Windows 10 bewaart encryptiesleutel in de cloud
Nieuwe Windows 10-computers beschikken over ingebouwde schijfversleuteling die standaard staat ingeschakeld als gebruikers met hun Microsoft-account inloggen, maar in dit geval wordt de herstelsleutel om de schijf te ontsleutelen in de cloud bewaard. Daarvoor waarschuwt The Intercept.
"De gouden standaard in schijfversleuteling is end-to-end-encryptie, waar alleen de gebruiker zijn schijf kan ontsleutelen. Dit is wat de meeste bedrijven gebruiken en het lijkt goed te werken", zegt Matthew Green, cryptografieprofessor aan de Johns Hopkins Universiteit. "Er zijn zeker gevallen waarbij het handig is om een back-up van je sleutel of wachtwoord te hebben. In die gevallen kun je ervoor kiezen om een bedrijf de informatie te laten bewaren. Maar het overhandigen van je sleutels aan een bedrijf als Microsoft verandert de beveiligingseigenschappen van een schijfversleutelingssysteem."
Zodra de encryptiesleutels zich op de servers van Microsoft bevinden is het voor gebruikers onduidelijk wat ermee gebeurt. Een aanvaller zou het Microsoft-account van de gebruiker kunnen hacken en zo de herstelsleutel in handen kunnen krijgen. Maar ook een hack van Microsoft is mogelijk, of een verzoek van opsporingsdiensten om gegevens van de gebruiker. "Je computer is op dat moment net zo veilig als de database met sleutels die in het bezit is van Microsoft, wat inhoudt dat het kwetsbaar is voor hackers, buitenlandse overheden en mensen die Microsoftmedewerkers kunnen afpersen", aldus Green.
Microsoft stelt in een reactie dat als een computer in de herstelmodus gaat en gebruikers geen toegang tot de herstelsleutel hebben, alle data op de computer voor altijd ontoegankelijk worden. Aan de hand van onderzoek onder klanten is er daarom gekozen om automatisch een back-up van de herstelsleutel te maken. Daarbij kan de herstelsleutel alleen worden gebruikt als er fysiek toegang tot de computer is. Gebruikers kunnen er echter voor kiezen om hun herstelsleutel in de cloud via deze pagina te verwijderen.
Op de vraag of dit voldoende is antwoordt Green misschien, als Microsoft geen back-ups maakt. "Maar is het lastig om dat te garanderen. En voor mensen die zich niet bewust van het risico zijn, lijkt opt-out riskant." Het gaat hier trouwens niet om de Bitlocker-schijfversleuteling, maar de schijfversleuteling die standaard in alle Windows 10-versies aanwezig is en wordt geactiveerd als de computer over een Trusted Platform Module beschikt en de gebruiker met een Microsoft-account inlogt. Systemen waarbij de gebruiker lokaal inlogt worden niet versleuteld.
Daar heb je nou een backup voor!
Daar heb je nou een backup voor!
Ik las dat bij lokaal aanloggen er niets van gebruikt wordt, alleen bij remote/cloud gebruik. En het is niet het bitlocker geval.
Voor het bitlocker geval is je af te dekken risico: machine valt in harden van derden. Gegevens moeten ontoegankelijk zijn.
Voor dit geval cloud/lokaal is je af te deeken risico: lokale machine raakt beschadigd moet hersteld worden. Gegevens moeten toegangkelijk zijn.
Kleine nuance in de gebruiks eisen en de technische oplossing wordt anders.
Daar heb je nou een backup voor!
Jammer van zo'n reactie, want in de praktijk zie ik weinig backups van werkstations ;-)
Bedrijven zijn de backups meestal op server niveau en dus niet op werkstations.
Thuis bij consumenten is meestal in de praktijk dat bij problemen toch geen goede (of recente) backup aanwezig is.
Dit is het belangrijkste stukje:
"Daarbij kan de herstelsleutel alleen worden gebruikt als er fysiek toegang tot de computer is."
Toegang tot Microsoft Account en Fysieke Machine, ongeacht herstel sleutel of niet in cloud, wanneer systeem nog in orde is heb je al een probleem.
"Een aanvaller zou het Microsoft-account van de gebruiker kunnen hacken "
Probleem is dus niet de sleutel in de cloud, maar dat een aanvaller al bij je Microsoft Account kan komen... Bij de sleutel kunnen komen is dan het gevolg van toegang tot Microsoft Account... Vind toegang tot Microsoft Account nog veel erger.
Het is niet kwetsbaar voor binnenlandse overheden?
Peter
Het is niet kwetsbaar voor binnenlandse overheden?
Peter
Aan de hand van onderzoek onder klanten is er daarom gekozen om automatisch een back-up van de herstelsleutel te maken.
Feit is dat MS (steeds weer onder het bedriegelijke mom van "we hebben het beste met onze klanten voor") steeds weer over de schreef gaat, qua privacy onvoordelige standaard instellingen maakt, instellingen van klanten overschrijft; het is een schijnbaar ondeloze reeks van onsmakelijke zaken
Een backup van die sleutel,kan je dan beter het liefst op een usbstick bewaren.
Dat is veiliger dan hem op een cloudserver op te slaan.
http://maken.wikiwijs.nl/52693/Lezen___Feit_of_mening__HV_2#!page-1375112
Daar heb je dan ook niets aan. Eerst je sleutel uit handen geven, om vervolgens te verzoeken deze te laten verwijderen. Daarna blijft het nog lang in backups bewaart en wie weet of de sleutel dan al is doorgestuurd naar de NSA of niet. Wat een ramp, Windows 10.
Welnee, je kunt Windows10 best gebruiken. Maar wel lokaal inloggen, tenzij je heel goede redenen hebt om met een MS account te werken. Schijfversleuteling moet je dan wel zelf doen, maar persoonlijk laat ik dat liever niet aan MS bedrijf over.
Oplossing is inderdaad simpel. Bitlocker of een andere diskencryptie gebruiken die sleutel zelf beheren. De meeste mensen gebruiken tot nu toe toch geen encryptie en locale gebruikers/wachtwoorden zijn met linux cd's toch te omzeilen/unlocken. Gevolg: bij fysieke toegang tot een pc was niets veilig, is niets veilig en zal meestal ook niet veilig worden.
Het is niet kwetsbaar voor binnenlandse overheden?
Peter
Probleem in deze is altijd die gegronde redenen. Wat de één gegronde reden noemt is voor een ander...... Journalisten zijn al vaker doorzocht en onderdruk gezet vanwege staatsveiligheid/terreurwetten. Toch beetje lullig als de NSA/CIA dan gewoon je sleutel bij MS kan opvragen en de klokkenluider zo kan afmaken. Ben jij daar voor?
Bij opa in het bejaardenhuis. ;-) Dan heeft die man tenminste ook wat aanloop...
Wij hebben het opgelost met een soort RAID look-alike systeem. Drie collega's die elkaars back-ups bewaren. De twee andere collega's krijgen ieder de helft van de back-up. Bij een restore haal je deze op de twee verschillende locaties op en voegt ze samen.
Dit 'opa-principe' hanteren wij nu al zo'n 25 jaar...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.