Sicheres Löschen von VeraCrypt-Containern

Hallo zusammen,

ich hoffe, ihr könnt mir bei einem Anliegen helfen, das mir sehr wichtig ist.

Ich arbeite mit VeraCrypt zur Verschlüsselung sensibler Daten und möchte sicherstellen, dass ich meine Container so sicher wie möglich löschen kann, sodass die darin enthaltenen Daten nicht mehr wiederhergestellt werden können.

Hier sind einige spezifische Fragen, die ich habe:

  1. Sicheres Löschen: Welche Methoden oder Tools empfehlt ihr, um einen VeraCrypt-Container sicher zu löschen? Ich habe gehört, dass einfaches Löschen oder das Leeren des Papierkorbs nicht ausreicht, da die Daten möglicherweise wiederhergestellt werden können.
  2. Datenüberschreibung: Ist es notwendig, den Speicherplatz, den der Container eingenommen hat, mehrmals mit zufälligen Daten zu überschreiben? Wenn ja, wie viele Durchgänge haltet ihr für notwendig, um eine Wiederherstellung zu verhindern?
  3. Verwendung von Software: Gibt es spezielle Software, die ihr empfehlen würdet, um sicherzustellen, dass die Daten unwiderruflich gelöscht werden? Ich habe von Programmen wie DBAN oder Eraser gehört. Sind diese für meinen Zweck geeignet?
  4. Physische Sicherheit: Sollte ich auch an die physische Sicherheit der Festplatte denken, auf der der Container gespeichert war? Gibt es zusätzliche Schritte, die ich unternehmen sollte, wenn ich die Festplatte entsorge oder weitergebe?

Ich wäre sehr dankbar für eure Ratschläge und Erfahrungen zu diesem Thema. Es ist mir wichtig, dass ich die Daten wirklich sicher lösche und keine Möglichkeit zur Wiederherstellung besteht.

Vielen Dank im Voraus für eure Hilfe!

1 „Gefällt mir“

TLDR:
Bei Weiternutzung und sicherem Passwort: einfach löschen
Ohne Weiternutzung:

  • HDD:
    • einmalig dd (ganze Festplatte)
    • shred (Dateien)
  • SSD:
    • hdparm (ganze Festplatte)
    • einzelne Dateien nicht möglich

Es wäre noch sinnvoll, wenn du angibst, ob dein Container das ganze Speichermedium umfasst oder nur eine Datei von vielen auf dem Datenträger ist. Und willst du den Datenträger danach weiternutzen? Und welches Betriebssystem (OS) nutzt du? Da du letzteres nicht schriebst, empfehle ich jetzt einfach mal Linux-Dinge. Im Arch-Wiki findest du viele hilfreiche Tipps dazu.

1.) Wenn du einen sicheren Schlüssel (und sichere Algorithmen, sollte aber Standard sein) verwendet hattest, brauchst du dir um das Löschen keine Gedanken zu machen. Der Sinn ist doch, dass die Daten verschlüsselt sind. Wenn du den verschlüsselten Container löschst, kann man auch nur die verschlüsselten Daten wiederherstellen. Ohne Schlüssel sind diese nicht in annehmbarer Zeit zu entschlüsseln und damit hinreichend sicher.

3.) Wenn du den Datenträger weiternutzen willst, lösch den Container ganz gewöhnlich. Im Falle einer HDD schadet natürlich auch kein Dateien-sicher-löschen-Tool wie z. B. shred. Mit der Zeit werden immer mehr Teile des Containers überschrieben und damit wie ganz von selbst auch gegenüber einem theoretischen Risiko unbrauchbar. Wenn du den Datenträger nicht weiternutzen bzw. gänzlich plätten willst, nimm im Falle einer SSD hdparm. Falls das nicht möglich sein sollte, kannst du zur Not auch eine SSD einmal mit Nullen vollschreiben. Das überschreibt einen hinreichend großen Container zumindest zu großen Teilen, zehrt allerdings an der Lebensdauer der SSD. Wenn es eine HDD ist, nimm z. B. dd, das kannst du auch aus dem normalen Betrieb des Geräts heraus nutzen, wenn sich auf dem entsprechenden Datenträger nicht gerade das OS befindet.

2.) Nein. Einmal überschreiben, egal womit (Nullen, Einsen oder Zufallsbits), reicht in jedem Fall aus. Dass mehrfaches Überschreiben notwendig wäre, ist ein unbelegter Mythos und gilt höchstens für 20+ Jahre alte Festplatten. Werkzeuge wie DBAN funktionieren sicherlich, sind aber unnötig.

4.) Nein. Nein. [edit]Schreddern kannst du, wenn das Leben von Menschen daran hängt, als zusätzlichen Schritt, falls einer der vorherigen fehlgeschlagen ist. Ansonsten ist das unnötig und die Umwelt dankt es dir, wenn noch jemand den Datenträger weiterverwenden kann[/edit]

Allgemein ist noch zu sagen, dass auf einer SSD durch den zwischengeschalteten Controller keine Möglichkeit besteht, einzelne Dateien gezielt zu überschreiben. Im Gegensatz dazu ist das bei HDDs möglich, z. B. mit shred (siehe Arch-Wiki).

3 „Gefällt mir“

Windows

Der Container ist nur eine Datei von vielen. Es ist also nicht die ganze Festplatte verschlüsselt.

Kann innerhalb des (geöffneten/entschlüsselten) Containers ein Dokument unwiederherstellbar vernichtet werden?

Nur Mal so… Man könnte beim Aufsetzen einer Containerdatei, doch auch einen Container im Container mit jeweils unterschiedlichen Passwörtern anlegen.
Mein Standard bei der Passwortlänge ist mind. 60ig Stellig.

1 „Gefällt mir“

Grundsätzlich funktioniert der offene Container natürlich wie jede andere unverschlüsselte Partition. D. h. du kannst auch dort Dateien komplett mit bspw. Nullen überschreiben. Betrachtet man den verschlüsselten Container von außen, ändert sich dabei jedoch nicht der Informationsgehalt im Vergleich zum gewöhnlichen Löschen oder zum Unverändertlassen – es bleiben unleserliche Bits.

Was du auf keinen Fall tun solltest, ist verschieben in den Papierkorb (Entf). Dabei könnte die Datei in einen unverschlüsselten Bereich gelangen (wegen solcher Späße ist es einfacher und sicherer, Datenträger im Ganzen zu verschlüsseln). „Richtiges“ Löschen reicht daher grundsätzlich aus (i. d. R. Shift+Entf). (Hinweis: Beim einfachen Löschen (Entf) kommen die Dateien nur in den Papierkorb, jedoch befindet sich der auf derselben verschlüsselten Partition.) Aber auch hier gilt, dass das Überschreiben mit Nullen zumindest auf einer HDD auch nicht schadet.

Grundsätzlich geht das dort auch in der Kommandozeile, was ich bevorzugen würde. Eraser und DBAN sehen halbwegs vernünftig aus, wobei mich die Bewertungen von Eraser etwas verunsichern würden.

1 „Gefällt mir“

@bummelstein Ich habe mal gelesen, dass man die Standardeinstellung AES nicht bei VeraCrypt einsetzen soll, wenn man sehr sichere Daten sichern will. Denn viele nutzen die Standardeinstellung und wenn man weiß, welcher Algorithmus benutzt wird, es signifikant leichter und schneller zu knacken ist. Deshalb soll man eine andere Variante nutzen.
Leider finde ich diese Information nicht mehr wieder. Und so habe ich es in Erinnerung. Kann deshalb auch im Detail (leicht) anders gewesen sein.

Weißt du dazu mehr oder weißt, wo man diese Information findet?

Ist das wirklich relevant, wenn die Datei, bevor sie in den Container kam, schon im unverschlüsselten Bereich lag? Also daher in den Container verschoben wurde.

Ja, ist relevant.

Technisch wird die Datei nicht verschoben, sondern in den Container kopiert, dann wird die Quelldatei als gelöscht markiert. Der Inhalt ist dann immer noch vorhanden und kann wiederhergestellt werden.

Du müsstest die Datei in den Container kopieren und dann die Quelldatei mit einem Tool überschreiben.
Das funktioniert aber nicht bei COW-Dateisystemen (z.B. btrfs)

1 „Gefällt mir“

Dazu hast Du auch Evidenzbasierte Informationen?

Ähm, doch?!! Natürlich macht es Sinn Speichermeiden, sei es Flashspeicher oder normale HDDs zu zerstören. Besonders Flashspeicher in USB Sticks, Smartphones und Co sollte man vernichten, wenn man 100% sicher sein will, dass die Daten von niemand recovered werden. Bei nem China-Kracher Smartphone würde ich mich auch nicht auf die Crypto verlassen wollen…
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Daten-sichern-verschluesseln-und-loeschen/Daten-endgueltig-loeschen/daten-endgueltig-loeschen_node.html
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/Datenschutzgerechte-Datenträgervernichtung.html
https://www.gdd.de/wp-content/uploads/2023/06/Datenschutzgerechte-Datentraegervernichtung-4.-Aufl.-2019.pdf

1 „Gefällt mir“

Bei einer SSD wäre ich vorsichtig. Es gibt keine Garantie, dass hdparm mit Secure Erase die Blöcke im Sparebereich erfasst und vor allem hat man keine Möglichkeit das zu überprüfen. Aber ich stimme zu, wenn die Daten sowieso schon verschlüsselt sind, ist das vernachlässigbar. Aber grundsätzlich können SSDs ein Sicherheitsrisiko in Bezug auf das sichere Löschen von Daten darstellen.

1 „Gefällt mir“

Ja, hier. Sicherheit durch Geheimhaltung (des Verschlüsselungsverfahrens) ist keine effektive Sicherheit. Wenn deine Informationen dadurch angreifbar werden, dass das Verfahren bekannt wird, waren die Informationen von vornherein nicht hinreichend sicher. Willst du Sicherheit, dann lass diese auf der Geheimhaltung der Schlüssel basieren. AES mit dem richtigen Betriebsmodus und einem starken Passwort können wir als hinreichend sicher betrachten. Ich gehe davon aus, dass das bei VeraCrypt so voreingestellt ist.

Zu welchem Punkt davon?

  1. Verschieben in den unverschlüsselten Bereich ist offensichtlich nicht wünschenswert.
  2. Betreffend „Shift+Entf reicht aus“: Angenommen, Informationen sind sicher im verschlüsselten Container. Direkt löschen markiert die Informationen als gelöscht. Das schreibt die Informationen nicht nicht neu, also auch nicht in einen unverschlüsselten Bereich. Im Container passiert vielleicht irgendwas. Aber egal, was – die Informationen sind danach immer noch sicher im verschlüsselten Container. Der Platz ist jedoch im entschlüsselten Zustand wieder nutzbar.
  3. Betreffend „Überschreiben mit Nullen auf einer HDD schadet nicht“: Wieso sollte es?

Deine erste Quelle schreibt zumindest genau das, was ich meinte. Ich hoffe, es war nicht missverständlich formuliert. Hier die Quintessenz:

Hinweis: Wir empfehlen, Festplatten, die Sie an Dritte weitergeben, unabhängig vom installierten Betriebssystem im Ganzen zu überschreiben.
[…]
Wenn Sie eine Festplatte nicht überschreiben wollen oder wegen eines Defekts nicht können, so sollten Sie die Festplatte physisch beschädigen oder zerstören. Das gilt auch für Speichermedien wie CDs/DVDs oder USB-Sticks.

Die beiden weiteren Quellen beschreiben lediglich die Vernichtung. Dass es Anforderungen für Unternehmen gibt, bestreite ich nicht. Ich richte mich hier aber an Privatpersonen und nicht an Institutionen, die vielleicht rechtlich an eine Vernichtung gebunden sind (unabhängig davon, ob das sinnvoll ist oder nicht).

Wir reden hier von VeraCrypt-Containern, die wir mit starken Passwort, denke ich, als ausreichend sicher ansehen können. Davon abgesehen übernimmt wahrscheinlich Android die Verschlüsselung. Falls es jedoch ein eigenes Betriebssystem ist, hätte ich sicherlich auch Zweifel, ja.

aus der alten container Datei eine neue Container Datei machen und dann löschen. Der Container wird sicher über schrieben und unbrauchbar. Bei einer SSD sieht es anders aus. Bei Windows mit NTFS auch. Siehe

Libelle
Suite A
:thinking:

Du sagtest, dass die Dateien in einen unverschlüsselten Bereich verschoben werden vor dem löschen. Dazu hast Du eine Evidenz? Warum sollte das irgend ein OS machen?
WIndows:
BY_HANDLE_FILE_INFORMATION structure (fileapi.h)
How NTFS Works
Linux:
File Systems Basics

Nun erkläre mir gerne, wieso ein OS eine Datei vor dem löschen verschieben sollte? Shadow Copies und Co lasse hier mal außen vor. Es geht schlicht darum, dass ein OS die Datei vor dem löschen verschiebt.
Was natürlich äußerst effizient ist, besonders bei sehr großen Dateien…

Jedoch ist eine Full Disk Encryption meiner bescheidenen Meinung nach immer die bessere Wahl. Mache ich auch. Nicht weil ich es wirklich für alles benötige, sondern weil ich es kann und mir Freude macht. Schließlich könnte der Server auch geklaut werden, wenn ich mal im Urlaub bin. So habe ich ein gutes Gefühl, dass FamilienFotos, private Kommunikation so gut geschützt sind wie möglich.


Ja, es ist korrekt, dass man normale HDDs nicht mehr nach Peter Gutmann oder DOD löschen muss. Das sagt er sogar selbst.
Ref:https://www.techrepublic.com/article/disk-wiping-and-data-forensics-separating-myth-from-science/

Ob eine Privatperson nun extra Aufwand betreibt um die privaten Daten vor unbefugtem Zugriff Dritter zu schützen, sollte der Privatperson überlassen sein. Zu konstatieren, um die Umwelt zu schonen, die Speichermedien nicht zu zerstören, halte ich für weit hergeholt.
Das sollte jeder für sich selbst entscheiden.
Meinen CV, Arbeitszeugnisse, Kommunikation mit Versicherungen und Behörden etc. pp. möchte ich nicht in der Hand von Dritten wissen.

Um zu wissen, dass sich Dateien im Papierkorb befinden, werden sie in einen gesonderten Ordner verschoben, der unter Windows C:\$Recycle.Bin heißt (Laufwerksbuchstabe variiert). Beim Verschieben innerhalb einer Partition werden nicht die eigentlichen Informationen umgeschrieben, sondern es gibt nur einen neuen hard link. Was ich nicht bedacht hatte, ist dass die Dateien dabei auf derselben Partition verbleiben und somit auch nicht in einen unverschlüsselten Bereich gelangen. Ich habe das oben angepasst und bitte für diesen Fauxpas um Entschuldigung.

2 „Gefällt mir“

Danke für die Korrektur. Es wird halt nichts verschoben, sondern physikalisch bleiben die Daten an demselben Ort auf dem Platter. Es wird nur die Zuordnung geändert.

Allerdings sollte man ggf. Zwischenspeicher im Hinterkopf behalten. Bin mir allerdings nicht sicher, wie Windows das mittlerweile handhabt. Kommt vermutlich auch auf das Program selbst an, ob es noch irgendwohin cached beim Verarbeiten der Daten.
Das wäre sicherlich nen neuen Thread wert.

Edit: Das letzte mal habe ich das selbst für Windows XP analysiert. Ich war doch erstaunt, wie viele Informationen von einem Encrypted Container sozusagen in Plain Text auf der OS Platte waren. Je nach Kritikalität der Daten führt das verschlüsseln dann ad absurdum. Denn selbst Filenames können ein Indiz auf die Daten in dem verschlüsselten Container sein.

Also ist das Verschieben von Inhalten eines Containers definitiv nicht empfehlenswert?

wirklich empfehlenswert ist m.E. nur die vollständige Verschlüsselung aller Datenträger. Ich bevorzuge dafür Bitlocker mit Network Unlock oder PIN statt Veracrypt.

1 „Gefällt mir“

Da BitLocker von Windows stammt, würde ich (persönlich) dieser Software nicht vertrauen.

1 „Gefällt mir“

Wie fastb00t schrieb, gibt es beim Hantieren in einem Container, der nicht die ganze Partition umfasst, immer ein gewisses Risiko, dass auch außerhalb Datenfetzen liegen bleiben. Ich vermute jedoch, dass das Risiko relativ gering ist, dass eine außenstehende Person nennenswert Informationen erlangen könnte. Daher würde ich mir davon nicht den Schlaf rauben lassen. :smiley:

Abgesehen davon ist das Verschieben innerhalb eines Containers und des Containers selbst unkritisch. Nur beim Verschieben von draußen nach drinnen ist, wie von Cornelius angemerkt, zu beachten, dass die Daten nicht unbedingt „weg“ sind.

1 „Gefällt mir“

Ja, kann der Fall sein, wenn man zB Dokumente mit MS Office bearbeitet

1 „Gefällt mir“

Wie lässt sich das verhindern?