Nieuws
image

Goedkope versleuteling biedt weinig bescherming

woensdag 4 februari 2009, 14:12 door Redactie, 8 reacties

Uit onderzoek is al vaker gebleken dat de versleuteling die aanbieders van draagbare harde schijven en enclosures gebruiken in de praktijk eenvoudig te kraken is. De Raidon Staray 6 serie vormt hierop geen uitzondering, zo ontdekten Duitse onderzoekers. De S325, in Europa vaak onder de naam "Stardom" verkocht, beschermt de data door de gebruiker eerst een PINcode in te laten voeren. Klopt de code, dan krijgt men toegang tot de versleutelde data. Door het ontbreken van fysieke beveiliging, is het gemakkelijk om de harde schijf uit de behuizing te verwijderen en op een moederbord aan te sluiten. De gegevens zijn dan zonder het invoeren van de PINcode uit te lezen. De enige bescherming is dan nog de gebruikte versleuteling, maar ook die stelt niet veel voor.

Ontwikkelaars van Raidon hebben zelf een algoritme verzonnen, maar daar een aantal fouten bij gemaakt. Zo schrijft de encryptie nullen ook echt als een nul weg. In het geval van de S125, een ander model, slaat men de PINcode zelfs in platte tekst op. De onderzoekers hebben dan ook een duidelijke conclusie: "Goedkope hardware biedt goedkope encryptie." Veel fabrikanten proberen goedkope producten te bieden en bezuinigen daarbij op de beveiliging, waar uiteindelijk de klant de dupe van is.

Reacties (8)
04-02-2009, 14:18 door Anoniem
Het allergoedkoopste (gratis) maar wel goed naar mijn mening: Truecrypt
04-02-2009, 14:30 door Bill Torvalds
Als je het toch simpel wilt houden lijkt mij echt vertrouwelijke gegevens met GPG op een USB stick te versleutelen een kopietje maken en de stich in een kluis opsluiten.
04-02-2009, 15:01 door Anoniem
Ontwikkelaars van Raidon hebben zelf een algoritme verzonnen, maar daar een aantal fouten bij gemaakt[/quote]En zo blijkt maar weer eens dat cryptografie een vak apart is dat je beter aan experts over kunt laten. Binnen de crypto gemeenschap is het overigens algemeen bekend dat het altijd een slechte zaak is om op eigen houtje een nieuw algorithme uit te gaan lopen vogelen.
04-02-2009, 16:08 door Anoniem
@ Bill Torvalds
GPG is eigenlijk bedoeld voor email.
En lijkt me beetje lastig werken, elke keer naar zo'n kluis toe.
Bovendien heb je er geen controle op wie er bij komt, kan dus een kopie van gemaakt worden.
Een persoon of organisatie kan bijvoorbeeld een of meerdere medewerkers van de bank kunnen betalen om een kopie van jouw sleutel te maken.

@ Anonieme reactie van 15:01
Ja idd, waarom zou je het wiel opnieuw gaan uitvinden, aardig wat sterke algoritmes die public domain zijn en uitgebreid getest;
Rijndael (AES-winnaar), Serpent en Twofish bijvoorbeeld. Die kan je als fabrikant vrij gebruiken (als in bier en als in vrijheid).


Bij "PINcode" denk ik ook aan een getal met 4 cijfers, 10.000 mogelijkheden zijn er dan beschikbaar. Als je dat kan bruteforcen heb je het juiste password heel snel (secondes).
04-02-2009, 21:45 door Anoniem
Goedkope versleuteling biedt weinig bescherming

Een prijs heeft niks te maken met de kwaliteit van versleutelen. GnuPG wordt bijv. gratis aangeboden (beer & speech) en wordt verondersteld dat het praktisch niet kraakbaar is.

Een betere versie v.d. titel zou dus zijn: "Dure versleuteling biedt weinig bescherming"

De kern is van mijn verhaal is, competentie van de aanbieder is vaak een probleem, maar ook de doelstelling van de producent: het produkt dat hier werd besproken is gemaakt om veel geld te genereren. Het kan in alle landen worden verkocht, omdat het door geen enkele wet wordt tegengehouden.
04-02-2009, 22:07 door Anoniem
Je kunt GPG ook alleen een symmetrisch algorithme laten gebruiken (de -c optie). Dan heb je geen key nodig, alleen een passphrase.
05-02-2009, 13:40 door Arno Nimus
Door het ontbreken van fysieke beveiliging, is het gemakkelijk om de harde schijf uit de behuizing te verwijderen en op een moederbord aan te sluiten.
Dat snap ik nou weer niet. Waarom zijn er nog steeds fabrikanten die een dergelijke constructie toepassen? Wat precies wordt er nou dan voorzien van encryptie?

Waarom komt de data niet versleuteld op de (in dit geval) harddisk te staan? Dat lijkt me toch niet zo moeilijk? Voordeel hiervan is dat de data te allen tijde voorzien is van een encryptie waardoor deze niet zo eenvoudig te benaderen is wanneer het opslagmedium wordt ontleed.

Het komt op mij over alsof je een geheime brief in een envelop stopt met het idee dat het dan niet meer gelezen kan worden door derden...
05-02-2009, 15:24 door carolined
@16:08 door Anoniem
Bovendien heb je er geen controle op wie er bij komt, kan dus een kopie van gemaakt worden..
So what ? :-) het is toch versleuteld?

De kracht van GPG is m.i. juist het toepassen van een public-private keypair, zij het op e-mail of op bestanden. Je kunt zo ook documentatie makkelijk delen met anderen (extra public key erbij hangen).
Nadeel is inderdaad dat het op file basis is. Maar zijn wel wat tooltjes die dat vergemakkelijken. Het gemak ervan is dat je een bestand uit een "kluis", b.v. een truecypt container, GPG versleuteld naar iemand anders kunt sturen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search