TrueCrypt niet martel-proof
Het met fysiek geweld verkrijgen van encryptiesleutels zorgt overal voor verhitte discussies, maar laat onder andere zien dat zowel wachtwoorden als Truecrypt niet de ideale oplossing zijn om informatie te beschermen. Encryptie software TrueCrypt beschikt over de Plausible Deniability feature, die ervoor zorgt dat je binnen een versleutelde partitie een andere partitie kunt verstoppen. Mocht de gebruiker zijn encryptiesleutel moeten opgeven, dan doet hij dit alleen van de zichtbare partitie. Aangezien de geheime partitie niet zichtbaar is, blijft die buiten schot en kan de gebruiker aantonen dat hij geen belastende informatie op zijn systeem heeft staan.
"Ik denk dat het gebruik van TrueCrypt een erg slecht idee is, aangezien de beschuldigde nooit kan bewijzen dat er geen verborgen partities meer zijn, wat betekent dat de aanvaller hem blijft martelen, terwijl de beschuldigde geen wachtwoorden meer heeft. De aanvaller hoeft niet de bewijzen dat er geen verborgen partitie is. Daarnaast zijn de kosten van de aanval voor de aanvaller zo laag dat hij makkelijk met martelen kan door blijven gaan", zegt "Sparky" op het blog van Bruce Schneier.
Wie zijn informatie wil beveiligen moet ervoor zorgen dat de aanvaller de informatie vernietigt bij het achterhalen, door bijvoorbeeld de chip met de sleutel fysiek te slopen als de computer met de informatie wordt verplaatst. "Alle huidige manieren falen als de verdachte geen eerlijk proces volgens Westerse standaarden krijgt, op Groot-Brittannië en mogelijk de VS na."
Wachtwoorden
Naast TrueCrypt waarschuwt ene "S" dat op wachtwoord gebaseerde toegang verkeerd is. "Niet omdat ik bang ben voor Turkse functionarissen of dat ik in een donkere kelder beland." Wachtwoorden laten een aanvaller namelijk zien dat er iets te halen valt, het is een menselijke zwakke schakel en eenvoudig via bijvoorbeeld keyloggers te achterhalen. Als bescherming gebruikt "S" daarom drie verdedigingslijnen. De eerste is ontkenning. "Ik wil dat een potentiële aanvaller zolang als mogelijk van het bestaan van de informatie niet afweet." Als tweede advies moet men geen toegangscontrole gebruiken met een "single point of failure" en als laatste moet men niet van encryptie afhankelijk zijn. "De omvang en reputatie van een vendor maakt niet uit en je weet nooit of ze het gebruikte algoritme ook juist implementeren."
Lammetjes
Meneer of mevrouw "S" eindigt met een trend die in security gemeenschap zou plaatsvinden, namelijk dat niemand zelf meer nadenkt en dat overlaat aan een groep goeroes. Waarbij alles wat die personen zeggen tot waarheid wordt verheven. "Ik kom steeds meer mensen tegen die beter zouden moeten weten, maar hun eigen denken hebben uitgeschakeld omdat die en die zus en zo in een interview of tijdens een show heeft gezegd."
Dan zou analoog aan de bovenstaande bewering, ook het onderstaande gevaarlijk zijn:
Het is helemaal geen uitspraak van Bruce Schneier, maar van een bezoeker die deze reactie op zijn blog heeft achtergelaten, misschien moet je wat beter lezen voor je reageert.
Het is helemaal geen uitspraak van Bruce Schneier, maar van een bezoeker die deze reactie op zijn blog heeft achtergelaten, misschien moet je wat beter lezen voor je reageert.
- Geen passwords
- Geen single point of failure en
- Geen encryptie
Hoe gaan we dan data beveiligen ?
- Geen passwords
- Geen single point of failure en
- Geen encryptie
Hoe gaan we dan data beveiligen ?
Dit wordt vaak voorgesteld op forum.truecrypt.org, maar wordt niet geimplementeerd vanwege:
- truecrypt is open-source, dus de wisfunctie kan makkelijk worden verwijderd
- het is altijd mogelijk vooraf een copy van de versleutelde disk te maken
Waarom zou informatie die je niet vrij wilt geven per definitie crimineel zijn?
Ik kan bijvoorbeeld als Nederlander een zeer kritisch rapport over Turkije op m'n memorystick hebben. Het is hier niet illegaal en wellicht zelfs in Turkije niet. Maar het kan desondanks toch worden gezien als belediging van de Turkse identiteit wat weer wél strafbaar is in Turkije. Dus als ik met die memorystick in Turkije kom heb ik liever niet dat de Turkse overheid leest wat er in mijn rapport staat.
Ik kan bijvoorbeeld ook gewoon vrolijke vakantiefoto's op mijn memorystick hebben. Ook daarvan wil ik niet dat de overheid ze ziet, ook al zijn het alleen maar foto's van mooie dieren, planten en wat onschuldige familie-kiekjes.
Ik heb geprobeerd mijn usb te beveiligen met truecrypt, maar waarschijnlijk is er iets misgegaan (ik zal wel iets verkeerds hebben gedaan) ...:-((
Nu is een gedeelte van mijn normale harde schijf (C:) "hidden" geworden en niet mijn usb stick.
Hoe maak ik dit ongedaan????? ik mis nu namelijk 4 GB op mijn harde schijf (C:) die ik eigenlijk nodig heb en niet kan missen.....
Ik heb geprobeerd mijn usb te beveiligen met truecrypt, maar waarschijnlijk is er iets misgegaan (ik zal wel iets verkeerds hebben gedaan) ...:-((
Nu is een gedeelte van mijn normale harde schijf (C:) "hidden" geworden en niet mijn usb stick.
Hoe maak ik dit ongedaan????? ik mis nu namelijk 4 GB op mijn harde schijf (C:) die ik eigenlijk nodig heb en niet kan missen.....
Ik vermoed dat je het laatste hebt gedaan.
Hoogstwaarschijnlijk staat er ergens een bestand van 4 GB op C:.
Kopieer dit bestand naar je stick en doe vanuit TrueCrypt een traveller disk setup.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technical Security Trainer
Is security je passie? Dan ben je bij ons aan het juiste adres. Wij zijn 24/7, 365 dagen per jaar bezig met security. Je werkt in een team van internationaal bekende security-experts, het delen van kennis staat centraal. We zijn een organisatie met een informele bedrijfscultuur. Security is serious fun! Als technical security trainer geef je hands-on security trainingen op basis van de Certified Secure challenges en certificeringen.