Dass die Verschlüsselung von Daten der Erhaltung einer Privatsphäre dient, bemerkt man spätestens, wenn ein USB-Stick verloren geht. Wird ein Laptop gestohlen, möchte man die private Fotosammlung sicher nicht im Internet sehen (abgesehen von den Fotos, die man eh' schon Facebook & Co. hochgeladen hat).
Investigative Journalisten, Rechtsanwälte und andere berufliche Geheimnisträger haben das Recht und die Pflicht, Informationen über ihrer Mandanten zu schützen. Sie sollten sich frühzeitig Gedanken über ein Konzept zur Verschlüsselung machen. Es ist wirklich ärgerlich, wenn die Rote Hilfe einen unverschlüsselten Datenträger mit Mitgliederdaten verliert. Das kann ernste Konsequenzen haben.
Diese Beispiele zeigen, dass unterschiedliche Anforderungen an eine Verschlüsselung bestehen können. Bevor man wild anfängt, alles irgendwie zu verschlüsseln, sollte man sich Gedanken über die Bedrohung machen, gegen die man sich schützen will:Für alle Schreib- und Leseoperationen wird das Verzeichnis B verwendet, wo man die Daten unverschlüsseltet sieht, sobald Cryptomator, Boxcrypptor oder ecryptfs gestartet wurden.
Veracrypt und dm-crypt/LUKS arbeiten Container-basiert. Es ist zuerst ein Container fester Größe zu erstellen, der dann wie ein Datenträger in das Dateisystem eingebunden werden kann. Als Container können komplette USB-Sticks bzw. USB-Festplatten, Partitionen auf Datanträgern oder (große) Dateien genutzt werden.
Ein Container nimmt immer die gleiche Menge an Platz ein, egal ob leer oder voll. Ist der Container verschlossen, kommt niemand an die dort lagernden Daten heran. Mit einem Schlüssel kann der Container geöffnet werden (gemounted: in das Dateisystem eingefügt) und jeder, der an einem offenen Container vorbeikommt, hat Zugriff auf die dort lagernden Daten. Als Schlüssel dient eine Passphrase und/oder Schlüsseldatei(en).
Der Zugriff auf Dateien innerhalb des geöffneten Containers erfolgt mit den Standardfunktionen für das Öffnen, Schließen und Löschen von Dateien. Auch Verzeichnisse können angelegt bzw. gelöscht werden. Die Ver- und Entschlüsselung ist transparent.
Veracrypt ist ein Nachfolger des legendären Truecrypt. Es beseitigt einige Schwächen, die bei einem Audit von Truecrypt (PDF) aufgedeckt wurden.Mit mit zuluCrypt gibt es eine 100% kompatible Linux Software.
Ein Feature von Veracrypt ist das Konzept des "versteckten Volumes", ein doppelter Boden für den verschlüsselten Container. Der Zugriff auf diesen Bereich ist mit einem zweiten Schlüssel geschützt, einer weiteren Passphrase und/oder Schlüsseldatei(en). Öffnet man den Container mit dem ersten Schlüssel, erhält man Zugriff auf den äußeren Bereich. Verwendet man den zweiten Schlüssel zum Öffnen des Containers, erhält man Zugriff auf den versteckten Inhalt im doppelten Boden.
Während ein einfacher Container leicht als verschlüsselter Bereich erkennbar ist, kann der doppelte Boden innerhalb eines Containers ohne Kenntnis des zweiten Schlüssels nicht nachgewiesen werden. Ist man zur Herausgabe der Schlüssel gezwungen, könnte man versuchen, nur den Schlüssel für den äußeren Container auszuhändigen und den "doppelten Boden" zu leugnen.
Ob es plausibel ist, die Existenz des doppelten Bodens zu leugnen, hängt von vielen Faktoren ab. Zeigt z.B. die Historie der geöffneten Dokumente einer Textverarbeitung, dass vor kurzem auf einen verschlüsselten Bereich zugegriffen wurde, und man präsentiert einen äußeren Container, dessen letzte Änderung Monate zurück liegt, trifft man wahrscheinlich auf einen verärgerten Richter. Auch der Such-Index verschiedener Programme für die Indexierung der Daten auf dem lokalen Rechner (WINDOWS Suche, Google Desktop Search...) liefern Hinweise auf den versteckten Container.Veracrypt bietet verschiedene Verschlüsselungsalgorithmen (Cipher) und -kombinationen. Man kann bei einem Veracrypt Container nicht von außen erkennen, welche Cipher verwendet wurden. Beim Öffnen des Containers werden mit dem Passwort alle Varianten durchprobiert bis eine passt.
Auch ein Angreifer, der mit Brute Force das Passwort erraten will, müsste eigentlich immer alle Varianten ausprobieren. Die gängigen Tools zum Knacken eines Veracrypt Containers wie Elcomsoft u.ä. verwenden häufig eine Abkürzung und probieren nur die Default Einstellung AES aus, das geht dann wesentlich schneller und man ist eher erfolgreich.
Um den vollen Schutz von Veracrypt zu erreichen, sollte man beim Erstellen eines Containers also immer einen anderen Cipher für die Verschlüsselung auswählen und nicht den Defaultwert übernehmen. Dann muss auch ein Angreifer den langsamen Weg probieren alle Cipher testen. Welchen Cipher man wählt, ist dabei egal, Hauptsache nicht den Defaultwert.