Encryptie-advies voor journalisten na TrueCrypt-lekken
Recentelijk ontdekte een onderzoeker van Google twee kwetsbaarheden in het populaire encryptieprogramma TrueCrypt die niet zullen worden gedicht, maar journalisten hebben nog steeds opties om hun data te versleutelen. Dat stelt het Amerikaanse Committee to Protect Journalists (CPJ).
De organisatie zet zich wereldwijd in voor persvrijheid. Vorig jaar liet het CPJ weten dat journalisten TrueCrypt nog steeds veilig konden gebruiken, ook al was de ondersteuning door de ontwikkelaars stopgezet. Wel kregen journalisten het advies om op de middellange termijn op andere software over te stappen. Programma's werden echter niet genoemd. Vanwege de twee gevonden lekken heeft het CPJ zich weer over het gebruik van TrueCrypt uitgelaten.
Volgens Geoffrey King, die zich via de organisatie inzet voor de digitale rechten van journalisten, kunnen de nu onthulde kwetsbaarheden alleen worden gebruikt door iemand die al een gebruikersaccount op de computer heeft. De eerste kwetsbaarheid is gevaarlijker, omdat iemand met een beperkt gebruikersaccount volledige beheerdersrechten kan krijgen. De tweede kwetsbaarheid laat een ongeautoriseerde gebruiker een actief gebruikt TrueCrypt-volume loskoppelen. Om beide lekken te kunnen gebruiken moet een aanvaller op de computer in kunnen loggen. Daarnaast is het niet mogelijk om via de kwetsbaarheden informatie te ontsleutelen.
In het op TrueCrypt-gebaseerde VeraCrypt zijn de twee problemen wel verholpen. Het CPJ heeft de veiligheid en betrouwbaarheid van dit programma niet geëvalueerd. Daarnaast is volgens King geen enkele oplossing zonder risico. Hij adviseert journalisten om hun data altijd te versleutelen, aangezien onversleutelde data een van de grootste risico's is. Het CPJ adviseert dan ook om encryptiesoftware te gebruiken die met het besturingssysteem wordt geleverd. In het geval van Mac OS X is dit FileVault 2, terwijl BitLocker voor Windows en LUKS voor Linux wordt aangeraden. Verder moet een complexe en te onthouden passphrase voor de encryptie worden gebruikt.
https://gitlab.com/cryptsetup/cryptsetup/blob/master/README.md
????
Waarschuwen kan je nooit genoeg doen.
hun bestaansrecht te bewijzen.
Maar wat als ze dit niet doen ? Dan krijgen kritiek als er iets gebeurt dat voorkomen
had kunnen worden met dit advies.
Ik heb RAR bestanden met een wachtwoord van 12 tekens in een Veracrypt volume (wachtwoord 12 tekens en 3 sleutelbestanden) Wie gaat dit kraken?
Het zou overigens zonde van je tijd zijn want er staat niets belangrijks vermeld. Gewoon omdat het mogelijk is.
PGP is het antwoord op een andere vraag.
De vraag is naar een gecrypt diskvolume (driveletter, in windows termen) . Daar is Truecrypt een kandidaat .
Als je netjes genoeg werkt, komen bij een diskvolume ook je tijdelijke bestanden, draft versies, backup kopieen alleen op het (gecrypte) volume aan .
Als je PGP gebruikt voor encryptie van lokale files, heeft de ongecrypte versie eerst op je disk gestaan - met de grote kans dat iemand die je computer onderzoekt (in beslag genomen heeft) die versie kan recoveren.
Versleutel dus behalve je harde schijf of SSD ook je data, file-based of container-based.
Thanks, dit wist ik nog niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
