Met VeraCrypt gratis je Windows-partitie versleutelen

Noud van Kruysbergen5 februari, 2021• min. leestijd

Inhoudsopgave

Inleiding

Versleuteling van je harde schijf beschermt tegen gegevensdiefstal als je laptop verloren gaat of wordt gestolen. Microsofts BitLocker kan alleen worden gebruikt met een Windows Pro-editie. Gelukkig is er een gratis alternatief: VeraCrypt.

Iedereen die ooit wel eens geprobeerd heeft om een harde schijf te versleutelen met de standaard tools van Windows 10 Home kent het probleem: dat werkt eigenlijk gewoon niet.

De Windows-eigen oplossing BitLocker is in de Home-editie bijvoorbeeld nauwelijks bruikbaar. Het enige dat in die versie wel werkt is namelijk het kunnen ontgrendelen van verwijderbare media die eerder elders versleuteld zijn.

Apparaatversleuteling

De Apparaatversleuteling in Windows 10 Home zou een goed alternatief kunnen zijn. Technisch gezien is die gebaseerd op BitLocker.

Maar Apparaatversleuteling kan alleen maar onder bepaalde voorwaarden gebruikt worden: de computer moet bijvoorbeeld in de UEFI-modus met Secure Boot starten, er moet een TPM aanwezig zijn en je moet je aanmelden met een Microsoft-account.

Apparaatversleuteling koppelt de herstelsleutel dan automatisch aan dat Microsoft-account, wat essentieel is om Windows te kunnen starten in geval van ontgrendelingsfouten tijdens het opstarten van het systeem.

Dat is al met al dan misschien beter dan helemaal geen versleuteling, maar niet iedereen vindt het prettig dat Microsoft een sleutel tot de harde schijf op die manier in handen krijgt.

Het ligt dan voor de hand om jezelf onafhankelijk te maken van Microsofts gecastreerde pseudo-BitLocker en in plaats daarvan de vrije software VeraCrypt te gebruiken. In dit artikel leggen we je uit hoe je daar de C-schijf mee beveiligd, oftewel de Windows-systeempartitie.

Doorlezen is gratis, maar eerst even dit:

Dit artikel is met grote zorg samengesteld door de redactie van c’t magazine – het meest toonaangevende computertijdschrift van Nederland en België. Met zeer uitgebreide tests en praktische workshops biedt c’t de diepgang die je nergens online vindt.

Bekijk de abonnementen Lees eerst verder

Voorbereidingen

Het belangrijkste eerst: maak een back-up van je systeem voordat je begint met VeraCrypt. Al onze tests verliepen zonder problemen, maar als er iets misgaat met het versleutelen en het systeem niet meer kan worden ontgrendeld, zijn je bestanden weg.

In tegenstelling tot BitLocker vertrouwt VeraCrypt niet op een Trusted Platform Module (TPM), dus is er verder geen voorbereidend werk te doen zoals het aanpassen van het groepsbeleid of het voorbereiden van de TPM.

Maar het is wel zinvol om eerst uit te sluiten of Apparaatversleuteling actief is, of – in een minder waarschijnlijk scenario – de schijf al versleuteld is, maar de bescherming door het ontbreken van een Microsoft-account niet automatisch is ingeschakeld.

Voordat je met VeraCrypt begint, moet je er zeker van zijn dat BitLocker uitgeschakeld is.

Om erachter te komen of Apparaatversleuteling actief is, open je Opdrachtprompt als administrator en voer je het commando manage-bde c: -status in.

Als bij de uitvoer onder Encryption Method iets anders staat dan None, kun je BitLocker uitschakelen met het commando manage-bde c: -off.

Controleer vervolgens de voortgang van de decodering van tijd tot tijd met het bovenstaande statuscommando en ga niet verder totdat de waarde achter Percentage Encrypted 0,0% is. Als station C: op een ssd staat, is het ontcijferen meestal al na enkele minuten voltooid.

Aan de slag

Na het downloaden van VeraCrypt installeer en start je VeraCrypt. Klik in het menu Systeem op ‘Systeempartitie/-schijf versleutelen’. Selecteer bij de volgende dialoogvensters de opties Normaal en ‘De Windows-systeempartitie versleutelen’.

Vervolgens wil VeraCrypt weten hoeveel besturingssystemen er op de computer geïnstalleerd zijn. Als je niet parallel aan je Windows-systeem een tweede Windows-systeem of een GNU/Linux-distributie geïnstalleerd hebt, is dat dus Single-boot.

Bij een dual-boot-systeem (selecteer ‘Multi-boot) is het afhankelijk van de configuratie of VeraCrypt zonder problemen gebruikt kan worden. We hebben de indruk dat dit niet problematisch is bij de gevallen waarbij er slechts één harde schijf is waarop twee besturingssystemen geïnstalleerd staan.

Als er twee schijven zijn en het te versleutelen systeem zich op de eerste bevindt (of preciezer: op de schijf van waaruit de bootloader start), stelt VeraCrypt een paar extra vragen voordat het naar het eigenlijke versleutelen gaat.

Blijf op de hoogte van de nieuwste tips en reviews van nieuwe hardware!
Schrijf je in voor de nieuwsbrief:

Je aanmelding is helaas niet gelukt. Probeer het later nog eens.

Wanneer gevraagd wordt of het door de host beschermde gebied versleuteld moet worden, antwoord je met Nee en bij het dialoogvenster met de vraag of het op dat moment actieve systeem op de bootschijf geïnstalleerd is met Ja. De vraag over het aantal systeemschijven beantwoord je dan met 2 of meer.

Dan vraagt VeraCrypt of meerdere systemen op een schijf staan, waarbij de fysieke schijf bedoeld wordt. Dus als de twee systemen niet samen op één schijf staan, is het antwoord Nee.

De vraag over een niet-Windows bootloader kan net zo makkelijk beantwoord worden: als je bij het starten van het systeem de besturingssysteemkeuze van een Linux-bootloader zoals GRUB of LiLo ziet, antwoord je met Ja.

VeraCrypt ondersteunt één speciaal geval echter niet: als je meerdere fysieke harde schijven of ssd’s in je systeem hebt en de te versleutelen Windows-partitie niet op de schijf staat waar de computer van wordt opgestart. Normaal gesproken herkent VeraCrypt die constructie en wijst het daarop.

Versleuteling instellen

Bij de volgende dialoog vraag VeraCrypt naar het versleutelings- en hash-algoritme. Je kunt de standaardinstellingen (AES en SHA-512) gewoon accepteren. Typ vervolgens het gewenste wachtwoord in om de Windows-installatie te ontgrendelen voordat je gaat opstarten.

Het invoerveld PIM (Personal Iterations Multiplier) is optioneel: daar kun je een getal opgeven waarmee het aantal uitgevoerde iteraties vermenigvuldigd wordt om de eigenlijke sleutel uit het wachtwoord af te leiden.

Dat kan de veiligheid verbeteren, vooral voor eenvoudige wachtwoorden, omdat voor aanvallers een verder onbekende waarde aan het wachtwoord toegevoegd wordt. Hogere waarden leiden echter ook tot langere wachttijden bij het ontgrendelen.

De ontwikkelaars hebben gedetailleerde informatie over het aantal iteraties gedocumenteerd. Maar vul niet te snel iets in. Voor versleuteling die geschikt is voor dagelijks gebruik als bescherming tegen toevallige dieven is een sterk wachtwoord met 20 of meer tekens voldoende – laat het PIM-veld dan gewoon leeg.

Toetsenbord-perikelen

Het zal voor de meeste gebruikers hier geen probleem zijn, maar houd er rekening mee dat de indeling van het toetsenbord in het invoervenster voor wachtwoorden tijdelijk verandert in het Engels.

Daar is een goede reden voor: de meeste computers zullen ook die Engelse lay-out gebruiken voordat het besturingssysteem start, zoals wanneer later om het opstart-wachtwoord wordt gevraagd.

veracrypt versleutelen willekeurige gegevens

VeraCrypt genereert een sleutel op basis van willekeurige muisbewegingen die je zelf uitvoert.

Typ je bijvoorbeeld op een Azerty-toetsenbord bepaalde (speciale) tekens zonder die lay-outswitch, dan zou VeraCrypt dat opgegeven wachtwoord later niet accepteren. Bij het opstarten zou je dan namelijk iets anders typen. Daarom gebeurt die overschakeling naar het Engels alleen als je een wachtwoord voor het systeemstation opgeeft, maar niet als het gaat om usb-sticks en dergelijke.

Willekeurige getallen genereren

Vervolgens help je VeraCrypt om willekeurige getallen te genereren voor de VeraCrypt-sleutel. Beweeg de muisaanwijzer op het programmavenster heen en weer tot de voortgangsbalk vol is. Klik op Volgende en doe dat ook bij het dialoogvenster ‘Sleutels aangemaakt’.

VeraCrypt wil dan een herstelschijf aanmaken. Dat wordt sterk aanbevolen, omdat het kan helpen als bijvoorbeeld de bootloader wordt veranderd door een Windows-update of als het authenticatiemechanisme van VeraCrypt op de een of andere manier beschadigd raakt.

In tegenstelling tot de herstelsleutel bij Microsofts BitLocker is het echter geen echte opstartschijf, maar helpt het alleen bij een beschadigde opstartconfiguratie – het wachtwoord blijft desondanks nodig.

Bij de ‘Modus voor wissen’ kun je kiezen voor een mogelijkheid om ongebruikte schijfgebieden te overschrijven met willekeurige gegevens tijdens het versleutelen.

Net als bij BitLocker is dat niet nodig voor nieuwe of recentelijk veilig gewiste media en verder een kwestie van hoe gevoelig de gegevens zijn, wat eventuele externe eisen zijn of wat je persoonlijke niveau van paranoia is.

Het meervoudig overschrijven is bij een moderne harde schijf niet nodig – een enkele doorloop met willekeurige getallen is dan voldoende. Na een herstart om de authenticatie te testen en enkele bevestigingen, start de versleuteling.

veracrypt versleutelen wachtwoord kiezen

Geef een veilig wachtwoord op, maar maak het jezelf ook niet al te moeilijk: je moet dit wachtwoord intypen tijdens het opstarten van het Windows-systeem.

Beheer

Als de schijf versleuteld is, biedt de VeraCrypt-software opties om het wachtwoord te wijzigen, een andere herstelschijf te maken en de versleuteling te deactiveren. Klik daarvoor in het programma met de rechtermuisknop op station C: in de lijst van de schijven en kies de betreffende functie in het contextmenu.

Als je tijdens het installeren geen PIM-waarde hebt ingesteld, kun je de vraag daarnaar bij het opstarten van het systeem ook uitschakelen. Klik daarvoor op Instellingen in het contextmenu van station C: en zet een vinkje voor ‘Vraag geen PIM aan in het authenticatiescherm vóór het opstarten’ en bevestig met Ok.

Beperkingen

VeraCrypt gebruikt algoritmes voor het versleutelen van de harde schijf die volgens de huidige standaarden als veilig worden beschouwd – meestal AES. Toch zijn aanvallen tegen een versleutelde schijf denkbaar en mogelijk, maar niet heel makkelijk.

Een aanvaller kan je laptop in jouw afwezigheid bijvoorbeeld voorzien van speciale hardware die je toetsenbordinvoer scant tijdens het opstarten van het systeem. Dan kan hij later je laptop stelen en het systeem ontgrendelen met het eerder gescande wachtwoord.

Als je bang bent voor zo’n gerichte aanval, moet je je ervan bewust zijn dat een versleutelde harde schijf een goede, maar geen perfecte bescherming voor je gegevens biedt.

Houd er bovendien rekening mee dat wanneer je bestanden van een ontgrendelde harde schijf naar bijvoorbeeld een usb-stick of externe harde schijf kopieert, de versleuteling niet samen met de bestanden gekopieerd wordt. De doelschijf moet dan eveneens versleuteld worden.

(informatie afkomstig uit het artikel van Jan Schüßler en Noud van Kruysbergen, , c’t magazine 11/2020, p. 122)

Meer hands-on workshops in c't 05/2024

Bestel nu

Noud van KruysbergenNoud heeft de 'American Dream' doorlopen van jongste bediende tot hoofdredacteur van c't, waar hij zo veel mogelijk de diepgang, betrouwbaarheid en diversiteit wil bewaken.

BitLocker en ssd’s met ingebouwde encryptie

BitLocker kun je ook gebruiken met hardwareversleuteling op een ssd die aan de eDrive-standaard voldoet. We laten zien waar je rekening mee moet houde...

workshops

26/08/2019

iStorage datAshur Pro usb-stick met hardware-encryptie

De datAshur Pro is een robuuste usbstick met hardware-encryptie. Net als andere producten van de fabrikant (un) lock je hem via een keypad.

reviews•Hardware USB

11/12/2018

Softlink

0 Praat mee

Abonneer

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Met VeraCrypt gratis je Windows-partitie versleutelen

Inhoudsopgave

Apparaatversleuteling

Doorlezen is gratis, maar eerst even dit:

Voorbereidingen

Aan de slag

Versleuteling instellen

Toetsenbord-perikelen

Willekeurige getallen genereren

Beheer

Beperkingen

Meer hands-on workshops in c't 05/2024

Lees ook

BitLocker en ssd’s met ingebouwde encryptie

iStorage datAshur Pro usb-stick met hardware-encryptie

Lees ook

Softlink

Blijf op de hoogte!

Met VeraCrypt gratis je Windows-partitie versleutelen

Inhoudsopgave

Apparaatversleuteling

Doorlezen is gratis, maar eerst even dit:

Voorbereidingen

Aan de slag

Versleuteling instellen

Toetsenbord-perikelen

Willekeurige getallen genereren

Beheer

Beperkingen

Meer hands-on workshops in c't 05/2024

Meer over

Deel dit artikel

Lees ook

BitLocker en ssd’s met ingebouwde encryptie

iStorage datAshur Pro usb-stick met hardware-encryptie

Lees ook

Softlink

Blijf op de hoogte!