VeraCrypt - wie optimal verschlüsseln?

[humancore]

Da ich auf meinem neuen System einige mit TrueCrypt und früheren Versionen von VeraCrypt verschlüsselte Festplatten neu verschlüsseln wollte, würde ich gern wissen was da der optimale Weg ist.

Mein Setup:

• Disk 1: 2 TB SSD intern als Systemlaufwerk, bereits mit VC verschlüsselt
• Disk 2: 2 TB HDD intern, aktuell noch mit TrueCrypt verschlüsselt, soll nochmal gelöscht und mit VC neu verschlüsselt werden, weil es in der aktuellen Version keinen TC-Kompatibilitätsmodus mehr gibt
• Disk 3: 500 GB SSD intern als weiterer Speicher, war mal ein Systemlaufwerk und soll nun ebenfalls gelöscht und mit VC neu verschlüsselt werden

Zuerst würde ich mit diskpart und "clean all" Disk 2 und 3 Low-level-formatieren. Dann ist die Frage, wenn die jeweils gelöschte Festplatte in Windows 11 initialisiert wird, soll das mit GPT oder MBR Partitionstabelle geschehen? Ich würde gern eine große Partition mit NTFS erstellen, die ich dann mit VeraCrypt encrypte und beim Booten über die ebenfalls mit VeraCrypt verschlüsselte Systempartition entschlüssle (dazu gleiches Passwort).

Ich hoffe ich habe mich verständlich ausgedrückt. Was wäre der Vorteil/Unterschied, einen Datenspeicher selbst oder eine auf diesem erstellte (alleinige) Partition zu verschlüsseln?

Am Ende möchte ich nur einmal beim Booten das Passwort eingeben und beim Windows-Start sollen alle Datenträger entsprechend bereitgestellt werden.

 

[BFF]

Mit diskpart clean all machst Du keine low level Formatierung sondern ueberschreibst den gesamten Datentraeger mit Nullen.

MBR oder GPT stellt sich erst mit der verwendeten Groesse > 2 TB. Im Endeffekt wirst Du GPT nehmen wollen.

Kann Veracrypt ueberhaupt einen unpartitionierten Datentraeger initialisieren?
Im Endeffekt braucht VC wohl eine Partition. Voellig egal ob der Datentraeger eine Partition hat oder Mehrere.

 

[wupi]

Kann Veracrypt ueberhaupt einen unpartitionierten Datentraeger initialisieren?

Ja, wird aber nicht empfohlen.

GPT, Partitionieren und den Rest über VC machen. Extra clean all drüber laufen lassen macht keinen Sinn.

 

[Nilson]

Wenn möglich die SSD über Secure-Erase löschen. Prüfe mal ob das dein UEFI anbietet.
Wenn möglich GPT nehmen um sich von den BIOS-Legacy-Features zu lösen.

 

[Cebo]

Mit diskpart clean all machst Du keine low level Formatierung sondern ueberschreibst den gesamten Datentraeger mit Nullen.

Das stimmt so nicht ganz. diskpart clean all löscht erst einmal nur die Partitionstabelle. Überschrieben wird dabei noch gar nichts (der Befehl ist ja auch in weniger als 1s abgeschlossen). Erst beim anschließenden Format Befehl (ohne Quickformat) wird der Datenträger überschrieben.
Da die Daten bisher bereits verschlüsselt waren, sehe ich hier keinen Grund den Datenträger noch einmal zu Überschreiben. Eine Schnellformatierung würde ausreichen.

 

[derbe]

Verschlüsseln und Windows? Irgendwie passt das nicht zusammen, auf Windows ist man nicht Herr seiner Daten. Sobald das System gestartet ist, bist du potenziell schon Nackt. Schau mal hier.

 

[BFF]

Komisch das "diskpart clean all" nach dem Enter direkt anfaengt und den Datentraeger nullt. Wenn nach einiger Zeit fertig muss der Datentraeger neu partitioniert und die Partition formatiert werden.

Probier das mal aus fuer Dich. @Cebo

Anyway. Unerheblich fuer den TE.

 

[Cebo]

Ok. Eine Verwechslung meinerseits. diskpart clean war ohne zu überschreiben. Führt man hinterher eine Formatierung ohne Schnellformatierung aus, landet man beim gleichen Ergebnis wie mit diskpart cleanall + Schnellformatierung.
Der Unterschied ist lediglich in welchem Schritt der Datenträger überschrieben wird.

 

[Cardhu]

Verschlüsseln und Windows? Irgendwie passt das nicht zusammen

Das passt sogar sehr gut zusammen, weil man ansonsten je nach Konfiguration die Platte einfach wo anders anschließt und alle Daten auslesen kann.
Einbrecher, ob nun mit oder ohne Durchsuchungsbefehl, gehen nicht unbedingt vorher auf Onlinerecherche bei einem PC.

 

[DHC]

diskpart clean all

Tante Google sagt folgendes dazu. @Cebo

Zitat:
"Mit dem Befehl „clean all“ wird der Inhalt des Laufwerks sicher gelöscht. Es wird über jeden Sektor auf der Festplatte geschrieben und vollständig auf Null gesetzt, um Daten auf der Festplatte zu löschen. Und die gelöschten Daten können nicht mit üblichen Tools wiederhergestellt werden."

 

[Kristatos]

Du brauchst bei TC-Partitionen keine Neuformatierung um auf VC zu gehen. Zuerst mit TC sicherheitshalber Backup des Headers. Dann die Partition mit einer älteren 1.25 Version von Veracrypt im TC-Modus normal mounten. Danach einfach unten bei Volume-Operationen Passwort ändern auswählen, oben das alte eingeben, Haken bei TC-Modus und dann das neue oder neue alte Passwort eingeben und ausführen.

Damit wird ein VC Header geschrieben und TC ist weg. Die eigentlichen Daten bleiben unverändert, eine Konvertierung der eigentlichen Daten ist nicht nötig.

 

[slrzo]

Ja, wird aber nicht empfohlen.

Hab ich an meinem PC seit Jahren so im Einsatz. Man muss nur aufpassen, wenn man irgendwas neu macht, da dann Windows evtl. mit der Meldung eines neuen unpartitionierten Laufwerks um die Ecke kommt und es entsprechend partitionieren möchte.

Wenn die Laufwerke (Disk 2 + 3) bereits verschlüsselt waren langt meiner Meinung nach einfach eine kurze Schnellformatierung. Danach einfach die Partitionen in VC verschlüsseln lassen. Wenn die Laufwerke noch nicht verschlüsselt waren und du Paranoid eingestellt bist kann man beim verschlüsseln das gesamte Laufwerk/Partition einmal mit Random Daten überschreiben lassen durch VC.


Fallstrick für automatisches mounten beim Booten:
Das Tastaturlayout bei der Systemverschlüsselung ist englisch. Damit die anderen Laufwerke entsperrt werden können benötigen Sie das gleiche Passwort. In diesem Fall musst du bei der Eingabe dein Tastaturlayout auf Englisch umstellen!
Danach einfach Volume als System Favorites hinzufügen und bei Organize System Favorites auswählen, dass die beim Start gemountet werden sollen.

 

[Don_2020]

Solbal ein Datenträger mit Daten beschrieben wurde ist er kontaminiert.
Da Hilft nur noch Säure, Sprengstoff oder brachiale Gewalt um die Daten sicher zu löschen.
Es soll eine "Firma" geben, da werden die Datenträger grundsätzlich unter Aufsicht geschreddert.
Aus dem Schredder-Staub kann man in einer sinnvollen Zeitspanne keine Daten mehr extraieren.

 

[humancore]

Wenn die Laufwerke (Disk 2 + 3) bereits verschlüsselt waren langt meiner Meinung nach einfach eine kurze Schnellformatierung. Danach einfach die Partitionen in VC verschlüsseln lassen. Wenn die Laufwerke noch nicht verschlüsselt waren und du Paranoid eingestellt bist kann man beim verschlüsseln das gesamte Laufwerk/Partition einmal mit Random Daten überschreiben lassen durch VC.

Hmm, okay, ich dachte auch es wäre vielleicht besser für den sauberen Betrieb der Platte, wenn man die Daten einmal komplett mit Nullen überschreibt und dann formatiert. Also wie gehe ich vor, einfach die entsprechende Partition unmounten in VeraCrypt und dann Rechtsklick in Windows 11 und formatieren (NTFS), die so erstellte Partition dann anschließend mit VC wieder encrypten?

Fallstrick für automatisches mounten beim Booten:
Das Tastaturlayout bei der Systemverschlüsselung ist englisch. Damit die anderen Laufwerke entsperrt werden können benötigen Sie das gleiche Passwort. In diesem Fall musst du bei der Eingabe dein Tastaturlayout auf Englisch umstellen!
Danach einfach Volume als System Favorites hinzufügen und bei Organize System Favorites auswählen, dass die beim Start gemountet werden sollen.

Den Trick kenn ich. Bzw. darauf achte ich schon.

Ergänzung (1. Juni 2024)

Du brauchst bei TC-Partitionen keine Neuformatierung um auf VC zu gehen. Zuerst mit TC sicherheitshalber Backup des Headers. Dann die Partition mit einer älteren 1.25 Version von Veracrypt im TC-Modus normal mounten. Danach einfach unten bei Volume-Operationen Passwort ändern auswählen, oben das alte eingeben, Haken bei TC-Modus und dann das neue oder neue alte Passwort eingeben und ausführen.

Ich hatte was von einem Security Issue von konvertierten TC-Volumes gelesen, ich finde nur gerade dazu nichts mehr. Generell den Tipp, lieber gleich über VC zu verschlüsseln. Die Zeitersparnis wäre es mir nicht wert, irgendein Risiko in Kauf zu nehmen, sei es noch so gering.

 

[Kristatos]

Ich hatte was von einem Security Issue von konvertierten TC-Volumes gelesen, ich finde nur gerade dazu nichts mehr. Generell den Tipp, lieber gleich über VC zu verschlüsseln. Die Zeitersparnis wäre es mir nicht wert, irgendein Risiko in Kauf zu nehmen, sei es noch so gering.

Was denn für ein Security Issue ? Du schreibst nur einen neuen VC Header, die Daten selbst sind doch AES & Co. verschlüsselt.