Veracrypt und Bitfehler

[mashkin]

Hallo,

Wie verhält es sich, wenn ich auf einer externen Festplatte ein Backup ablege und sie nach ein Paar Jahren einen Bitfehler /fehlerhaften Sektor aufweist?

Verstehe ich es richtig, dass bei einer unverschlüsselter Festplatte dann evtl. ein Paar Dateien nicht mehr lesbar wären, im Gegenzug aber bei einer mit Veracrypt verschlüsselten Festplatte ich an meine Daten gar nicht mehr komme, da es da auf jedes Bit ankommt?

 

[Fujiyama]

Normalerweise hat man doch eh ein Backup von dem (verschlüsselten) Medium. Daher sollte das keine Rolle spielen.
So ist zumindest das reguläre vorgehen...

 

[mashkin]

Sorry, aber das war hier gar nicht die Frage.

 

[tRITON]

Je nach Stelle in der verschlüsselten Datei ist da von alles weg bis ist reparierbar alles möglich.

Ich mache keine verschlüsselten Backups. Warum auch? Der Datenspeicher ist nur solange verbunden, wie Backup läuft.

 

[calippo]

Man kann vom Header, in dem der Schlüssel hinterlegt ist, ein Backup machen.
An der Stelle wäre ein Bitfehler wohl fatal. Allerdings legt Veracrypt wohl an zwei Stellen diese Daten ab, es müssten also zwei Bitfehler an diesen Stellen auftreten.

Nennt sich in der deutschen Version "Volumenkopfdaten sichern"

 

[I'm unknown]

Wie verhält es sich, wenn ich auf einer externen Festplatte ein Backup ablege und sie nach ein Paar Jahren einen Bitfehler /fehlerhaften Sektor aufweist?

Genauso wie eine unverschlüsselte Platte. Es gibt genau eine Stelle die abweicht: Der Header. Da ist ein Bitkipper tödlich, zur Not gibt es noch den Backup Header am Ende der Partition/Device/Datei oder eben den externen Backup Header. Bei allem anderen ist halt ein Bit nach dem Entschlüsseln gekippt (bzw. je nach Blockgröße der Verschlüsselung alles innerhalb des aktiven Blocks welches von dem Bit abhängt, also paar Bytes bis KB) - mehr oder weniger genauso wie ohne Verschlüsselung.

 

[mashkin]

Ich mache keine verschlüsselten Backups. Warum auch? Der Datenspeicher ist nur solange verbunden, wie Backup läuft.

Verstehe den Zusammenhang nicht?

Danke @calippo und @I'm unknown , das war die Info, die ich gebraucht habe.

Hatte irgendwo aufgeschnappt "Verschluesselung ist halt insofern kritisch, dass es da auf jedes bit ankommt" und deswegen hatte ich befürchtet, dass dann automatisch die ganzen Daten "weg" sind.

Aber dann kann ich ja beruhigt die Festplatte verschlüsseln und Volumenkopfdaten sichern.

 

[I'm unknown]

Aber dann kann ich ja beruhigt die Festplatte verschlüsseln und Volumenkopfdaten sichern.

Und daran denken dass bei Veracrypt eine Passwortänderungen auf das Backup vom Header nicht angewendet werden kann, also den Header neu sichern oder sich auch alte Passwörter merken .

Unabhängig ob verschlüsselt oder nicht hat man von wichtigen Daten Backups (die können ebenfalls verschlüsselt sein) - sonst waren es evtl. später keine wichtigen Daten gewesen .

 

[Ham Burger]

Verstehe den Zusammenhang nicht?

Das war so zu verstehen, das die meisten Leute ein Backup nur verschlüsseln, wenn dort, wo die Platte gelagert wird, der Zugriff durch Unbefugte zu befürchten ist. Der andere Personenkreis macht das Backup nur zur Sicherung der Daten vor Verlust. Und der Zugriff durch Fremde auf das Backup ist ja nur möglich, wenn der Datenträger während der kurzen Zeit des Backups irgend wo angeschlossen ist. Dann wandert ja das Medium irgendwo an einen sicheren Platz. Und wenn die Originaldaten weiterhin unverschlüsselt auf irgend einem in Betrieb befindlichen Rechner sind, ist ja dort auch kein Schutz gewährt.
Und ein Backup wichtiger Daten legt Niemand mal für ein paar Jahre in den Schrank.

 

[mashkin]

Und daran denken dass bei Veracrypt eine Passwortänderungen auf das Backup vom Header nicht angewendet werden kann, also den Header neu sichern oder sich auch alte Passwörter merken .

Ah ok, das ist gut zu wissen!

Nur um sicher zu gehen - mit Bitlocker verhält es sich genauso wie mit Veracrypt, dass es da reicht, Header zu sichern, um den evtl. Verlust aller Daten zu vermeiden?

 

[calippo]

Und der Zugriff durch Fremde auf das Backup ist ja nur möglich, wenn der Datenträger während der kurzen Zeit des Backups irgend wo angeschlossen ist.

Ist halt immer eine Frage, welches Szenario man absichern will.
In mein Szenario fällt u.a. ganz gewöhnlicher Wohnungseinbruch. Deswegen habe ich keine eigenen Dateien irgendwo unverschlüsselt rumliegen zu Hause. Hätte ich ein Bankschließfach, würde ich dort ggf. unverschlüsselte Backups ablegen.

Nur um sicher zu gehen - mit Bitlocker verhält es sich genauso wie mit Veracrypt, dass es da reicht, Header zu sichern, um den evtl. Verlust aller Daten zu vermeiden?

Gute Frage, den Wiederherstellungsschlüssel hast Du hoffentlich gespeichert? Ich denke, dass man damit alles wieder entschlüsseln kann, auch wenn Teile des Datenträgers defekt sind. Aber sicher bin ich mir nicht.

 

[Ham Burger]

Nun wäre da noch eine Frage meinerseits. Um welche Datenmengen handelt es sich denn bei den Backups, wie Du Deine Sicherung bezeichnest. Ein Backup ist ja etwas, was man regelmäßig macht und immer wieder aktualisiert. Da benutzt man dann auch mal frische Medien. Was sind das für Dinge, die man einmal sichert und dann Jahrelang nicht mehr anfasst. Hilf mir bitte, das zu verstehen.

Ergänzung (28. Februar 2022)

Oder miete Dir Webspace für 5€ im Monat bei 250GB. Nicht Google, Amazon und co.
Sichere dort regelmäßig Dein Kram verschlüsselt und gut ist es. Um die Hardware kümmern die sich, die machen tägliche Backups. Wäre das eine Alternative? Nebenbei hast Du da noch ne eigene Cloud und einen Sack voll Mailadressen mit eigenen Domains.

 

[I'm unknown]

Nur um sicher zu gehen - mit Bitlocker verhält es sich genauso wie mit Veracrypt, dass es da reicht, Header zu sichern, um den evtl. Verlust aller Daten zu vermeiden?

Soweit ich weiß gibt es dort nur den Widerherstellungsschlüssel. Das TrueCrypt und leicht geänderte VeraCrypt Format ist mit Backupheader am Ende und externem Backup Header eigentlich nicht kaputt zu bekommen, ob die Zahlenkombination von Bitlocker und die verfügbaren Rescue Tools ebenbürtig sind weiß ich nicht.

 

[mashkin]

Gute Frage, den Wiederherstellungsschlüssel hast Du hoffentlich gespeichert?

Ich habe noch gar nichts gemacht, überlegte erst, ob ich eine neue externe Festplatte verschlüsseln kann und wenn ja, womit am besten.

Um welche Datenmengen handelt es sich denn bei den Backups, wie Du Deine Sicherung bezeichnest. Ein Backup ist ja etwas, was man regelmäßig macht und immer wieder aktualisiert. Da benutzt man dann auch mal frische Medien. Was sind das für Dinge, die man einmal sichert und dann Jahrelang nicht mehr anfasst.

1 TB vlt? Ich will die Festplatte bei Verwandten lagern und ab und zu wenn ich zu Besuch bin aktualisieren. Also nicht jahrelang nicht mehr anfassen, aber auch nicht so regelmäßig.

Warum frische Medien? Solange die Festplatte gut funktioniert, werde ich sie ja nicht einfach so austauschen.

Das TrueCrypt und leicht geänderte VeraCrypt Format ist mit Backupheader am Ende und externem Backup Header eigentlich nicht kaputt zu bekommen, ob die Zahlenkombination von Bitlocker und die verfügbaren Rescue Tools ebenbürtig sind weiß ich nicht.

Ok, also doch vielleicht besser VeraCrypt.

Ergänzung (28. Februar 2022)

Oder miete Dir Webspace für 5€ im Monat bei 250GB. Nicht Google, Amazon und co.

Warum nicht Google und co? Wegen Servern außerhalb EU? Könnte man doch auch Boxcryptor oder so dazu verwenden.

Ich benutze Dropbox für Dateien mit denen ich regelmäßig arbeite, aber kompletter Datenbackup muss ich nicht über Webspace machen.

 

[calippo]

Ok, also doch vielleicht besser VeraCrypt.

Für 1TB an Daten auf einer externen Platte, die man bei anderen Leuten lagert, ist Veracrypt auf jeden Fall eine gute Lösung. Bitlocker hätte allenfalls den Vorteil, das es an jedem Windowsrechner funktioniert (funktionieren sollte). Nur für die Verschlüsselung braucht man eine Win Pro Version, mounten kann afaik auch Home.
Aber das ist in Deinem Fall ja nicht notwendig.

Zu überlegen ist, ob Du die ganze Platte komplett verschlüsselst oder auf eine unverschlüsselte Platte einen verschlüsselten 1TB Container legst. Ich hatte mal das Problem (noch mit Truecrpyt). dass eine interne komplett verschlüsselte Platte von Windows irgendwie neu initialisiert wurde. Da musste ich den Header wiederherstellen, seither nutze ich Container.

 

[gymfan]

Was sind das für Dinge, die man einmal sichert und dann Jahrelang nicht mehr anfasst. Hilf mir bitte, das zu verstehen.

Private Bilder, Videos, Scans aller für mich relevanten Dokumente, die ich zwar aufheben will aber nicht zwingend als Papier-Original benötige. Also sowas wie Versicherungsverträge oder meine Gehalts- und Steuerdaten. Aber genauso Scans handschrftlicher Dokumente von meinen Eltern. Im Grunde einfach alles, das ich nicht offen ins Internet stellen würde und digital archivere.

Da diese Daten und die zugehörigen Backups über Jahrzehnte inhaltlich unveränderliche sind, muss ich die Backups davon auch nicht ständig erneuern. Die liegen auf irgnedwelchen DVDs oder HDDs im Schrank, womit sie spätestens ext. gelagert oder beim nächsten Umzug auch mal jemand anderem in die Hand fallen können.

Mit Glück werden sie einmal jährlich auf Korrektheit geprüft. Das aber nur, weil es keine bezahlbaren Medien mit sinnvollen Kapazitäten gibt, bei denen man sich solchen, eigentlich unsinnigen Aufwand sparen kann.

Die ältesten DVDs/DVD-RAMs mit Backups sind über 15 Jahre alt, die HDDs teils auch schon 10 Jahre. Für das dritt/viert-Backups sind meine kleinst-HDDs (mit 0,5-1,5TB) wenigstens noch nutzbar.

Das war so zu verstehen, das die meisten Leute ein Backup nur verschlüsseln, wenn dort, wo die Platte gelagert wird, der Zugriff durch Unbefugte zu befürchten ist.

Ich verschlüssele auch lokal Daten nur, damit nicht zufällig jemand, der physiklisch an den PC oder die Datenträger kommt, mit den Daten etwas anfangen kann.

Nur weil ich heute noch fit und gesund bin, muss das schon morgen nicht mehr der Fall sein. Will ich dann, dass ein Angehöriger, der von IT keine Ahnung hat, den PC mit den unverschlüsselten Daten verkauft/verschrottet? Mit Glück wird derjenige die Daten noch mittels Windows löschen, was aber bekanntlich nutzlos ist.

Nur um sicher zu gehen - mit Bitlocker verhält es sich genauso wie mit Veracrypt, dass es da reicht, Header zu sichern, um den evtl. Verlust aller Daten zu vermeiden?

Willst Du Dich mit Deinen Backups auf eine proprietäre Software verlasen? Sicherst Du dann eine VM mit Windows und Bitlocker, damit Du die Archive später mit hoher Wahrscheinlichkeit wieder öffnen kannst?

Warum nicht Google und co? Wegen Servern außerhalb EU? Könnte man doch auch Boxcryptor oder so dazu verwenden.

Es sind Deine Daten, also musst Du selber wissen, wem Du sie anvertraust. Verschlüsselt dürfte es für rein private Daten egal sein.

Boxcryptor? Wenn ich die Übersicht korrekt verstehe, muss man dafür zahlen, wenn man schon nur die Dateinamen verschlüsselt haben müchte oder das ganze auf mehr wie zwei Geräten nutzen will? Dazu ist es closed sofatware bei der Du, genauso wie bei Bitlocker, darauf vertrauen musst, dass sie so lange läuft, wie Du Deine Daten entschlüsseln möchtest. Und dann hat man wieder eine Bindung an Windows? Für mich ist das nichts obwohl ich bisher auf dem Desktop nur Windows nutze.

 

[Ham Burger]

Irgend wie wird hier Archivierung und Backup in einen Topf geworfen.
Nun mal zum praktischen Teil. Die Verwandten wissen im Fall des Falles genau, wie sie mit der verschlüsselten Platte umgehen müssen, oder ist es nach Deinem plötzlichen unerwarteten Abtritt nicht mehr relevant, ob die Daten noch mal einer reaktivieren kann. Und wenn Tante Frieda die Platte beim Frühjahrsputz runterschmeißt? Da gibt es davon dann noch mehr Exemplare irgend wo anders gelagert?

 

[mashkin]

Mit Glück werden sie einmal jährlich auf Korrektheit geprüft.

Hmm, wie machst du das? Mir ist eben irgendwann aufgefallen, dass auf einer alten Sicherung einige Dateien korrupt waren, aber das habe ich natürlich erst gemerkt, wenn ich genau diese Dateien versucht habe zu öffnen. Ich kann doch nicht jährlich alle Dateien öffnen, um zu prüfen, ob sie noch funktionieren

Willst Du Dich mit Deinen Backups auf eine proprietäre Software verlasen?

Ok, das ist ein gutes Argument für VeraCrypt.

Boxcryptor müsste ich preismäßig anschauen, hatte es vor Paar Jahren ausprobiert, da war es kostenlos für mein Szenario. In Bezug auf proprietär wäre mir das in dem Fall egal, weil Backup auf Webspace nicht für eine lange Zeit gedacht ist (bei mir).

 

[gymfan]

Hmm, wie machst du das?

Mit einem Tool, das mir von (m.M.n. garantiert korrekten) Ausgangsdaten Prüfsummen erstellt und diese dann mit der Kopie/dem Backup vergleicht.

Da sich bei mir die Ordnerstrukturen von Original (=Archiv) und Backup nicht unterscheiden, könnte man sowas z.B. mit
https://www.heise.de/ct/hotline/Kopierte-Dateien-ueberpruefen-326742.html
erledigen (das ist auch wieder ein Windows-Tool).

Man könnte auch par2/Quickpar nutzen und zusätzlich, ähnlich einem RAID1/5, Wiederherstellerungdateien erzeugen und mit archiveren. Das ist dann als open source unter nahezu jedem OS lauffähig.

Oder man bastelt sich mit md5sum/sha256sum oder der PowerShell ein Script. Also eine Erweiterung von
https://www.pctipp.ch/praxis/windows-10/windows-10-sha256-hash-bordmitteln-pruefen-2507915.html

Für den Enduser ist u.U. eines der Tools besser geeignet
https://www.nirsoft.net/utils/hash_my_files.html
https://www.heise.de/download/product/winmd5checksum-92313
so lange man wieder bei Windows bleibt.

Voraussetzung ist natürlich, dass die Originaldateien bei der Erstellung der Prüfsummen korrekt sind. Bei meinen Bildern werden die Prüfsummen daher sofort nach dem Import von der Kamera erstellt, bei den übrigen Dateien immer dann, wenn ich sie aufs NAS kopiere.

Der Vorteil für mich ist, dass ich diese Prüfung auch mit dem Backup offline durchführen kann. Man benötigt nur das Backup, das Prüftool/Script und die Datei mit den Prüfsummen. Auf einem NAS mit passenden Dateisystem (z.B. BTRFS/ZFS) kann man sich sowas natürlich sparen

Der Nachteil ist, dass dabei automatisiert alle Dateien einmal gelesen werden, Auf USB2-HDDs dauert das halt lange. Teilt man 2TB auf 20 M-Disc BD-R XL auf, muss man dafür 20 BDs wechseln und mit Verschlüsselung auch 20 VC-Container mounten.

Boxcryptor ist wohl für max. 2 Geräte kostenlos, die nicht-Verschlüsselung der Dateinamen mag man hinnehmen. Für mich hat es das selbe Problem wie Bitlocker: es gibt nur eine Windows-Version. Ich hatte früher schon einmal ein Verschlüsselungs-Tool, dessen Support einfach eingestellt wurde. Und ob ich mich mit Win 11 wirklich anfreunden will, weiss ich noch nicht.

Irgend wie wird hier Archivierung und Backup in einen Topf geworfen.

Nein, es gibt ein Archiv (mein Haupt-NAS) und davon mehrere Backups. Teils in der eigenen Wohnung und teils extern gelagert. Und auch die Backups meines Archivs sollen verschlüsselt sein.

oder ist es nach Deinem plötzlichen unerwarteten Abtritt nicht mehr relevant,

Schön, dass es für Dich nur "fit und gesund" und "tot" gibt. Für mich gibt es dort durchaus noch einige Zwischenstufen. Die Sachen, die ein Verwandter unbedingt benötigt, wenn ich nicht mehr handlungsfähig bin, gibt es auch im Papier.

 

[Ham Burger]

Schön, dass es für Dich nur "fit und gesund" und "tot" gibt. Für mich gibt es dort durchaus noch einige Zwischenstufen.

War auch so gemeint. Die Frage, die sich mir stellte, war die, was ist, wenn Du nicht mehr in der Lage dazu sein solltest, sind dann die Hüter Deiner Backups in der Lage, mit den elektronischen Medien umzugehen? Ist ja bei Archivierung immer das Problem. Oder sind dann die gesicherten Dinge nicht mehr wichtig, abgesehen von den Papierobjekten.

Die Sachen, die ein Verwandter unbedingt benötigt, wenn ich nicht mehr handlungsfähig bin, gibt es auch im Papier.

OK. Da stören dann auch keine Bitfehler.
Mich hat auch einfach nur das Gesamthandling interessiert.