image

VeraCrypt zoekt hulp voor schijfversleuteling met Secure Boot

woensdag 20 juni 2018, 11:58 door Redactie, 12 reacties

De ontwikkelaar van de encryptiesoftware VeraCrypt zoekt hulp om volledige schijfversleuteling van Windows-systemen mogelijk te maken. VeraCrypt is een opensource-encryptieprogramma voor Windows, macOS en Linux, gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt.

De software maakt het mogelijk om systemen volledig te versleutelen of versleutelde containers aan te maken. Een probleem op nieuwere Windows-systemen waar Secure Boot standaard staat ingeschakeld is dat volledige schijfversleuteling niet wordt ondersteund. Secure Boot is een beveiligingsstandaard die ervoor zorgt dat een computer bij het opstarten alleen maar software laadt die wordt vertrouwd door de fabrikant.

Microsoft en sommige computerfabrikanten vereisen dat bij het opstarten van de computer hun eigen certificaat wordt geladen, aangezien ze hun eigen EFI-drivers tijdens het opstarten draaien. Zonder het certificaat worden de drivers niet vertrouwd en zal de machine niet starten. Om de VeraCrypt-bootloader met Secure Boot te laten werken moeten de VeraCrypt-sleutels in de firmware geladen worden, waarvoor een script is ontwikkeld.

Het script blijkt op sommige computers niet te werken, aangezien alleen het VeraCrypt-certificaat en twee certificaten van Microsoft en sommige computerfabrikanten worden geladen. Om dit probleem te verhelpen vraagt VeraCrypt-ontwikkelaar Mounir Idrassi dat computergebruikers het certificaat van hun computer opsturen, zodat het in VeraCrypt kan worden verwerkt. Van hoe meer fabrikanten de certificaten beschikbaar zijn, des te groter de kans dat de software straks op meer computers met Secure Boot werkt.

Hiervoor heeft Idrassi een tool gemaakt die de EFI-variabele van de firmware uitleest en verschillende bestanden en mappen met de firmwarecertificaten aanmaakt. Vervolgens kunnen gebruikers deze bestanden naar het VeraCrypt-forum uploaden. Sinds de oproep heeft Idrassi bestanden van zo'n 20 computers ontvangen en is er een bètaversie verschenen die de Secure Boot-sleutels van verschillende computerfabrikanten bevat.

Reacties (12)
20-06-2018, 12:25 door Anoniem
Ik vrees dat dit geen stabiele oplossing gaat worden. Geef mij dan toch maar bitlocker. Draait altijd feilloos.
20-06-2018, 12:53 door Anoniem
MacOs heeft echter nog zijn eigen probleempies.
Eerst nog maar een ander scriptje publischriijven
https://www.security.nl/posting/566469/Onderzoekers%3A+MacOS-cache+kan+versleutelde+data+lekken
Want een lekkende vera, nee dat wille we niet zien, das geen porum.
20-06-2018, 13:22 door Anoniem
Door Anoniem: MacOs heeft echter nog zijn eigen probleempies.
Eerst nog maar een ander scriptje publischriijven
https://www.security.nl/posting/566469/Onderzoekers%3A+MacOS-cache+kan+versleutelde+data+lekken
Want een lekkende vera, nee dat wille we niet zien, das geen porum.

Is aan nog wat voorwaarden verbonden om toegang te krijgen maar het moet natuurlijk niet kunnen.
Op mijn Mac kan je alleen inloggen mits er een Yubikey inzit -en- je handmatig de key activeert door op het knopje te drukken.
Remote logins maken weer wat minder kans.
20-06-2018, 14:15 door Anoniem
Bitlocker is leuk, maar is dus niet secuur. Je maakt jezelf afhankelijk van de voorkeuren van de producent(en). Die al dan niet al bepaalde deals hebben met de politici van land x of y. Onafhankelijke open source software dat is gecontroleerd door derden is de enige zekerheid.

Het probleem zit in die bloody Trusted Computing crap. Dat is een chip dat zegt: alleen software dat is ondertekend door partijen die wij (hardwarefabrikant) en zij (softwarefabrikant met deal met hardwarefabrikant) mag hier op draaien. Dat is weer een push voor meer controle door patenthouders.

Voor wat betreft het lekken van MacOS data: dat heeft meer te maken met de werking van het OS en is met een update zo opgelost.
20-06-2018, 15:11 door Anoniem
Door Anoniem:
Door Anoniem: MacOs heeft echter nog zijn eigen probleempies.
Eerst nog maar een ander scriptje publischriijven
https://www.security.nl/posting/566469/Onderzoekers%3A+MacOS-cache+kan+versleutelde+data+lekken
Want een lekkende vera, nee dat wille we niet zien, das geen porum.

Is aan nog wat voorwaarden verbonden om toegang te krijgen maar het moet natuurlijk niet kunnen.
Op mijn Mac kan je alleen inloggen mits er een Yubikey inzit -en- je handmatig de key activeert door op het knopje te drukken.
Remote logins maken weer wat minder kans.
Iemand mijn Yubikey gezien?
Jammer dattie niet piept als ik fluit.
Nu maar hopen dattikhem vindt anders kan ik nooit meer inloggen en iemand anders weer wel.
Konnik maar iemand bellen om remote in te loggen, maar mijn telefoon ben ik ookal kwijt.

Ergo, bescherm alleen de data die nodig is om te beschermen, maak het niet te ingewikkeld en maak je niet te afhankelijk van weer andere techniek en programma's.
Op een dag hangt niet barbertje maar yubi, willem mag weten waar ze uithangt.
20-06-2018, 18:19 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: MacOs heeft echter nog zijn eigen probleempies.
Eerst nog maar een ander scriptje publischriijven
https://www.security.nl/posting/566469/Onderzoekers%3A+MacOS-cache+kan+versleutelde+data+lekken
Want een lekkende vera, nee dat wille we niet zien, das geen porum.

Is aan nog wat voorwaarden verbonden om toegang te krijgen maar het moet natuurlijk niet kunnen.
Op mijn Mac kan je alleen inloggen mits er een Yubikey inzit -en- je handmatig de key activeert door op het knopje te drukken.
Remote logins maken weer wat minder kans.
Iemand mijn Yubikey gezien?
Jammer dattie niet piept als ik fluit.
Nu maar hopen dattikhem vindt anders kan ik nooit meer inloggen en iemand anders weer wel.
Konnik maar iemand bellen om remote in te loggen, maar mijn telefoon ben ik ookal kwijt.

Ergo, bescherm alleen de data die nodig is om te beschermen, maak het niet te ingewikkeld en maak je niet te afhankelijk van weer andere techniek en programma's.
Op een dag hangt niet barbertje maar yubi, willem mag weten waar ze uithangt.

En daarom geeft Yubico ook het advies om een 2e key aan te schaffen.
En iemand anders inloggen met mijn Yubikey op mijn computer moet dan ook nog over mijn wachtwoord beschikken. Dat is de kracht van 2FA.

Ergo, neem de goede maatregelen en zorg voor een dusdanige strategie dat je bij "rampen" altijd je data kunt restoren.
20-06-2018, 21:04 door Anoniem
Ga maar bedelen bij microsoft. "Secure boot" wordt dan wel verkocht als "beveiliging" maar het is en blijft feitelijk een stukje controle-landjepik.
21-06-2018, 07:33 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: MacOs heeft echter nog zijn eigen probleempies.
Eerst nog maar een ander scriptje publischriijven
https://www.security.nl/posting/566469/Onderzoekers%3A+MacOS-cache+kan+versleutelde+data+lekken
Want een lekkende vera, nee dat wille we niet zien, das geen porum.

Is aan nog wat voorwaarden verbonden om toegang te krijgen maar het moet natuurlijk niet kunnen.
Op mijn Mac kan je alleen inloggen mits er een Yubikey inzit -en- je handmatig de key activeert door op het knopje te drukken.
Remote logins maken weer wat minder kans.
Iemand mijn Yubikey gezien?
Jammer dattie niet piept als ik fluit.
Nu maar hopen dattikhem vindt anders kan ik nooit meer inloggen en iemand anders weer wel.
Konnik maar iemand bellen om remote in te loggen, maar mijn telefoon ben ik ookal kwijt.

Ergo, bescherm alleen de data die nodig is om te beschermen, maak het niet te ingewikkeld en maak je niet te afhankelijk van weer andere techniek en programma's.
Op een dag hangt niet barbertje maar yubi, willem mag weten waar ze uithangt.

En daarom geeft Yubico ook het advies om een 2e key aan te schaffen.
En iemand anders inloggen met mijn Yubikey op mijn computer moet dan ook nog over mijn wachtwoord beschikken. Dat is de kracht van 2FA.

Ergo, neem de goede maatregelen en zorg voor een dusdanige strategie dat je bij "rampen" altijd je data kunt restoren.


Zou ik ook adviseren als ik wc-eend was. Koop een tweede fles voor het geval.

Ik sluit mij toch eerder aan bij het alleen beschermen wat en waar nodig is. Multi-layer.

Als je computer dusdanig veel geheimen bevat moet je misschien ook nagaan denken over airgaps e.d.
Niks is veilig.

Het gaat erom dat je de grootste risico's mitigeert, maar wel een werkbaar systeem behoudt om je kansen te benutten.
Een compleet veilig systeem functioneert niet.
21-06-2018, 15:09 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: MacOs heeft echter nog zijn eigen probleempies.
Eerst nog maar een ander scriptje publischriijven
https://www.security.nl/posting/566469/Onderzoekers%3A+MacOS-cache+kan+versleutelde+data+lekken
Want een lekkende vera, nee dat wille we niet zien, das geen porum.

Is aan nog wat voorwaarden verbonden om toegang te krijgen maar het moet natuurlijk niet kunnen.
Op mijn Mac kan je alleen inloggen mits er een Yubikey inzit -en- je handmatig de key activeert door op het knopje te drukken.
Remote logins maken weer wat minder kans.
Iemand mijn Yubikey gezien?
Jammer dattie niet piept als ik fluit.
Nu maar hopen dattikhem vindt anders kan ik nooit meer inloggen en iemand anders weer wel.
Konnik maar iemand bellen om remote in te loggen, maar mijn telefoon ben ik ookal kwijt.

Ergo, bescherm alleen de data die nodig is om te beschermen, maak het niet te ingewikkeld en maak je niet te afhankelijk van weer andere techniek en programma's.
Op een dag hangt niet barbertje maar yubi, willem mag weten waar ze uithangt.

En daarom geeft Yubico ook het advies om een 2e key aan te schaffen.
En iemand anders inloggen met mijn Yubikey op mijn computer moet dan ook nog over mijn wachtwoord beschikken. Dat is de kracht van 2FA.

Ergo, neem de goede maatregelen en zorg voor een dusdanige strategie dat je bij "rampen" altijd je data kunt restoren.

Als eerder gesteld
... en maak je niet te afhankelijk van weer andere techniek en programma's.
Op een dag hangt niet barbertje maar yubi ..

En nog wat ander gehannes dat vertrouwen niet vergroot
https://www.security.nl/posting/566910/Yubico+maakt+excuses+aan+onderzoekers+over+WebUSB-lek]
21-06-2018, 19:02 door Tha Cleaner
Door Anoniem: Bitlocker is leuk, maar is dus niet secuur. Je maakt jezelf afhankelijk van de voorkeuren van de producent(en). Die al dan niet al bepaalde deals hebben met de politici van land x of y. Onafhankelijke open source software dat is gecontroleerd door derden is de enige zekerheid.
Wat is secuur..... Als je je tegen overheid (NSA) wilt beveiligingen, dan is bitlocker misschien niet de beste oplossing. Al zou je je dan eerst moeten afvragen, waarom ze interesse in je hebben?
Bitlocker werkt goed en is gewoon voor 99,99% van de eind gebruikers veilig en zeer gemakkelijk in gebruik maar vooral van belang... in beheer. Centraal goed te beheren iets wat voor een bedrijf zeer goed is.

Het hangt er dus vanaf waarvoor je Encryptie wilt gebruiken. Voor verlies / diefstal is bitlocker een hele goede oplossing. Om je tegen een mogelijke overheid onderzoek te beveiliging, kan het misschien niet de beste oplossing.
21-06-2018, 21:25 door Anoniem
Door Anoniem: Ik vrees dat dit geen stabiele oplossing gaat worden. Geef mij dan toch maar bitlocker. Draait altijd feilloos.
Met ingebakken _NSAKEY. Hmm No thnxxx
21-06-2018, 22:41 door Anoniem
Door Anoniem:
Door Anoniem: Ik vrees dat dit geen stabiele oplossing gaat worden. Geef mij dan toch maar bitlocker. Draait altijd feilloos.
Met ingebakken _NSAKEY. Hmm No thnxxx
Als de NSA je wilt onderzoeken, dan moet je even goed gaan nadenken over andere zaken....

Hoeveel zullen hier werkelijk last van hebben? En dan heeft de NSA echt nog wel andere methodes ter beschikking... Ik maak mij liever zorgen om echte risico's.
Dus Hmmm YES.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.