Pagina 1 van 1

Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 09 mei 2022, 08:56
door Mortov Molotov
Dag iedereen,

(TL;DR: kan ik volume shadow service uitschakelen gezien (1) ik mijn eigen backup systeem heb via een NAS en (2) dit wel eens wenselijk zou zijn als ik gebruik zou maken van Veracrypt full disk encryption?)

recent een NAS gekocht van Synology (420+), waarbij ik dus, naast stockage van foto's etc, ook gebruik zal maken van de Synology Backup client voor de rest. Backup van NAS zelf gaat via Synology Hyper backup naar Backblaze B2 (client side encryption). Mijn daily driver is Windows 11 professional.

Nu wil ik full disk encryption organiseren op mijn systeem drive (C:) en op mijn data harde schijf (D:) via Veracrypt. Bitlocker wens ik liever niet te gebruiken wegens 't feit dat dit niet open source is, en wegens 't feit dat er vraagtekens geplaatst worden bij gebruik van TPM voor encryptie; ik citeer even de commentaar van de makers van Veracrypt hier [link]:
Some encryption programs use TPM to prevent attacks. Will VeraCrypt use it too?
No. Those programs use TPM to protect against attacks that require the attacker to have administrator privileges, or physical access to the computer, and the attacker needs you to use the computer after such an access. However, if any of these conditions is met, it is actually impossible to secure the computer (see below) and, therefore, you must stop using it (instead of relying on TPM).

If the attacker has administrator privileges, he can, for example, reset the TPM, capture the content of RAM (containing master keys) or content of files stored on mounted VeraCrypt volumes (decrypted on the fly), which can then be sent to the attacker over the Internet or saved to an unencrypted local drive (from which the attacker might be able to read it later, when he gains physical access to the computer).

If the attacker can physically access the computer hardware (and you use it after such an access), he can, for example, attach a malicious component to it (such as a hardware keystroke logger) that will capture the password, the content of RAM (containing master keys) or content of files stored on mounted VeraCrypt volumes (decrypted on the fly), which can then be sent to the attacker over the Internet or saved to an unencrypted local drive (from which the attacker might be able to read it later, when he gains physical access to the computer again).

The only thing that TPM is almost guaranteed to provide is a false sense of security (even the name itself, "Trusted Platform Module", is misleading and creates a false sense of security). As for real security, TPM is actually redundant (and implementing redundant features is usually a way to create so-called bloatware).

For more information, please see the sections Physical Security and Malware in the documentation.

Mijn enige probleem is dat Veracrypt niet kan werken met Windows Volume Shadow copies van bestanden op non-system drives, gezien de documentatie voor de API daarvoor niet beschikbaar is, cfr. [link]:
The Windows Volume Shadow Copy Service is currently supported only for partitions within the key scope of system encryption (e.g. a system partition encrypted by VeraCrypt, or a non- system partition located on a system drive encrypted by VeraCrypt, mounted when the encrypted operating system is running). Note: For other types of volumes, the Volume Shadow Copy Service is not supported because the documentation for the necessary API is not available.
In het verleden kon ik daarom niet gebruik maken van Cloudberry Backup (op zich wel leuk programma), gezien VSS zonder fout moest toegankelijk zijn voor die software (zo leidde ik destijds af uit de foutmeldingen). Crashplan van Code42 gaf schijnbaar geen problemen (ik heb alvast één restore kunnen organiseren zonder dataverlies), maar dit software pakket voldoet niet langer aan mijn wensen (vandaar de aankoop van die NAS).

Nu gebruik ik dus Synology Drive backup, en ik weet nog niet of ik in het geval van een full disk encryption van veracrypt dezelfde problemen zal ervaren als met Cloudberry, maar ik wil een beetje anticiperen.


Kan ik die VSS niet gewoon uitschakelen gezien ik mijn eigen backup systeem heb? Of is dit onverstandig?


mvg

Mortov Molotov

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 09 mei 2022, 15:18
door DarkV
Mortov Molotov schreef:Nu wil ik full disk encryption organiseren op mijn systeem drive (C:) en op mijn data harde schijf (D:) via Veracrypt.
De vraag is wat win je ermee of is het een laptop ? De meeste diefstal van data is nog steeds op data-in-motion, niet op data-at-rest.
Mortov Molotov schreef:Bitlocker wens ik liever niet te gebruiken wegens 't feit dat dit niet open source is, en wegens 't feit dat er vraagtekens geplaatst worden bij gebruik van TPM voor encryptie; ik citeer even de commentaar van de makers van Veracrypt hier [link]:
Dat heeft natuurlijk een groot "Wij van WC-Eend bevelen..." gehalte... en wederom wat win je ermee ?

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 09 mei 2022, 15:41
door Sasuke
Ik snap echt waarom iemand BitLocker zou afraden ... en TPM gebruik als een 'nadeel' beschouwen ?

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 09 mei 2022, 16:48
door FullHD
De Veracrypt FAQ is - naar eigen zeggen! - het laatst bijgewerkt in 2017...

Op Wikipedia staat de verklaring waarom ze de TPM afkraken:
VeraCrypt does not take advantage of Trusted Platform Module (TPM). VeraCrypt FAQ repeats the negative opinion of the original TrueCrypt developers verbatim. The TrueCrypt developers were of the opinion that the exclusive purpose of the TPM is "to protect against attacks that require the attacker to have administrator privileges, or physical access to the computer". The attacker who has physical or administrative access to a computer can circumvent TPM, e.g., by installing a hardware keystroke logger, by resetting TPM, or by capturing memory contents and retrieving TPM-issued keys. The condemning text goes so far as to claim that TPM is entirely redundant.

It is true that after achieving either unrestricted physical access or administrative privileges, it is only a matter of time before other security measures in place are bypassed. However, stopping an attacker in possession of administrative privileges has never been one of the goals of TPM. (See Trusted Platform Module § Uses for details.) TPM can, however, stop the cold boot attack described above.
Als een aanvaller administrator privileges heeft verkregen, zal de TPM inderdaad niet meer helpen. Maar dat was ook nooit de bedoeling. Dus de TPM verwijten dat hij iets niet kan waarvoor hij ook niet is gemaakt, dat voelt een beetje vreemd aan...

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 09 mei 2022, 18:38
door cyberbozzo
FullHD schreef: Als een aanvaller administrator privileges heeft verkregen, zal de TPM inderdaad niet meer helpen. Maar dat was ook nooit de bedoeling. Dus de TPM verwijten dat hij iets niet kan waarvoor hij ook niet is gemaakt, dat voelt een beetje vreemd aan...
Als de aanvaller admin access heeft tot het systeem en het systeem draait, dan is er toch geen enkele encryptie nog veilig? Dan heeft men toegang tot alles en is een unencrypted kopie maken van de gegevens toch een fluitje van een cent?

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 09 mei 2022, 22:15
door FullHD
Als je geëncrypteerde volumes geunlocked zijn (dus leesbaar), dan is het inderdaad game over. Maar als je nog een wachtwoord moet ingeven om het volume te unlocken (leesbaar te maken) dan kan zelfs een administrator daar niet meteen rond.

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 10 mei 2022, 09:57
door DarkV
Als hij administrator access heeft dan is het onderscheppen van dat wachtwoord ook geen kunst meer (via een keylogger).

Trouwens ga jij iedere keer je encrypted volumes unlocken en terug locken... of zal in realiteit het volume altijd unlocked zijn ?

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 10 mei 2022, 11:21
door Mortov Molotov
Wow, heel veel reacties, waarvoor dank :-)
Ik probeer op de meeste te antwoorden hieronder:


DarkV schreef:
Mortov Molotov schreef:Nu wil ik full disk encryption organiseren op mijn systeem drive (C:) en op mijn data harde schijf (D:) via Veracrypt.
De vraag is wat win je ermee of is het een laptop ? De meeste diefstal van data is nog steeds op data-in-motion, niet op data-at-rest.
Het is een desktop pc, die evenwel documenten & foto's bevat die bij evt. diefstal (leeghalen van het huis) niet in andermans handen mogen vallen.
Al heb ik de indruk dat dat voor iedereen een beetje geldt, toch?

DarkV schreef:
Mortov Molotov schreef:Bitlocker wens ik liever niet te gebruiken wegens 't feit dat dit niet open source is, en wegens 't feit dat er vraagtekens geplaatst worden bij gebruik van TPM voor encryptie; ik citeer even de commentaar van de makers van Veracrypt hier [link]:
Dat heeft natuurlijk een groot "Wij van WC-Eend bevelen..." gehalte... en wederom wat win je ermee ?
Sasuke schreef:Ik snap echt waarom iemand BitLocker zou afraden ... en TPM gebruik als een 'nadeel' beschouwen ?
FullHD schreef:De Veracrypt FAQ is - naar eigen zeggen! - het laatst bijgewerkt in 2017...

Op Wikipedia staat de verklaring waarom ze de TPM afkraken:
VeraCrypt does not take advantage of Trusted Platform Module (TPM). VeraCrypt FAQ repeats the negative opinion of the original TrueCrypt developers verbatim. The TrueCrypt developers were of the opinion that the exclusive purpose of the TPM is "to protect against attacks that require the attacker to have administrator privileges, or physical access to the computer". The attacker who has physical or administrative access to a computer can circumvent TPM, e.g., by installing a hardware keystroke logger, by resetting TPM, or by capturing memory contents and retrieving TPM-issued keys. The condemning text goes so far as to claim that TPM is entirely redundant.

It is true that after achieving either unrestricted physical access or administrative privileges, it is only a matter of time before other security measures in place are bypassed. However, stopping an attacker in possession of administrative privileges has never been one of the goals of TPM. (See Trusted Platform Module § Uses for details.) TPM can, however, stop the cold boot attack described above.
Als een aanvaller administrator privileges heeft verkregen, zal de TPM inderdaad niet meer helpen. Maar dat was ook nooit de bedoeling. Dus de TPM verwijten dat hij iets niet kan waarvoor hij ook niet is gemaakt, dat voelt een beetje vreemd aan...

Jullie opmerkingen over TPM zijn zonder meer terecht, het lijkt me inderdaad meer een excuus van Veracrypt om hun systeem te promoten.

DarkV schreef:Als hij administrator access heeft dan is het onderscheppen van dat wachtwoord ook geen kunst meer (via een keylogger).
Trouwens ga jij iedere keer je encrypted volumes unlocken en terug locken... of zal in realiteit het volume altijd unlocked zijn ?
De discipline zal erin moeten bestaan om het ding af te zetten eens je het niet gebruikt, en al helemaal als je niet in huis bent. Ook al met oog op stroomverbruik.



Ok, ik begrijp de reacties ivm. TPM dus goed. Waar Veracrypt echter een streepje voor lijkt te hebben (corrigeer me als 't niet zo is), is dat het open source is, met zelfs een onafhankelijke audit (in 2016? 2018?), en dat Microsoft naar verluidt goede maatjes is met de NSA. Quid backdoor?

Jullie mening?

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 10 mei 2022, 14:03
door Sasuke
Ik stopte met lezen toen ik zag dat VeraCrypt niet meer verder ontwikkeld is sinds 2017 !! In ICT termen is dat de vorige eeuw hé ...
Nu, backdoor van de NSA ... als dat iets is waar jij je zorgen over moet (of wil) maken dan kan je Microsoft beter mijden, maar ik snap het echt niet. Disk encryptie is voor als je disk/pc/laptop gestolen wordt en men niet zomaar je disk kan lezen. Dat biedt geen enkele bescherming tegen een hacking poging om jouw data lezen terwijl je systeem online is hé, want op dat moment is je data unlocked en dus vrij leesbaar.

Die backdoor van de NSA in Bitlocker is dus vooral een punt als jij dingen doet die zo ernstig/privé/geheim zijn dat jouw fysieke disk ooit op de tafel komt te liggen bij een NSA werknemer.

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 10 mei 2022, 14:22
door Mortov Molotov
Sasuke schreef:Ik stopte met lezen toen ik zag dat VeraCrypt niet meer verder ontwikkeld is sinds 2017 !! In ICT termen is dat de vorige eeuw hé ...
4real?? :eek:
Sasuke schreef:Die backdoor van de NSA in Bitlocker is dus vooral een punt als jij dingen doet die zo ernstig/privé/geheim zijn dat jouw fysieke disk ooit op de tafel komt te liggen bij een NSA werknemer.
Dank voor de info; maar ik jou nu zeg dat ik dergelijke geheimen niet heb, geloof je me intussen niet meer, zeker? :-D



EDIT: laatste versie sinds februari 2022 hoor [link]

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 10 mei 2022, 14:31
door Sasuke
Mortov Molotov schreef:
Sasuke schreef:Ik stopte met lezen toen ik zag dat VeraCrypt niet meer verder ontwikkeld is sinds 2017 !! In ICT termen is dat de vorige eeuw hé ...
4real?? :eek:

Mea Culpa, ik was fout ! VeraCrypt wordt nog actief ontwikkeld ... maar is een fork van TrueCrypt 7.1 (dat gestopt is in 2014 zelfs):
http://truecrypt.sourceforge.net/

De FAQ page van Veracrypt dateert wel van 2017.

My 2 cents: Op zich maakt het niet uit of je nu VeraCrypt of Bitlocker gebruikt, maar de nadelen van VeraCrypt wegen imho niet op tegen de 'potentiële' privacy issues van BitLocker.

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 10 mei 2022, 15:51
door Mortov Molotov
Dank iedereen, voor de info

ben finaal voor bitlocker gegaan. Dat de NSA potentieel bij mij zou binnenbreken ( :-D ) weegt niet op tegen 't feit dat veracrypt mogelijks met mijn backupsysteem knoeit.

En effectief: Veracrypt lijkt noch mossel, noch vis. Dan ga je beter op Linux met LUKS (maar da's iets voor tegen 2025 :-) )

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 10 mei 2022, 16:01
door Sinna
Ik gebruik VeraCrypt-containers om privacy-gevoelige data (bv. onbewerkte scans van identiteitskaart, handtekening, 2FA-backups, ...) veilig op te slaan. De container zelf wordt gebackupt. Door een bepaalde vlag in VeraCrypt te zetten wordt de lastchangetime (oid) van de container zelf ook aangepast als er iets ín de container verandert. Voor mij heeft VeraCrypt dus weldegelijk een bestaansreden.

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 10 mei 2022, 16:21
door Ordon
Mortov Molotov schreef:Dan ga je beter op Linux met LUKS (maar da's iets voor tegen 2025 :-) )
Nochtans poepsimpel.

How To Linux Hard Disk Encryption With LUKS [ cryptsetup encrypt command ]

In 't kort:

Maken van een LUKS DEVICE (bijvoorbeeld een hele HDD, SSD, partitie, SD-kaart, etc):

Code: Selecteer alles

cryptsetup luksFormat -y -v --type luks1 /dev/DEVICE
cryptsetup luksFormat -y -v --type luks2 /dev/DEVICE
Afhankelijk of je kiest voor versie "1" dan wel "2".

Openen van het LUKS device:

Code: Selecteer alles

cryptsetup luksOpen /dev/DEVICE BACKUP2
Formatteren (ext4) van het LUKS DEVICE:

Code: Selecteer alles

mkfs.ext4 -E lazy_itable_init=0,lazy_journal_init=0 -L DISKLABEL -m 0 /dev/mapper/BACKUP2
Mounten van het geëncrypteerd ext4 filesysteem:

Code: Selecteer alles

mount /dev/mapper/BACKUP2 /media/BACKUP2
En gaan met die :banana:


Unmouten:

Code: Selecteer alles

umount /media/BACKUP2
Sluiten van het LUKS DEVICE:

Code: Selecteer alles

cryptsetup luksClose BACKUP2
En alles zit terug veilig achter "slot en grendel".

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 11 mei 2022, 14:07
door Mortov Molotov
Ordon schreef:
Mortov Molotov schreef:Dan ga je beter op Linux met LUKS (maar da's iets voor tegen 2025 :-) )
Nochtans poepsimpel.

How To Linux Hard Disk Encryption With LUKS [ cryptsetup encrypt command ]

......
Dank voor de info. Zal ik goed bewaren.

Echter, de reden waarom ik nog niet ben overgeschakeld naar Linux als daily driver, is een gebrek aan goed, onder Linux werkend, alternatief voor Microsoft Office.

Ik hoop dat LibreOffice tegen 2025 volwassen genoeg zal zijn geworden.

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Geplaatst: 11 mei 2022, 15:12
door Sasuke
Office Online ? :-)