SetSecureBootUefiCommand

Setting KEK-signed DCS cert in db...
Set-SecureBootUEFI : Falsche Authentifizierungsdaten: 0xC0000022
In C:\Users\PC\Downloads\SecureBootVeraCrypt\sb_set_siglists.ps1:21 Zeichen:1
+ Set-SecureBootUEFI -Time 2018-07-05T00:00:00Z -ContentFilePath $scrip ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Secur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
   reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.SecureBoot.Commands.SetSecureBootUefiCommand

Setting KEK-signed MS cert in db...
Set-SecureBootUEFI : Falsche Authentifizierungsdaten: 0xC0000022
In C:\Users\PC\Downloads\SecureBootVeraCrypt\sb_set_siglists.ps1:24 Zeichen:1
+ Set-SecureBootUEFI -Time 2018-07-05T00:00:00Z -ContentFilePath $scrip ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Secur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
   reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.SecureBoot.Commands.SetSecureBootUefiCommand

Setting KEK-signed MS UEFI cert in db...
Set-SecureBootUEFI : Falsche Authentifizierungsdaten: 0xC0000022
In C:\Users\PC\Downloads\SecureBootVeraCrypt\sb_set_siglists.ps1:27 Zeichen:1
+ Set-SecureBootUEFI -Time 2018-07-05T00:00:00Z -ContentFilePath $scrip ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Secur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
   reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.SecureBoot.Commands.SetSecureBootUefiCommand

Setting KEK-signed MSI certs in db...
Set-SecureBootUEFI : Falsche Authentifizierungsdaten: 0xC0000022
In C:\Users\PC\Downloads\SecureBootVeraCrypt\sb_set_siglists.ps1:30 Zeichen:1
+ Set-SecureBootUEFI -Time 2018-07-05T00:00:00Z -ContentFilePath $scrip ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Secur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
   reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.SecureBoot.Commands.SetSecureBootUefiCommand

Setting PK-signed KEK...
Set-SecureBootUEFI : Falsche Authentifizierungsdaten: 0xC0000022
In C:\Users\PC\Downloads\SecureBootVeraCrypt\sb_set_siglists.ps1:33 Zeichen:1
+ Set-SecureBootUEFI -Time 2018-07-05T00:00:00Z -ContentFilePath $scrip ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Secur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
   reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.SecureBoot.Commands.SetSecureBootUefiCommand

Setting self-signed PK...
Set-SecureBootUEFI : Falsche Authentifizierungsdaten: 0xC0000022
In C:\Users\PC\Downloads\SecureBootVeraCrypt\sb_set_siglists.ps1:36 Zeichen:1
+ Set-SecureBootUEFI -Time 2018-07-05T00:00:00Z -ContentFilePath $scrip ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Secur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
   reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.SecureBoot.Commands.SetSecureBootUefiCommand


C:\Users\PC\Downloads\SecureBootVeraCrypt>
 
Bei EFI + SecureBoot habe ich keinerlei Erfahrung. Da kann ich dich nur an das Offizielle Forum verweisen und/oder die 1.23 Beta: https://sourceforge.net/p/veracrypt/discussion/general/thread/0135ebe7/

Gerade EFI ist neben Sicherheitspatches eines der Haupttehmen der VeraCrypt-Entwickler. Auch wenn ich immer noch auf eine Optimierung für mehr Geschwindigkeit auf SSDs (Threads) hoffe...
 
Topfkopf schrieb:
Mir ist bewusst das Windows Intern genug Angriffsfleche bietet, das heisst aber nicht das ich jetzt auch die Platte nicht mehr verschlüsseln brauch.
Das war ja auch nicht der Punkt. Nur Deine Annahme, dass die Verschlüsselung evtl. nicht ganz wasserdicht sein könnte, weils da einen vermuteten theoretischen Angriffspunkt gibt passt dann aber absolut nicht mehr.

Topfkopf schrieb:
Kann mir hier jemand nochmal gründlich erklären wie ich das nun hinbekommen, vorzugsweise mit secure boot eingeschaltet.
Secure Boot ist primär dazu da, um vor Angriffe der Art zu schützen wie: Jemand steckt ein USB-Stick in Dein Rechner, um davon zu booten umd dann irgendwas mit Deinem Rechner zu machen/manipulieren/whatever.
Optimalerweise solltest Du dann auch noch Dein selbst generierten Schlüssel verwenden.
 
Zurück
Oben