DiskCryptor 2.0 als Pre-Release veröffentlicht

Blog-Leser David Xanatos hat bereits zum 4. Juli 2026 die Version 2.0 der Open Source-Verschlüsselungssoftware DiskCryptor als sogenanntes Pre-Release veröffentlicht, wie er mir per Mail mitteilte. Die als Alternative zu VeraCrypt oder Bitlocker positionierte Verschlüsselungssoftware kann nun getestet werden.

Was ist DiskCryptor?

DiskCryptor ist eine leistungsstarke, kostenlose Open-Source-Software zur Verschlüsselung von Laufwerken unter Windows, die laut dem verlinkten Wikipedia-Artikel erstmals 2007 von einem ukrainischen Entwickler veröffentlicht wurde. Derzeit wird die Software von David Xanatos gepflegt und weiter entwickelt.

DiskCryptor ist eine Alternative zu VeraCrypt oder zu Microsofts Bitlocker-Verschlüsselung. Die Software ermöglicht die transparente Verschlüsselung von Festplattenpartitionen und bietet eine vollständige Unterstützung für dynamische Festplatten. Das unter GNU GPLv3 auf diskcryptor.org angebotene Programm unterstützt die Verschlüsselungsalgorithmen AES, Twofish und Serpent, einschließlich ihrer Kombinationen.

Einige Informationen zu DiskCryptor 2.0

David Xanatos hat mir zum 4.7.2026 noch einigen Informationen zu DiskCryptor 2.0 per E-Mail zukommen lassen (danke dafür) und schrieb, dass es das größte Update des Projekts seit vielen Jahren ist und eine ganze Reihe grundlegender Neuerungen mitbringt. David erinnerte in seiner Mail daran, dass DiskCryptor eine vollständig quelloffene Festplattenverschlüsselung für Windows ist und eine Alternative zu BitLocker und VeraCrypt darstellt.

DiskCryptor

Version 2.0 führt unter anderem Argon2id als moderne Key-Derivation-Funktion ein, bietet ein neues Volume-Header-Format mit mehreren unabhängigen Key-Slots, TPM-Unterstützung, Header-Backups, einen Header- und Layout-Editor sowie zahlreiche Verbesserungen am Bootloader und der internen Architektur.

DiskCryptor

UEFI- und Secure-Boot-Support

Ein Schwerpunkt der Weiterentwicklung lag laut David Xanatos auf modernen UEFI-Systemen. DiskCryptor unterstützt nun Secure Boot, verfolgt dabei jedoch einen anderen Ansatz als VeraCrypt. Zwar erlaubt Microsoft grundsätzlich auch die Signierung eigener UEFI-Bootloader, schreibt David. Allerdings setzt dieser Ansatz entweder eine Freigabe durch das Linux Shim Review Board oder regelmäßige Sicherheits-Audits durch eine anerkannte, unabhängige Prüfstelle voraus. Außerdem dürfen solche Bootloader-Lizenzen keine Anti-Tivoization-Klauseln enthalten. Für kleinere Open-Source-Projekte sind diese Anforderungen in der Praxis kaum erfüllbar.

VeraCrypt hat seinen Bootloader laut David dennoch direkt von Microsoft signieren lassen, obwohl diese Voraussetzungen seines Wissens nicht erfüllt waren. Wie aus dem entsprechenden SourceForge-Thread hervorgeht, scheint dies eher ein Ausnahmefall gewesen zu sein, auf den sich andere Projekte kaum verlassen können.

David schrieb mir dazu, dass DiskCryptor deshalb bewusst den etablierten Linux-Shim verwendet, um Secure Boot zu unterstützen. Dabei wird einmalig ein eigener Machine Owner Key (MOK) registriert. Anschließend startet der signierte Shim den eigentlichen DiskCryptor-Bootloader. Dieser Ansatz ist seit vielen Jahren im Linux-Umfeld etabliert und dürfte langfristig deutlich zukunftssicherer sein.

Weitere Neuerungen der Version 2.0

Ein weiteres großes neues Feature ist die Möglichkeit, beim Ver- oder Entschlüsseln nur tatsächlich belegte Sektoren zu verarbeiten. Gerade bei SSDs oder teilweise belegten Datenträgern reduziert dies die Dauer der Operation erheblich. Soweit ich weiß, bietet VeraCrypt diese Möglichkeit bislang nicht.

Der Bootloader unterstützt außerdem jetzt direkt vor dem Betriebssystemstart USB-Keyfiles und kann auf einer eigenen EFI-Systempartition installiert werden. Dadurch muss die Windows-EFI-Partition nicht mehr für DiskCryptor verwendet werden und kann sogar selbst verschlüsselt werden.

Zusätzlich lässt sich der DCS-Bootloader so konfigurieren, dass bereits während der Pre-Boot-Phase der Zugriff auf unverschlüsselte Partitionen blockiert wird. Dadurch laufen viele der bekannten Angriffe über manipulierte Windows-RE-Umgebungen oder andere unverschlüsselte Boot-Komponenten, wie sie insbesondere im Zusammenhang mit BitLocker diskutiert wurden, ins Leere, da der Bootloader keine fremden, unverschlüsselten Dateien mehr laden kann.

Derzeit ist Version 2.0 noch Pre-Release

Da nahezu alle Kernkomponenten überarbeitet wurden, wird Version 2.0 laut David von ihm zunächst als Pre-Release veröffentlicht. Damit kann diese Pre-Release unter möglichst vielen unterschiedlichen Hardware- und Firmware-Konfigurationen ausführlich getestet werden kann.

David schrieb mir, dass er sehr viele Informationen in den umfangreichen Release Notes auf GitHub veröffentlicht habe. Er hat mir hier einige Stichpunkte genannt, die ich nachfolgend mal herausgezogen habe:

  • Die wichtigsten Neuerungen sind ein neues Header Format welches Argon2id Key Derivation unterstützt und ein KeySlot Mechanisms damit kann man das selbe Volume mit verschiedenen schlüsseln entsperren, z.B. ein mal das normale Passwort und ein mal ein im TPM abgelegter schlüssel, das format ist nun auch sehr flexibel und Erweiterbar.
  • Die nächste große Baustelle war ein neuer Mechanismus welcher die Ver-/ Entschlüsselung eines Volumes handhabt (also nicht das transparente read write). Der alte Mechanismus der bisherigen Versionen hat, bis er fertig war, alle Zugriffe serialisiert. Das war nicht nur wenig "performant", sondern noch schlimmer, kam auf Systemen mit besonders wenig RAM dem Windows-Paging in die Quere. Der neue Mechanismus kann auch ungenutzte Sektoren überspringen. Das ist für SSD hilfreich und macht den ganzen Vorgang auf neuen fast leeren Laufwerken wesentlich schneller.
  • Mit dem neuem Header Editor kann man die verschiedenen Parameter ändern, KeySlots konfigurieren etc.
  • Und dann wäre da der TPM-Support – ob man das will und dem TPM an sich vertraut , will David den Nutzer entscheiden lassen. Für Firmen sei so was natürlich ganz toll, schrieb er.

Weiterhin kann man den DCS-Bootloader (VeraCrypt EFI-Boot-Loader) auf eine eigene EFI-Partition installieren, so das man den Window- Bootloader auch verschlüsseln kann. Dazu kann der DCS -Bootloader nun den Zugriff auf unverschlüsselte Partitionen"vor dem handof" zum Windows-Kernel blockieren. Dann laufen die bekannt gewordenen WinRE-Exploits (& Co.) ins Leere. Denn man kann den Windows-Bootloader in diesem Szenario weder umkonfigurieren noch irgend ein modifiziertes WinRE-Image unterschieben, schrieb David. Man ist also recht sicher, wobei der kürzlich beschriebene Bitlocker Yellow Key Exploit nur abgewendet werden kann, wenn Win RE entfernt wird. Aber das funktioniert mit dem oben skizzierten Mechanismus recht einfach.

Ich hatte David noch nach dem ukrainischen Entwickler gefragt, der BoxCryptor mal geschrieben hat. Dazu schrieb mir David, dass der ursprüngliche Entwickler komplett verschwunden sei. Seit einigen Jahren ist sogar die ursprüngliche .net-Domain der Software in Händen eines Domain Grabbers. David Xanatos gibt an, die BoxCryptor-Entwicklung in Eigenregie zu stemmen. Für die uralte win32-UI habe er sich von Anthropic Claude Code helfen lassen.

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.