(TL;DR: kan ik volume shadow service uitschakelen gezien (1) ik mijn eigen backup systeem heb via een NAS en (2) dit wel eens wenselijk zou zijn als ik gebruik zou maken van Veracrypt full disk encryption?)
recent een NAS gekocht van Synology (420+), waarbij ik dus, naast stockage van foto's etc, ook gebruik zal maken van de Synology Backup client voor de rest. Backup van NAS zelf gaat via Synology Hyper backup naar Backblaze B2 (client side encryption). Mijn daily driver is Windows 11 professional.
Nu wil ik full disk encryption organiseren op mijn systeem drive (C:) en op mijn data harde schijf (D:) via Veracrypt. Bitlocker wens ik liever niet te gebruiken wegens 't feit dat dit niet open source is, en wegens 't feit dat er vraagtekens geplaatst worden bij gebruik van TPM voor encryptie; ik citeer even de commentaar van de makers van Veracrypt hier [link]:
Some encryption programs use TPM to prevent attacks. Will VeraCrypt use it too?
No. Those programs use TPM to protect against attacks that require the attacker to have administrator privileges, or physical access to the computer, and the attacker needs you to use the computer after such an access. However, if any of these conditions is met, it is actually impossible to secure the computer (see below) and, therefore, you must stop using it (instead of relying on TPM).
If the attacker has administrator privileges, he can, for example, reset the TPM, capture the content of RAM (containing master keys) or content of files stored on mounted VeraCrypt volumes (decrypted on the fly), which can then be sent to the attacker over the Internet or saved to an unencrypted local drive (from which the attacker might be able to read it later, when he gains physical access to the computer).
If the attacker can physically access the computer hardware (and you use it after such an access), he can, for example, attach a malicious component to it (such as a hardware keystroke logger) that will capture the password, the content of RAM (containing master keys) or content of files stored on mounted VeraCrypt volumes (decrypted on the fly), which can then be sent to the attacker over the Internet or saved to an unencrypted local drive (from which the attacker might be able to read it later, when he gains physical access to the computer again).
The only thing that TPM is almost guaranteed to provide is a false sense of security (even the name itself, "Trusted Platform Module", is misleading and creates a false sense of security). As for real security, TPM is actually redundant (and implementing redundant features is usually a way to create so-called bloatware).
For more information, please see the sections Physical Security and Malware in the documentation.
Mijn enige probleem is dat Veracrypt niet kan werken met Windows Volume Shadow copies van bestanden op non-system drives, gezien de documentatie voor de API daarvoor niet beschikbaar is, cfr. [link]:
In het verleden kon ik daarom niet gebruik maken van Cloudberry Backup (op zich wel leuk programma), gezien VSS zonder fout moest toegankelijk zijn voor die software (zo leidde ik destijds af uit de foutmeldingen). Crashplan van Code42 gaf schijnbaar geen problemen (ik heb alvast één restore kunnen organiseren zonder dataverlies), maar dit software pakket voldoet niet langer aan mijn wensen (vandaar de aankoop van die NAS).The Windows Volume Shadow Copy Service is currently supported only for partitions within the key scope of system encryption (e.g. a system partition encrypted by VeraCrypt, or a non- system partition located on a system drive encrypted by VeraCrypt, mounted when the encrypted operating system is running). Note: For other types of volumes, the Volume Shadow Copy Service is not supported because the documentation for the necessary API is not available.
Nu gebruik ik dus Synology Drive backup, en ik weet nog niet of ik in het geval van een full disk encryption van veracrypt dezelfde problemen zal ervaren als met Cloudberry, maar ik wil een beetje anticiperen.
Kan ik die VSS niet gewoon uitschakelen gezien ik mijn eigen backup systeem heb? Of is dit onverstandig?
mvg
Mortov Molotov