De laatste paar weken worden we bijna dagelijks opgeschrikt door wéér een USB stick die verloren is door een overheidsinstelling, wéér een laptop die uit de kofferbak van een officier van justitie is gestolen of wéér een CD-ROM met personeelsgegevens die kwijtraakt tijdens het vervoer. Maar ons gebeurt dat soort dingen natuurlijk niet. Of toch wel? In dit artikel leg ik uit hoe je zelf makkelijk je data kunt beveiligen met behulp van gratis Windows software.

Maar eerst een stukje saaie theorie. Zoals je wellicht al weet hoort ieder beveiligingstraject te beginnen met een risico analyse. Veel mensen denken dan aan dikke rapporten die geschreven worden door mannen met grijze baarden (vaak is dat ook zo :-)). Maar een do-it-yourself risico analyse kan heel simpel zijn: ga gewoon uit van een worst case scenario en bedenk vervolgens wat het je waard is om de gevolgen van die worst case te beperken. Laten we eens uitgaan van een USB stick waar je een aantal documenten op hebt staan, waaronder bijvoorbeeld wat installatie documenten met wachtwoorden erin. Niet direct staatsgeheime informatie, maar toch erg vervelend als je de stick kwijtraakt en iemand krijgt je wachtwoorden in handen. De worst case is dus eenvoudig te definiëren: “ik raak mijn stick kwijt”. Niet eens een erg onwaarschijnlijk scenario, een USB stick is niet al te groot en raakt dus snel zoek. Wat is het je dan waard om de gevolgen te beperken?

Waarschijnlijk ben je best bereid wat moeite te doen om de data te beveiligen en dus wat extra handelingen uit te voeren als je de data nodig hebt. Of je kunt wat extra geld uitgeven voor een USB stick met ingebouwde vingerafdruklezer. In dit artikel ga ik er van uit dat je al een standaard USB stick hebt en de data hierop wilt beveiligen.

Op internet is veel software te vinden waarmee je data kunt versleutelen. Veel Windows software kost geld maar als je goed zoekt kun je ook wel gratis software vinden zoals bijvoorbeeld de tegenhanger van PGP, GnuPG. Met GnuPG kun je bestanden versleutelen maar is het niet mogelijk een complete stick te encrypten en deze weer aan een driveletter te koppelen onder Windows. Een opensource product wat dit wel kan is Truecrypt waarvan we nu de werking bespreken.

Over Truecrypt
Truecrypt maakt het mogelijk om een virtuele versleutelde schijf te maken (Truecrypt noemt dit een container) in een gewoon bestand, en dit dan te “mounten” als een echte schijf. Ook is het mogelijk een complete hardeschijf partitie te versleutelen of een compleet extern apparaat zoals een USB stick. Een interessante optie is de mogelijkheid om een hidden volume aan te maken. De theorie hierachter is dat je dit verborgen volume aanmaakt binnen een ander volume. Mocht je nu, bijvoorbeeld onder fysieke bedreiging, gedwongen worden om je wachtwoord af te staan dan kun je rustig je wachtwoord afgeven. De aanvaller krijgt wat zogenaamd geheime bestanden te zien in het buitenste volume maar weet niet dat er nog een volume aanwezig is. De aanwezigheid van het binnenste volume is ook niet te controleren omdat een Truecrypt volume altijd geheel uit willekeurige data lijkt te bestaan.

Truecrypt kan gebruik maken van AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES en Twofish versleuteling. De maker doet overigens geen uitspraak over welke encryptie methode het beste is, dat mag de gebruiker zelf bepalen. De software wordt beheerd door de Truecrypt Foundation, waarover overigens weinig informatie op de website te vinden is. Er zijn versies voor Windows en Linux te downloaden, evenals de complete broncode.

Traveller mode
Een hele leuke feature voor de gebruikers van USB sticks is de traveller mode. Hiermee is het mogelijk een USB stick dusdanig in te richten dat bij het aansluiten van de stick op een willekeurige computer, de Truecrypt software op de stick automatisch wordt gestart. Je kunt dan makkelijk je beveiligde disk mounten en bij je versleutelde bestanden komen. Voor de autostart optie moet je wel minimaal Windows XP servicepack 2 hebben maar die had je natuurlijk al draaien. We gaan nu eens kijken hoe we zo’n beveiligde USB traveller disk maken.

Een traveller disk maken
De installatie van Truecrypt werkt zoals meestal onder Windows: download het ZIP bestand, open dit en start Truecrypt Setup.exe. Na de licentie te hebben gelezen en eventueel wat standaard opties te hebben aangepast klik je op Install en wordt de software neergezet op je harddisk. Je kunt Truecrypt nu starten via het startmenu en wordt gepresenteerd met de standaard user interface die er ongeveer zo uit ziet:



We willen nu een nieuw Truecrypt volume aan gaan maken op onze USB schijf en klikken dus op Create Volume: