Het met fysiek geweld verkrijgen van encryptiesleutels zorgt overal voor verhitte discussies, maar laat onder andere zien dat zowel wachtwoorden als Truecrypt niet de ideale oplossing zijn om informatie te beschermen. Encryptie software TrueCrypt beschikt over de Plausible Deniability feature, die ervoor zorgt dat je binnen een versleutelde partitie een andere partitie kunt verstoppen. Mocht de gebruiker zijn encryptiesleutel moeten opgeven, dan doet hij dit alleen van de zichtbare partitie. Aangezien de geheime partitie niet zichtbaar is, blijft die buiten schot en kan de gebruiker aantonen dat hij geen belastende informatie op zijn systeem heeft staan.
"Ik denk dat het gebruik van TrueCrypt een erg slecht idee is, aangezien de beschuldigde nooit kan bewijzen dat er geen verborgen partities meer zijn, wat betekent dat de aanvaller hem blijft martelen, terwijl de beschuldigde geen wachtwoorden meer heeft. De aanvaller hoeft niet de bewijzen dat er geen verborgen partitie is. Daarnaast zijn de kosten van de aanval voor de aanvaller zo laag dat hij makkelijk met martelen kan door blijven gaan", zegt "Sparky" op het blog van Bruce Schneier.
Wie zijn informatie wil beveiligen moet ervoor zorgen dat de aanvaller de informatie vernietigt bij het achterhalen, door bijvoorbeeld de chip met de sleutel fysiek te slopen als de computer met de informatie wordt verplaatst. "Alle huidige manieren falen als de verdachte geen eerlijk proces volgens Westerse standaarden krijgt, op Groot-Brittannië en mogelijk de VS na."
Wachtwoorden
Naast TrueCrypt waarschuwt ene "S" dat op wachtwoord gebaseerde toegang verkeerd is. "Niet omdat ik bang ben voor Turkse functionarissen of dat ik in een donkere kelder beland." Wachtwoorden laten een aanvaller namelijk zien dat er iets te halen valt, het is een menselijke zwakke schakel en eenvoudig via bijvoorbeeld keyloggers te achterhalen. Als bescherming gebruikt "S" daarom drie verdedigingslijnen. De eerste is ontkenning. "Ik wil dat een potentiële aanvaller zolang als mogelijk van het bestaan van de informatie niet afweet." Als tweede advies moet men geen toegangscontrole gebruiken met een "single point of failure" en als laatste moet men niet van encryptie afhankelijk zijn. "De omvang en reputatie van een vendor maakt niet uit en je weet nooit of ze het gebruikte algoritme ook juist implementeren."
Lammetjes
Meneer of mevrouw "S" eindigt met een trend die in security gemeenschap zou plaatsvinden, namelijk dat niemand zelf meer nadenkt en dat overlaat aan een groep goeroes. Waarbij alles wat die personen zeggen tot waarheid wordt verheven. "Ik kom steeds meer mensen tegen die beter zouden moeten weten, maar hun eigen denken hebben uitgeschakeld omdat die en die zus en zo in een interview of tijdens een show heeft gezegd."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
IT Security Officer
Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!
Digital Forensic Researcher
Netherlands Forensic Institute (NFI)
Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.