Anwendung um Daten zu Verschlüsseln in einem Ordner? VeraCrypt?

[bitschubser69]

Servus liebe Community,

ich suche nach einem(gerne auch kostenpflichtigen) Programm, mit welchem ich Dateien verschlüsseln kann.
Ich stelle mir das so vor, dass ich einen Ordner habe, entweder lokal oder auf einem USB Stick und dann dort einen Ordner habe auf den man nur nach Passworteingabe zugreifen kann. Sobald man das Passwort eingegeben hat kann man die Dateien bearbeiten und neue hinzufügen.

Gibt es sowas? Bei keepass ist das ja ziemlich umständlich und immer mit 7Zip ein neues. verschlüsseltes Archiv zu erstellen ist umständlich auf Dauer.

Vielen Dank für eure Hilfe

 

[coasterblog]

Veracrypt kann keine Ordner verschlüsseln. Dort arbeitet man mit in der Größe fixen Containern oder ganzen Partitionen/Laufwerke. Veracrypt gilt aber als sicher nach heutigem Wissen.

 

[bitschubser69]

Dort arbeitet man mit in der Größe fixen Containern oder ganzen Partitionen/Laufwerke.

Wäre ja auch okaay oder?
Dann kann ich bei einem USB Stick 100GB PArtition mit VeraCrypt erstellen und dann dort alles reinlegen was verschlüsselt sein soll?
Dann ist eben diese Partition mein "ordner" den ich meinte

 

[SI Sun]

Einen Container oder eine Partition kann man sich wie einen Ordner mit einer fixen Größe vorstellen.
Wenn das okay ist, ist VeraCrypt eine der besten, wenn nicht die beste Software dafür.

Ich habe alle meine USB-Sticks mit VeraCrypt verschlüsselt. Genauso wie meine Festplatten.
Das funktioniert sogar super, wenn man mit Windows und Linux abwechselnd arbeitet.

 

[coasterblog]

Du musst aber die Veracrypt Oberfläche nutzen, den Container anklicken und eine PW Abfrge kommt iss nicht

 

[calippo]

Mit Veracrypt geht das, auch wenn ich es nicht auf einem Stick nutzen würde, weil die doch gerne mal kaputt gehen.

Eine andere Möglichkeit ist Cryptomator, da werden die einzelnen Dateien verschlüsselt statt ein ganzer Container. Man hängt den Tresor aber genau wie bei Veracrypt als neues Laufwerk ein.

 

[DorMoordor]

Ich werfe mal Cryptomator in den Raum. Kann genau das, was du willst: https://cryptomator.org/de/

Einfach einen Vault erstellen (verschlüsselter Ordner) und fertig. Kann dann halt nur mit Cryptomator und PW geöffnet werden

 

[katzenhai2]

Im Prinzip reicht da Veracrypt aus. Nur ist es dort halt so, dass man zum Zeitpunkt des Zugriffs alle Dateien unverschlüsselt vorliegen hat. Mal als blödes Beispiel: Ein Trojaner könnte dann alle Dateien auf dem Veracrypt-Laufwerk mitlesen. Wenn nur einzelne Dateien oder Ordner für sich verschlüsselt sind, sind bei Bedarf auch nur einzelne Dateien bzw. Ordner zur selben Zeit im System entschlüsselt verfügbar.

Es ist halt die Frage was und warum man überhaupt verschlüsseln möchte.

 

[Giggity]

USB Sticks sind für den Datentransport. Nicht um darauf zu arbeiten.

 

[Fusionator]

Dann kann ich bei einem USB Stick 100GB PArtition mit VeraCrypt erstellen und dann dort alles reinlegen was verschlüsselt sein soll?

Korrekt, aber um Problemen mit der DV oder dem Explorer von vornherein aus dem Weg zu gehen, empfehle ich die Partitionierung über Diskpart durchzuführen.
Stick nach GPT konvertieren, Primäre Partition erstellen, Laufwerksbuchstabe (falls der auftaucht) entfernen, Partition als Wiederherstellungspartition kennzeichnen und zum Schluß noch die GPT Attribute in 0x8000000000000001 ändern
Danach kannst du in Veracrypt die Partition(!) verschlüsseln und bei Bedarf einbinden.

Durch die Diskpart Maßnahmen ist sichergestellt, dass dem Stick nie ein Laufwerksbuchstabe zugewiesen wird und somit auch der Explorer dich nie mit einer blöden Formatierungsaufforderung belästigt, welche du aus Versehen bestätigen kannst.
Weiterhin ist die Partition in der DV nicht löschbar und weil du nicht den ganzen Stick an sich verschlüsselst, wird in der DV auch keine dämliche Aufforderung zum Initialisieren aufpoppen, die du auch aus Versehen bestätigen könntest

Jetzt liegt ein eventuelles Versagen nur noch an der Hardware, oder dem Benutzer vor dem Bildschirm. 🙈

Alles, was hier zum Thema Trojaner oder Zuverlässigkeit von USB-Sticks gesagt wurde, gilt weiterhin!
Sowas macht man nur mit guten Sticks und nicht als einzige Datenquelle.
Man könnte auf dem Stick noch eine kleine normale Partition erstellen, wo sich dann Veracrypt Portable drauf befindet. Somit hätte man gleich sein Entschlüsselungswerkzeug mit dabei (zumindest unter Windows).

 

[bitschubser69]

Wenn das okay ist, ist VeraCrypt eine der besten, wenn nicht die beste Software dafür.

Was wäre denn die beste dafür`?

Ergänzung (12. April 2022)

Eine andere Möglichkeit ist Cryptomator, da werden die einzelnen Dateien verschlüsselt statt ein ganzer Container. Man hängt den Tresor aber genau wie bei Veracrypt als neues Laufwerk ein.

Hört sich gut an, wie ist das mit dem "einhängen als neues Laufwerk" gemeint?

Ergänzung (12. April 2022)

Einfach einen Vault erstellen (verschlüsselter Ordner) und fertig. Kann dann halt nur mit Cryptomator und PW geöffnet werden

Heißt, ich kann dann die Dateien immer und überall dort öffnen, wo Cryptomator installiert ist?


Wenn ich dann eh Cryptomator nutze kann ich ja auch die Dateien einzeln verschlüsseln oder? ODer verschlüsselt Cryptomator alle Dateien automatisch einzeln die in dem Vault sind?
@DorMoordor @calippo

Ergänzung (12. April 2022)

Stick nach GPT konvertieren, Primäre Partition erstellen, Laufwerksbuchstabe (falls der auftaucht) entfernen, Partition als Wiederherstellungspartition kennzeichnen und zum Schluß noch die GPT Attribute in 0x8000000000000001 ändern
Danach kannst du in Veracrypt die Partition(!) verschlüsseln und bei Bedarf einbinden.

GPT? Gibts da ein Video dazu wo das gezeigt wird?

Alles, was hier zum Thema Trojaner oder Zuverlässigkeit von USB-Sticks gesagt wurde, gilt weiterhin!
Sowas macht man nur mit guten Sticks und nicht als einzige Datenquelle.
Man könnte auf dem Stick noch eine kleine normale Partition erstellen, wo sich dann Veracrypt Portable drauf befindet. Somit hätte man gleich sein Entschlüsselungswerkzeug mit dabei (zumindest unter Windows).

Schon klar, ist auch nur ein backup, der wird nur hergenommen wenn der PC und die Cloud versagt

 

[Fusionator]

GPT? Gibts da ein Video dazu wo das gezeigt wird?

Nö, das ist (vermutlich) meine Erfindung. Zumindest habe ich den Trick noch nirgendwo gesehen oder gelesen.
Hier mal die Befehle in Diskpart für unteres Beispiel.

Der USB-Stick ist in meinem Fall Datenträger 6. Buchstaben, Filesystem und Laufwerksgrößen sind natürlich anpassbar, wobei 1GB=1024MB gilt.

select disk 6
clean
convert gpt
create partition primary size=2048
assign letter=E
format fs=exFAT quick
create partition primary size=8192
remove
set id="de94bba4-06d1-4d40-a16a-bfd50179d6ac"
gpt attributes=0x8000000000000001

Danach hast du also eine 2 GB Partition im exFAT Format (in die beliebige Daten kopiert werden können) und eine 8GB Partition, welche du dann in Veracrypt verschlüsselst! Willst du keine normale Datenpartition, lässt du Zeile 4-6 weg

Ergänzung (12. April 2022)

Ob du jetzt eine Datenpartition am Ende oder am Anfang des Sticks erstellst ist reine Kosmetik und hat keinen Einfluss auf die Funktion. Erstellst du sie aber am Anfang des Datenträgers kannst du danach mit dem Befehl

create partition primary

den kompletten restlichen freien Platz ausfüllen, ohne dir Gedanken über die Größe zu machen.

 

[bitschubser69]

Danch hast du also eine 2 GB Partition im exFAT Format (in die beliebige Daten kopiert werden können) und eine 8GB Partition, welche du dann in Veracrypt verschlüsselst! Willst du keine normale Datenpartition, lässt du Zeile 3-5 weg

Super, danke

in die 2GB exFat kann ich dann zB die portable VeraCrypt legen, damit man auch unterwegs an einem anderen PC entschlüsseln kann?
Hier wurde nun öfter auch zu Cryptomator geraten, kann ich da genauso verfahren und ein Vault so erstellen wie du geschrieben hast und dann erine portable version mitnehmen?

Ergänzung (12. April 2022)

Funktioniert denn Cryptomator auch offline? Lese bei derer Website immer nur Clouddienste

@DorMoordor @calippo @Fusionator

 

[Fusionator]

in die 2GB exFat kann ich dann zB die portable VeraCrypt legen, damit man auch unterwegs an einem anderen PC entschlüsseln kann?

Genau. Oder was du sonst noch brauchst. Die Partition kann auch kleiner oder größer sein oder NTFS oder FAT32.

Funktioniert denn Cryptomator auch offline?

Scheint wohl nicht so zu sein. Aber ich kenne die Software nicht.
Veracrypt erledigt den Job jedenfalls kostenlos.

 

[el.com]

Du musst aber die Veracrypt Oberfläche nutzen, den Container anklicken und eine PW Abfrge kommt iss nicht

Stimmt nicht. Gib dem Containerfile einfach die Dateieindung ".hc". Der VC-Installer ordnet diesen Dateityp VeraCrypt zu, sodass du die Datei mit einem Doppelklick öffnen kannst (logischerweise poppt dabei trotzdem erst das VC-Hauptfenster auf, denn einen Laufwerksbuchstaben auswählen und das Passwort eingeben musst du natürlich trotzdem noch. Aber so ersparst du dir zumindest den Weg über VeraCrypt Hauptfenster > Select File um dort zum Container browsen zu müssen.

Besser noch: Leg den Container nach dem Erstellen über das VC Hauptfenster > Favorites > Add Mounted Volume to Favorites zu den Favoriten hinzu. Da kannst du z.B. auch einstellen, dass der Passwortdialog automatisch aufpoppen soll wenn der Datenträger verbunden wird.

Im Prinzip reicht da Veracrypt aus. Nur ist es dort halt so, dass man zum Zeitpunkt des Zugriffs alle Dateien unverschlüsselt vorliegen hat. Mal als blödes Beispiel: Ein Trojaner könnte dann alle Dateien auf dem Veracrypt-Laufwerk mitlesen. Wenn nur einzelne Dateien oder Ordner für sich verschlüsselt sind, sind bei Bedarf auch nur einzelne Dateien bzw. Ordner zur selben Zeit im System entschlüsselt verfügbar.

Es ist halt die Frage was und warum man überhaupt verschlüsseln möchte.

Datenträgerverschlüsselung schützt grundsätzlich nicht vor Schadsoftware auf dem Rechner. Ein gemountetes Volume ist immer im Klartext zugreifbar. Das ist der Sinn der Sache. Datenträgerverschlüsselung schützt lediglich im Falle von Verlust oder Diebstahl des Volumes, was bei USB-Sticks schnell passieren kann.

Durch die Diskpart Maßnahmen ist sichergestellt, dass dem Stick nie ein Laufwerksbuchstabe zugewiesen wird und somit auch der Explorer dich nie mit einer blöden Formatierungsaufforderung belästigt, welche du aus Versehen bestätigen kannst.

Den Laufwerksbuchstaben einer verschlüsselten Partition kannst (und solltest) du aber auch über die Windows Datenträgerverwaltung entfernen. Dafür muss man nicht unbedingt Diskpart benutzen. Ich schließe mich dir aber an, dass man den Laufwerksbuchstaben von der verschlüsselten Partition auf jeden Fall löschen sollte, damit nicht immer wieder das "Laufwerk formatieren" Fenster beim Verbinden mit dem Rechner aufpoppt. Da kann man nämlich ganz schnell mal was falsches anklicken und schon hat man den Salat...

 

[bitschubser69]

habe mal mit beiden bisschen rumprobiert und finde beide ganz okay(also veracrypt und cryptomator)

habe aber noch 2 Fragen:

1. wie kann ich bei veracrypt einstellen, dass im explorer dann zb "VeraCrypt Ordner" steht anstelle von "lokaler Datenträger A:"?

2. das mit der ".hc" endung hat gut geklappt, aber wie schaffe ich es, dass er die Favoriten automatisch einhängt? Konnte meinen Container als Favorit hinzufügen und habe die .hc Endung dran. Wenn ich die Datei doppelklicke muss ich aber immer erst "einhängen" klicken bevor ich das PW eingeben kann. Kann man das umgehen?

Danke

@el.com @Fusionator

 

[calippo]

Funktioniert denn Cryptomator auch offline? Lese bei derer Website immer nur Clouddienste

Das hast Du jetzt vermutlich ja schon selbst erfahren, dass Cryptomator offline funktioniert.

Der Vorteil ggü. Veracrypt ist, dass nicht der gesamte (und ggf. sehr große) Container geändert wird, sondern nur die jeweilige Datei. Das bietet sich insbesondere bei einer Cloudsynchronisierung an, weil dann nur die geänderten Dateien übertragen werden müssen und nicht der ganze Container.
Daher wird wohl von Clouddiensten auf der Website gesprochen.

Wenn das keine Rolle spielt, dann macht man mit Veracrypt nichts falsch.

 

[el.com]

1. wie kann ich bei veracrypt einstellen, dass im explorer dann zb "VeraCrypt Ordner" steht anstelle von "lokaler Datenträger A:"?

Beim Mounten im Passwort-Dialog klickst du unten rechts auf "Mount Options". Dort kannst du ein Volume Label angeben. Dieser Name wird dann verwendet, anstatt "Lokaler Datenträger".

2. das mit der ".hc" endung hat gut geklappt, aber wie schaffe ich es, dass er die Favoriten automatisch einhängt? Konnte meinen Container als Favorit hinzufügen und habe die .hc Endung dran. Wenn ich die Datei doppelklicke muss ich aber immer erst "einhängen" klicken bevor ich das PW eingeben kann. Kann man das umgehen?

Zuerst musst du das Volume mit den gewünschten Einstellungen mounten (Label, Laufwerksbuchstabe, etc.)
Dann fügst du es den Favoriten hinzu und setzt unter Favorites > Organize Favorite Volumes die Einstellungen. Da kannst du auch auswählen, dass das Label automatisch gesetzt werden soll; ebenso dass dein Volume automatisch eingebunden wird, sobald das Gerät verbunden wird (letzteres funktioniert aber nur mit verschlüsselten Partitionen und nicht mit Datei-basierten Containern, glaube ich).

//edit:
Ich habe testweise gerade eine ganze Partition auf einem USB-Stick verschlüsselt, dieses Volume dann den Favoriten hinzugefügt und die Option gesetzt es automatisch zu mounten, wenn das Gerät verbunden wird. Leider hat das aber nicht geklappt. Ich schätze das hat damit zu tun, dass USB-Sticks von Windows als Wechseldatenträger behandelt werden. Vllt bekommen die beim Verbinden jedes Mal eine andere Device ID, sodass VeraCrypt das Gerät beim nächsten Mal nicht mehr erkennt. Mit lokalen Datenträgern funktioniert es jedenfalls einwandfrei.

 

[calippo]

Ich habe testweise gerade eine ganze Partition auf einem USB-Stick verschlüsselt

Die gesamte Partition zu verschlüsseln scheint mir von Vorteil, wenn man verschlüsselte Daten zusätzlich unauffällig halten will, Stichwort plausible deniability. Bei Systemlaufwerken wird man wohl auch nicht drum herum kommen.

Mir ist es mal passiert, dass eine komplett verschlüsselte Festplattenpartition irgendwie initialisiert wurde von Windows, so dass der Header überschrieben wurde. Ich konnte das zwar mit dem Backup des Headers wieder lesbar machen, aber teilweise war das Dateisystem zerschossen. Ein Fall fürs Backup.

Praktischer finde ich, den Container sichtbar auf einen Datenträger zu legen, dann sinkt die Gefahr, dass da irgendwas zerschossen wird, z.B. wenn man einen Datenträger ansteckt.

 

[Fusionator]

Mir ist es mal passiert, dass eine komplett verschlüsselte Festplattenpartition irgendwie initialisiert wurde von Windows, so dass der Header überschrieben wurde.

Jo, einmal kurz auf die Enter-Taste oder Leertaste gekommen und boom. Backup Header rettet dich aber im Normalfall! Wenn bei dir was kaputt war, dann ist da noch mehr danach passiert. Deshalb #12
Funktioniert echt zuverlässig und du hast für immer Ruhe vor der DV.
Es ist übrigens nicht unbedingt nötig, die Partition als Wiederherstellungspartition zu definieren.
Nur bleibt die Partition dann als RAW in der DV gekennzeichnet.

@moritz7
Von Veracrypt ausgehend:

Willst du jetzt eigentlich den Stick verschlüsseln, oder mit einer Containerdatei arbeiten?
Und soll das Ganze Portabel sein? Dann funktioniert doch das mit der Endung eh nicht überall.
Du solltest dir mal die Hilfe von Veracrypt zu Gemüte führen und zwar speziell den Abschnitt
"Command Line Usage"

Hab da ein bisschen rumprobiert und man kann sich eine simple Batchdatei schreiben, die sowohl eine Partition, als auch einen Container mit Passwortabfrage einhängen kann.
Trennen geht natürlich auch darüber. Mit etwas mehr Kenntnissen in der Richtung lässt sich bestimmt auch ein interaktives Script (mit Abfrage des Laufwerkbuchstabens) erstellen. Das ist aber nicht unbedingt nötig, wenn du z.b Laufwerksbuchstaben ab O: oder so nimmst. So viele Partitionen hat normalerweise kein Mensch.

Den Laufwerksbuchstaben einer verschlüsselten Partition kannst (und solltest) du aber auch über die Windows Datenträgerverwaltung entfernen.

Können ja, aber sollen nein
Zur Erklärung: Ich kann eine unformatierte Partition nur über Diskpart (oder Fremdtools) erstellen.
Da bin ich schneller im anschließendem Tippen von remove + Enter, als extra dafür die DV zu öffnen und da Klicks abzusetzen.