image

Goed voornemen: encryptie op elke computer

woensdag 4 januari 2012, 14:21 door Redactie, 16 reacties

Elke internetgebruiker zou als goed voornemen voor dit jaar zijn of haar computer moeten versleutelen, aldus de Electronic Frontier Foundation (EFF). De Amerikaanse digitale burgerrechtenbeweging vindt dat meer mensen encryptie moeten gebruiken. Op steeds meer computer staan privégegevens, zoals persoonlijke documenten, bedrijfsgegevens, e-mails, surfgeschiedenis en informatie over vrienden, familie of collega's.

Noodzaak
"Encryptie is een fantastische manier om ervoor te zorgen dat gegevens veilig zijn als je reist, of als je je laptop verliest of die gestolen wordt", zegt Seth Schoen van de EFF. "En het mooiste van alles, is dat het gratis is." Volgens Schoen moeten consumenten het versleutelen van hun gegevens dan ook niet uitstellen. "Zonder encryptie, kan forensische software eenvoudig het account-wachtwoord omzeilen en alle bestanden op je computer lezen."

Graag horen we van onze lezers of ze wel of geen encryptie gebruiken, en waarom. Tijdens een poll van vorig jaar stemde 38% van de deelnemers dat ze hun computer hebben versleuteld. Een jaar eerder lag dat nog op 21%.

Eerder stelde de EFF dat Microsoft BitLocker, de ingebouwde encryptiesoftware van Windows 7 de "gouden standaard" was. Nadeel was dat deze functionaliteit alleen in de duurste versies aanwezig is. Het gratis open source encryptieprogramma Truecrypt werd geprezen omdat het de grootste compatibiliteit biedt.

Reacties (16)
04-01-2012, 14:51 door Anoniem
Gebruik op al mijn machines full-disk encryptie, met name om het risico op identy-theft bij verlies of diefstal te voorkomen.
04-01-2012, 15:19 door Anoniem
Ik gebruik ook op al mijn computers/laptops/usb sticks encryptie. Ik adviseer het ook aan derden.
04-01-2012, 16:42 door Anoniem
Zie onze oproep, we liepen al iets voor dan het EFF

http://artikel-140.nl/?p=328
04-01-2012, 16:57 door Anoniem
Als je geen wachtwoorden gebruikt die vergelijkbaar zijn met 128 bit entropie (AES is er onder andere in een 128 bit variant), dan heeft het totaal geen zin. Nog los van keyloggers.

Ter vergelijking, volledig random alphanummeriek hoofd- en kleine letters heeft 5,9 bits entropie (2log(26+26+10)) per teken. Daar heb je dus een hoop van nodig voor je op 128 bits zit.

Nu kan je gokken dat je met 59 bits sterkte veilig zit (10 tekens), maar elke 18 maanden worden computers twee keer zo snel, dus wat is er over van je backups (die heb je toch?) na 15 jaar? 30 jaar? 60 jaar? Ga je een wachtwoord van 17 tekens feilloos onthouden? Voor 60 jaar lang?

Encryptie is leuk om je kleine zusje uit je pron collectie weg te houden. Maar het is een hoop gedoe om het echt veilig te doen zodat niemand behalve jezelf er ooit bij kan.

Voor laptops is het natuurlijk wel nuttig. Omdat 9 van de 10 keer de dief het opgeeft bij het zien van encryptie en de zaak opnieuw formateert. Maar als de dief je laptop gericht steelt vanwege de gegevens die er op staan...
04-01-2012, 17:21 door Anoniem
Werkt dit soort software ook als je een dualboot hebt? Ik gebruik meestal Ubuntu maar voor sommige dingen is toch nodig om Windows te hebben.

Op dit moment geen encryptie omdat ik niet weet of het nog goed gaat als ik meer dan 1 besturingssysteem heb en wat er gebeurd in het geval dat mijn laptop onverhoopt kapot gaat en ik de hardeschijf over zou willen zetten in een andere computer om mijn gegevens veilig te stellen; ben ik dan alles kwijt of is het eenvoudig te doen door een wachtwoord in te vullen?
04-01-2012, 18:38 door soeperees
Wat Anoniem zegt op 16:57!
Je kunt je ook afvragen wat je precies te beveiligen hebt. Ik heb tegenwoordig niets aan gevoelige gegevens meer op mijn notebook staan, die overigens nooit uit huis komt. Ik gebruik wel encryptie op USB-sticks en mijn telefoon.
04-01-2012, 21:09 door Anoniem
Door soeperees: Wat Anoniem zegt op 16:57!
Je kunt je ook afvragen wat je precies te beveiligen hebt. Ik heb tegenwoordig niets aan gevoelige gegevens meer op mijn notebook staan, die overigens nooit uit huis komt. Ik gebruik wel encryptie op USB-sticks en mijn telefoon.

Correct. Ik zie het nut er niet van in om dit te doen op mijn spulletjes die slechts een kiosk functie hebben. Als ik gegevens denk mee te moeten nemen doe ik dat op een versleuteld usb stick.
Mijn gevaarlijkste data, creditcard, banknummer, digid deel ik helaas al met diverse instellingen die denk ik potentieel gevaarlijker zijn, lastig te encrypten.
04-01-2012, 22:11 door SLight
Door Anoniem: Als je geen wachtwoorden gebruikt die vergelijkbaar zijn met 128 bit entropie (AES is er onder andere in een 128 bit variant), dan heeft het totaal geen zin. Nog los van keyloggers.

Ter vergelijking, volledig random alphanummeriek hoofd- en kleine letters heeft 5,9 bits entropie (2log(26+26+10)) per teken. Daar heb je dus een hoop van nodig voor je op 128 bits zit.

Nu kan je gokken dat je met 59 bits sterkte veilig zit (10 tekens), maar elke 18 maanden worden computers twee keer zo snel, dus wat is er over van je backups (die heb je toch?) na 15 jaar? 30 jaar? 60 jaar? Ga je een wachtwoord van 17 tekens feilloos onthouden? Voor 60 jaar lang?

Encryptie is leuk om je kleine zusje uit je pron collectie weg te houden. Maar het is een hoop gedoe om het echt veilig te doen zodat niemand behalve jezelf er ooit bij kan.

Voor laptops is het natuurlijk wel nuttig. Omdat 9 van de 10 keer de dief het opgeeft bij het zien van encryptie en de zaak opnieuw formateert. Maar als de dief je laptop gericht steelt vanwege de gegevens die er op staan...

Het is sowieso slecht als je van plan bent om 60 jaar lang hetzelfde wachtwoord te gebruiken, ik wijzig ze om de drie maanden en onthoud ze gewoon met een simpele, maar moeilijk te kraken manier van samenstellen.

En een TrueCrypt container brute-forcen gaat vele malen langzamer dan een MD5-hash brute-forcen. Met de demoversie van Passware Kit Forensic en alleen met mijn CPU kom ik niet verder dan 200 wachtwoorden per seconden. De supercomputer (!) van het KLPD kan ieder wachtwoord van 8 tekens in twee dagen kraken, zet er een * achter en 't duurt al 94x langer, (dus 94x zo moeilijk), enz.

En ik denk niet dat niemand zijn back-ups 60 jaar lang bewaard, ik heb één externe HDD, die zwaar versleuteld is met een passphrase van 24 tekens en 6 keyfiles (van 500 willekeurig aangemaakte keyfiles) die ik steeds opnieuw gebruik.

Als laatste denk ik niet dat een dief een laptop gaat proberen te brute-forcen, hij zal hooguit wachtwoorden als 12346, password, wachtwoord01 proberen.
04-01-2012, 22:54 door Anoniem
Prive data wordt op al mijn pc's versleuteld en indien nodig ook nog in een container opgeslagen. Idem voor usb drives en sticks.
05-01-2012, 01:07 door Anoniem
Door SLight:
Door Anoniem: Als je geen wachtwoorden gebruikt die vergelijkbaar zijn met 128 bit entropie (AES is er onder andere in een 128 bit variant), dan heeft het totaal geen zin. Nog los van keyloggers.

Ter vergelijking, volledig random alphanummeriek hoofd- en kleine letters heeft 5,9 bits entropie (2log(26+26+10)) per teken. Daar heb je dus een hoop van nodig voor je op 128 bits zit.

Nu kan je gokken dat je met 59 bits sterkte veilig zit (10 tekens), maar elke 18 maanden worden computers twee keer zo snel, dus wat is er over van je backups (die heb je toch?) na 15 jaar? 30 jaar? 60 jaar? Ga je een wachtwoord van 17 tekens feilloos onthouden? Voor 60 jaar lang?

Encryptie is leuk om je kleine zusje uit je pron collectie weg te houden. Maar het is een hoop gedoe om het echt veilig te doen zodat niemand behalve jezelf er ooit bij kan.

Voor laptops is het natuurlijk wel nuttig. Omdat 9 van de 10 keer de dief het opgeeft bij het zien van encryptie en de zaak opnieuw formateert. Maar als de dief je laptop gericht steelt vanwege de gegevens die er op staan...

Het is sowieso slecht als je van plan bent om 60 jaar lang hetzelfde wachtwoord te gebruiken, ik wijzig ze om de drie maanden en onthoud ze gewoon met een simpele, maar moeilijk te kraken manier van samenstellen.

En een TrueCrypt container brute-forcen gaat vele malen langzamer dan een MD5-hash brute-forcen. Met de demoversie van Passware Kit Forensic en alleen met mijn CPU kom ik niet verder dan 200 wachtwoorden per seconden. De supercomputer (!) van het KLPD kan ieder wachtwoord van 8 tekens in twee dagen kraken, zet er een * achter en 't duurt al 94x langer, (dus 94x zo moeilijk), enz.

En ik denk niet dat niemand zijn back-ups 60 jaar lang bewaard, ik heb één externe HDD, die zwaar versleuteld is met een passphrase van 24 tekens en 6 keyfiles (van 500 willekeurig aangemaakte keyfiles) die ik steeds opnieuw gebruik.

Als laatste denk ik niet dat een dief een laptop gaat proberen te brute-forcen, hij zal hooguit wachtwoorden als 12346, password, wachtwoord01 proberen.

Een passphrase van 24 tekens en 6 keyfiles? Jezus, is dat niet erg paranoide? Waarom zo goed beveiligd? Was alleen de passphrase niet voldoende geweest? Waar ben je bang voor?
05-01-2012, 01:24 door Anoniem
Wat vinden jullie van FineCrypt ?
05-01-2012, 07:26 door Overcome
@Anoniem, 16:57,

Je zit er op bepaalde punten n.i. naast:

(1) Je gaat ervan uit dat de vertrouwelijkheid van jouw gegevens constant blijft. Dat is niet zo. De eis van vertrouwelijkheid voor b.v. documenten neemt door de tijd af vanwege verminderde relevantie. Een kopie van mijn paspoort is nu belangrijk. Op het moment dat ik een nieuwe krijg, is de waarde van mijn oude kopie nihil en vervalt de vertrouwelijkheidseis zo goed als volledig. Hetzelfde geldt bij bedrijven. Nieuws over een vijandige overname is vlak voor de overname zeer gevoelige informatie. Na bekendmaking of na de daadwerkelijke overname is de vertrouwelijkheidseis weg. Dat is ook een van de redenen waarom veel bedrijven teveel geld uitgeven aan beveiliging.

(2) 128-bits entropie is leuk, maar waarom heb ik dat precies nodig? Oftewel, wat is het risico dat ik loop als ik een entropie van 80 bits heb? Of 60 bits? Ik heb zoveel mitigerende maatregelen thuis geimplementeerd (geen gevoelige data op laptop, laptop gaat het huis niet uit, geen remote access tot mijn machine mogelijk, sloten op de deur, patches worden geinstalleerd, de firewall is actief, geen bestandsuitwisselingssoftware etc), dat ik probleemloos een wachtwoord van 2 tekens op mijn machine kan hebben zonder in de problemen te komen. En dat geldt voor heel veel mensen. Voordie incidentele dief die mijn huis binnenwandelt: die formatteert de machine waarschijnlijk opnieuw, waardoor encryptie toch niet belangrijk is.
05-01-2012, 11:17 door Anoniem
Ik heb twee computers zelf, een desktop en een laptop. Die laptop sleep ik heel geregeld mee, die desktop uiteraard niet ;)

Laptop is voorzien van Ubuntu 11.10. Dat heb ik geïnstalleerd via de alternate CD, zodat ik zonder al te veel moeite te doen de LUKS encryptie kon gebruiken (AES-256 encrypted LVM). Ik heb een hardware-token aan mijn sleutelbos die o.a. een statisch wachtwoord van 64 tekens kan uitpoepen met een druk op de knop. Dat wachtwoord heb ik gegenereerd via KeePass, voor maximale entropie (400+ bit). Het wachtwoord voor mijn FDE is een +- 10 tekens tellend wachtwoord + het statische wachtwoord van mijn token.

Bij mijn desktop heb ik een vergelijkbare FDE op de primaire schijf. Daarop draait Debian Squeeze (met grsecurity hardened kernel) als basissysteem. Alle standaard dingen (mailen, browsen etc.) gaan via een VirtualBox VM met daarop Ubuntu 11.10. Ik heb ook een Windows 7 VM voor Office werk (ik zweer bij Microsoft Office en haat Open/LibreOffice). De images van deze VM's staan op mijn primaire SSD, dus zijn automatisch ook versleuteld. Daarnaast heb ik aparte schijven voor opslag en backups. Daarop staat een Truecrypt container voor persoonlijke documenten en al het andere (films, muziek etc.) staat gewoon onbeveiligd. Uiteraard gebruik ik een systeem voor document synchronisatie + offshore backup dat alle documenten versleutelt voordat ze mijn computer verlaten (Wuala). Mijn wachtwoorden houd ik bij in een KeePass bestand met een aanzienlijk wachtwoord gebaseerd op mijn hardware token.

Vooral dat hardware token houdt het gebruikersvriendelijk terwijl het aanzienlijk veel bijdraagt aan de veiligheid van het systeem. En dat voor $20 ofzo, terwijl het ook een systeem voor One-Time Passwords heeft. Ik zeg: ideaal!
06-01-2012, 15:26 door spatieman
dit bericht staat 100% haaks ten opzichte van DIT bericht http://www.security.nl/artikel/39767/1/VS_eist_encryptiesleutel_van_verdachte.html
06-01-2012, 17:12 door Anoniem
Door spatieman: dit bericht staat 100% haaks ten opzichte van DIT bericht http://www.security.nl/artikel/39767/1/VS_eist_encryptiesleutel_van_verdachte.html
Vind je?

Als je intentie voor het versleutelen van (delen van je) harde schijf is om zaken onzichtbaar te houden voor instanties die de wet handhaven, ja dan mogelijk wel. Maar hopelijk is dat niet het geval en gaat het erom om je persoonlijke/gevoelige/bedrijfsgeheime informatie te beschermen tegen onbevoegden, bijvoorbeeld in geval van diefstal, bedrijfsspionage etc. Dan staan deze twee berichten niet zo haaks op elkaar als je aangeeft.
09-01-2012, 07:50 door Anoniem
Beter is het om ieder bestand afzonderlijk met een eigen key te encrypten. Die keys bewaar je centraal, dus niet op je werkstation cq sharepoint.
Keys komen uit een apllicatie die de uitgegeven keys bewaard in een encrypted database. Originele keys komen weer uit een keyserver appliance die selfdestruct if tampered...
Saven op usb kan, maar dan gaat er een tijdelijke key mee die na x urr expirred.
Verlies je je ipad, iphone, usb of laptop dan staan er honderden files op zonder key en ieder encrypted met een eigen key. Succes dan als je daar wijs uit wilt worden.

Zo werkt de us intelligence ook..die raken na wikileaks niks meer kwijt..

Zou iedereen die met gevoelige data werkt moeten invoeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.