Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 265
Lid geworden op: 07 Jan 2012
Bedankt: 17 keer
Uitgedeelde bedankjes: 45 keer
Contact:

Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor Mortov Molotov » 1 week 6 dagen 18 uur geleden (09 Mei 2022, 08:56)

Dag iedereen,

(TL;DR: kan ik volume shadow service uitschakelen gezien (1) ik mijn eigen backup systeem heb via een NAS en (2) dit wel eens wenselijk zou zijn als ik gebruik zou maken van Veracrypt full disk encryption?)

recent een NAS gekocht van Synology (420+), waarbij ik dus, naast stockage van foto's etc, ook gebruik zal maken van de Synology Backup client voor de rest. Backup van NAS zelf gaat via Synology Hyper backup naar Backblaze B2 (client side encryption). Mijn daily driver is Windows 11 professional.

Nu wil ik full disk encryption organiseren op mijn systeem drive (C:) en op mijn data harde schijf (D:) via Veracrypt. Bitlocker wens ik liever niet te gebruiken wegens 't feit dat dit niet open source is, en wegens 't feit dat er vraagtekens geplaatst worden bij gebruik van TPM voor encryptie; ik citeer even de commentaar van de makers van Veracrypt hier [link]:

Some encryption programs use TPM to prevent attacks. Will VeraCrypt use it too?
No. Those programs use TPM to protect against attacks that require the attacker to have administrator privileges, or physical access to the computer, and the attacker needs you to use the computer after such an access. However, if any of these conditions is met, it is actually impossible to secure the computer (see below) and, therefore, you must stop using it (instead of relying on TPM).

If the attacker has administrator privileges, he can, for example, reset the TPM, capture the content of RAM (containing master keys) or content of files stored on mounted VeraCrypt volumes (decrypted on the fly), which can then be sent to the attacker over the Internet or saved to an unencrypted local drive (from which the attacker might be able to read it later, when he gains physical access to the computer).

If the attacker can physically access the computer hardware (and you use it after such an access), he can, for example, attach a malicious component to it (such as a hardware keystroke logger) that will capture the password, the content of RAM (containing master keys) or content of files stored on mounted VeraCrypt volumes (decrypted on the fly), which can then be sent to the attacker over the Internet or saved to an unencrypted local drive (from which the attacker might be able to read it later, when he gains physical access to the computer again).

The only thing that TPM is almost guaranteed to provide is a false sense of security (even the name itself, "Trusted Platform Module", is misleading and creates a false sense of security). As for real security, TPM is actually redundant (and implementing redundant features is usually a way to create so-called bloatware).

For more information, please see the sections Physical Security and Malware in the documentation.



Mijn enige probleem is dat Veracrypt niet kan werken met Windows Volume Shadow copies van bestanden op non-system drives, gezien de documentatie voor de API daarvoor niet beschikbaar is, cfr. [link]:

The Windows Volume Shadow Copy Service is currently supported only for partitions within the key scope of system encryption (e.g. a system partition encrypted by VeraCrypt, or a non- system partition located on a system drive encrypted by VeraCrypt, mounted when the encrypted operating system is running). Note: For other types of volumes, the Volume Shadow Copy Service is not supported because the documentation for the necessary API is not available.


In het verleden kon ik daarom niet gebruik maken van Cloudberry Backup (op zich wel leuk programma), gezien VSS zonder fout moest toegankelijk zijn voor die software (zo leidde ik destijds af uit de foutmeldingen). Crashplan van Code42 gaf schijnbaar geen problemen (ik heb alvast één restore kunnen organiseren zonder dataverlies), maar dit software pakket voldoet niet langer aan mijn wensen (vandaar de aankoop van die NAS).

Nu gebruik ik dus Synology Drive backup, en ik weet nog niet of ik in het geval van een full disk encryption van veracrypt dezelfde problemen zal ervaren als met Cloudberry, maar ik wil een beetje anticiperen.


Kan ik die VSS niet gewoon uitschakelen gezien ik mijn eigen backup systeem heb? Of is dit onverstandig?


mvg

Mortov Molotov
Van vele Nederlandstalige forumgangers wort de spellingchecker niet vaak bijgewerkd, waardoor de correctie van DT-fouten niet langer word ondersteunt ;)

DarkV
Elite Poster
Elite Poster
Berichten: 2751
Lid geworden op: 17 Apr 2019
Bedankt: 110 keer
Uitgedeelde bedankjes: 88 keer

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor DarkV » 1 week 6 dagen 12 uur geleden (09 Mei 2022, 15:18)

Mortov Molotov schreef:Nu wil ik full disk encryption organiseren op mijn systeem drive (C:) en op mijn data harde schijf (D:) via Veracrypt.


De vraag is wat win je ermee of is het een laptop ? De meeste diefstal van data is nog steeds op data-in-motion, niet op data-at-rest.

Mortov Molotov schreef:Bitlocker wens ik liever niet te gebruiken wegens 't feit dat dit niet open source is, en wegens 't feit dat er vraagtekens geplaatst worden bij gebruik van TPM voor encryptie; ik citeer even de commentaar van de makers van Veracrypt hier [link]:


Dat heeft natuurlijk een groot "Wij van WC-Eend bevelen..." gehalte... en wederom wat win je ermee ?

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 4808
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 317 keer
Recent bedankt: 16 keer
Uitgedeelde bedankjes: 149 keer
Contact:

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor Sasuke » 1 week 6 dagen 12 uur geleden (09 Mei 2022, 15:41)

Ik snap echt waarom iemand BitLocker zou afraden ... en TPM gebruik als een 'nadeel' beschouwen ?
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding

FullHD
Pro Member
Pro Member
Berichten: 325
Lid geworden op: 27 Mei 2008
Bedankt: 15 keer
Uitgedeelde bedankjes: 3 keer

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor FullHD » 1 week 6 dagen 11 uur geleden (09 Mei 2022, 16:48)

De Veracrypt FAQ is - naar eigen zeggen! - het laatst bijgewerkt in 2017...

Op Wikipedia staat de verklaring waarom ze de TPM afkraken:
VeraCrypt does not take advantage of Trusted Platform Module (TPM). VeraCrypt FAQ repeats the negative opinion of the original TrueCrypt developers verbatim. The TrueCrypt developers were of the opinion that the exclusive purpose of the TPM is "to protect against attacks that require the attacker to have administrator privileges, or physical access to the computer". The attacker who has physical or administrative access to a computer can circumvent TPM, e.g., by installing a hardware keystroke logger, by resetting TPM, or by capturing memory contents and retrieving TPM-issued keys. The condemning text goes so far as to claim that TPM is entirely redundant.

It is true that after achieving either unrestricted physical access or administrative privileges, it is only a matter of time before other security measures in place are bypassed. However, stopping an attacker in possession of administrative privileges has never been one of the goals of TPM. (See Trusted Platform Module § Uses for details.) TPM can, however, stop the cold boot attack described above.


Als een aanvaller administrator privileges heeft verkregen, zal de TPM inderdaad niet meer helpen. Maar dat was ook nooit de bedoeling. Dus de TPM verwijten dat hij iets niet kan waarvoor hij ook niet is gemaakt, dat voelt een beetje vreemd aan...

cyberbozzo
Premium Member
Premium Member
Berichten: 724
Lid geworden op: 27 Sep 2007
Bedankt: 25 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 23 keer

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor cyberbozzo » 1 week 6 dagen 9 uur geleden (09 Mei 2022, 18:38)

FullHD schreef:Als een aanvaller administrator privileges heeft verkregen, zal de TPM inderdaad niet meer helpen. Maar dat was ook nooit de bedoeling. Dus de TPM verwijten dat hij iets niet kan waarvoor hij ook niet is gemaakt, dat voelt een beetje vreemd aan...


Als de aanvaller admin access heeft tot het systeem en het systeem draait, dan is er toch geen enkele encryptie nog veilig? Dan heeft men toegang tot alles en is een unencrypted kopie maken van de gegevens toch een fluitje van een cent?

FullHD
Pro Member
Pro Member
Berichten: 325
Lid geworden op: 27 Mei 2008
Bedankt: 15 keer
Uitgedeelde bedankjes: 3 keer

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor FullHD » 1 week 6 dagen 5 uur geleden (09 Mei 2022, 22:15)

Als je geëncrypteerde volumes geunlocked zijn (dus leesbaar), dan is het inderdaad game over. Maar als je nog een wachtwoord moet ingeven om het volume te unlocken (leesbaar te maken) dan kan zelfs een administrator daar niet meteen rond.

DarkV
Elite Poster
Elite Poster
Berichten: 2751
Lid geworden op: 17 Apr 2019
Bedankt: 110 keer
Uitgedeelde bedankjes: 88 keer

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor DarkV » 1 week 5 dagen 17 uur geleden (10 Mei 2022, 09:57)

Als hij administrator access heeft dan is het onderscheppen van dat wachtwoord ook geen kunst meer (via een keylogger).

Trouwens ga jij iedere keer je encrypted volumes unlocken en terug locken... of zal in realiteit het volume altijd unlocked zijn ?

Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 265
Lid geworden op: 07 Jan 2012
Bedankt: 17 keer
Uitgedeelde bedankjes: 45 keer
Contact:

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor Mortov Molotov » 1 week 5 dagen 16 uur geleden (10 Mei 2022, 11:21)

Wow, heel veel reacties, waarvoor dank :-)
Ik probeer op de meeste te antwoorden hieronder:



DarkV schreef:
Mortov Molotov schreef:Nu wil ik full disk encryption organiseren op mijn systeem drive (C:) en op mijn data harde schijf (D:) via Veracrypt.


De vraag is wat win je ermee of is het een laptop ? De meeste diefstal van data is nog steeds op data-in-motion, niet op data-at-rest.


Het is een desktop pc, die evenwel documenten & foto's bevat die bij evt. diefstal (leeghalen van het huis) niet in andermans handen mogen vallen.
Al heb ik de indruk dat dat voor iedereen een beetje geldt, toch?


DarkV schreef:
Mortov Molotov schreef:Bitlocker wens ik liever niet te gebruiken wegens 't feit dat dit niet open source is, en wegens 't feit dat er vraagtekens geplaatst worden bij gebruik van TPM voor encryptie; ik citeer even de commentaar van de makers van Veracrypt hier [link]:


Dat heeft natuurlijk een groot "Wij van WC-Eend bevelen..." gehalte... en wederom wat win je ermee ?


Sasuke schreef:Ik snap echt waarom iemand BitLocker zou afraden ... en TPM gebruik als een 'nadeel' beschouwen ?


FullHD schreef:De Veracrypt FAQ is - naar eigen zeggen! - het laatst bijgewerkt in 2017...

Op Wikipedia staat de verklaring waarom ze de TPM afkraken:
VeraCrypt does not take advantage of Trusted Platform Module (TPM). VeraCrypt FAQ repeats the negative opinion of the original TrueCrypt developers verbatim. The TrueCrypt developers were of the opinion that the exclusive purpose of the TPM is "to protect against attacks that require the attacker to have administrator privileges, or physical access to the computer". The attacker who has physical or administrative access to a computer can circumvent TPM, e.g., by installing a hardware keystroke logger, by resetting TPM, or by capturing memory contents and retrieving TPM-issued keys. The condemning text goes so far as to claim that TPM is entirely redundant.

It is true that after achieving either unrestricted physical access or administrative privileges, it is only a matter of time before other security measures in place are bypassed. However, stopping an attacker in possession of administrative privileges has never been one of the goals of TPM. (See Trusted Platform Module § Uses for details.) TPM can, however, stop the cold boot attack described above.


Als een aanvaller administrator privileges heeft verkregen, zal de TPM inderdaad niet meer helpen. Maar dat was ook nooit de bedoeling. Dus de TPM verwijten dat hij iets niet kan waarvoor hij ook niet is gemaakt, dat voelt een beetje vreemd aan...



Jullie opmerkingen over TPM zijn zonder meer terecht, het lijkt me inderdaad meer een excuus van Veracrypt om hun systeem te promoten.


DarkV schreef:Als hij administrator access heeft dan is het onderscheppen van dat wachtwoord ook geen kunst meer (via een keylogger).
Trouwens ga jij iedere keer je encrypted volumes unlocken en terug locken... of zal in realiteit het volume altijd unlocked zijn ?


De discipline zal erin moeten bestaan om het ding af te zetten eens je het niet gebruikt, en al helemaal als je niet in huis bent. Ook al met oog op stroomverbruik.



Ok, ik begrijp de reacties ivm. TPM dus goed. Waar Veracrypt echter een streepje voor lijkt te hebben (corrigeer me als 't niet zo is), is dat het open source is, met zelfs een onafhankelijke audit (in 2016? 2018?), en dat Microsoft naar verluidt goede maatjes is met de NSA. Quid backdoor?

Jullie mening?
Van vele Nederlandstalige forumgangers wort de spellingchecker niet vaak bijgewerkd, waardoor de correctie van DT-fouten niet langer word ondersteunt ;)

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 4808
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 317 keer
Recent bedankt: 16 keer
Uitgedeelde bedankjes: 149 keer
Contact:

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor Sasuke » 1 week 5 dagen 13 uur geleden (10 Mei 2022, 14:03)

Ik stopte met lezen toen ik zag dat VeraCrypt niet meer verder ontwikkeld is sinds 2017 !! In ICT termen is dat de vorige eeuw hé ...
Nu, backdoor van de NSA ... als dat iets is waar jij je zorgen over moet (of wil) maken dan kan je Microsoft beter mijden, maar ik snap het echt niet. Disk encryptie is voor als je disk/pc/laptop gestolen wordt en men niet zomaar je disk kan lezen. Dat biedt geen enkele bescherming tegen een hacking poging om jouw data lezen terwijl je systeem online is hé, want op dat moment is je data unlocked en dus vrij leesbaar.

Die backdoor van de NSA in Bitlocker is dus vooral een punt als jij dingen doet die zo ernstig/privé/geheim zijn dat jouw fysieke disk ooit op de tafel komt te liggen bij een NSA werknemer.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding

Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 265
Lid geworden op: 07 Jan 2012
Bedankt: 17 keer
Uitgedeelde bedankjes: 45 keer
Contact:

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor Mortov Molotov » 1 week 5 dagen 13 uur geleden (10 Mei 2022, 14:22)

Sasuke schreef:Ik stopte met lezen toen ik zag dat VeraCrypt niet meer verder ontwikkeld is sinds 2017 !! In ICT termen is dat de vorige eeuw hé ...


4real?? :eek:

Sasuke schreef:Die backdoor van de NSA in Bitlocker is dus vooral een punt als jij dingen doet die zo ernstig/privé/geheim zijn dat jouw fysieke disk ooit op de tafel komt te liggen bij een NSA werknemer.

Dank voor de info; maar ik jou nu zeg dat ik dergelijke geheimen niet heb, geloof je me intussen niet meer, zeker? :-D



EDIT: laatste versie sinds februari 2022 hoor [link]
Van vele Nederlandstalige forumgangers wort de spellingchecker niet vaak bijgewerkd, waardoor de correctie van DT-fouten niet langer word ondersteunt ;)

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 4808
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 317 keer
Recent bedankt: 16 keer
Uitgedeelde bedankjes: 149 keer
Contact:

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor Sasuke » 1 week 5 dagen 13 uur geleden (10 Mei 2022, 14:31)

Mortov Molotov schreef:
Sasuke schreef:Ik stopte met lezen toen ik zag dat VeraCrypt niet meer verder ontwikkeld is sinds 2017 !! In ICT termen is dat de vorige eeuw hé ...


4real?? :eek:

Mea Culpa, ik was fout ! VeraCrypt wordt nog actief ontwikkeld ... maar is een fork van TrueCrypt 7.1 (dat gestopt is in 2014 zelfs):
http://truecrypt.sourceforge.net/

De FAQ page van Veracrypt dateert wel van 2017.

My 2 cents: Op zich maakt het niet uit of je nu VeraCrypt of Bitlocker gebruikt, maar de nadelen van VeraCrypt wegen imho niet op tegen de 'potentiële' privacy issues van BitLocker.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding

Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 265
Lid geworden op: 07 Jan 2012
Bedankt: 17 keer
Uitgedeelde bedankjes: 45 keer
Contact:

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor Mortov Molotov » 1 week 5 dagen 12 uur geleden (10 Mei 2022, 15:51)

Dank iedereen, voor de info

ben finaal voor bitlocker gegaan. Dat de NSA potentieel bij mij zou binnenbreken ( :-D ) weegt niet op tegen 't feit dat veracrypt mogelijks met mijn backupsysteem knoeit.

En effectief: Veracrypt lijkt noch mossel, noch vis. Dan ga je beter op Linux met LUKS (maar da's iets voor tegen 2025 :-) )
Van vele Nederlandstalige forumgangers wort de spellingchecker niet vaak bijgewerkd, waardoor de correctie van DT-fouten niet langer word ondersteunt ;)

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2393
Lid geworden op: 14 Nov 2008
Twitter: KrSi78
Locatie: Brugge
Bedankt: 150 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 207 keer

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor Sinna » 1 week 5 dagen 11 uur geleden (10 Mei 2022, 16:01)

Ik gebruik VeraCrypt-containers om privacy-gevoelige data (bv. onbewerkte scans van identiteitskaart, handtekening, 2FA-backups, ...) veilig op te slaan. De container zelf wordt gebackupt. Door een bepaalde vlag in VeraCrypt te zetten wordt de lastchangetime (oid) van de container zelf ook aangepast als er iets ín de container verandert. Voor mij heeft VeraCrypt dus weldegelijk een bestaansreden.
Computer(k)nul

Ordon
Elite Poster
Elite Poster
Berichten: 1517
Lid geworden op: 27 Apr 2019
Bedankt: 70 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 33 keer

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor Ordon » 1 week 5 dagen 11 uur geleden (10 Mei 2022, 16:21)

Mortov Molotov schreef:Dan ga je beter op Linux met LUKS (maar da's iets voor tegen 2025 :-) )

Nochtans poepsimpel.

How To Linux Hard Disk Encryption With LUKS [ cryptsetup encrypt command ]

In 't kort:

Maken van een LUKS DEVICE (bijvoorbeeld een hele HDD, SSD, partitie, SD-kaart, etc):

Code: Selecteer alles

cryptsetup luksFormat -y -v --type luks1 /dev/DEVICE
cryptsetup luksFormat -y -v --type luks2 /dev/DEVICE
Afhankelijk of je kiest voor versie "1" dan wel "2".

Openen van het LUKS device:

Code: Selecteer alles

cryptsetup luksOpen /dev/DEVICE BACKUP2


Formatteren (ext4) van het LUKS DEVICE:

Code: Selecteer alles

mkfs.ext4 -E lazy_itable_init=0,lazy_journal_init=0 -L DISKLABEL -m 0 /dev/mapper/BACKUP2


Mounten van het geëncrypteerd ext4 filesysteem:

Code: Selecteer alles

mount /dev/mapper/BACKUP2 /media/BACKUP2


En gaan met die :banana:


Unmouten:

Code: Selecteer alles

umount /media/BACKUP2


Sluiten van het LUKS DEVICE:

Code: Selecteer alles

cryptsetup luksClose BACKUP2


En alles zit terug veilig achter "slot en grendel".

Gebruikersavatar
Mortov Molotov
Pro Member
Pro Member
Berichten: 265
Lid geworden op: 07 Jan 2012
Bedankt: 17 keer
Uitgedeelde bedankjes: 45 keer
Contact:

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor Mortov Molotov » 1 week 4 dagen 13 uur geleden (11 Mei 2022, 14:07)

Ordon schreef:
Mortov Molotov schreef:Dan ga je beter op Linux met LUKS (maar da's iets voor tegen 2025 :-) )

Nochtans poepsimpel.

How To Linux Hard Disk Encryption With LUKS [ cryptsetup encrypt command ]

......


Dank voor de info. Zal ik goed bewaren.

Echter, de reden waarom ik nog niet ben overgeschakeld naar Linux als daily driver, is een gebrek aan goed, onder Linux werkend, alternatief voor Microsoft Office.

Ik hoop dat LibreOffice tegen 2025 volwassen genoeg zal zijn geworden.
Van vele Nederlandstalige forumgangers wort de spellingchecker niet vaak bijgewerkd, waardoor de correctie van DT-fouten niet langer word ondersteunt ;)

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 4808
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 317 keer
Recent bedankt: 16 keer
Uitgedeelde bedankjes: 149 keer
Contact:

Re: Volume Shadow service niet compatibel met Veracrypt: mag dit worden uitgeschakeld?

Berichtdoor Sasuke » 1 week 4 dagen 12 uur geleden (11 Mei 2022, 15:12)

Office Online ? :-)
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding


Terug naar “Windows”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast