VeraCrypt
Für alle hier genannten Methoden ist die Software VeraCrypt notwendig. Das heißt sowohl zu verschlüsseln, also auch zum entschlüsseln (verschlüsselte Sticks/Ordner wieder öffnen) muss dieses Programm auf dem PC installiert sein. Ohne geht es leider nicht.
VeraCrypt installieren
Herunterladen der Installationsdatei
Um VeraCrypt zu installieren, muss zunächst die passende Installer-Datei heruntergeladen werden. Diese wird auf der Seite von VeraCrypt zur Verfügung gestellt.
Verifikation der Installationsdatei
Wir müssen nun die Authentizität und Integrität der heruntergeladenen Datei prüfen. Integrität bedeutet, dass die Datei nicht beschädigt oder während des Downloads manipuliert wurde. Authentizität bedeutet, dass wir die Datei von der Quelle heruntergeladen haben, wie wir es auch beabsichtigt haben. Das tun wir mittels Prüfsummen und PGP/GPG-Signaturen. Für eine ausführliche Erklärung lies dir bitte XYZ Artikel durch. Dort ist erklärt, was es technisch damit auf sich hat.
In Kürze: Die Entwickler:innen berechnen aus der Datei, die sie zum Download zur Verfügung stellen, einen Hashwert. Dieser zeigt auf die schnelle an, ob eine Datei während des Downloads manipuliert wurde oder unvollständig ist. Die Entwickler:innen signieren den Hash-Wert der Download-Datei mit ihrem private PGP-Key. Das Ergebnis davon nennt man Signatur. Wir können nun die Signatur überprüfen, indem wir versuchen, sie mit dem passenden public PGP-Key zu entschlüsseln. Dabei hilft uns in der Regel ein Programm. Die korrekte Signatur gibt also an, dass es die Entwickler selbst waren, die die Download-Datei und den Hash-Wert zur Verfügung gestellt haben.
Installation von PGP
Für die nächsten Schritte müssen wir ein Programm installieren, was mit PGP-Signaturen umgehen kann. Unter Linux ist das bereits vorinstalliert. Für Windows muss es hier heruntergeladen und installiert werden. Für MacOS kann homebrew heruntergeladen und installiert werden.
Herunterladen, Verifizieren und Importieren vom public Key der Entwickler:innen
Zunächst brauchen wir den public PGP-Key der Entwickler:innen. Damit können wir überprüfen, ob die Signatur der Download-Datei korrekt ist. Der Public Key kann hier heruntergeladen und unter Downloads gespeichert werden. Nun muss überprüft werden, ob der richtige Schlüssel heruntergeladen wurde, indem der Fingerprint (eine individuelle Kennung eines Schlüssels) abgeglichen wird. Dazu unter Windows eine CMD und in Linux ein Terminal öffnen und folgendes eingeben:
cd Downloads gpg VeraCrypt_PGP_public_key.asc
Der Fingerprint (36-stellige Ziffernfolge), der ausgegeben wird, muss mit dem auf der Seite von Veracrypt übereinstimmen. Dann ist der Schlüssel korrekt und er kann importiert werden. Dazu wieder unter Windows eine CMD und in Linux ein Terminal öffnen und folgendes eingeben:
cd Downloads gpg --import VeraCrypt_PGP_public_key.asc
Download der Signatur von VeraCrypt
Nun müssen wir von der VeraCrypt-Seite die Signatur passend zur Installationsdatei herunterladen und unter Downloads speichern. Es ist wichtig, die Signatur herunterzuladen, die direkt hinter der vorhin heruntergeladenen Installations-Datei steht.
Überprüfen der Signatur der Installations-Datei
Nun prüfen wir mittels der Signatur und des public-Keys, ob die Installations-Datei vollständig ist und tatsächlich von den Entwickler:innen von VeraCrypt heruntergeladen wurde. Dazu wieder unter Windows eine CMD und in Linux ein Terminal öffnen und folgendes eingeben:
gpg –verify [vollständiger Name der Signatur] [vollständiger Name der Installations-Datei]
z.B.
gpg --verify veracrypt-1.26.20-Ubuntu-24.04-amd64.deb.sig veracrypt-1.26.20-Ubuntu-24.04-amd64.deb
Im Output muss nun „Korrekte Signatur von "VeraCrypt Team (2018 - Supersedes Key ID=0x54DDD393) veracrypt@idrix.fr" [unbekannt]“ stehen. Dann ist die Installations-Datei vertrauenswürdig und kann nun installiert werden. Dass dort eine Warnung mit dem Hinweis steht, dass der Schlüssel keine vertrauenswürdige Signatur trägt, können wir vernachlässigen.
Installation von VeraCrypt
Durch Doppelklick auf die Installationsdatei kann VeraCrypt nun installiert werden.
Updaten von VeraCrypt
Das Updaten funktioniert genauso wie die Installation. Man muss die Installations-Datei downloaden, verifizieren und dann „drüber installieren“.
Komplette Festplatten/USB-Sticks oder Ordner mit VeraCrypt verschlüsseln
Um einen gesamten USB-Stick oder Festplatte (Speichermedium) zu verschlüsseln gibt es zwei Möglichkeiten:
- Einen Ordner so groß, wie das gesamten Speichermedium erstellen und verschlüsseln
- Das Dateisystem der Festplatte selbst verschlüsseln
Weil bei Option 2 so einiges schief gehen kann, empfehlen wir generell die 1. Option. Dadurch sollte es keinerlei Nachteile geben. Das bedeutet auch, dass bei der 1. Option der Vorgang für einzelne Ordner zu verschlüsseln, oder gleich den gesamten Stick/Festplatte, identisch sind.
Wenn das zu verschlüsselnde Gerät aber FAT32 formatiert und größer als 4GB ist funktioniert das leider nicht, was leider häufiger der Fall ist.
Details zu FAT32 und co.
Neue USB-Sticks werden oft mit FAT32 Formatierung ausgeliefert. Das ist in sofern ein Problem, als das auf FAT32 u.ä. keine Dateien größer 4GB abgespeichert werden können.
Da der Stick wahrscheinlich größer als 4GB ist, muss für Option 1 auch eine Datei (dh. der Ordner; siehe weiter unten) größer als 4GB darauf erstellt werden, was in diesem Falle fehlschlagen wird.
Das merkst du spätestens am Ende, wenn sich der Prozess (wie in dem Screenshot unten) bei 4GB aufhängt: $32GB \cdot 13% \approx 4GB$
Sollte das besagte Speichermedium eben solch eine Formatierung haben, muss es für entweder für Option 1 umformatiert werden (benötigt andere Software), oder Option 2 gewählt werden.
Wir beschreiben von nun an beide Optionen parallel. Sofern es bei einzelnen Punkten Abweichungen gibt, werden die beiden Optionen durch die Überschriften "Option 1" bzw "Option 2" gekennzeichnet. Der Rest gilt für beide Optionen.
VeraCrypt öffnen
- Klicke auf
Create Volume
Option 1: Datei für Container erstellen
Der verschlüsselte "Ordner" ist für den PC eigentlich nur eine Datei, die bei VeraCrypt Container heißt. Wir können sie nur später mittels VeraCrypt als normalen Ordner benutzen.
- Ein VeraCrypt-Container ist für den PC nur eine Datei
- Für uns sieht der Container später wie ein normaler Ordner aus
- Hier wählen wir wie oben beschrieben, einen "Datei-Container" aus:
Next>
- Dann wähle
Standard VeraCrypt VolumeundNext>
Unter dem Location Menü, wählen wir jetzt den Ort, an dem VeraCrypt den Ordner(Container) für uns ablegen soll. Das soll natürlich unser Stick/Festplatte sein.
- Klicke also
Select File - Darauf hin öffnet sich der Dateimanager. Navigiere hier auf den Stick/Festplatte, die verschlüsselt werden soll.
- Jetzt erstellen wir diese ominöse Datei, die später zu unserem verschlüsselten Ordner wird. Gib dafür in dem dafür vorgesehenen Feld einen Namen für die Datei ein. Es ist technisch irrelevant wie sie heißt, es wird aber der Name jener Datei sein, die man später sieht, wenn man den Stick einfach einsteckt und öffnet.
- Bestätige mit
Save
Option 2: Ganzes Dateisystem verschlüsseln
Standard VeraCrypt Volume>Next>
Nun müssen wir das Speichermedium auswählen.
Die Liste zeigt jetzt alle verfügbaren Speichermedien an, die mit dem Rechner verbunden sind, also auch andere Festplatten, USB-Sticks, SD-Karten usw.
Alle Dateien auf dem Gerät, dass hier ausgewählt wird, werden unwiederbringlich gelöscht, also stelle sicher, dass du das richtige Gerät auswählst!
Meist hilft ein Blick auf die Speichergröße, um den richtigen Stick zu erkennen. Solltest du eine Festplatte verschlüsseln wollen, die evtl genau so groß wie andere angeschlossene Speichermedien ist, musst du dir den Pfad/Mountpoint anschauen.
- Bestätige die Warnung, dass alle Dateien auf dem ausgewählten Gerät zerstört werden.
Encryption Options
Die Standart-Einstellungen sollen uns hier ohne weitere Erklärung genügen, da das sonst den Rahmen sprengt.
Next>
Option 1: Volume Size
Hier legen wir fest, wie groß der Container(Ordner) später sein soll. Es kann also je nach freiem Speicherplatz eine Größe frei gewählt werden.
Größe wählen
Hier sollte nur beachtet werden, dass wenn später eine z.B. 100 MB große Datei in den Ordner gelegt werden soll, hier etwas mehr Platz gewählt werden sollte, z.B. 110 MB. Das liegt daran, dass die Verschlüsselung auch selber etwas Platz weg nimmt.
Option 1: Ordner so groß wie gesamter Stick
Wie im oberen Bild zu sehen ist, gibt es ein extra Häkchen, um den gesamten freien Platz für die Erstellung des Containers(Ordners) zu verwenden.
Beispiel
Sollte sich also auf einem 4GB großen Stick schon vorher 1 GB Daten befinden, wird der neue Container mit dieser Option 3GB groß und die vorhandenen Daten bleiben bestehen.
Das ist der Grund, warum wir ganz am Anfang die 1. Option gewählt haben, da bei der zweiten Option alle Daten gelöscht werden, sollte z.B. die falsche Festplatte ausgewählt werden.
Es erscheint eine Warnung, dass Dateien größer als 4GB nicht auf FAT32 gespeichert werden können. Hier könnt ihr einfach OK klicken.
Passwort setzen
Hier wird das Passwort gesetzt, mit dem Der Container verschlüsselt werden wird. Dafür sollte ein starkes Passwort gewählt werden, da es sonst einfach erraten werden kann.
Am besten wird hierfür ein Passwort mit einem Passwortmanager generiert und abgespeichert, wie z.B. hier:
Dateisystem Einstellungen
Nun werden wir gefragt, ob wir Dateien größer als 4GB in unserem Ordner speichern wollen (das hatten wir eben schon einmal).
Wenn ihr euch sicher seit, dass ihr das nicht tun werden, klickt auf nein, ansonsten auf ja.
Danach muss ein Dateisystem festgelegt werden.
- Wähle
exFAT, wenn du den Speicher auf Windows Computern benutzen willst - Wähle
ext4, wenn du den Speicher sowieso nur auf Linux und MacOS benutzen willst - Wähle
NTFS, wenn du den Speicher nur auf Windows benutzen willst.
Die jeweiligen Plattformen können unter Umständen mit allen Formaten umgehen, diese Empfehlungen sollten aber problemlos funktionieren.
Quick Format
Das Häkchen bei Quick Format ist meist nur für Option 2 verfügbar. Es bedeutet, dass bei der Verschlüsselung der Speichers nicht mit zufälligen Bits überschrieben wird. Der Vorteil davon ist, dass, besonders für große Datenträger, sich der Verschlüsselungsprozess extrem verkürzt, bzw. nur noch Sekunden dauert.
Das bringt aber auch Unsicherheiten mit sich und deshalb wählen wir das nur aus, wenn:
- Auf diesem Speichermedium noch nie kompromittierende Daten drauf waren. (Nie heißt hier wirklich nie, siehe Datenhygiene), oder
- Das Speichermedium jetzt grade auch schon gut verschlüsselt ist, sein Passwort keinem Feind bekannt und es jetzt nur "nochmal neu" verschlüsselt wird (warum auch immer).
Gib als nächstes an, ob du das Speichermedium auch auf anderen Betriebssystemen als deinem jetzigen benutzen willst (im Zweifel, nur für den Fall, immer diese Option).
Zufallsgenerator
Jetzt öffnet sich der "Zufallsgenerator". Ohne weiter darauf einzugehen sei hier gesagt, dass gute Verschlüsselung von zufällig generierten Daten abhängt, die mit in die Verschlüsselung "rein gemischt" werden.
Da Computer darin nicht perfekt sind, fordert VeraCrypt hier den Menschen dazu auf, mit der Maus zufällige Bewegungen in dem Fenster zu machen. Dabei füllt sich langsam die blaue Leiste unter "Randomness Collected From Mouse Movements".
Die Leiste sollte mindestens halb voll werden, mehr ist besser.
Next>
Verschlüsselungsprozess
Nun beginnt VeraCrypt die Datei in der festgelegten Größe und den gewählten Einstellungen zu verschlüsseln. Dafür schreibt es zuerst (wenn kein Quick Format gewählt) zufällige Einsen und Nullen auf den gesamten Container. Je nach seiner Größe kann das ein einige Minuten bis zu Stunden dauern.
Nachträglich Passwort ändern
Man kann auch nachträglich das Passwort eines VeraCrypt Containers ändern.
- Container mounten
Change Volume Password
- Oben das alte und unten zwei mal das neue Passwort eingeben. _(Tipp: Passwörter mit Passwortmanager generieren und abspeichern)
