{"id":327308,"date":"2026-07-09T00:01:53","date_gmt":"2026-07-08T22:01:53","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=327308"},"modified":"2026-07-08T23:31:17","modified_gmt":"2026-07-08T21:31:17","slug":"diskcryptor-2-0-veroeffentlicht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/07\/09\/diskcryptor-2-0-veroeffentlicht\/","title":{"rendered":"DiskCryptor 2.0 als Pre-Release ver\u00f6ffentlicht"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Ultrabook.jpg\" width=\"80\" height=\"62\" align=\"left\" \/>Blog-Leser David Xanatos hat bereits zum 4. Juli 2026 die Version 2.0 der Open Source-Verschl\u00fcsselungssoftware DiskCryptor als sogenanntes Pre-Release ver\u00f6ffentlicht, wie er mir per Mail mitteilte. Die als Alternative zu VeraCrypt oder Bitlocker positionierte Verschl\u00fcsselungssoftware kann nun getestet werden.<\/p>\n<p><!--more--><\/p>\n<h2>Was ist DiskCryptor?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/cf6cf8e8fcb345f5879cdccc69e7dfb5\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/de.wikipedia.org\/wiki\/DiskCryptor\" target=\"_blank\" rel=\"noopener\">DiskCryptor<\/a> ist eine leistungsstarke, kostenlose Open-Source-Software zur Verschl\u00fcsselung von Laufwerken unter Windows, die laut dem verlinkten Wikipedia-Artikel erstmals 2007 von einem ukrainischen Entwickler ver\u00f6ffentlicht wurde. Derzeit wird die Software von David Xanatos gepflegt und weiter entwickelt.<\/p>\n<p>DiskCryptor ist eine Alternative zu VeraCrypt oder zu Microsofts Bitlocker-Verschl\u00fcsselung.\u00a0Die Software erm\u00f6glicht die transparente Verschl\u00fcsselung von Festplattenpartitionen und bietet eine vollst\u00e4ndige Unterst\u00fctzung f\u00fcr dynamische Festplatten. Das unter <a href=\"https:\/\/en.wikipedia.org\/wiki\/GNU_General_Public_License\">GNU GPLv3<\/a> auf <a href=\"https:\/\/diskcryptor.org\/\" target=\"_blank\" rel=\"noopener\">diskcryptor.org<\/a> angebotene Programm unterst\u00fctzt die Verschl\u00fcsselungsalgorithmen AES, Twofish und Serpent, einschlie\u00dflich ihrer Kombinationen.<\/p>\n<h2>Einige Informationen zu DiskCryptor 2.0<\/h2>\n<p>David Xanatos hat mir zum 4.7.2026 noch einigen Informationen zu DiskCryptor 2.0 per E-Mail zukommen lassen (danke daf\u00fcr) und schrieb, dass es das gr\u00f6\u00dfte Update des Projekts seit vielen Jahren ist und eine ganze Reihe grundlegender Neuerungen mitbringt. David erinnerte in seiner Mail daran, dass\u00a0DiskCryptor eine vollst\u00e4ndig quelloffene Festplattenverschl\u00fcsselung f\u00fcr Windows ist und eine Alternative zu BitLocker und VeraCrypt darstellt.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-327309\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/DiskCryptor01.jpg\" alt=\"DiskCryptor\" width=\"616\" height=\"663\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/DiskCryptor01.jpg 616w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/DiskCryptor01-279x300.jpg 279w\" sizes=\"auto, (max-width: 616px) 100vw, 616px\" \/><\/p>\n<p>Version 2.0 f\u00fchrt unter anderem Argon2id als moderne Key-Derivation-Funktion ein, bietet ein neues Volume-Header-Format mit mehreren unabh\u00e4ngigen Key-Slots, TPM-Unterst\u00fctzung, Header-Backups, einen Header- und Layout-Editor sowie zahlreiche Verbesserungen am Bootloader und der internen Architektur.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-327310\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/DiskCryptor02.jpg\" alt=\"DiskCryptor\" width=\"612\" height=\"657\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/DiskCryptor02.jpg 612w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/DiskCryptor02-279x300.jpg 279w\" sizes=\"auto, (max-width: 612px) 100vw, 612px\" \/><\/p>\n<h3>UEFI- und Secure-Boot-Support<\/h3>\n<p class=\"isSelectedEnd\">Ein Schwerpunkt der Weiterentwicklung lag laut David Xanatos auf modernen UEFI-Systemen. DiskCryptor unterst\u00fctzt nun Secure Boot, verfolgt dabei jedoch einen anderen Ansatz als VeraCrypt. Zwar erlaubt Microsoft grunds\u00e4tzlich auch die Signierung eigener UEFI-Bootloader, schreibt David. Allerdings setzt dieser Ansatz entweder eine Freigabe durch das Linux Shim Review Board oder regelm\u00e4\u00dfige Sicherheits-Audits durch eine anerkannte, unabh\u00e4ngige Pr\u00fcfstelle voraus. Au\u00dferdem d\u00fcrfen solche Bootloader-Lizenzen keine Anti-Tivoization-Klauseln enthalten. F\u00fcr kleinere Open-Source-Projekte sind diese Anforderungen in der Praxis kaum erf\u00fcllbar.<\/p>\n<p class=\"isSelectedEnd\">VeraCrypt hat seinen Bootloader laut David dennoch direkt von Microsoft signieren lassen, obwohl diese Voraussetzungen seines Wissens nicht erf\u00fcllt waren. Wie aus dem entsprechenden SourceForge-Thread hervorgeht, scheint dies eher ein Ausnahmefall gewesen zu sein, auf den sich andere Projekte kaum verlassen k\u00f6nnen.<\/p>\n<p class=\"isSelectedEnd\">David schrieb mir dazu, dass DiskCryptor deshalb bewusst den etablierten Linux-Shim verwendet, um Secure Boot zu unterst\u00fctzen. Dabei wird einmalig ein eigener Machine Owner Key (MOK) registriert. Anschlie\u00dfend startet der signierte Shim den eigentlichen DiskCryptor-Bootloader. Dieser Ansatz ist seit vielen Jahren im Linux-Umfeld etabliert und d\u00fcrfte langfristig deutlich zukunftssicherer sein.<\/p>\n<h3>Weitere Neuerungen der Version 2.0<\/h3>\n<p class=\"isSelectedEnd\">Ein weiteres gro\u00dfes neues Feature ist die M\u00f6glichkeit, beim Ver- oder Entschl\u00fcsseln nur tats\u00e4chlich belegte Sektoren zu verarbeiten. Gerade bei SSDs oder teilweise belegten Datentr\u00e4gern reduziert dies die Dauer der Operation erheblich. Soweit ich wei\u00df, bietet VeraCrypt diese M\u00f6glichkeit bislang nicht.<\/p>\n<p class=\"isSelectedEnd\">Der Bootloader unterst\u00fctzt au\u00dferdem jetzt direkt vor dem Betriebssystemstart USB-Keyfiles und kann auf einer eigenen EFI-Systempartition installiert werden. Dadurch muss die Windows-EFI-Partition nicht mehr f\u00fcr DiskCryptor verwendet werden und kann sogar selbst verschl\u00fcsselt werden.<\/p>\n<p class=\"isSelectedEnd\">Zus\u00e4tzlich l\u00e4sst sich der DCS-Bootloader so konfigurieren, dass bereits w\u00e4hrend der Pre-Boot-Phase der Zugriff auf unverschl\u00fcsselte Partitionen blockiert wird. Dadurch laufen viele der bekannten Angriffe \u00fcber manipulierte Windows-RE-Umgebungen oder andere unverschl\u00fcsselte Boot-Komponenten, wie sie insbesondere im Zusammenhang mit BitLocker diskutiert wurden, ins Leere, da der Bootloader keine fremden, unverschl\u00fcsselten Dateien mehr laden kann.<\/p>\n<h2>Derzeit ist Version 2.0 noch Pre-Release<\/h2>\n<p class=\"isSelectedEnd\">Da nahezu alle Kernkomponenten \u00fcberarbeitet wurden, wird Version 2.0 laut David von ihm zun\u00e4chst als Pre-Release ver\u00f6ffentlicht. Damit kann diese Pre-Release unter m\u00f6glichst vielen unterschiedlichen Hardware- und Firmware-Konfigurationen ausf\u00fchrlich getestet werden kann.<\/p>\n<p>David schrieb mir, dass er sehr viele Informationen in den umfangreichen <a href=\"https:\/\/github.com\/DiskCryptor\/DiskCryptor\/releases\/tag\/v2.0.0\" target=\"_blank\" rel=\"noopener\">Release Notes<\/a> auf GitHub ver\u00f6ffentlicht habe. Er hat mir hier einige Stichpunkte genannt, die ich nachfolgend mal herausgezogen habe:<\/p>\n<ul>\n<li>Die wichtigsten Neuerungen sind ein neues Header Format welches Argon2id Key Derivation unterst\u00fctzt und ein KeySlot Mechanisms damit kann man das selbe Volume mit verschiedenen schl\u00fcsseln entsperren, z.B. ein mal das normale Passwort und ein mal ein im TPM abgelegter schl\u00fcssel, das format ist nun auch sehr flexibel und Erweiterbar.<\/li>\n<li>Die n\u00e4chste gro\u00dfe Baustelle war ein neuer Mechanismus welcher die Ver-\/ Entschl\u00fcsselung eines Volumes handhabt (also nicht das transparente read write). Der alte Mechanismus der bisherigen Versionen hat, bis er fertig war, alle Zugriffe serialisiert. Das war nicht nur wenig \"performant\", sondern noch schlimmer, kam auf Systemen mit besonders wenig RAM dem Windows-Paging in die Quere. Der neue Mechanismus kann auch ungenutzte Sektoren \u00fcberspringen. Das ist f\u00fcr SSD hilfreich und macht den ganzen Vorgang auf neuen fast leeren Laufwerken wesentlich schneller.<\/li>\n<li>Mit dem neuem Header Editor kann man die verschiedenen Parameter \u00e4ndern, KeySlots konfigurieren etc.<\/li>\n<li>Und dann w\u00e4re da der TPM-Support &#8211; ob man das will und dem TPM an sich vertraut , will David den Nutzer entscheiden lassen. F\u00fcr Firmen sei so was nat\u00fcrlich ganz toll, schrieb er.<\/li>\n<\/ul>\n<p>Weiterhin kann man den DCS-Bootloader (VeraCrypt EFI-Boot-Loader) auf eine eigene EFI-Partition installieren, so das man den Window- Bootloader auch verschl\u00fcsseln kann. Dazu kann der DCS -Bootloader nun den Zugriff auf unverschl\u00fcsselte Partitionen\"vor dem handof\" zum Windows-Kernel blockieren. Dann laufen die bekannt gewordenen WinRE-Exploits (&amp; Co.) ins Leere. Denn man kann den Windows-Bootloader in diesem Szenario weder umkonfigurieren noch irgend ein modifiziertes WinRE-Image unterschieben, schrieb David. Man ist also recht sicher, wobei der k\u00fcrzlich beschriebene Bitlocker Yellow Key Exploit nur abgewendet werden kann, wenn Win RE entfernt wird. Aber das funktioniert mit dem oben skizzierten Mechanismus recht einfach.<\/p>\n<p>Ich hatte David noch nach dem ukrainischen Entwickler gefragt, der BoxCryptor mal geschrieben hat. Dazu schrieb mir David, dass der urspr\u00fcngliche Entwickler komplett verschwunden sei. Seit einigen Jahren ist sogar die urspr\u00fcngliche .net-Domain der Software in H\u00e4nden eines Domain Grabbers. David Xanatos gibt an, die BoxCryptor-Entwicklung in Eigenregie zu stemmen. F\u00fcr die uralte win32-UI habe er sich von Anthropic Claude Code helfen lassen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Blog-Leser David Xanatos hat bereits zum 4. Juli 2026 die Version 2.0 der Open Source-Verschl\u00fcsselungssoftware DiskCryptor als sogenanntes Pre-Release ver\u00f6ffentlicht, wie er mir per Mail mitteilte. Die als Alternative zu VeraCrypt oder Bitlocker positionierte Verschl\u00fcsselungssoftware kann nun getestet werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-327308","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/327308","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=327308"}],"version-history":[{"count":3,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/327308\/revisions"}],"predecessor-version":[{"id":327313,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/327308\/revisions\/327313"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=327308"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=327308"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=327308"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}