Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Computerbeveiliging - Hoe je bad guys buiten de deur houdt

TrueCrypt niet martel-proof

28-10-2008, 11:17 door Redactie, 14 reacties

Het met fysiek geweld verkrijgen van encryptiesleutels zorgt overal voor verhitte discussies, maar laat onder andere zien dat zowel wachtwoorden als Truecrypt niet de ideale oplossing zijn om informatie te beschermen. Encryptie software TrueCrypt beschikt over de Plausible Deniability feature, die ervoor zorgt dat je binnen een versleutelde partitie een andere partitie kunt verstoppen. Mocht de gebruiker zijn encryptiesleutel moeten opgeven, dan doet hij dit alleen van de zichtbare partitie. Aangezien de geheime partitie niet zichtbaar is, blijft die buiten schot en kan de gebruiker aantonen dat hij geen belastende informatie op zijn systeem heeft staan.

"Ik denk dat het gebruik van TrueCrypt een erg slecht idee is, aangezien de beschuldigde nooit kan bewijzen dat er geen verborgen partities meer zijn, wat betekent dat de aanvaller hem blijft martelen, terwijl de beschuldigde geen wachtwoorden meer heeft. De aanvaller hoeft niet de bewijzen dat er geen verborgen partitie is. Daarnaast zijn de kosten van de aanval voor de aanvaller zo laag dat hij makkelijk met martelen kan door blijven gaan", zegt "Sparky" op het blog van Bruce Schneier.

Wie zijn informatie wil beveiligen moet ervoor zorgen dat de aanvaller de informatie vernietigt bij het achterhalen, door bijvoorbeeld de chip met de sleutel fysiek te slopen als de computer met de informatie wordt verplaatst. "Alle huidige manieren falen als de verdachte geen eerlijk proces volgens Westerse standaarden krijgt, op Groot-Brittannië en mogelijk de VS na."

Wachtwoorden
Naast TrueCrypt waarschuwt ene "S" dat op wachtwoord gebaseerde toegang verkeerd is. "Niet omdat ik bang ben voor Turkse functionarissen of dat ik in een donkere kelder beland." Wachtwoorden laten een aanvaller namelijk zien dat er iets te halen valt, het is een menselijke zwakke schakel en eenvoudig via bijvoorbeeld keyloggers te achterhalen. Als bescherming gebruikt "S" daarom drie verdedigingslijnen. De eerste is ontkenning. "Ik wil dat een potentiële aanvaller zolang als mogelijk van het bestaan van de informatie niet afweet." Als tweede advies moet men geen toegangscontrole gebruiken met een "single point of failure" en als laatste moet men niet van encryptie afhankelijk zijn. "De omvang en reputatie van een vendor maakt niet uit en je weet nooit of ze het gebruikte algoritme ook juist implementeren."

Lammetjes
Meneer of mevrouw "S" eindigt met een trend die in security gemeenschap zou plaatsvinden, namelijk dat niemand zelf meer nadenkt en dat overlaat aan een groep goeroes. Waarbij alles wat die personen zeggen tot waarheid wordt verheven. "Ik kom steeds meer mensen tegen die beter zouden moeten weten, maar hun eigen denken hebben uitgeschakeld omdat die en die zus en zo in een interview of tijdens een show heeft gezegd."

Podcast 28 oktober - Zwartrijden 2.0
Extra podcast 23 oktober - Microsoft spreekt
Reacties (14)
28-10-2008, 12:03 door Anoniem
Je kunt je data beter wegnemen dan versleutelen.
28-10-2008, 14:11 door Zarco.nl
"Ik denk dat het gebruik van TrueCrypt een erg slecht idee is, aangezien de beschuldigde nooit kan bewijzen dat er geen verborgen partities meer zijn, wat betekent dat de aanvaller hem blijft martelen, terwijl de beschuldigde geen wachtwoorden meer heeft. De aanvaller hoeft niet de bewijzen dat er geen verborgen partitie is."
Wat een lariekoek zeg!!
Dan zou analoog aan de bovenstaande bewering, ook het onderstaande gevaarlijk zijn:

"Ik denk dat het gebruik van dataopslag een erg slecht idee is, aangezien de beschuldigde nooit kan bewijzen dat er geen data ergens anders verborgen is, wat betekent dat de aanvaller hem blijft martelen, terwijl de beschuldigde geen data meer heeft. De aanvaller hoeft niet de bewijzen dat er geen data meer is."
28-10-2008, 16:00 door Anoniem
"Dan zou analoog aan de bovenstaande bewering, ook het onderstaande volgens Bruce "Blaataap" Schneier gevaarlijk zijn:"

Het is helemaal geen uitspraak van Bruce Schneier, maar van een bezoeker die deze reactie op zijn blog heeft achtergelaten, misschien moet je wat beter lezen voor je reageert.
28-10-2008, 16:51 door Zarco.nl
Door Anoniem"Dan zou analoog aan de bovenstaande bewering, ook het onderstaande volgens Bruce "Blaataap" Schneier gevaarlijk zijn:"

Het is helemaal geen uitspraak van Bruce Schneier, maar van een bezoeker die deze reactie op zijn blog heeft achtergelaten, misschien moet je wat beter lezen voor je reageert.
Ha, je hebt nog gelijk ook :P
28-10-2008, 17:03 door Anoniem
Dus,
- Geen passwords
- Geen single point of failure en
- Geen encryptie

Hoe gaan we dan data beveiligen ?
29-10-2008, 09:58 door Anoniem
Door AnoniemDus,
- Geen passwords
- Geen single point of failure en
- Geen encryptie

Hoe gaan we dan data beveiligen ?
Aangezien het hier om criminele data gaat, volstaat het geen strafbare dingen te doen.
29-10-2008, 14:11 door Anoniem
Auto wis-functie in truecrypt smijten danmaar? óók niet 100% lek-proof, I know.
30-10-2008, 05:21 door Anoniem
Gewoon zorgen dat ze geen encrypted data vinden, dus dat betekent verstoppen :)
30-10-2008, 07:21 door Anoniem
Ik zou zeggen: een encryptie algoritme met twee wachtwoorden: een goede en een die juist bedoeld is om in geval van geforceerde aanval te gebruiken. Als het tweede wachtwoord wordt ingevoerd, wordt de partitie gemount, *nadat* er stilletjes wat data is verwijderd. Bijvoorbeeld de meest gevoelige liefdesbrieven ofzo (of zijn liefdesbrieven ook illegaal?)
30-10-2008, 23:13 door Anoniem
Door AnoniemAuto wis-functie in truecrypt smijten danmaar? óók niet 100% lek-proof, I know.

Dit wordt vaak voorgesteld op forum.truecrypt.org, maar wordt niet geimplementeerd vanwege:
- truecrypt is open-source, dus de wisfunctie kan makkelijk worden verwijderd
- het is altijd mogelijk vooraf een copy van de versleutelde disk te maken
05-11-2008, 11:35 door Anoniem
Als je 2 wachtwoorden op truecrypt kan zetten dan zou ik zorgen dat je ze allebei kan geven in dat geval. Maar je kan natuurlijk ook binnen een gemounte truecrypt een andere truecrypt file zetten of het desnoods n keer embedden. Je kan dat bijvoorbeeld weer verbergen door het te laten lijken op een corrupte jpeg of zoiets door het te embedden of een header toe te voegen. Er is altijd wel iets te verzinnen.
07-11-2008, 15:18 door Arno Nimus
Door AnoniemAangezien het hier om criminele data gaat, volstaat het geen strafbare dingen te doen.
Is dit een verkapt alternatief voor het "ik heb niks te verbergen, dus niks te vrezen"-argument?

Waarom zou informatie die je niet vrij wilt geven per definitie crimineel zijn?
Ik kan bijvoorbeeld als Nederlander een zeer kritisch rapport over Turkije op m'n memorystick hebben. Het is hier niet illegaal en wellicht zelfs in Turkije niet. Maar het kan desondanks toch worden gezien als belediging van de Turkse identiteit wat weer wél strafbaar is in Turkije. Dus als ik met die memorystick in Turkije kom heb ik liever niet dat de Turkse overheid leest wat er in mijn rapport staat.

Ik kan bijvoorbeeld ook gewoon vrolijke vakantiefoto's op mijn memorystick hebben. Ook daarvan wil ik niet dat de overheid ze ziet, ook al zijn het alleen maar foto's van mooie dieren, planten en wat onschuldige familie-kiekjes.
17-11-2008, 14:46 door alles_bestaat_al
Ik begrijp dat een ieder van jullie behoorlijk verstand van zaken heeft m.b.t. truecrypt, welnu ikke niet, dus heb ik een vraagje met smeekbede:
Ik heb geprobeerd mijn usb te beveiligen met truecrypt, maar waarschijnlijk is er iets misgegaan (ik zal wel iets verkeerds hebben gedaan) ...:-((
Nu is een gedeelte van mijn normale harde schijf (C:) "hidden" geworden en niet mijn usb stick.
Hoe maak ik dit ongedaan????? ik mis nu namelijk 4 GB op mijn harde schijf (C:) die ik eigenlijk nodig heb en niet kan missen.....
23-11-2008, 19:44 door Zarco.nl
Door alles_bestaat_alIk begrijp dat een ieder van jullie behoorlijk verstand van zaken heeft m.b.t. truecrypt, welnu ikke niet, dus heb ik een vraagje met smeekbede:
Ik heb geprobeerd mijn usb te beveiligen met truecrypt, maar waarschijnlijk is er iets misgegaan (ik zal wel iets verkeerds hebben gedaan) ...:-((
Nu is een gedeelte van mijn normale harde schijf (C:) "hidden" geworden en niet mijn usb stick.
Hoe maak ik dit ongedaan????? ik mis nu namelijk 4 GB op mijn harde schijf (C:) die ik eigenlijk nodig heb en niet kan missen.....
Met TrueCrypt kan je een volledige partitie versleutelen of een versleuteld volume aaanmaken in de vorm van een bestand.
Ik vermoed dat je het laatste hebt gedaan.
Hoogstwaarschijnlijk staat er ergens een bestand van 4 GB op C:.
Kopieer dit bestand naar je stick en doe vanuit TrueCrypt een traveller disk setup.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Werk jij nog thuis?

17 reacties
Aantal stemmen: 1250
Vacature
Image

Security Officer

36 - 40 uur

Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

16 reacties
Lees meer
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2020 Security.nl - The Security Council
RSS Twitter