image

Security Tip van de Week: versleutel je harde schijf

maandag 7 januari 2013, 11:01 door Nienke Ryan, 25 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Nienke Ryan

Versleutel je harde schijf
Maar weinig gebruikers zijn zich bewust van het nut en belang (en soms zelfs überhaupt de mogelijkheid) van het toepassen van deze vorm van encryptie.

Waarom zou je aan de full-disk encryption gaan? Om die vraag te beantwoorden is het van belang dat je jezelf goed beseft wat er allemaal aan gegevens op je harde schijf te vinden is. Om de open deur maar in te trappen: alle bestanden die je er zelf, bewust, op heb gezet. Spreadsheets, contracten, foto's. De data waar je van dag tot dag mee werkt. Maar als we een stap verder gaan blijkt er nog veel méér data aanwezig. Wat dacht je van de Exchange mail-cache?

En alle netwerklocaties die off-line beschikbaar zijn gemaakt? Nog een stap verder en het is bijvoorbeeld mogelijk om opgeslagen wachtwoorden uit VPN clients te extraheren. En dat alles valt in het niet tegenover de bestanden die een gebruiker allang heeft verwijderd, maar die nog steeds als niet-geschoonde bits uit te lezen zijn.

Door de volledige drive te versleutelen kan er niets meer worden uitgelezen zonder de juiste sleutel. Mocht je laptop gestolen worden dan is het een overzichtelijk incident, er is geen onzekerheid over de data op het systeem zelf. Voor alle zakelijke gebruikers is dat een must, maar voor systemen waar privacygevoelige gegevens staan zou het een vereiste moeten zijn. Het gaat namelijk regelmatig mis.

Maar consumenten die hun laptop voor serieuze zaken inzetten doen er ook verstandig aan dit op z'n minst te overwegen. Niemand zit erop te wachten dat zijn of haar hele hebben en houden opeens in handen van een onbekende is.

Hoe ga je te werk?
De echte IT'er zal halverwege de titel al onbewust aan TrueCrypt hebben gedacht, misschien wel de meest populaire software voor dit soort zaken. Met deze software is het o.a. mogelijk de volledige systeemschijf te encrypteren. De wizard geeft bij elke stap een uitgebreide uitleg en dwingt de gebruiker daarna een rescuedisk te maken én te testen. Daarna kan het echte encrypteren beginnen, iets dat op grotere schrijven een aantal uur kan kosten.

Vanaf Windows Vista biedt Microsoft haar eigen schijfencryptiesoftware met BitLocker. Veel systemen beschikken niet over de TPM (trusted platform module) die BitLocker standaard vereist. Een kleine aanpassing in de policy is echter voldoende om dit probleem te omzeilen. Voer "gpedit.msc" uit, navigeer naar Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives. Open de setting "Require additional athentication at startup". Door hier "Allow BitLocker without a compatible TPM" aan te vinken en de policy toe te passen is het mogelijk de BitLocker drive encryption wizard te doorlopen en de gehele schijf te encrypteren.

Natuurlijk zijn er gebruikers die dit graag toepassen omdat ze zich bewust zijn van alle gegevens die ze dagelijks met zich meedragen, maar er de kennis niet voor hebben. De zakelijke gebruikers kunnen het beste naar de IT helpdesk van hun bedrijf gaan. Consumenten kunnen bij de betere computerzaken terecht voor advies en hulp hiermee.

Geen heilige graal, wel een pilaar
Door een hele schijf te versleutelen vervalt een belangrijke aanvalsvector: het fysiek uit kunnen lezen van datadragers. Maar een laptop met versleutelde schijf is, eenmaal opgestart, net zo kwetsbaar voor Trojaanse paarden en andere malware als het volgende systeem. Full-disk encryptie is een belangrijk fundament voor een veilig systeem, maar moet aangevuld worden met andere zaken.

Full-disk encryptie heeft twee nadelen. Ten eerste kom je, als je het goed hebt gedaan, nooit meer bij je gegevens als je de sleutel kwijtraakt. Redelijk vanzelfsprekend, maar het kán problematisch zijn. Back-ups zijn hier het antwoord op. Niet alleen van je data, maar ook van je sleutels.

Het tweede nadeel is de impact die het on-the-fly ver- en ontsleutelen van data heeft op de systeemprestaties. Deze kunnen in sommige gevallen met wel 10% afnemen. Omdat de bottleneck van veel systemen bij de opslag I/O ligt kan het upgraden van een harde schijf naar een snelle SSD hier uitkomst bij bieden.

Nienke Ryan is managing director van beveiligingsleverancier SpicyLemon.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (25)
07-01-2013, 11:57 door Anoniem
Het tweede nadeel is de impact die het on-the-fly ver- en ontsleutelen van data heeft op de systeemprestaties. Deze kunnen in sommige gevallen met wel 10% afnemen. Omdat de bottleneck van veel systemen bij de opslag I/O ligt kan het upgraden van een harde schijf naar een snelle SSD hier uitkomst bij bieden.
Huh? Als je I/O vertraagt door encryptie, lijkt het me dat dat betekent dat je CPU het ver/ontsleutelen niet kan bijbenen. Een snellere schijf zal dan niet helpen, of zie ik wat over het hoofd?
07-01-2013, 12:03 door sjonniev
Goed verhaal, en ik ben het er helemaal mee eens, op de twee genoemde nadelen na.

1. Goede versleutelingssoftware biedt altijd de mogelijkheid tot key- en data recovery.

2. Alleen op ouwe PC's met kwalitatief treurige versleutelingssoftware.

Een met software versleutelde harde schijf is niet noemenswaardig langzamer dan een versleutelde. Het is juist bij SSD's dat je eerder tegen de bottleneck aanloopt, dat is namelijk hoe snel de PC-processor(s) kunnen ver- en ontsleutelen. Bij gewone harde schijven kunnen processors dat tegenwoordig sneller dan de harde schijf de data kan aanleveren of opslaan. Bij softwarematige versleuteling van SSD moet je al minimaal aan een quadcoreprocessor, om te voorkomen dat je SSD net zo "snel" wordt als een gewone harde schijf. Tenminste, wanneer de versleutelingsdrivers kunnen multithreaden, anders heeft het nog geen zin.

Dus als je harde schijf trager wordt door versleuteling moet je geen SSD gaan gebruiken, maar in plaats daarvan betere software of snellere processors. Bij virtuele schijven ligt het nog weer anders (ja die kun je ook versleutelen).

Een alternatief voor softwarematige versleuteling is OPAL, maar daar kleeft qua beheer nog wel eens een haakje of oogje aan. Daar heeft de individuele gebruiker geen last van, natuurlijk.

Versleuteling van je bootschijf is niet alleen een pilaar, het is het fundament. Behalve wanneer je 24/7 controle hebt over fysieke toegang tot het ding, dan is het niet nodig.
07-01-2013, 12:59 door Mozes.Kriebel
Wellicht het belangrijkste vergeten: Het beschermt de data mocht iemand de schijf buiten het OS om willen lezen, meer niet.
Bij toegang tot het OS/account, maakt de encryptie geen bal uit.
07-01-2013, 13:18 door Anoniem
Een nadeel/voordeel van full disk encryption is dat als je computer besmet raakt met een computervirus (bijvoorbeeld op de master boot record of een low level rootkit) de computer niet meer opstart en de virusscanner de bedreiging niet meer kan vinden. Dus zorg wel voor een goede backup.
07-01-2013, 14:01 door Anoniem
Bij bedrijven gaat de backup in een kluis. Het artikel is ook op consumenten gericht. Waar laten die de truecrypt backup usb schijf?

Ik heb geen kluis thuis. Wanneer ik op de usb-backup-schijf ook truecrypt gebruik dan loop ik daar ook weer risico van corruptie van data. Het zelfde gaat op als ik een file container gebruik, als ik die as-is kopieer naar de usb schijf.
07-01-2013, 14:15 door SimonS
@Mozes: het systeem start pas wanneer je het encryptie ww intikt, dus zonder dat ww start de pc niet en heb je ook niets aan de os/account passwords.
Wat je NIET moet doen is de laptop in de slaapstand zetten, want dan start de pc niet van de harddisk maar vanuit het geheugen en wordt er niet meer om het encryptie ww gevraagd.

@anoniem: ook een herstel van windows kan zo'n zelfde probleem opleveren.
07-01-2013, 15:36 door sjonniev
Door Anoniem: Een nadeel/voordeel van full disk encryption is dat als je computer besmet raakt met een computervirus (bijvoorbeeld op de master boot record of een low level rootkit) de computer niet meer opstart en de virusscanner de bedreiging niet meer kan vinden. Dus zorg wel voor een goede backup.

Is ook weer afhankelijk van de software. Ik kan met een WinPE CD booten, via challenge/response de sleutel laden, en de harde schijf scannen/opschonen. Het is natuurlijk makkelijker en sneller er weer een vers image op te zetten. Maar ja, er is natuurlijk weer van alles geïnstalleerd sinds de laatste back-up...
07-01-2013, 16:51 door Anoniem
Full-disk encryptie heeft twee nadelen. Ten eerste kom je, als je het goed hebt gedaan, nooit meer bij je gegevens als je de sleutel kwijtraakt. ....... Back-ups zijn hier het antwoord op.
Mis ik hier iets? Als je je sleutel kwijt bent, kun je toch ook niet meer bij je backup? Tenminste ik verwacht dat ook de backup versleuteld is en je daar hetzelfde wachtwoord voor gebruikt. Een ander wachtwoord kiezen lijkt zinloos, en backups niet versleutelen dom als je wel je computer versleutelt.
07-01-2013, 19:14 door Anoniem
Door Anoniem:
Het tweede nadeel is de impact die het on-the-fly ver- en ontsleutelen van data heeft op de systeemprestaties. Deze kunnen in sommige gevallen met wel 10% afnemen. Omdat de bottleneck van veel systemen bij de opslag I/O ligt kan het upgraden van een harde schijf naar een snelle SSD hier uitkomst bij bieden.
Huh? Als je I/O vertraagt door encryptie, lijkt het me dat dat betekent dat je CPU het ver/ontsleutelen niet kan bijbenen. Een snellere schijf zal dan niet helpen, of zie ik wat over het hoofd?

Het gaat over het totaal: snelheid opslagmedium + cpu = totaal
cpu is constant, maar de snelheid van het opslagmedium kan flink omlaag door inzetten SSD.

@sjonniev
Een vertraging van 10% door "trage" cpu is ten opzichte van het totaal van 110% klein en geen bottleneck. Een SSD kan dus zeker wel voor versnelling zorgen, want het brengt de basis 100% een flink stuk omlaag.

Er zijn wel enkele bijkomstigheden bij SSD. Sommige SSD's comprimeren data om nog meer snelheid te winnen. Dat zal bij encryptie niet werken omdat dat moeilijk is te comprimeren. Encryptie heeft soms comprimeren ingebouwd, dat kan het wat compenseren. Een ander nadeel van SSD is dat data moeilijker definitief te wissen is, overschrijven betekent vaak elders schrijven.

@Nienke Ryan
10% als percentage is misschien niet zo bruikbaar, want het is 10% van een mechanische harde schijf. Het is geen 10% van een SSD schijf.

Voorbeeldberekening met vaste waarden:
Harde schijf: 100 + 10 = 110
SSD: 50 + 10 = 60

Percentueel neemt de cpu overhead toe bij een SSD (tot 20%), maar in absolute termen is er geen toename. De SSD is sneller.
07-01-2013, 19:36 door Anoniem
In een Win Home Premium valt gpedit.msc niet op te roepen.
Op het net staan wel enkele 'dingen' die gpedit.msc voor Win Home Premium zouden kunnen installeren, geloof het niet.
07-01-2013, 20:04 door Dick99999
Helpt full disk encryptie alleen bij verlies en diefstal? Weegt dat voordeel dan wel op tegen de nadelen? En is er nog iets te zeggen over de sterkte van het wachtwoord? TrueCrypt geeft ten minste 20 tekens aan. Wie gebruikt 20-30 tekens zonder wachtwoord hulp? (En een IT wachtwoord hulpje is niet toegankelijk bij volledige disk versleuteling)
Kortom, ik twijfel aan de waarde voor een gemiddelde gebruiker.
07-01-2013, 20:14 door MisterX
Door Dick99999: TrueCrypt geeft ten minste 20 tekens aan. Wie gebruikt 20-30 tekens zonder wachtwoord hulp? Kortom, ik twijfel aan de waarde voor een gemiddelde gebruiker.

een 25-tal random chars wordt inderdaad moeilijk om te onthouden. Een zelf bedachte passphrase daarentegen..

ditiszoeenlangpasswoorddatikhetwelzoudurvenvergetenmaaropdezemaniervergeetikhetniet
07-01-2013, 20:32 door Dick99999
Door MisterX:
een 25-tal random chars wordt inderdaad moeilijk om te onthouden. Een zelf bedachte passphrase daarentegen..

ditiszoeenlangpasswoorddatikhetwelzoudurvenvergetenmaaropdezemaniervergeetikhetniet
Waaom geen spaties? Dat leest makkelijker als je het weer eens verkeerd hebt ingetikt ..............
07-01-2013, 20:40 door MisterX
EDIT : dubbele post
07-01-2013, 20:40 door MisterX
Door Dick99999:
Door MisterX:
een 25-tal random chars wordt inderdaad moeilijk om te onthouden. Een zelf bedachte passphrase daarentegen..

ditiszoeenlangpasswoorddatikhetwelzoudurvenvergetenmaaropdezemaniervergeetikhetniet
Waaom geen spaties? Dat leest makkelijker als je het weer eens verkeerd hebt ingetikt ..............
omdat spaties niet altijd zijn toegestaan bij het ingeven van een passwoord bij bepaalde programma's.

Indien je dat bij bepaalde wel doet (waar dit mogelijk is) en bij andere waar het niet mogelijk is niet moet je nog kunnen onthouden of je nu wel/niet spaties had gebruikt bij je passwoord.

Doe je dit bij geen enkel passwoord is dat al iets minder wat je moet onthouden.. en dat 'onthouden' was het probleem dacht ik in jou geval..
08-01-2013, 07:21 door sjonniev
Door Anoniem:
Full-disk encryptie heeft twee nadelen. Ten eerste kom je, als je het goed hebt gedaan, nooit meer bij je gegevens als je de sleutel kwijtraakt. ....... Back-ups zijn hier het antwoord op.
Mis ik hier iets? Als je je sleutel kwijt bent, kun je toch ook niet meer bij je backup? Tenminste ik verwacht dat ook de backup versleuteld is en je daar hetzelfde wachtwoord voor gebruikt. Een ander wachtwoord kiezen lijkt zinloos, en backups niet versleutelen dom als je wel je computer versleutelt.

Over het algemeen draait backupsoftware pas wanneer het OS opgestart is. Zodra de machine gestart is met de juiste credentials en de juiste drivers geladen lijkt de harde schijf voor zover het het OS betreft niet versleuteld. Dus alleen wanneer je je backup op een op identieke manier versleutelde harde schijf opslaat is de backup hiermee versleuteld.

Er is backupsoftware met versleuteling en authenticatie aan boord. Nog beter is, los van je harde schijf, ook je bestanden te versleutelen, individueel of in een container, en ze in versleutelde staat te backuppen.
08-01-2013, 08:13 door SecOff
Door MisterX: Waaom geen spaties? Dat leest makkelijker als je het weer eens verkeerd hebt ingetikt ..............
Ik gebruik altijd sterretjes, dan zie je in ieder geval wat je intikt *****
08-01-2013, 10:18 door Dick99999
Door sjonniev:
................
Er is backupsoftware met versleuteling en authenticatie aan boord. Nog beter is, los van je harde schijf, ook je bestanden te versleutelen, individueel of in een container, en ze in versleutelde staat te backuppen.
Bedoel je dat individuele encryptie (of in een container) de voorkeur heeft boven encryptie op disk niveau? Of stel je beide voor?
Los van die voorkeur heeft backup van versleutelde bestanden en vooral van versleutelde containers, een backup nadeel. Backup ziet namelijk dat de container als geheel veranderd is, en doet elke keer een complete backup ook al is er maar 1 letter in 1 file veranderd.
08-01-2013, 11:57 door Anoniem
ik heb en wachtwoord opgezet op me harde schijf met TrueCrypt hoe krijg ik die er weer vanaf ?
08-01-2013, 12:46 door Rasalom
Door MisterX: ditiszoeenlangpasswoorddatikhetwelzoudurvenvergetenmaaropdezemaniervergeetikhetniet
Dit klinkt als een lastig wachtwoord om te kraken maar dat valt naar verhouding nogal tegen door de relatief lage entropie igv een woordenboek aanval. Ik hoop dat je echte pasphrase in elk geval ook wat leestekens en/of cijfers bevat, anders is het alsnog zo ge-brute-forced.

Ik heb begrepen dat passphrases vooral sterk worden door een combinatie van hoofd en kleine letters, leestekens en bijvoorbeeld talen door elkaar.

Bijvoorbeeld: "Wasfahrtdendortinfrontofus?"askedHugo,terwijlhijhetbordLutjegastpasseerde.
08-01-2013, 13:41 door sjonniev
Door Dick99999:
Door sjonniev:
................
Er is backupsoftware met versleuteling en authenticatie aan boord. Nog beter is, los van je harde schijf, ook je bestanden te versleutelen, individueel of in een container, en ze in versleutelde staat te backuppen.
Bedoel je dat individuele encryptie (of in een container) de voorkeur heeft boven encryptie op disk niveau? Of stel je beide voor?
Los van die voorkeur heeft backup van versleutelde bestanden en vooral van versleutelde containers, een backup nadeel. Backup ziet namelijk dat de container als geheel veranderd is, en doet elke keer een complete backup ook al is er maar 1 letter in 1 file veranderd.


Allebei. Full Disk Encyption voor de systeemintegriteit (en vertrouwelijkheid als de laptop in de kofferbak ligt), file based encryption voor de vertrouwelijkheid als het apparaat aanstaat. Container based encryption alleen daar waar file based encryption niet kan. En die laatste twee kunnen inderdaad ten koste gaan van dat incremental backup-voordeel. Het hangt er maar van af waar de prioriteit ligt. In mijn optiek: is het niet versleuteld, dan is het niet vertrouwelijk.
08-01-2013, 19:52 door KwukDuck
Natuurlijk hardstikke link als je je vrijheid lief hebt met de nieuwe wetgeving...
09-01-2013, 09:52 door Dick99999
Door Rasalom:
Door MisterX: ditiszoeenlangpasswoorddatikhetwelzoudurvenvergetenmaaropdezemaniervergeetikhetniet
Dit klinkt als een lastig wachtwoord om te kraken maar dat valt naar verhouding nogal tegen door de relatief lage entropie igv een woordenboek aanval. Ik hoop dat je echte pasphrase in elk geval ook wat leestekens en/of cijfers bevat, anders is het alsnog zo ge-brute-forced.

Ik heb begrepen dat passphrases vooral sterk worden door een combinatie van hoofd en kleine letters, leestekens en bijvoorbeeld talen door elkaar.

Bijvoorbeeld: "Wasfahrtdendortinfrontofus?"askedHugo,terwijlhijhetbordLutjegastpasseerde.
Volgens mij is
"dit is zo een lang passwoord dat ik het wel zou durven vergeten maar op deze manier vergeet ik het niet"
een heel sterk wachtwoord (spaties voor de leesbaarheid toegevoegd), maar ook onbruikbaar denk ik.

Volgens mij geldt de volgende berekening:
Veronderstel even dat het aanvalswoordenboek uit 1000 woorden bestaat. En veronderstel dat alle woorden uit het wachtwoord in die 1000 woorden voorkomen.

Voor die zin met 21 woorden moet een domme woordenboek aanval maximaal 1000^21 (1 met 63 nullen!) combinaties (zinnen) proberen. (Eigenlijk 'iets' meer want de aanvaller kent het aantal woorden in de zin niet)
Een slimme aanvaller combineert veel voorkomende combinaties, zoals 'manier' en 'deze manier' en zoals vervoegingen. Dan nog blijven er in het voorbeeld vermoedelijk omstreeks 9 'te brute forcen' woorden over, dus maximaal 1000^9 combinaties (1 met 27 nullen).

De aanname van 1000 woorden is echter veel te laag. Diceware kent een woordenboek van ongeveer 7500 woorden, zie hun site voor berekeningen. Je zal verbaasd staan hoe weinig (wel goed gekozen!) woorden je nodig hebt voor een sterk wachtwoord.
09-01-2013, 21:46 door yobi
Een goed plan, als men vervolgens niet alles ook op Facebook plaatst.

Wel hebben bepaalde landen een encryptie verbod. Het apparaat kan je dan niet meenemen.
21-01-2013, 11:28 door Dick99999
Door yobi: Een goed plan, als men vervolgens niet alles ook op Facebook plaatst.
Wel hebben bepaalde landen een encryptie verbod. Het apparaat kan je dan niet meenemen.
Er zouden ook landen zijn waar je verplicht bent de sleutel af te geven als er om gevraagd wordt. Heb jij voorbeelden of ken je een lijst van landen waar encryptie verboden is?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.