VeraCrypt „Gesamtes Laufwerk verschlüsseln” unter Windows UEFI problematisch?

[net1]

System: Win10 prof/64bit (UEFI System) gerade neue installiert, secure boot is an, Mainboard P8Z77-v pro

Ich möchte gerne das komplette Laufwerk C, also komplette SSD (ich habe nur die eine Partition drauf wo auch win10 installiert ist) Voll verschlüsseln.

Bei der Installation bekomme ich jedoch das Bild unten. „Gesamtes Laufwerk verschlüsseln“ ist ausgegraut und lässt sich nicht anwählen. Wo liegt das Problem?

Sehe ich das richtig, dass VeraCrypt mit Windows UEFI Systemen nicht umgehen kann?

PS Ich will den Bitlocker nicht verwenden.

 

[SI Sun]

Sehe ich das richtig, dass VeraCrypt mit Windows UEFI Systemen nicht umgehen kann?

Nein.
Mein "Windows UEFI System" ist verschlüsselt. Muss also eine Einstellungssache sein.
Welche das ist, kann ich leider nicht sagen.

An so etwas denke ich direkt bei der Installation von Windows und verschlüssele das gesamte Laufwerk entsprechend unmittelbar nach der Installation von Windows.
Bitlocker aktiviere bzw. verwende ich nicht. Dazu fehlt mir das Vertrauen in eine geschlossene Software.

 

[andy_m4]

Bitlocker aktiviere bzw. verwende ich nicht. Dazu fehlt mir das Vertrauen in eine geschlossene Software.

Naja. Windows ist auch geschlossene Software und dann noch vom selben Hersteller.

 

[SI Sun]

@andy_m4
Das ist mir bewusst.
Meine wichtigsten Daten liegen deshalb auch auf einer Linux Distribution auf einem Linux Notebook.

Einige Produkte sind leider konkurrenzlos und nur auf Windows verfügbar, weshalb ich weiterhin Windows nutzen muss. Ehrlich gesagt ist vieles bei Windows besser oder komfortabler, aber eben nicht alles.
Das bedeutet aber nicht, dass ich mich völlig ausliefern muss.

 

[Hannibal Smith]

Ohne dir dein Vorhaben ausreden zu wollen, aber es gibt so viele Threads wo genau diese Art der Verschlüsselung zu problemen führt ... das Forum ist voll davon. Was spräche gegen einen Container? Unter NTFS ist der sogar erweiterbar

 

[net1]

Eine Container Lösung ist in meinem Fall nicht Zielführend. Ich wollte den PC, also die komplette SSD vollverschlüsseln.

Was mir aufgefallen ist, was ich getestet habe:

• Auf einem Ryzen 5 Notebook eine VC Voll Verschlüsselung hat einwandfrei funktioniert.
• Auf einem Surface Notebook ein Problem wie oben beschrieben.
• Auf einem PC ein Problem wie oben beschrieben.

Das ist schön seltsam…

 

[BFF]

Ich möchte gerne das komplette Laufwerk C, also komplette SSD

C: ist nicht die komplette SSD. C: ist "nur" die Systempartition, also da wo Windows installiert ist.

Vergleich die Partitionierung Deiner Geraete und Du wird Unterschiede feststellen.
Bei Deinem jetzigen Geraet solltest Du 4 Partitionen vorfinden. Das da mit dem Pfeil ist bei mir C:

Verm. wird Veeracrypt Dir das so anbieten weil es (Veracrypt) Deine Kombination nicht booten koennte wenn es den gesamten Datentraeger vercrypten wuerde.

 

[net1]

@BFF Ich danke Dir für die Erläuterung bezüglich der Partitionen. Bei mir sieht das so aus (siehe Bild unten)

• 1. Wie kann ich nun der VC beibringen, dass die VC alle Partitionen verschlüsseln soll? Geht das überhaupt? Gibt es hierzu eine Problemlösung?
• 2. Warum auf einem anderen Notebook vor ca. 1 Jahr gabs dieser Probleme nicht? Lag das an einer frühere vers. von Win10, oder an einer andere vers. von Veracrypt? Die win10 Partitionen waren doch (nähme ich an) genauso vier, wie jetzt?.
• 3. Wenn ich nun „nur“ die Primäre (Windows system Partition) verschlüssele besteht dann irgendeiner Möglichkeit über die andere (unverschlüsselte) Partitionen irgendwelcher wichtigen Daten bzw. die Daten von der (verschlüsselten) Primären Partition auszulesen?
• 4. Warum der VeraCrypt könnte meiner Kombination dann nicht booten? Bei dem Bitlocker ist doch auch der gesamte Datenträger verschlüsselt, oder sehe ich das falsch?
• 5. Ist das so, dass aktuell für Win10 die VeraCrypt für die "Gesamte Laufwerk Verschlüsselung", also für die Verschlüsselung von dem kompletten Datenträger ungeeignet/untauglich ist?

 

[Fusionator]

Bei der Installation bekomme ich jedoch das Bild unten. „Gesamtes Laufwerk verschlüsseln“ ist ausgegraut und lässt sich nicht anwählen. Wo liegt das Problem?

Da ist überhaupt kein Problem, sondern ich würde sagen du hast die Funktionsweise dieser Systemverschlüsselumg nicht verstanden.
Wenn das ganze Laufwerk verschlüsselt werden würde, wo soll dann der VC Bootloader herkommen?

Es wäre auch sinnlos die ESP/MSR/Recovery-Partition zu verschlüsseln, denn da befinden sich auch keinerlei geheime Daten drin.
Man könnte natürlich seine super geheime „Passworttextdatei“ in der ESP
„verstecken“. Dann hat man Pech gehabt und auch etwas nicht verstanden 🤦‍♂️

Warum auf einem anderen Notebook vor ca. 1 Jahr gabs dieser Probleme nicht? Lag das an einer frühere vers. von Win10, oder an einer andere vers. von Veracrypt? Die win10 Partitionen waren doch (nähme ich an) genauso vier, wie jetzt?.

Schau dir das Notebook doch einfach an. Alleine von der Logik her, kann die ESP nicht verschlüsselt sein.
Wie das mit MBR läuft keine Ahnung, aber auch da hast du eine „Startpartition“ und irgendwo muss ja VC seinen Bootloader ablegen.

Wenn ich nun „nur“ die Primäre (Windows system Partition) verschlüssele besteht dann irgendeiner Möglichkeit über die andere (unverschlüsselte) Partitionen irgendwelcher wichtigen Daten bzw. die Daten von der (verschlüsselten) Primären Partition auszulesen?

Du kannst sogar von Linux aus deine Daten von der verschlüsselten Windows Partition lesen….
Du musst sie nur in VC mounten und das Passwort kennen
Du solltest sogar wissen, wie man sowas macht, um im Notfall an deine Daten ran zu kommen.

Bei dem Bitlocker ist doch auch der gesamte Datenträger verschlüsselt, oder sehe ich das falsch?

Da wissen andere bestimmt besser Bescheid, aber ich nehme mal an, dass Mann da genauso einen „Loader“ braucht, denn Bitlocker ist ja nicht im UEFI implementiert. Also wird auch nicht alles verschlüsselt sein. Wozu auch?

es gibt so viele Threads wo genau diese Art der Verschlüsselung zu problemen führt ...

Im Prinzip kann man das alles auf ein oder zwei Nenner bringen:
Fehlendes Verständnis des Funktionsprinzips (oder wer braucht schon RTFM) und fehlendes Backup.
Wenn es dann kracht, wird den Daten hinterher geweint.

Ist es auch nicht so, dass man für bestimmte Windows Updates erst wieder entschlüsseln muss?

PS Ich will den Bitlocker nicht verwenden.

Bitlocker mit Pre-Boot-Authentication ist für sämtliche Belange so ziemlich ausreichend. Aber hier gilt: kein Backup….

 

[el.com]

Note: By default, Windows 7 and later boot from a special small partition. The partition contains files that are required to boot the system. Windows allows only applications that have administrator privileges to write to the partition (when the system is running). In EFI boot mode, which is the default on modern PCs, VeraCrypt can not encrypt this partition since it must remain unencrypted so that the BIOS can load the EFI bootloader from it. This in turn implies that in EFI boot mode, VeraCrypt offers only to encrypt the system partition where Windows is installed (the user can later manualy encrypt other data partitions using VeraCrypt). In MBR legacy boot mode, VeraCrypt encrypts the partition only if you choose to encrypt the whole system drive (as opposed to choosing to encrypt only the partition where Windows is installed).

Quelle: https://veracrypt.fr/en/System Encryption.html