Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Full Disk Crypto op Windows

10-01-2020, 08:23 door Anoniem, 20 reacties
Heeft iemand tips over hoe en of je full-disk crypto (dus ook voor je "boot" device) op windows kan configureren? Ik weet dat het bij Apple kan (FileVault) en op Linux (met LUKS). Kan dit ook eenvoudig op windows?
Reacties (20)
10-01-2020, 09:19 door Anoniem
Dit is wat je zoekt, het zit alleen niet op de Windows Home edition. Daarvoor moet je upgraden naar de Pro versie.

BitLocker is a full volume encryption feature included with Microsoft Windows (Pro and Enterprise only) versions starting with Windows Vista. It is designed to protect data by providing encryption for entire volumes. By default, it uses the AES encryption algorithm in cipher block chaining (CBC) or XTS mode with a 128-bit or 256-bit key. CBC is not used over the whole disk; it is applied to each individual sector.

https://en.wikipedia.org/wiki/BitLocker

BitLocker is available on:

o Ultimate and Enterprise editions of Windows Vista and Windows 7
o Pro and Enterprise editions of Windows 8 and 8.1
o Pro, Enterprise, and Education editions of Windows 10
o Windows Server 2008 and later
10-01-2020, 09:25 door Anoniem
Bitlocker?
10-01-2020, 10:01 door Anoniem
Zo te zien kan het met VeraCrypt (gratis; opvolger van TrueCrypt) ook:
https://www.veracrypt.fr/en/System%20Encryption.html
10-01-2020, 11:54 door Anoniem
vraag het de Universiteit Maastricht, die hadden laatst een hele goeie .
10-01-2020, 12:09 door The FOSS - Bijgewerkt: 10-01-2020, 12:10
Door Anoniem: Zo te zien kan het met VeraCrypt (gratis; opvolger van TrueCrypt) ook:
https://www.veracrypt.fr/en/System%20Encryption.html

Inderdaad. Wel altijd even goede backup vooraf maken en even controleren of die goed is terug te halen. Want je gaat al je data versleutelen en als daarbij onverhoopt iets mis zou gaan dan ben je alles kwijt. Niet dat de kans groot is dat het mis zal gaan want ze hebben een goed verhaal hierbij,
10-01-2020, 12:29 door Anoniem
DiskCryptor kan ook maar is ooit eens door ransomware misbruikt. Dus wellicht kan AV triggeren op de bootloader of software.
10-01-2020, 13:46 door [Account Verwijderd] - Bijgewerkt: 10-01-2020, 13:46
Door Anoniem: vraag het de Universiteit Maastricht, die hadden laatst een hele goeie .

Ok, hier moest ik toch even om gniffelen.


Ik gebruik zelf Linux en geen Windows, maar BitLocker is volgens mij een optie in W10 Pro+. Maar er staat mij wel bij dat Bitlocker niet compatibel is met alle SSD's (of vice versa) en je Bitlocker dus ontgrendeld voor een niet (afdoende)versleutelde disk.

https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/
https://www.engadget.com/2018/11/06/microsofts-bitlocker-compromised-by-bad-ssd-encryption/

Persoonlijk gebruik ik VeraCrypt, maar nimmer voor een full disk versleuteling. Ik heb een directory en wat USB sticks waar ik Veracrypt op gebruik. De reden hiervoor is dat de computer niet bepaald sneller wordt als deze continue door versleutelde bestanden moet zoeken door een verhoogde CPU belasting.

Stel dat mijn laptop gejat word, dan komen ze maar in mijn OS en dan kunnen ze wat bestanden bekijken, maar de 'geheimen' zijn versleuteld. Dito voor een USB. jammer maar helaas en zeker geen ramp, maar vooral zonde.

De reden dat ik liever VeraCrypt gebruik dan bijv. BitLocker is dat Veracrypt een multiplatform applicatie is, zodat ik het kan gebruiken op Windows, Mac en Linux en niet steeds nieuwe software hoef te leren gebruiken. Ook is het een open source applicatie en zeker in dit geval is het fijn dat een ieder de source code kan bekijken en waar nodig verbeteringen kan voorstellen.

Nog een reden dat ik liever geen Bitlocker of fulldisk encryptie gebruik:

https://www.slideshare.net/ianhaken/attacking-windows-authentication-and-bitlocker-full-disk-encryption

Al weet ik niet wat de huidige stand van zaken is. In een recente podcast (ik meen Darknet Diaries) werd volgens mij verteld dat deze kwestie nog niet was opgelost.
10-01-2020, 14:40 door Anoniem
Door EnGeeX:
Door Anoniem: vraag het de Universiteit Maastricht, die hadden laatst een hele goeie .

Ok, hier moest ik toch even om gniffelen.


Ik gebruik zelf Linux en geen Windows, maar BitLocker is volgens mij een optie in W10 Pro+. Maar er staat mij wel bij dat Bitlocker niet compatibel is met alle SSD's (of vice versa) en je Bitlocker dus ontgrendeld voor een niet (afdoende)versleutelde disk.

https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/
https://www.engadget.com/2018/11/06/microsofts-bitlocker-compromised-by-bad-ssd-encryption/

Persoonlijk gebruik ik VeraCrypt, maar nimmer voor een full disk versleuteling. Ik heb een directory en wat USB sticks waar ik Veracrypt op gebruik. De reden hiervoor is dat de computer niet bepaald sneller wordt als deze continue door versleutelde bestanden moet zoeken door een verhoogde CPU belasting.

Stel dat mijn laptop gejat word, dan komen ze maar in mijn OS en dan kunnen ze wat bestanden bekijken, maar de 'geheimen' zijn versleuteld. Dito voor een USB. jammer maar helaas en zeker geen ramp, maar vooral zonde.

De reden dat ik liever VeraCrypt gebruik dan bijv. BitLocker is dat Veracrypt een multiplatform applicatie is, zodat ik het kan gebruiken op Windows, Mac en Linux en niet steeds nieuwe software hoef te leren gebruiken. Ook is het een open source applicatie en zeker in dit geval is het fijn dat een ieder de source code kan bekijken en waar nodig verbeteringen kan voorstellen.

Nog een reden dat ik liever geen Bitlocker of fulldisk encryptie gebruik:

https://www.slideshare.net/ianhaken/attacking-windows-authentication-and-bitlocker-full-disk-encryption

Al weet ik niet wat de huidige stand van zaken is. In een recente podcast (ik meen Darknet Diaries) werd volgens mij verteld dat deze kwestie nog niet was opgelost.
Sinds de september update van Windows 10 vertrouwt bitlocker de self-encrypting ssd's niet meer en gaat standaard over tot software encryptie. Mocht je nog een systeem hebben dat al met bitlocker was beveiligd, check even of dit hardwarematig was: manage-bde.exe -status
Is dat het geval, dan moet je even decrypten en opnieuw encrypten. Dan gebruikt bitlocker gewoon softwarematige encryptie.
10-01-2020, 16:44 door sjonniev
Door EnGeeX:
Door Anoniem: vraag het de Universiteit Maastricht, die hadden laatst een hele goeie .

Ok, hier moest ik toch even om gniffelen.


Ik gebruik zelf Linux en geen Windows, maar BitLocker is volgens mij een optie in W10 Pro+. Maar er staat mij wel bij dat Bitlocker niet compatibel is met alle SSD's (of vice versa) en je Bitlocker dus ontgrendeld voor een niet (afdoende)versleutelde disk.

https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/
https://www.engadget.com/2018/11/06/microsofts-bitlocker-compromised-by-bad-ssd-encryption/

Persoonlijk gebruik ik VeraCrypt, maar nimmer voor een full disk versleuteling. Ik heb een directory en wat USB sticks waar ik Veracrypt op gebruik. De reden hiervoor is dat de computer niet bepaald sneller wordt als deze continue door versleutelde bestanden moet zoeken door een verhoogde CPU belasting.

Stel dat mijn laptop gejat word, dan komen ze maar in mijn OS en dan kunnen ze wat bestanden bekijken, maar de 'geheimen' zijn versleuteld. Dito voor een USB. jammer maar helaas en zeker geen ramp, maar vooral zonde.

Nog een reden dat ik liever geen Bitlocker of fulldisk encryptie gebruik:

https://www.slideshare.net/ianhaken/attacking-windows-authentication-and-bitlocker-full-disk-encryption

Al weet ik niet wat de huidige stand van zaken is. In een recente podcast (ik meen Darknet Diaries) werd volgens mij verteld dat deze kwestie nog niet was opgelost.

Op Windows systemen werkt full disk encryption veel en veel sneller dan file encryption. Zodra de sleutel gebruikt kan worden zie je eigenlijk zo goed als geen snelheidsverlies meer tussen versleutelde en onversleutelde systemen.

Als je vertrouwelijke data op een systeem zet, is het voor onbevoegden mogelijk software toe te voegen om de bestandsversleuteling te overbruggen, door middel van key loggers, ram scrapers, screenshotters en wat dies meer zij. Met een beetje pech doen ze er phone home bij. Hiervoor is wel fysieke toegang tot de onversleutelde startschijf nodig, of iemand die graag Word-macro's aanzet. Dat laatste werkt rtrouwens ook met versleutelde schijven. Of dit met Linux net zo makkelijk is als op Windowssystemen durf ik niet te zeggen, maar ik neem aan dat ik onversleutelde schijven kan mounten, en er zaken aan toevoegen.

De huidige stand van zaken (slide 3) is "The vulnerability is noted in MS15-122 and was patched on Nov. 20, 2015". Toen-ie nog niet gepatched was, was de status "The bypass can be exploited only if the computer has BitLocker enabled without a PIN or USB key, the computer is domain joined, and the attacker has physical access to the computer.".

Ik vond het geen gat in Bitlocker, maar in Windows authenticatie.

Ik ga eens kijken naar veracrypt file encryptie, dat lijkt me een goede aanvulling op bitlocker, filevault en luks. Ik neem aan dat veracrypt ook bestanden op shares kan encrypten (en enigszins transparant) decrypten?
10-01-2020, 16:57 door Anoniem
Ik virtualiseer Windows onder Linux met Secure Boot, wat op zijn beurt op de HDD met LUKS/ext4 is versleuteld. Merk weinig van performance verlies. Problemen met Windows zijn nu sneller opgelost dan ooit tevoren.
10-01-2020, 17:26 door Anoniem
Ik heb Veracrypt geprobeerd op mijn laptop en werkte goed....tot ik Windows update deed. Daarna kwam ik er niet meer in. Heb toen wel gezocht wat ik moest doen, maar uiteindelijk toch besloten om het maar weer eraf te halen.
11-01-2020, 13:08 door Anoniem
Door EnGeeX:
Persoonlijk gebruik ik VeraCrypt, maar nimmer voor een full disk versleuteling. Ik heb een directory en wat USB sticks waar ik Veracrypt op gebruik. De reden hiervoor is dat de computer niet bepaald sneller wordt als deze continue door versleutelde bestanden moet zoeken door een verhoogde CPU belasting.

Stel dat mijn laptop gejat word, dan komen ze maar in mijn OS en dan kunnen ze wat bestanden bekijken, maar de 'geheimen' zijn versleuteld. Dito voor een USB. jammer maar helaas en zeker geen ramp, maar vooral zonde.
Precies zoals ik ook werk. Ik vind versleutelen van schijven al tricky, maar dit ook nog eens doen met software die onder één platform werkt en niet door andere programma's geopend kunnen worden helemáál niet verstandig. Ik heb een laptop van het werk die versleuteld is met BitLocker, maar als ik het wachtwoord vergeet (omdat ik bijvoorbeeld de laptop een tijdje niet gebruik vanwege vakantie of iets dergelijks), dan mag je de boel helemaal opnieuw inspoelen en ben je ALLES kwijt. Met alleen een versleutelde container kun je gewoon nog via een omweg bij je systeem komen.

Door EnGeeX:De reden dat ik liever VeraCrypt gebruik dan bijv. BitLocker is dat Veracrypt een multiplatform applicatie is, zodat ik het kan gebruiken op Windows, Mac en Linux en niet steeds nieuwe software hoef te leren gebruiken. Ook is het een open source applicatie en zeker in dit geval is het fijn dat een ieder de source code kan bekijken en waar nodig verbeteringen kan voorstellen.
Helemaal mee eens! Versleuteling moet je niet toewijzen aan één platform. Versleutelde data is belangrijke data. En het mag niet zo zijn dat je daarvoor maar met één methode dit kan benaderen (BitLocker op Windows, want een ander programma opent geen BitLocker encrypted media).

Door EnGeeX:Nog een reden dat ik liever geen Bitlocker of fulldisk encryptie gebruik:

https://www.slideshare.net/ianhaken/attacking-windows-authentication-and-bitlocker-full-disk-encryption

Al weet ik niet wat de huidige stand van zaken is. In een recente podcast (ik meen Darknet Diaries) werd volgens mij verteld dat deze kwestie nog niet was opgelost.
Ik snap sowieso niet waarom een hele schijf versleuteld moet worden. Alleen je belangrijke documenten zou genoeg moeten zijn. Het OS hoeft helemaal niet versleuteld te worden, vind ik.
11-01-2020, 13:15 door Anoniem
Door Anoniem: Zo te zien kan het met VeraCrypt (gratis; opvolger van TrueCrypt) ook:
https://www.veracrypt.fr/en/System%20Encryption.html
En VeraCrypt heeft niet zo lang geleden ook een volledige audit gehad, en daar bleek betrekkelijk weinig mis mee te zijn. Naar aanleiding van deze audit heeft de ontwikkelaar van VeraCrypt de aanbevelingen uit de audit verwerkt en de problemen opgelost. De resultaten zijn hier te vinden https://ostif.org/the-veracrypt-audit-results/

Hier op Security.nl is er al eens een artikel gewijd aan Bitlocker. Zie hier: https://www.security.nl/posting/586110/Microsoft+adviseert+over+softwarematige+encryptie+BitLocker
11-01-2020, 14:25 door The FOSS - Bijgewerkt: 11-01-2020, 15:23
Door Anoniem: Ik snap sowieso niet waarom een hele schijf versleuteld moet worden. Alleen je belangrijke documenten zou genoeg moeten zijn. Het OS hoeft helemaal niet versleuteld te worden, vind ik.

Alleen je datapartitie(s) is(zijn) op zich natuurlijk het belangrijkst en in tegenstelling tot bij het versleutelen van afzonderlijke bestanden is er daarbij helemaal niets te achterhalen (zelfs geen bestandsnamen, groottes, wijzigdata, etc.). Maar in bv. swap- en andere tijdelijke en cachebestanden kunnen jouw persoonlijke data opduiken dus daar moet je toch mee uitkijken.
11-01-2020, 19:39 door Anoniem
Twee methoden:
1, https://en.wikipedia.org/wiki/Encrypting_File_System (kan in elke Windows met NTFS bestandsysteem)
2. Gebruik toegevoegde encryptie software. (is meestal beter)
Kijk en vergelijk: https://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software

Veracrypt, Bitlocker en Diskcryptor lijken me wel okee.
11-01-2020, 21:29 door Anoniem
Bitlocker:
-De betere encryptie algoritme dan standaard is met een update al enige tijd geleden weggeupdate
-Een extra key bestaat en staat unecrypted op het systeem, Deze is nodig voor herstarts die nodig zijn voor Windows Update zonder extra gebruikersinteractie.
-Gebrekkige ondersteuning voor hardware-encryptie-opties van hdds en ssds. Als zijn bij Opal-vinkjes implementies geen van alle in orde (Serieus! Samsung wtf.)
-Closed-source

Kijk eens naar Veracrypt
-Ja, er zijn enkele issues gevonden en deze werden ook gefixed.

Dan ook nog maar LUKS
-Uistekend mits normaal ingesteld, maar ja : ook hier evil maid van bijv twopointfour (encrypted boot)

Samengevat: denk aub iets verder dan het ISO vinkje voor Bitlocker.
Denk even over wat voor data uberhaupt op notebooks zou moeten staan.
Denk aan je event-horizon en maak een risicoanalyse.
Bitlocker is wel beter dan niets voor mensen die een laptop in een trein of auto kunnen laten liggen.

Hier wordt Veracrypt gebruikt. Dat heeft wel als nadeel dat gebruikers een sleutel moeten ingeven.
11-01-2020, 22:44 door Anoniem
Door Anoniem:
Precies zoals ik ook werk. Ik vind versleutelen van schijven al tricky, maar dit ook nog eens doen met software die onder één platform werkt en niet door andere programma's geopend kunnen worden helemáál niet verstandig. Ik heb een laptop van het werk die versleuteld is met BitLocker, maar als ik het wachtwoord vergeet (omdat ik bijvoorbeeld de laptop een tijdje niet gebruik vanwege vakantie of iets dergelijks), dan mag je de boel helemaal opnieuw inspoelen en ben je ALLES kwijt. Met alleen een versleutelde container kun je gewoon nog via een omweg bij je systeem komen.
Daarom heb je de bitlocker recovery keys doe je moet bewaren. Of in een beheerde omgeving, staat het in Azure AD of AD of MBAM.
Volgens mij gaat er bij je werk iets heel ernstig fout, dat je data verliest.

Helemaal mee eens! Versleuteling moet je niet toewijzen aan één platform. Versleutelde data is belangrijke data. En het mag niet zo zijn dat je daarvoor maar met één methode dit kan benaderen (BitLocker op Windows, want een ander programma opent geen BitLocker encrypted media).
beheer van de keys is juist ook een belangrijike. Iets wat bitlocker centraal kan doen. Iets veracrypt juist niet kan. Daarom is het leuk voor thuis, maar niet geschikt in een beheerde omgeving.

Encryptie is 1, maar vanuit beheer is key beheer veel belangrijker.
13-01-2020, 15:43 door Hyper
TrueCrypt of VeraCrypt zijn waarschijnlijk je beste opties. Bij versleutelingssoftware is het belangrijk dat het open-source is, je zelf de sleutels beheert en als het even kan makkelijk in het gebruik is.
13-01-2020, 15:52 door Anoniem
Door Anoniem: Bitlocker:
-Een extra key bestaat en staat unecrypted op het systeem, Deze is nodig voor herstarts die nodig zijn voor Windows

Die (recovery) key staat er alleen maar als Bitlocker gesuspend is.
Voor normale restarts komt het sleutelmateriaal uit de TPM.

Voor wat betreft disk met hardware encryptie: die worden al een tijdje standaard ondersteunt door BitLocker. Zie oa: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-device-encryption-overview-windows-10
13-01-2020, 15:55 door The FOSS
Door Hyper: TrueCrypt of VeraCrypt zijn waarschijnlijk je beste opties. Bij versleutelingssoftware is het belangrijk dat het open-source is, je zelf de sleutels beheert en als het even kan makkelijk in het gebruik is.

Het is bij alle software belangrijk dat het open source is (maar zeker bij versleutelingssoftware).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.