image

TrueCrypt: Gratis en eenvoudige encryptie voor USB sticks

vrijdag 10 maart 2006, 13:16 door Redactie, 24 reacties


De laatste paar weken worden we bijna dagelijks opgeschrikt door wéér een USB stick die verloren is door een overheidsinstelling, wéér een laptop die uit de kofferbak van een officier van justitie is gestolen of wéér een CD-ROM met personeelsgegevens die kwijtraakt tijdens het vervoer. Maar ons gebeurt dat soort dingen natuurlijk niet. Of toch wel? In dit artikel leg ik uit hoe je zelf makkelijk je data kunt beveiligen met behulp van gratis Windows software.

Maar eerst een stukje saaie theorie. Zoals je wellicht al weet hoort ieder beveiligingstraject te beginnen met een risico analyse. Veel mensen denken dan aan dikke rapporten die geschreven worden door mannen met grijze baarden (vaak is dat ook zo :-)). Maar een do-it-yourself risico analyse kan heel simpel zijn: ga gewoon uit van een worst case scenario en bedenk vervolgens wat het je waard is om de gevolgen van die worst case te beperken. Laten we eens uitgaan van een USB stick waar je een aantal documenten op hebt staan, waaronder bijvoorbeeld wat installatie documenten met wachtwoorden erin. Niet direct staatsgeheime informatie, maar toch erg vervelend als je de stick kwijtraakt en iemand krijgt je wachtwoorden in handen. De worst case is dus eenvoudig te definiëren: “ik raak mijn stick kwijt”. Niet eens een erg onwaarschijnlijk scenario, een USB stick is niet al te groot en raakt dus snel zoek. Wat is het je dan waard om de gevolgen te beperken?

Waarschijnlijk ben je best bereid wat moeite te doen om de data te beveiligen en dus wat extra handelingen uit te voeren als je de data nodig hebt. Of je kunt wat extra geld uitgeven voor een USB stick met ingebouwde vingerafdruklezer. In dit artikel ga ik er van uit dat je al een standaard USB stick hebt en de data hierop wilt beveiligen.

Op internet is veel software te vinden waarmee je data kunt versleutelen. Veel Windows software kost geld maar als je goed zoekt kun je ook wel gratis software vinden zoals bijvoorbeeld de tegenhanger van PGP, GnuPG. Met GnuPG kun je bestanden versleutelen maar is het niet mogelijk een complete stick te encrypten en deze weer aan een driveletter te koppelen onder Windows. Een opensource product wat dit wel kan is Truecrypt waarvan we nu de werking bespreken.

Over Truecrypt
Truecrypt maakt het mogelijk om een virtuele versleutelde schijf te maken (Truecrypt noemt dit een container) in een gewoon bestand, en dit dan te “mounten” als een echte schijf. Ook is het mogelijk een complete hardeschijf partitie te versleutelen of een compleet extern apparaat zoals een USB stick. Een interessante optie is de mogelijkheid om een hidden volume aan te maken. De theorie hierachter is dat je dit verborgen volume aanmaakt binnen een ander volume. Mocht je nu, bijvoorbeeld onder fysieke bedreiging, gedwongen worden om je wachtwoord af te staan dan kun je rustig je wachtwoord afgeven. De aanvaller krijgt wat zogenaamd geheime bestanden te zien in het buitenste volume maar weet niet dat er nog een volume aanwezig is. De aanwezigheid van het binnenste volume is ook niet te controleren omdat een Truecrypt volume altijd geheel uit willekeurige data lijkt te bestaan.

Truecrypt kan gebruik maken van AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES en Twofish versleuteling. De maker doet overigens geen uitspraak over welke encryptie methode het beste is, dat mag de gebruiker zelf bepalen. De software wordt beheerd door de Truecrypt Foundation, waarover overigens weinig informatie op de website te vinden is. Er zijn versies voor Windows en Linux te downloaden, evenals de complete broncode.

Traveller mode
Een hele leuke feature voor de gebruikers van USB sticks is de traveller mode. Hiermee is het mogelijk een USB stick dusdanig in te richten dat bij het aansluiten van de stick op een willekeurige computer, de Truecrypt software op de stick automatisch wordt gestart. Je kunt dan makkelijk je beveiligde disk mounten en bij je versleutelde bestanden komen. Voor de autostart optie moet je wel minimaal Windows XP servicepack 2 hebben maar die had je natuurlijk al draaien. We gaan nu eens kijken hoe we zo’n beveiligde USB traveller disk maken.

Een traveller disk maken
De installatie van Truecrypt werkt zoals meestal onder Windows: download het ZIP bestand, open dit en start Truecrypt Setup.exe. Na de licentie te hebben gelezen en eventueel wat standaard opties te hebben aangepast klik je op Install en wordt de software neergezet op je harddisk. Je kunt Truecrypt nu starten via het startmenu en wordt gepresenteerd met de standaard user interface die er ongeveer zo uit ziet:



We willen nu een nieuw Truecrypt volume aan gaan maken op onze USB schijf en klikken dus op Create Volume:


,Truecrypt geeft de keuze tussen een standaard volume of een hidden volume, we gaan er nu maar even van uit dat je niet al te paranoia bent en dus een standaard volume wilt gebruiken. Truecrypt vraagt nu waar ons volume terecht moet gaan komen:



Zoals je ziet heb je nu de keuze uit een File of een Device. Voor de traveller disk is het belangrijk dat we niet de complete USB stick versleutelen, omdat Truecrypt zelf ook op de USB stick gezet moet worden. We kiezen dus Select File en maken een bestand aan op onze USB stick. Als je dit bestand de extensie .tc geeft kun je het in de toekomst automatisch openen met Truecrypt. Je geeft hier natuurlijk wel eenvoudig wat informatie weg aan de vinder van jouw verloren USB stick, dus als je iets meer security by obscurity wilt hebben noem je bestand dan “testfile” zonder extentie of verzin zelf iets leuks. Nu kun je de encryptie methode kiezen die gebruikt moet worden:



De keuze van de juiste methode mag je zelf maken, eventueel kun je via Benchmark nog bekijken welke methode de snelste is (wat natuurlijk niet betekent dat het ook de veiligste is..). In de volgende stap geef je de grootte van het volume aan:



De grootte die je hier kiest is afhankelijk van de grootte van je USB stick en wat je op het versleutelde deel wilt opslaan. Je zou er voor kunnen kiezen om de helft van je stick te versleutelen zodat je ook nog ruimte over hebt voor minder geheime bestanden die je snel wilt kunnen benaderen zoals MP3’s en foto’s. Nu is het tijd om een wachtwoord te kiezen:



Zoals je al kunt zien in het screenshot is het extreem belangrijk om een sterk wachtwoord te kiezen, hier valt of staat de encryptie van je volume mee. Nog beter is een combinatie van een wachtwoord en een keyfile. Deze laatste kan bijvoorbeeld een MP3 bestand of een foto zijn die op je disk staat. Dit heeft twee voordelen: ten eerste wordt de encryptie er sterker van en ten tweede heeft een aanvaller die je toetsaanslagen (en dus je wachtwoord) opneemt nog steeds niet voldoende informatie om je volume te kunnen openen. Als laatste stap kun je nu nog het bestandstype kiezen:



En nu kun je het volume aanmaken door op Format te klikken. En klaar is je volume:



Nu kun je testen of je het volume kunt mounten in de standaard interface van Truecrypt door op Select File te klikken en je volume op te zoeken. Daarna kies je een vrije driveletter uit de lijst en klik je op Mount. Truecrypt vraagt nu om je wachtwoord en eventueel moet je één of meerdere keyfiles selecteren (als je dit hebt aangegeven bij het aanmaken van je volume). Als alles goed gaat dan is nu je volume gemount op de gekozen driveletter, in mijn geval op N:



Deze driveletter is nu gewoon te gebruiken als disk, alle bestanden die je op N: zet komen dus uiteindelijk terecht in het versleutelde volume. Door op Dismount te klikken hef je de N: letter weer op en nu kun je met je beveiligde USB stick in de trein gaan zitten.

Voor het extra gebruiksgemak kun je nu nog de traveller disk aanmaken. Om dit te doen kies je in het menu Tools -> Traveller Disk Setup:



Als root directory kies je de driveletter van je USB stick. Als je de Volume Creation Wizard aangevinkt laat dan kun je met je traveller disk ook weer nieuwe volumes aanmaken. Het weglaten van de optie zorgt ervoor dat je minder ruimte nodig hebt op je USB stick. Bij AutoRun Configuration kun je ervoor kiezen dat Truecrypt automatisch start bij het koppelen aan een Windows XP SP2 machine. Je kunt zelfs aangeven dat je volume automatisch gemount moet worden. Klik nu op Create en Truecrypt schrijft de nodige bestanden weg naar je USB stick. De laatste stap is nu het testen van je traveller disk, doe dit bij voorkeur op een systeem waar nog geen Truecrypt op staat zodat je echt kunt zien of alles is goed gegaan. Let op dat je wel Administrator privileges moet hebben op de machine waar je je traveller disk wilt mounten, tenzij er al Truecrypt op geïnstalleerd is door een Administrator. Als als het goed is zie je de Truecrypt optie na het koppelen van de USB stick:


Conclusie
Zoals je hebt kunnen lezen is het aanmaken van een beveiligde USB stick helemaal niet zoveel werk, en zou het verliezen van onbeveiligde USB sticks, zelfs voor ambtenaren en defensiepersoneel, nu toch echt tot het verleden moeten behoren. Natuurlijk zijn er ook talloze andere alternatieven beschikbaar, maar TrueCrypt biedt alles wat je van een versleutelingsprogramma mag verwachten en het is nog gratis ook.

Bedrijven kunnen naast het gebruik van TrueCrypt of andere versleutelingssoftware, ook binnen hun security policies het gebruik van encryptie en vervoer van vertrouwelijke gegevens opnemen, maar dat is iets voor een volgend artikel.

Reacties (24)
10-03-2006, 15:54 door bustersnyvel
Ok, dit kan al jaren met Linux, zonder extra software, op
een standaard en open manier...
10-03-2006, 16:15 door sikkes
dat hangt nogal hard van je definitie van linux en extra
software af. want het hangt er puur vanaf of de juiste
software bij je distro zit en of je een distro linux mag
noemen of dat dat bijvoorbeeld alleen de kernel is.

het is gewoon een feit dat veel mensen windows gebruiken en het is goed om die mensen dit soort mogelijkheden te laten zien.
10-03-2006, 17:33 door Anoniem
daarbij wil je een tool hebben die op elke os en het liefst
zelfs nog op een ander dan i386 arch werkt..dat is het mooie
van truecrypt: mulitos en multiarch!
10-03-2006, 17:52 door G-Force
Door bustersnyvel
Ok, dit kan al jaren met Linux, zonder extra software, op
een standaard en open manier...

Het licht is al heel lang uitgegaan in Redmond hoor...
10-03-2006, 17:57 door Anoniem
TrueCrypt is voor Windows en voor Linux Distros (lees:
Debian/Redhat/SuSe/etc). Het leuke is dat je daarom in beide
systemen een secure disk kan hebben. Wel zo handig als je
dual boot hebt.

Btw. de snelheid (tenminste onder Linux distro Debian) is
super; 600MB staat in 30 seconden encrypt op je disk (dat is
indien van disk naar encrypte disk wordt gecopieerd).

Nu kan mijn laptop gestolen worden; liever niet natuurlijk,
maar ik hoef niet om security redenen wakker te liggen.
11-03-2006, 11:13 door Anoniem
Door Anoniem

Btw. de snelheid (tenminste onder Linux distro Debian) is
super; 600MB staat in 30 seconden encrypt op je disk (dat is
indien van disk naar encrypte disk wordt gecopieerd).


Snelheid hangt natuurlijk wel af van de encryptie methode
die je selecteerd.
13-03-2006, 08:29 door Ivanwho
Toch wel jammer dat je admin rechten nodig hebt. Bij de
meeste plekken/bedrijven waar ik kom ben je restricted user
en kan je dit dus helemaal niet gebruiken. Mijn alternatief
hierop is Remore USB File Guard, geen installatie nodig. Is
echter alleen geschikt voor Windows, maar wel gratis, en
comprimeert bovendien je bestanden.
13-03-2006, 11:13 door Anoniem
Door Anoniem
daarbij wil je een tool hebben die op elke os en het liefst
zelfs nog op een ander dan i386 arch werkt..dat is het mooie
van truecrypt: mulitos en multiarch!

Ik zie geen MacOSX versie anders.
13-03-2006, 12:29 door pipo
Jammer dat reacties weer de OS discussie oprakelen. Het is
een duidelijk geschreven artikel waarbij goed gekeken is
naar inzetbaarheid in schaalbare omgevingen én passend in
security policies.

En wat lezen we als eerste reactie:

''Ok, dit kan al jaren met Linux, zonder extra software, op
een standaard en open manier.''

Kijk, dan gaat niet in Redmond, maar bij mij het licht uit ....

Overigens heb ik TrueCrypt zelf getest i.c.m. een USB stick
waar de solftware bijgeleverd werd. Het werkt naar behoren,
het grootste struikelblok is inderdaad het gebruik eromheen.

Inzetbaarheid vereist grondige voorbereiding waarbij enige
administratieve overhead niet geschuwd mag worden. Dat
laatste is dan ook de prijs die je betaald voor security.
14-03-2006, 09:17 door sjonniev
Ik neem aan dat een werkgever als defensie ook graag bij de
data zou willen kunnen komen wanneer de beveiligingsbewuste
medewerker zichzelf met behulp van een automobiel om een
boom heeft gewikkeld. Hoe doe je dat met TrueCrypt? Of is
het meer leuk voor thuis?
14-03-2006, 09:27 door Dabien
Door bustersnyvel
Ok, dit kan al jaren met Linux, zonder extra software, op
een standaard en open manier...
Dat is heel fijn voor je.

Gelukkig gebruiken de meeste mensen nog geen Linux, dus is
deze software niet voor niets gemaakt en dit artikel niet
voor niets geschreven.

[on-topic]
Ik gebruik TrueCrypt al een tijdje en ik kan zeggen dat ik er heel tevreden mee ben. Er is een zeer korte leercurve, waarna je met groot gemak aan de slag kunt met het veilig opslaan van je gevoelige bestanden.

Het enige wat ik mis bij TC is de mogelijkheid tot het versleutelen van individuele bestanden, zoals dat bijvoorbeeld wel met PGP kan. Dus als je bijvoorbeeld versleutelde bestanden wilt versturen via de mail, dan heb je aan TC niet zoveel.

Verder is het een prima programma!
14-03-2006, 13:30 door Anoniem
Met PGP kun je toch ook prima meerdere bestanden tegelijk als 1 SDA -
bestand (self decrypting archive) versleutelen? Bestanden selecteren in de
verkenner - en dat kan een map of m.i. zelfs een heel volume zijn- , create
SDA, passphrase intikken en het resultaat is een SDA.PGP bestand.

Wachtwoord intikken en de boel wordt weer uitgepakt. Je hebt zodoende
op een andere PC geen PGP nodig om de bestanden weer te decrypten,
het wachtwoord alleen volstaat.

Wel is de hidden volume optie van Truecrypt een mooie, voorzover ik weet
heeft PGP dat niet.
15-03-2006, 08:39 door Dabien
Inderdaad, met PGP kan dat, maar met TrueCrypt dus niet.
Zoals ik al zei, het enige wat ik aan dat programma mis.
10-08-2006, 09:22 door Anoniem
Helaas is truecrypt onbruikbaar door onveiligheid.

Om op een PC je USB stick te lezen moet je administrator zijn, dat laat
geen enkele systeembeheerder toe!
Cryptainer LE heeft dezelfde fout.

Wie kent een beter methode?
12-08-2006, 17:44 door Anoniem
Door Anoniem
Helaas is truecrypt onbruikbaar door onveiligheid.

Om op een PC je USB stick te lezen moet je administrator zijn, dat laat
geen enkele systeembeheerder toe!
Cryptainer LE heeft dezelfde fout.

Wie kent een beter methode?
SafeBoot for USB Phantom & Hard Disk zijn volledig driverless, geen
admin rights en zero-footprint. Verder werken ze op alle OS. AES256 bits
hardware encryptie met wachtwoord en of fingerprint. Geen enkele
leercurve voor een gerbuiker en het kan niet foutgaan aangezien alles
versleuteld is.
13-02-2007, 15:43 door Anoniem
Bedankt voor de handleiding. Erg handig.
10-06-2008, 16:31 door Anoniem
Door bustersnyvel
Ok, dit kan al jaren met Linux, zonder extra software, op
een standaard en open manier...

Echt Linux he!!
17-11-2008, 14:25 door Anoniem
hoe maak je een gedane beveiliging weer ongedaan?
Ik heb een versleuteling gemaakt, doch nu is mijn usb niet "hidden" maar een gedeelte van mijn normale harde schijf (C:)
Hoe kan ik dit weer ongedaan maken?
17-11-2008, 14:41 door alles_bestaat_al
Ik heb geprobeerd mijn usb te beveiligen met truecrypt, maar waarschijnlijk is er iets misgegaan ...:-((
Nu is een gedeelte van mijn normale harde schijf (C:) "hidden" geworden en niet mijn usb stick.
Hoe maak ik dit ongedaan?????
20-06-2009, 15:39 door Anoniem
Een erg goede oplossing is FreeOTFEExplorer. Gratis, open source, praktijkgetest, en vooral: geen admin rechten nodig, dus ook op andere dan je eigen hardware te gebruiken.
21-08-2009, 11:51 door Anoniem
Hallo,
Ik gebruik TC nog niet zo heel lang en het ging altijd goed, tot nu!
Het staat op een externe HD. Wanneer ik TC open en de drive wil openen dan verschijnt het volgende bericht:
The hostfile is allready in use! En dan ga ik verder en vul mijn WW in. En dan verschijnt dit:
Ignoring this can cause undesired results including system instability.
All applications that might be using the hostfile/device (antivirus/backup applications should be closed before mounting the volume.

Wanneer ik het Antivirus sluit dan en doorga met mounten dan verschijnt dit:
Error: Cannot mount volume.The hostfile allready in use.
Attempt to mount without exclusive access failed as well.

Weet iemand hoe ik weer bij mijn bestanden kom?

mvg,
Noud Ellen
29-07-2010, 08:56 door Anoniem
Met PGPdisk kun je aan een volume meerdere wachtwoorden toekennen. Weet iemand of dit met Truecrypt ook kan?
27-09-2010, 11:03 door Anoniem
Er is wel degelijk een Truecrypt versie voor Mac OSX.
zie: http://www.truecrypt.org/downloads
11-12-2010, 14:46 door Anoniem
Door Anoniem: Hallo,
Ik gebruik TC nog niet zo heel lang en het ging altijd goed, tot nu!
Het staat op een externe HD. Wanneer ik TC open en de drive wil openen dan verschijnt het volgende bericht:
The hostfile is allready in use! En dan ga ik verder en vul mijn WW in. En dan verschijnt dit:
Ignoring this can cause undesired results including system instability.
All applications that might be using the hostfile/device (antivirus/backup applications should be closed before mounting the volume.

Wanneer ik het Antivirus sluit dan en doorga met mounten dan verschijnt dit:
Error: Cannot mount volume.The hostfile allready in use.
Attempt to mount without exclusive access failed as well.

Weet iemand hoe ik weer bij mijn bestanden kom?

mvg,
Noud Ellen

het programma zegt dat je drive al gemount is
dat betekent dus dat je ff moet zoeken waar hij gemount is

als je het niet kunt vinden,
zorg er dan voor dat truecrypt afgesloten is en probeer je drive dan te mounten
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.