VeraCrypt: versleutelde opslag in de praktijk

Voor de meeste mensen is schijfversleuteling al ingebakken in het besturingssysteem: BitLocker op Windows, FileVault op macOS, LUKS op Linux. Die aanpak beschermt de hele schijf als iemand fysieke toegang tot je apparaat krijgt — en dat is genoeg voor het merendeel van de lezers.

VeraCrypt vult een ander gat. Het maakt versleutelde containers — afzonderlijke bestanden die werken als een versleutelde kluis — en kan externe schijven en USB-sticks versleutelen op een manier die cross-platform werkt. Dit gids helpt je beslissen of VeraCrypt iets toevoegt voor jou, en hoe je het operationeel verantwoord inricht als dat het geval is.

Wanneer VeraCrypt zinvol is

VeraCrypt is de juiste keuze als:

• je gevoelige documenten wilt bewaren die ook toegankelijk moeten zijn op een Windows- en een macOS-machine (BitLocker en FileVault werken niet cross-platform op containers)
• je een externe schijf of USB-stick versleutelt die je meeneemt op reis of naar andere locaties
• je een duidelijk afgebakende kluis wilt voor één categorie bestanden — bronmateriaal, cliëntdossiers, financiële documenten — los van de rest van je schijf
• je verborgen volumes nodig hebt (zie het aparte onderdeel hieronder)

VeraCrypt is overkill of niet de juiste tool als:

• je voornaamste doel is je laptop te beschermen als die gestolen wordt — daarvoor is BitLocker, FileVault of LUKS de betere route, want die beschermen alles inclusief het draaiende systeem
• je alleen cloudopslag wilt versleutelen — Proton Drive of vergelijkbare diensten pakken dat op een eenvoudigere manier aan
• je nog geen basisbeveiliging hebt staan — encryptie beschermt opgeslagen bestanden, niet een actief systeem dat al gecompromitteerd is

De basislijn: zorg dat schijfversleuteling van het systeem zelf aanstaat. VeraCrypt is een aanvulling, geen vervanging.

Containers versus volledige schijfversleuteling

VeraCrypt biedt twee werkwijzen. De keuze is doorgaans eenvoudig.

Versleutelde container (aanbevolen voor de meeste lezers)

Een container is een bestand op je schijf — zeg archief.vc. VeraCrypt behandelt dat bestand als een schijf die je kunt mounten, bestanden in kunt plaatsen, en daarna weer kunt sluiten. Alles wat in de gemounte container staat, wordt automatisch versleuteld. Sluit je hem, dan is de inhoud ontoegankelijk zonder wachtwoord.

Voordelen:

• eenvoudig te back-uppen: kopieer het containerbestand net als elk ander bestand
• werkt naast de systeemencryptie van het OS
• eenvoudig te verplaatsen tussen machines en platforms

Nadeel: de container heeft een vaste grootte die je bij aanmaken instelt. Als je meer ruimte nodig hebt, maak je een nieuwe container aan.

Volledige schijf- of partitie-encryptie

VeraCrypt kan ook een volledige externe schijf of USB-stick versleutelen. Dit is zinvol als je een externe schijf wilt beveiligen die je meeneemt op reis en waarop je niet werkt met afzonderlijke categorieën bestanden.

Voor systeemschijfversleuteling op Windows biedt VeraCrypt ook een optie, maar voor de meeste gebruikers is BitLocker de simpelere route. VeraCrypt-systeemencryptie is relevant als je cross-platform boot wilt of als je geen vertrouwen hebt in BitLocker vanwege de closed-source implementatie.

Kies containers tenzij je een specifieke reden hebt voor volledige schijfversleuteling. Containers zijn eenvoudiger te beheren en te back-uppen.

Een container aanmaken

1. Download VeraCrypt via veracrypt.fr en installeer het.
2. Open VeraCrypt → klik “Create Volume”.
3. Kies “Create an encrypted file container”.
4. Kies een locatie en bestandsnaam voor de container (bijv. archief.vc).
5. Laat het encryptie-algoritme op AES staan — dit is de standaard en is goed genoeg voor alle normale gebruik.
6. Stel de containergrootte in. Denk na: je kunt hem later niet eenvoudig vergroten.
7. Stel een sterk wachtwoord in. Bewaar dit in je wachtwoordmanager — zie Welke wachtwoordmanager moet je kiezen?.
8. Beweeg de muis willekeurig in het VeraCrypt-venster om entropy te genereren (dit is letterlijk onderdeel van de sleutelgeneratie).
9. Klik “Format”. De container is klaar.

Om de container te gebruiken: open VeraCrypt, kies een stationsletter (of mount point op macOS/Linux), selecteer het containerbestand, voer je wachtwoord in, en mount. De container verschijnt als een normale schijf.

Verborgen volumes

VeraCrypt ondersteunt een specifieke functie: een container met twee wachtwoorden. Wachtwoord A opent een set onschuldige bestanden. Wachtwoord B opent de eigenlijke gevoelige bestanden. Een buitenstaander kan niet aantonen dat er een verborgen volume bestaat — de ruimte van het verborgen volume is niet te onderscheiden van willekeurige data.

Dit is relevant in twee situaties:

• je bewaart gevoelige bronmaterialen in een jurisdictie waar je wettelijk gedwongen kunt worden je wachtwoord af te geven
• je bewaart informatie waarbij aannemelijke ontkenning juridisch of persoonlijk een reële waarde heeft

Voor de meeste lezers zijn verborgen volumes niet nodig. Een normaal sterk wachtwoord is voor de meeste dreigingsmodellen voldoende. Overweeg verborgen volumes alleen als je concreet nadenkt over gedwongen decryptie.

Als je verborgen volumes gebruikt: houd het buitenste volume gevuld met geloofwaardige bestanden. Een lege “normale” container is minder geloofwaardig.

Operationele valkuilen

Wachtwoord kwijt betekent data kwijt

VeraCrypt heeft geen hersteloptie. Geen back-upcode, geen klantenservice, geen technische omweg. Als je het wachtwoord vergeet, zijn de bestanden onherstelbaar verloren. Sla het wachtwoord op in een wachtwoordmanager. Maak ook een back-up van de wachtwoordmanager-database zelf.

Forensische sporen op Windows

Als een VeraCrypt-container op Windows gemount is geweest, kunnen de Windows registry en prefetch-bestanden sporen achterlaten: het feit dat het bestand geopend is, de locatie, en wanneer. De inhoud is niet zichtbaar, maar het gebruik wel.

Als dit relevant is voor jouw dreigingsmodel — denk aan journalisten of activisten die werken in omgevingen waar forensisch onderzoek realistisch is — overweeg dan gebruik van VeraCrypt vanuit een live OS zoals Tails. Tails laat geen sporen achter op de hostmachine.

Trage mount is normaal

VeraCrypt gebruikt opzettelijk trage sleutelafleiding (PBKDF2 met hoge iteraties, en optioneel Argon2id) om brute-force aanvallen te bemoeilijken. Het mounten van een container duurt enkele seconden. Dit is een ontwerpkeuze, geen storing.

Containergrootte aanpassen is niet eenvoudig

Een bestaande container kan niet eenvoudig worden vergroot. Als je later meer ruimte nodig hebt: maak een nieuwe, grotere container, kopieer de inhoud over, en verwijder de oude. Plan daarom de grootte van tevoren iets ruimer dan je denkt nodig te hebben.

Back-up van versleutelde containers

Een containerbestand gedraagt zich als elk ander bestand: kopieer het naar een back-uplocatie en de back-up is klaar. De versleuteling gaat mee.

Aandachtspunten:

• Test je back-up. Controleer of je de container op een andere machine kunt mounten met hetzelfde wachtwoord. Een back-up die je niet hebt getest, is geen back-up.
• Bewaar het wachtwoord gescheiden van de container. Een back-up van de container samen met het wachtwoord op dezelfde externe schijf heft de encryptie effectief op.
• Houd de back-up actueel. Een verouderde back-up van een container mist alles wat je daarna hebt toegevoegd. Synchroniseer regelmatig, of gebruik een back-upschema.

Zie Back-up implementatie gids voor een bredere aanpak van back-ups.

Volgende stap

Versleuteling als onderdeel van een bredere aanpak

• Back-up implementatie gids — hoe je back-ups opzet zodat versleutelde bestanden niet verloren gaan
• Veilige laptop gids — VeraCrypt als onderdeel van een veilige desktopomgeving

VeraCrypt als product evalueren

• VeraCrypt review — als je de technische eigenschappen en alternatieven wilt vergelijken

Gebruik dit in context

• Profiel: journalist en activist — VeraCrypt voor gevoelige bronmaterialen en veldwerk
• Profiel: advocaat, notaris of politicus — versleutelde opslag voor beroepsgeheim en cliëntdossiers