Veracrypt scheint nicht alles zu verschlüsseln

[billy5]

Hallo allerseits,
im Zuge meiner Datensicherung in einer Cloud habe ich von einem Laufwerk ca. 50 Ordner mit Bilddateien mittels Veracrypt verschlüsselt und einen Container erstellt. Mein Betriebssystem ist Windows 10 Pro. Bei einer Prüfung der Containerdatei mittels Hexeditor fiel mir auf, dass z.B. sehr häufig und oft im Klartext die Wortsilbe "jpg" - also das Dateiformat erkannt wurde. Manchmal auch mein Klarnamen. Ich habe versucht, durch recht lange Passwörter und kombinierte Verschlüsselungsverfahren mit AES diese Ergebnisse zu minimieren oder zu eliminieren. Vergeblich.
Frage: Ist dies bekannt und welche Tricks gibt es vielleicht zur Lösung des Problems?
Danke vorab für hilfreiche Antworten.

Gruß
billy5

 

[wagga]

Ich nutze Veracrypt für z.B. Gesundheitsdaten Arztbefunde und Verycrypt ist glaub ich sicherer als die Dateien z.B. Befund2025ArztY.pdf auf der Platte liegen zu haben.
Und 100% Sicherheit ist ein Märchen. Liebe Grüße

 

[Wo bin ich hier]

Wortsilbe "jpg"

Handelt es sich dabei vielleicht nur um einen Zufall (verschlüsselte Daten sind nicht von zufälligen Daten unterscheidbar)?

Manchmal auch mein Klarnamen.

Wenn du "Bob" heißt kann das auch zufällig vorkommen.

 

[redjack1000]

Bei einer Prüfung der Containerdatei mittels Hexeditor fiel mir auf, dass z.B. sehr häufig und oft im Klartext die Wortsilbe "jpg" - also das Dateiformat erkannt wurde. Manchmal auch mein Klarnamen.

Und konntest du die Dateien aus dem Container wiederherstellen?

Cu
redjack

 

[CoMo]

Bei einer Prüfung der Containerdatei mittels Hexeditor fiel mir auf, dass z.B. sehr häufig und oft im Klartext die Wortsilbe "jpg" - also das Dateiformat erkannt wurde. Manchmal auch mein Klarnamen.

Nein, das ist nicht möglich. Entweder du findest Strings, die dort zufällig bei der Verschlüsselung entstanden sind oder du schaust auf das gemountete Volume und nicht den verschlüsselten Container.

 

[kieleich]

also wenn du dir gigabytes von zufalldaten anschaust, findest du auch vier buchstaben kombinationen relativ häufig, die wahrscheinlich keit dafür ist bei der datenmenge einfach nicht so gering

strings /dev/urandom | grep -i anna
AnNa
"pannaT
anNA
anNaS
eRqANnaU.
aNNa>
AnnAdD
...

genauso könntest du "JPG" finden oder "OTTO"

ändert aber nicht daran das es sich um zufalldaten handelt

eina ganz andere möglichkeit ist, das laufwerk war vorher unverschlüsselt, und du siehst noch unverschlüsselte daten darinnen die einfach nie überschrieben worden sind

bei einer container"datei" sollte das aber auch nicht möglich sein (neue dateien starten eig immer mit 0000 auch wenn auf dem laufwerk an sich alte unverschlüsselte rohdaten wären) das wäre ein arger vertrauenbruch des dateisystem würde es da alte datei inhalte rausrücken bei neuen dateien

 

[billy5]

Hallo,

danke für eure Posts.

@Wo bin ich hier: kein Zufall, da die Trefferquote von ca. 2000 der ungef. Anzahl der jpg-Dateien entspricht;
meinen Vornamen und meinen Nachnahmen hat der Hexeditor etwa 7 mal erkannt
@red Jack 1000: die Dateien konnte ich ohne Probs wieder aus dem Container herstellen
@CoMo: bei der Vielzahl der "Treffer" mag ich nicht an Zufall glauben; selbstverständlich habe ich den Container und nicht das gemountete LW in dem Hexeditor betrachtet.
Der Hexeditor ist Winex.

Gruß
billy5

Ergänzung (12. Februar 2026)

Nachtrag: Ich bin ja froh, dass offenbar nur das Dateiformat erkannt wurde, aber trotzdem lässt die Anzahlmder Treffer auf die Anzahl der Bilddateien schließen.
Warum mein Klarnamen (Vor- und Zunamen) als Treffer auftauchten hat mich auch verwundert.

 

[h2f]

Mal ganz grob zu Abschätzung (wenn man mal Großbuchstaben und so weglässt) -
36 hoch 3 ist 46656. (26 Buchstaben + 10 Ziffern)
Heisst - eine Zeichenfolge mit 3 bestimmten Zeichen kommt in etwa alle 46656 Byte vor.
Wie groß ist dein Container? Sicher etliche GB?
Wie oft ist also eine beliebige 3er Zeichenfolge zu erwarten?
Denke das passt schon.
Test auf Richtigkeit: suche mal nach Zeichenfolge "abc". Sollte gleiche Größenordnung von Treffern haben.

 

[billy5]

@kieleich schrieb u.a. ."...eine ganz andere möglichkeit ist, das laufwerk war vorher unverschlüsselt, und du siehst noch unverschlüsselte daten darinnen die einfach nie überschrieben worden sind...."
- Kann ich ausschließen, das das Volume völlig neu erstellt wurde, insofern war es vorher verschlüsselt

Gruß
billy5

 

[CoMo]

Also noch mal: Was du da feststellst, ist nicht möglich. Völlig egal, welchen Hash oder Algorithmus du in Veracrypt auswählst. Die Daten im Container sind verschlüsselt.

Erstell doch mal einen Container mit ein paar Textdateien und eindeutigen Strings, und stelle uns diesen inkl. Passwort zur Verfügung. Dann können wir selbst mal schauen.

Wenn das zutrifft, was du da festgestellt hast, dann hast du keinen verschlüsselten Container erstellt, sondern irgendetwas anderes. Woher hast du Veracrypt bezogen? Vielleicht einmal komplett deinstallieren und aus sauberer Quelle neu installieren: winget install --id IDRIX.VeraCrypt.

 

[kieleich]

ein anderer test wäre, die verschlüsselte datei, mal zu komprimieren zB mit 7z

wenn es verschlüsselt ist dann wird es durch die komprimierung, kein bisschen kleiner

wenn es kleiner wird dann ist die datei nicht vollständig verschlüsselt, oder es gibt freien speicher (getrimmt, genullt) darin

ansonsten stimmt tatsächlich mit der verschlüsselung etwas nicht, wenn überhaupt eine verschlüsselung statt findet

 

[redjack1000]

die Dateien konnte ich ohne Probs wieder aus dem Container herstellen

Obwohl dieser "vollständig" verschlüsselt" und nicht eingehängt gewesen ist?

CU
redjack

 

[billy5]

@redjack1000: Um Missverständnisse zu vermeiden - zunächst habe ich den Container eingehängt und dann konnte ich logischerweise den Inhalt problemlos lesen. Den vor dem Einhängen vorhandenen Container konnte ich natürlich nicht lesen.

@kieleich: Probiere ich mal aus

Allgemeine Info: Natürlich sind meine zu verschlüsselnden Dateien und damit die Containergröße ca. 40-50GB. Ich schrieb ja eingangs, dass es etwa 50 Ordner mit Bilddateien waren, die ich in einem Container verschlüsselt habe. Und ich vermute, dass die Probs mit der Größe des Containers/der Anzahl der Dateien zutun haben könnten.
Mein Vorschlag: verschlüsselt mal selber Bilddateien aus dem Smartphone und natürlich andere aus den Cams.

 

[kieleich]

es gab, vor jahren mal nen bug das sich verschlüsselte daten nach 2TB oder so wiederholt haben. war immer noch verschlüsselt aber gleicher klartext = gleicher ciphertext

das war mit aes-xts-plain cipher. wurde dann aes-xts-plain64 daraus, die daten hinter 2TB neu verschlüsselt, und gut ist es. oder man hat es ignoriert weil insgesamt eben doch - unschön aber harmlos

ob veracrypt auf von sofas betroffen sein könnte weiß ich nicht aber unter linux cryptsetup war es so

ansonsten haben diese probleme eigentlich nur leute die auf eigene faust, irgendeinen anderen cipher einstellen. weil nicht alle möglichen cipher, sind auch sicher

also es ist schon gut mal zu kontrollieren was da eigentlich heraus kommt. manche verschlüsseln auch bitmaps (unkomprimierte rohbilddaten) und laden dann das verschlüsselte in den bildeditor. bei ner guten verschlüsselung siehst du da nur rauschen keine muster und nichts

wenn man nichts sieht ist es keine garantie dafür das die verschlüsselung sicher ist

aber wenn durch die verschlüsselung hindurch irgend welche muster erkennbar bleiben, ist die verschlüsselung sicher schlecht

 

[PC295]

Mein Vorschlag: verschlüsselt mal selber Bilddateien aus dem Smartphone und natürlich andere aus den Cams.

Welche Einstellungen hast du denn verwendet?

 

[billy5]

@CoMo: Überleg ich mir, ob das Sinn macht. Ich habe einfach die Größe und Menge der pic in Verdacht.
Und solch ein großes Ding bastel ich nicht einfach zum Test (mehrere GB).

Mir ist bei einem anderen Programm etwas aufgefallen: S.S.E. von Paranoia works: gibts für Win und Android
Ich habe festgestellt, dass einige wenige und kleinere Dateien (Summe einige MB) wunderbar zu verschlüsseln sind bzw. waren. Es werden ".enc"-Dateien erzeugt.
Bei meinen großen Datenmengen erzeugte das Prog auch brav eine große ".enc"-Datei. Erst beim Hochladen in die Cloud tauchten plötzlich komplett sichtbare Bilddateien auf, die offenbar nicht verschlüsselt wurden. Soviel zu dem Thema was nicht sein darf, das nicht sein kann.

 

[cumulonimbus8]

Auf so was kann ich mir nichts einbilden.
Ein Container ist ein Container ist ein Container. Der ist lokal so (un…)verschlüsselt wie hochgeladen in eine Cloud.

Ich habe, nachdem ich das so mitgelesen habe, den Eindruck, dass du da Dinge betreibst die so nicht nach Plan laufen sollten.

CN8

 

[redjack1000]

Den vor dem Einhängen vorhandenen Container konnte ich natürlich nicht lesen.

Dann verstehe ich dein Problem nicht.

Cu
redjack

 

[cumulonimbus8]

Autsch… Den habe ich übersehen. Dann jagen wir wohl Phantome…

 

[kieleich]

Ja kann sein, egal dafür ist ein Forum ja da, zum fragen

Und es gibt auch, immer wieder schräge Bugs. War auf der linux-raid Liste gerade so ein Fall, da wurden verschlüsselte Daten korrupiert, wahrscheinlich durch einen defekten Controller. Da kommt kein Klartext raus aber der Ciphertext war halt kaputt bzw. hat sich wiederholt, nicht zufällig

Und wenn so was passiert muss man dem eben auf den Grund gehen. Aber solang du keine konkreten Daten lieferst, denk man erstmal immer nur an Anwenderfehler

Verschlüsslung gibts nicht erst seit gestern, eigentlich arbeitet der Kram zuverlässig, und paar gigabytes sind da auch keine relevanten Datenmengen für die software