Goedkope versleuteling biedt weinig bescherming
Uit onderzoek is al vaker gebleken dat de versleuteling die aanbieders van draagbare harde schijven en enclosures gebruiken in de praktijk eenvoudig te kraken is. De Raidon Staray 6 serie vormt hierop geen uitzondering, zo ontdekten Duitse onderzoekers. De S325, in Europa vaak onder de naam "Stardom" verkocht, beschermt de data door de gebruiker eerst een PINcode in te laten voeren. Klopt de code, dan krijgt men toegang tot de versleutelde data. Door het ontbreken van fysieke beveiliging, is het gemakkelijk om de harde schijf uit de behuizing te verwijderen en op een moederbord aan te sluiten. De gegevens zijn dan zonder het invoeren van de PINcode uit te lezen. De enige bescherming is dan nog de gebruikte versleuteling, maar ook die stelt niet veel voor.
Ontwikkelaars van Raidon hebben zelf een algoritme verzonnen, maar daar een aantal fouten bij gemaakt. Zo schrijft de encryptie nullen ook echt als een nul weg. In het geval van de S125, een ander model, slaat men de PINcode zelfs in platte tekst op. De onderzoekers hebben dan ook een duidelijke conclusie: "Goedkope hardware biedt goedkope encryptie." Veel fabrikanten proberen goedkope producten te bieden en bezuinigen daarbij op de beveiliging, waar uiteindelijk de klant de dupe van is.
GPG is eigenlijk bedoeld voor email.
En lijkt me beetje lastig werken, elke keer naar zo'n kluis toe.
Bovendien heb je er geen controle op wie er bij komt, kan dus een kopie van gemaakt worden.
Een persoon of organisatie kan bijvoorbeeld een of meerdere medewerkers van de bank kunnen betalen om een kopie van jouw sleutel te maken.
@ Anonieme reactie van 15:01
Ja idd, waarom zou je het wiel opnieuw gaan uitvinden, aardig wat sterke algoritmes die public domain zijn en uitgebreid getest;
Rijndael (AES-winnaar), Serpent en Twofish bijvoorbeeld. Die kan je als fabrikant vrij gebruiken (als in bier en als in vrijheid).
Bij "PINcode" denk ik ook aan een getal met 4 cijfers, 10.000 mogelijkheden zijn er dan beschikbaar. Als je dat kan bruteforcen heb je het juiste password heel snel (secondes).
Een prijs heeft niks te maken met de kwaliteit van versleutelen. GnuPG wordt bijv. gratis aangeboden (beer & speech) en wordt verondersteld dat het praktisch niet kraakbaar is.
Een betere versie v.d. titel zou dus zijn: "Dure versleuteling biedt weinig bescherming"
De kern is van mijn verhaal is, competentie van de aanbieder is vaak een probleem, maar ook de doelstelling van de producent: het produkt dat hier werd besproken is gemaakt om veel geld te genereren. Het kan in alle landen worden verkocht, omdat het door geen enkele wet wordt tegengehouden.
Waarom komt de data niet versleuteld op de (in dit geval) harddisk te staan? Dat lijkt me toch niet zo moeilijk? Voordeel hiervan is dat de data te allen tijde voorzien is van een encryptie waardoor deze niet zo eenvoudig te benaderen is wanneer het opslagmedium wordt ontleed.
Het komt op mij over alsof je een geheime brief in een envelop stopt met het idee dat het dan niet meer gelezen kan worden door derden...
De kracht van GPG is m.i. juist het toepassen van een public-private keypair, zij het op e-mail of op bestanden. Je kunt zo ook documentatie makkelijk delen met anderen (extra public key erbij hangen).
Nadeel is inderdaad dat het op file basis is. Maar zijn wel wat tooltjes die dat vergemakkelijken. Het gemak ervan is dat je een bestand uit een "kluis", b.v. een truecypt container, GPG versleuteld naar iemand anders kunt sturen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
