Wer bei einem aktuellen Windows-System die gesamte System-Partition, bzw. -Festplatte mit VeraCrypt verschlüsseln will, muss dazu seinen Windows-Bootloader austauschen lassen. Damit es dabei zu keinen Signatur-Problemen durch Secure-Boot kommt, müssen ein paar Einstellungen im UEFI angepasst werden.

Die Problematik

Seit der UEFI Version 2.3.1 existiert mit dem Secure-Boot-Verfahren ein Mechanismus, der nur signierten Bootloadern den Start auf dem Rechner gewährt. Das Problem mit diesem Verfahren ist allerdings, dass meistens nur die Signatur des Windows-Bootloaders im Mainboard hinterlegt ist und weitere Signaturen entweder gar nicht, oder nur umständlich hinzugefügt werden können.

Nun kann man einfach den Secure-Boot Mechanismus im UEFI deaktivieren und damit beliebige Bootloader verwenden, allerdings vermindert dies nicht bloß die Sicherheit, sondern erzeugt bei den meisten Rechnern auch noch nervige Warnmeldungen beim Startvorgang.

Daher sollten die Signaturen des VeraCrypt Bootloaders in den Secure-Boot Signatur-Speicher des Mainboards hinzugefügt werden.

VeraCrypt Bootloader Signaturen

Die beste Gelegenheit, die Signaturen des VeraCrypt Bootloaders zum Secure-Boot Signatur-Speicher des Mainboards hinzuzufügen, ist noch vor der Einrichtung der Vollverschlüsselung.

Signaturen herunterladen

Die benötigten Signaturdateien befinden sich im offiziellen GitHub-Repository des VeraCrypt Projekts. Empfehlenswert ist dabei die Verwendung des Tags der Version, die man zur Zeit einsetzt (z.B. Version 1.19).

Nun müssen Sie sich über “Clone or download” und “Download ZIP” die Dateien des gewählten Tags herunterladen und anschließend die Dateien im src/Boot/EFI/-Verzeichnis des ZIP-Archives an einen beliebigen Ort entpacken.

Anschließend geht es an die Einrichtung der Signaturen im Mainboard Speicher.

Signaturen importieren

Hier bieten sich nun zwei verschiedene Wege an: die manuelle Installation im UEFI-Menü oder die bequemere Installation durch ein PowerShell Skript.

In jedem Fall muss allerdings zuerst der Rechner neugestartet und das UEFI-Menü geladen werden. Dort findet man in den Bereichen “Security” oder “Boot” nun eine entsprechende Einstellung, um einen “Custom Mode” oder “Setup Mode” zu aktivieren.

Manueller Import

Aus dem gleichen Menü sollten sich nun die Signaturen importieren lassen. Dabei müssen Sie folgende Zuordnungen machen:

Konfiguration Dateien
Platform Key (PK) DCS_platform.crt
Key Exchange Key (KEK) DCS_key_exchange.crt
Database (DB) DCS_sign.crt, MicWinProPCA2011_2011-10-19.crt, MicCorUEFCA2011_2011-06-27.crt

Anschließend sollten Sie den Rechner mit der “Save and Exit”-Funtion neustarten.

Automatischer Import

Sollte ein solches Menü nicht verfügbar sein, können Sie die automatische Installation über ein PowerShell Skript verwenden.
Starten Sie dazu eine Eingabeaufforderung mit Administrator-Rechten, wechseln Sie in das Verzeichnis mit den zuvor entpackten Dateien und starten Sie die Installation:

powershell -File sb_set_siglists.ps1

Aktualisierungen

Sollte in kommenden VeraCrypt Versionen eine dieser Dateien einen anderen Namen erhalten oder sich anderweitig eine Änderung im Prozess ergeben, so finden Sie eine knappe Anleitung der Entwickler in der Readme.txt-Datei des Repositories.

Fazit

Nach einem anschließenden Neustart kann die Einrichtung des VeraCrypt Volumes abgeschlossen werden und die Installation des neuen Bootloaders sollte ohne Warnmeldungen gelingen.
Andernfalls können möglicherweise UEFI-Updates oder das Handbuch des Mainboards weiterhelfen.