Security Tip van de Week: versleutel je harde schijf
In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Nienke Ryan
Versleutel je harde schijf
Maar weinig gebruikers zijn zich bewust van het nut en belang (en soms zelfs überhaupt de mogelijkheid) van het toepassen van deze vorm van encryptie.
Waarom zou je aan de full-disk encryption gaan? Om die vraag te beantwoorden is het van belang dat je jezelf goed beseft wat er allemaal aan gegevens op je harde schijf te vinden is. Om de open deur maar in te trappen: alle bestanden die je er zelf, bewust, op heb gezet. Spreadsheets, contracten, foto's. De data waar je van dag tot dag mee werkt. Maar als we een stap verder gaan blijkt er nog veel méér data aanwezig. Wat dacht je van de Exchange mail-cache?
En alle netwerklocaties die off-line beschikbaar zijn gemaakt? Nog een stap verder en het is bijvoorbeeld mogelijk om opgeslagen wachtwoorden uit VPN clients te extraheren. En dat alles valt in het niet tegenover de bestanden die een gebruiker allang heeft verwijderd, maar die nog steeds als niet-geschoonde bits uit te lezen zijn.
Door de volledige drive te versleutelen kan er niets meer worden uitgelezen zonder de juiste sleutel. Mocht je laptop gestolen worden dan is het een overzichtelijk incident, er is geen onzekerheid over de data op het systeem zelf. Voor alle zakelijke gebruikers is dat een must, maar voor systemen waar privacygevoelige gegevens staan zou het een vereiste moeten zijn. Het gaat namelijk regelmatig mis.
Maar consumenten die hun laptop voor serieuze zaken inzetten doen er ook verstandig aan dit op z'n minst te overwegen. Niemand zit erop te wachten dat zijn of haar hele hebben en houden opeens in handen van een onbekende is.
Hoe ga je te werk?
De echte IT'er zal halverwege de titel al onbewust aan TrueCrypt hebben gedacht, misschien wel de meest populaire software voor dit soort zaken. Met deze software is het o.a. mogelijk de volledige systeemschijf te encrypteren. De wizard geeft bij elke stap een uitgebreide uitleg en dwingt de gebruiker daarna een rescuedisk te maken én te testen. Daarna kan het echte encrypteren beginnen, iets dat op grotere schrijven een aantal uur kan kosten.
Vanaf Windows Vista biedt Microsoft haar eigen schijfencryptiesoftware met BitLocker. Veel systemen beschikken niet over de TPM (trusted platform module) die BitLocker standaard vereist. Een kleine aanpassing in de policy is echter voldoende om dit probleem te omzeilen. Voer "gpedit.msc" uit, navigeer naar Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives. Open de setting "Require additional athentication at startup". Door hier "Allow BitLocker without a compatible TPM" aan te vinken en de policy toe te passen is het mogelijk de BitLocker drive encryption wizard te doorlopen en de gehele schijf te encrypteren.
Natuurlijk zijn er gebruikers die dit graag toepassen omdat ze zich bewust zijn van alle gegevens die ze dagelijks met zich meedragen, maar er de kennis niet voor hebben. De zakelijke gebruikers kunnen het beste naar de IT helpdesk van hun bedrijf gaan. Consumenten kunnen bij de betere computerzaken terecht voor advies en hulp hiermee.
Geen heilige graal, wel een pilaar
Door een hele schijf te versleutelen vervalt een belangrijke aanvalsvector: het fysiek uit kunnen lezen van datadragers. Maar een laptop met versleutelde schijf is, eenmaal opgestart, net zo kwetsbaar voor Trojaanse paarden en andere malware als het volgende systeem. Full-disk encryptie is een belangrijk fundament voor een veilig systeem, maar moet aangevuld worden met andere zaken.
Full-disk encryptie heeft twee nadelen. Ten eerste kom je, als je het goed hebt gedaan, nooit meer bij je gegevens als je de sleutel kwijtraakt. Redelijk vanzelfsprekend, maar het kán problematisch zijn. Back-ups zijn hier het antwoord op. Niet alleen van je data, maar ook van je sleutels.
Het tweede nadeel is de impact die het on-the-fly ver- en ontsleutelen van data heeft op de systeemprestaties. Deze kunnen in sommige gevallen met wel 10% afnemen. Omdat de bottleneck van veel systemen bij de opslag I/O ligt kan het upgraden van een harde schijf naar een snelle SSD hier uitkomst bij bieden.
Nienke Ryan is managing director van beveiligingsleverancier SpicyLemon.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
1. Goede versleutelingssoftware biedt altijd de mogelijkheid tot key- en data recovery.
2. Alleen op ouwe PC's met kwalitatief treurige versleutelingssoftware.
Een met software versleutelde harde schijf is niet noemenswaardig langzamer dan een versleutelde. Het is juist bij SSD's dat je eerder tegen de bottleneck aanloopt, dat is namelijk hoe snel de PC-processor(s) kunnen ver- en ontsleutelen. Bij gewone harde schijven kunnen processors dat tegenwoordig sneller dan de harde schijf de data kan aanleveren of opslaan. Bij softwarematige versleuteling van SSD moet je al minimaal aan een quadcoreprocessor, om te voorkomen dat je SSD net zo "snel" wordt als een gewone harde schijf. Tenminste, wanneer de versleutelingsdrivers kunnen multithreaden, anders heeft het nog geen zin.
Dus als je harde schijf trager wordt door versleuteling moet je geen SSD gaan gebruiken, maar in plaats daarvan betere software of snellere processors. Bij virtuele schijven ligt het nog weer anders (ja die kun je ook versleutelen).
Een alternatief voor softwarematige versleuteling is OPAL, maar daar kleeft qua beheer nog wel eens een haakje of oogje aan. Daar heeft de individuele gebruiker geen last van, natuurlijk.
Versleuteling van je bootschijf is niet alleen een pilaar, het is het fundament. Behalve wanneer je 24/7 controle hebt over fysieke toegang tot het ding, dan is het niet nodig.
Bij toegang tot het OS/account, maakt de encryptie geen bal uit.
Ik heb geen kluis thuis. Wanneer ik op de usb-backup-schijf ook truecrypt gebruik dan loop ik daar ook weer risico van corruptie van data. Het zelfde gaat op als ik een file container gebruik, als ik die as-is kopieer naar de usb schijf.
Wat je NIET moet doen is de laptop in de slaapstand zetten, want dan start de pc niet van de harddisk maar vanuit het geheugen en wordt er niet meer om het encryptie ww gevraagd.
@anoniem: ook een herstel van windows kan zo'n zelfde probleem opleveren.
Is ook weer afhankelijk van de software. Ik kan met een WinPE CD booten, via challenge/response de sleutel laden, en de harde schijf scannen/opschonen. Het is natuurlijk makkelijker en sneller er weer een vers image op te zetten. Maar ja, er is natuurlijk weer van alles geïnstalleerd sinds de laatste back-up...
Het gaat over het totaal: snelheid opslagmedium + cpu = totaal
cpu is constant, maar de snelheid van het opslagmedium kan flink omlaag door inzetten SSD.
@sjonniev
Een vertraging van 10% door "trage" cpu is ten opzichte van het totaal van 110% klein en geen bottleneck. Een SSD kan dus zeker wel voor versnelling zorgen, want het brengt de basis 100% een flink stuk omlaag.
Er zijn wel enkele bijkomstigheden bij SSD. Sommige SSD's comprimeren data om nog meer snelheid te winnen. Dat zal bij encryptie niet werken omdat dat moeilijk is te comprimeren. Encryptie heeft soms comprimeren ingebouwd, dat kan het wat compenseren. Een ander nadeel van SSD is dat data moeilijker definitief te wissen is, overschrijven betekent vaak elders schrijven.
@Nienke Ryan
10% als percentage is misschien niet zo bruikbaar, want het is 10% van een mechanische harde schijf. Het is geen 10% van een SSD schijf.
Voorbeeldberekening met vaste waarden:
Harde schijf: 100 + 10 = 110
SSD: 50 + 10 = 60
Percentueel neemt de cpu overhead toe bij een SSD (tot 20%), maar in absolute termen is er geen toename. De SSD is sneller.
Op het net staan wel enkele 'dingen' die gpedit.msc voor Win Home Premium zouden kunnen installeren, geloof het niet.
Kortom, ik twijfel aan de waarde voor een gemiddelde gebruiker.
een 25-tal random chars wordt inderdaad moeilijk om te onthouden. Een zelf bedachte passphrase daarentegen..
ditiszoeenlangpasswoorddatikhetwelzoudurvenvergetenmaaropdezemaniervergeetikhetniet
een 25-tal random chars wordt inderdaad moeilijk om te onthouden. Een zelf bedachte passphrase daarentegen..
ditiszoeenlangpasswoorddatikhetwelzoudurvenvergetenmaaropdezemaniervergeetikhetniet
een 25-tal random chars wordt inderdaad moeilijk om te onthouden. Een zelf bedachte passphrase daarentegen..
ditiszoeenlangpasswoorddatikhetwelzoudurvenvergetenmaaropdezemaniervergeetikhetniet
Indien je dat bij bepaalde wel doet (waar dit mogelijk is) en bij andere waar het niet mogelijk is niet moet je nog kunnen onthouden of je nu wel/niet spaties had gebruikt bij je passwoord.
Doe je dit bij geen enkel passwoord is dat al iets minder wat je moet onthouden.. en dat 'onthouden' was het probleem dacht ik in jou geval..
Over het algemeen draait backupsoftware pas wanneer het OS opgestart is. Zodra de machine gestart is met de juiste credentials en de juiste drivers geladen lijkt de harde schijf voor zover het het OS betreft niet versleuteld. Dus alleen wanneer je je backup op een op identieke manier versleutelde harde schijf opslaat is de backup hiermee versleuteld.
Er is backupsoftware met versleuteling en authenticatie aan boord. Nog beter is, los van je harde schijf, ook je bestanden te versleutelen, individueel of in een container, en ze in versleutelde staat te backuppen.
................
Er is backupsoftware met versleuteling en authenticatie aan boord. Nog beter is, los van je harde schijf, ook je bestanden te versleutelen, individueel of in een container, en ze in versleutelde staat te backuppen.
Los van die voorkeur heeft backup van versleutelde bestanden en vooral van versleutelde containers, een backup nadeel. Backup ziet namelijk dat de container als geheel veranderd is, en doet elke keer een complete backup ook al is er maar 1 letter in 1 file veranderd.
Ik heb begrepen dat passphrases vooral sterk worden door een combinatie van hoofd en kleine letters, leestekens en bijvoorbeeld talen door elkaar.
Bijvoorbeeld: "Wasfahrtdendortinfrontofus?"askedHugo,terwijlhijhetbordLutjegastpasseerde.
................
Er is backupsoftware met versleuteling en authenticatie aan boord. Nog beter is, los van je harde schijf, ook je bestanden te versleutelen, individueel of in een container, en ze in versleutelde staat te backuppen.
Los van die voorkeur heeft backup van versleutelde bestanden en vooral van versleutelde containers, een backup nadeel. Backup ziet namelijk dat de container als geheel veranderd is, en doet elke keer een complete backup ook al is er maar 1 letter in 1 file veranderd.
Allebei. Full Disk Encyption voor de systeemintegriteit (en vertrouwelijkheid als de laptop in de kofferbak ligt), file based encryption voor de vertrouwelijkheid als het apparaat aanstaat. Container based encryption alleen daar waar file based encryption niet kan. En die laatste twee kunnen inderdaad ten koste gaan van dat incremental backup-voordeel. Het hangt er maar van af waar de prioriteit ligt. In mijn optiek: is het niet versleuteld, dan is het niet vertrouwelijk.
Ik heb begrepen dat passphrases vooral sterk worden door een combinatie van hoofd en kleine letters, leestekens en bijvoorbeeld talen door elkaar.
Bijvoorbeeld: "Wasfahrtdendortinfrontofus?"askedHugo,terwijlhijhetbordLutjegastpasseerde.
"dit is zo een lang passwoord dat ik het wel zou durven vergeten maar op deze manier vergeet ik het niet"
een heel sterk wachtwoord (spaties voor de leesbaarheid toegevoegd), maar ook onbruikbaar denk ik.
Volgens mij geldt de volgende berekening:
Veronderstel even dat het aanvalswoordenboek uit 1000 woorden bestaat. En veronderstel dat alle woorden uit het wachtwoord in die 1000 woorden voorkomen.
Voor die zin met 21 woorden moet een domme woordenboek aanval maximaal 1000^21 (1 met 63 nullen!) combinaties (zinnen) proberen. (Eigenlijk 'iets' meer want de aanvaller kent het aantal woorden in de zin niet)
Een slimme aanvaller combineert veel voorkomende combinaties, zoals 'manier' en 'deze manier' en zoals vervoegingen. Dan nog blijven er in het voorbeeld vermoedelijk omstreeks 9 'te brute forcen' woorden over, dus maximaal 1000^9 combinaties (1 met 27 nullen).
De aanname van 1000 woorden is echter veel te laag. Diceware kent een woordenboek van ongeveer 7500 woorden, zie hun site voor berekeningen. Je zal verbaasd staan hoe weinig (wel goed gekozen!) woorden je nodig hebt voor een sterk wachtwoord.
Wel hebben bepaalde landen een encryptie verbod. Het apparaat kan je dan niet meenemen.
Wel hebben bepaalde landen een encryptie verbod. Het apparaat kan je dan niet meenemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
