Tobias Scheible Cyber Security & IT-Forensik Dozent
VeraCrypt mit wie Seafile, Nextcloud oder Owncloud

Synchronisation von VeraCrypt Containern

Wichtige Daten sollten immer verschlüsselt werden. Wird dazu VeraCrypt verwendet und der verschlüsselte Container in einer Synchronisationslösung wie Nextcloud oder Owncloud abgelegt, kann es sein, dass der Container nach einer Änderung nicht synchronisiert wird. Dahinter steckt eine Schutzfunktion von VeraCrypt, die jedoch deaktiviert werden kann.

Sonntag, 22. Dezember 2019
3 Kommentare

VeraCrypt nutzt verschlüsselte Container, die als virtuelle Laufwerke eingebunden werden können. Kürzlich hatte ich beschrieben, wie die Container komfortabel per Skript unter Windows eingebunden werden können. Um Benutzer zu schützen, werden die Dateiattribute eines Containers beim Öffnen nicht geändert. Das hat zur Folge, dass die Timestamps bzw. das Änderungsdatum bei einer Nutzung nicht verändert werden. Damit kann für Dritte nicht nachvollzogen werden, wann die letzte Nutzung des VeraCrypt Containers war. Eigentlich ein gutes Feature, das die Sicherheit erhöht, jedoch sorgt es für einen Konflikt bei der Synchronisation.

Synchronisationslösungen wie Seafile, Nextcloud oder Owncloud analysieren die Zeitstempel von Dateien und Ordnern, um Änderungen zu erkennen. Ist eine andere Zeit als die in der Datenbank vorhanden, geht das System davon aus, dass die Datei geändert wurde und startet somit die Synchronisation. Mit der Unterdrückung des Änderungsdatums durch VeraCrypt erkennen die Synchronisationslösungen keine Modifikationen der Container. Dadurch werden sie nicht synchronisiert – dies wiederum kann zu gefährlichen Inkonsistenzen führen.

VeraCrypt Einstellungen
VeraCrypt Einstellungen
VeraCrypt Settings VeraCrypt Einstellungen
Konfiguration

Um trotzdem eine Synchronisation von VeraCrypt Container zu erzielen, gibt es zwei Möglichkeiten. Eine Möglichkeit ist die Funktion zur Unterdrückung des Änderungsdatums in den Einstellungen von VeraCrypt komplett zu deaktivieren. Dazu muss im Menü „Settings“ der Unterpunkt „Preferences“ aufgerufen werden. Dort gibt es die Option „Preserve modification timestamp“, welche deaktiviert werden muss. Daraufhin wird keine Unterdrückung des Änderungsdatums mehr durchgeführt. Allerdings gilt dies für alle Container, die mit VeraCrypt geöffnet werden.

Batch-Datei

Mit der zweiten Methode kann die Funktion gezielt für einen speziellen Container deaktiviert werden. Dazu muss beim Einbinden die Anweisung „/mountoption“ mit dem Parameter „ts“ übergeben werden. Dies kann am einfachsten mit einer Batch-Datei realisiert werden.

@ECHO OFF  
"%ProgramFiles%/VeraCrypt/veracrypt.exe" /volume veracrypt.hc /mountoption ts /letter Z /explore /quit background

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Thomas am 24. Mai 2020 um 10:20 Uhr

Danke für deinen Tip,

leider unterstütz nexcloud keine block syncronisierung.
Daher macht das keinen Spaß bei größeren Containern.

Ich hoffe das nextcloud das irgendwann nach reicht.

Mikey am 7. Oktober 2020 um 08:31 Uhr

Danke für den Tipp! Der war hilfreich.
Gibt es noch was, was man tun kann, um die Container auch im eingebundenen Zustand zu synchronisieren? Das funktioniert bei mir nämlich nicht.
Oder liegt das an der Sync-Lösung?

Tobias am 15. Oktober 2020 um 17:51 Uhr

Da der Zeitstempel nur nach dem unmount gesetzt wird, ist eine Synchronisierung währen der Container eingebunden ist, nicht möglich.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.