8 bits

Deze week is versie 5.1  van TrueCrypt uitgebracht. De verbeteringen ten opzichte van de vorige versie zijn o.a. een snellere AES encryptie (30 - 90% sneller) en een betere ondersteuning onder Vista. Misschien wel het mooiste: nu is ook encryptie van een gehele disk of partitie (whole disk encryption) mogelijk ! TrueCrypt is gratis en kan hier worden gedownload.

Update 21-3-2008: na het bekend worden van een veiligheidsprobleem met TrueCrypt 5.1 is er een conflict met Microsoft omdat TrueCrypt inzage wil in de hybernation API. Het blijkt in bepaalde gevallen mogelijk te zijn om de Windows hibernation file naar de schijf te laten schrijven (hierdoor kunnen inloggegevens bekend worden). Dit is echter een probleem waarmee ALLE encryptieprogramma's te maken hebben. TrueCrypt is hierdoor zeker niet slechter dan andere programma's zoals PGP. Microsoft heeft geen documentatie over de hibernation API beschikbaar gesteld en TrueCrypt wil de nodige informatie nu kost wat kost in handen krijgen zodat mogelijke veiligheidsproblemen de kop in kunnen gedrukt. Inmiddels is versie 5.1a van TrueCrypt verschenen.

Dankzij encryptie kunnen we iets veiliger gebruik maken van het internet. Zonder dat we er altijd bij stil staan stellen we groot vertrouwen in encryptie tijdens internetbankieren, on-line shoppen, ophalen van webmail en tal van andere handelingen.

Encryptie is eigenlijk niets anders dan het versleutelen of verhullen van data zoals de inhoud van berichten. De encryptie wordt op dusdanige wijze uitgevoerd, dat de informatie alleen ontcijferd kan worden door een bijbehorende decryptie. Encryptie en decryptie kunnen dus niet zonder elkaar.

Er bestaan vele soorten encryptie en decryptie processen (cryptografie). Het is erg moeilijk om de manier waarop de encryptie heeft plaatsgevonden geheim te houden. Bovendien moet de decryptie ook niet al te moeilijk zijn. Daarom wordt, met name op het internet, gebruik gemaakt van bekende algoritmen.

Om de encryptie cq. de decryptie te kunnen uitvoeren wordt over het algemeen gebruik gemaakt van een sleutel (key). Hier volgt een voorbeeld van een 40-bit key:

00001010 01101001 10011110 00011100 01010101

voor de overzichtelijkheid is de inhoud van de key onderverdeeld in vijf groepjes van 8 bits (bytes)

Een encryptie algoritme maakt gebruik van de data (bijvoorbeeld de inhoud van een bericht) en een key en past dan een wiskundige versleutelingstechniek (bijvoorbeeld blokversleuteling of asymmetrische versleuteling) toe, waarmee de inhoud van het bericht onleesbaar wordt. Andersom wordt tijdens de decryptie (met behulp van de key) het originele bericht weer hersteld.

Sommige cryptografische technieken maken gebruik van dezelfde sleutel voor zowel encryptie als decryptie. Uiteraard moet deze key dan angstvallig geheim worden gehouden. Andere cryptografische technieken maken gebruik van een publieke key (die iedereen mag weten) en een private key (die geheim moet blijven en alleen bij de ontvanger van het bericht bekend is).

Over het algemeen verschaft een key dus de nodige bescherming waarmee communicatie via het internet kan worden versleuteld cq. ontcijferd.

Moderne webbrowsers maken gebruik van het Secure Sockets Layer (SSL) protocol om veilig transacties te kunnen uitvoeren tijdens internetbankieren en on-line shopping. SSL maakt gebruik van een public key voor encryptie en een private key voor decryptie.

Omdat SSL encryptie zo sterk afhankelijk is van keys wordt de sterkte van de encryptie vaak afgemeten aan de lengte van de key (het aantal bits waaruit de key bestaat).

De eerste implementatie van SSL in webbrowsers (Netscape 3, Internet Explorer 3 etc.) maakte gebruik van een 40-bit key. Deze bleek in de praktijk eenvoudig gebroken te kunnen worden. Om SSL communicatie te onderscheppen hoeft alleen maar de correcte key (welke de decryptie kan verzorgen) te worden gegenereerd.

Veelal wordt getracht om keys te 'breken' door middel van brute force aanvallen. Hiertoe wordt een krachtige computer ingezet die onophoudelijk berekeningen uitvoert en elke mogelijke key genereert en uitprobeert. Bijvoorbeeld:

2-bit encryptie heeft slechts vier mogelijke keys: 00, 01, 10 en 11

3-bit encryptie heeft acht mogelijke keys, 4-bit encryptie heeft 16 mogelijke keys enzovoorts.

Zie de verdubbeling in mogelijkheden bij iedere bit meer

40-bit encryptie heeft 1.099.511.627.776 mogelijkheden. Dat lijkt veel, doch voor een krachtige computer is de juiste key tijdens een brute force aanval relatief snel achterhaald.

De ontwikkelaars van webbrowsers zagen het belang in van sterke encryptie en zorgden jaren geleden al voor de mogelijkheid van 128-bit encryptie.

Vergeleken met 40-bit encryptie bevat 128-bit encryptie veel meer bits in de lengte van de key. Hiermee zijn er 340.282.366.920.938.463.463.374.607.431.768.211.456 mogelijkheden tijdens een brute-force aanval.

De Von Neumann-Landauer Limiet concludeert aan de hand van natuurkundige wetten dat de energie die nodig is om alle mogelijke combinaties van een 128 bit key uit te proberen overeen komt met 10 gigawatt (dat is wat acht grote nucleare reactors ongeveer samen produceren) gedurende 100 jaar. Computers die deze reuzentaak kunnen uitvoeren zijn nog niet uitgevonden. Beveiligingsexperts verwachten dat 128-bit encryptie de komende tien jaar dan ook wel voldoende zal zijn voor toepassingen op het internet.

zie ook: Gmail berichten versleutelen

In een eerdere posting heb ik FireGPG genoemd als mogelijkheid om berichten in Gmail te versleutelen. Helaas heb ik nogal wat bugs aangetroffen tijdens het werken met FireGPG. Er blijkt nog een mogelijkheid te zijn, namelijk in de vorm van Greasemonkey en een paar afgeleiden daarvan (add-ons voor de Firefox browser).

In een eerdere posting heb ik geschreven dat Gmail (Google) e-mailberichten scant teneinde relevante advertenties te kunnen tonen. Gmail is een erg handig mailprogramma met heel weinig downtime. Het is nu ook mogelijk om e-mailberichten via Gmail te versleutelen. Ten eerste kunnen de berichten dan niet door Google gescand worden en ten tweede kun je nu ook vertrouwelijke berichten via Gmail versturen en ontvangen. Gmail kan op deze wijze dienen als on-line bewaarplaats van vertrouwelijk materiaal.

bron: security.nl | steganos.com

Locknote van Steganos is nu open source, wat onder meer betekent dat het aanschaffen van het programma geen geld meer kost. Ik heb het zojuist gedownloadt en opgestart onder Ubuntu (het is een programma voor Windows, maar Ubuntu en wine weten er even goed raad mee). In feite is Locknote een kladblok-on-steroids. Ik vind het handig dat Locknote de tekstjes (notities) meteen omzet in een .exe bestand (dat dus ook onder Linux met wine geopend kan worden). Dat .exe bestandje kun je aanklikken en na het invoeren van het juiste wachtwoord staat je notitie weer op je scherm. Locknote kan worden geplaatst op een USB stick.

USB sticks zijn klein en handig in gebruik. Helaas ben je ze ook zo kwijt. Als je gevoelige gegevens op een USB stick wilt opslaan, dan moet je er zorg voor dragen dat deze gegevens versleuteld zijn. Om gegevens te versleutelen is Truecrypt erg handig.

Via PGP kun je eenvoudig een publieke en een private sleutel aanmaken, zodat je onder meer e-mailberichten kunt beveiligen. Hoe je sleutels maakt onder PGP vind je hier. Maar wat nu als je al een tijd hebt gewerkt met PGP en wilt overstappen naar Linux? PGP is een Windows programma. Voor Linux is GnuPG ontwikkeld.

Het is mogelijk om je publieke en private sleutel op te slaan op bijvoorbeeld USB stick (erg handig, want dan heb je meteen een backup) en vervolgens weer te importeren in GnuPG.

Naast het feit dat het mogelijk is om een bestand te versleutelen is het natuurlijk ook mogelijk om een e-mailbericht te beveiligen. E-mail is nu eenmaal een van de meest gebruikte elementen van het internet. E-mail is per definitie niet veilig en een ieder kent genoeg voorbeelden van virussen in bijlagen, spam etc. Omdat e-mail als 'platte tekst' over vele internetknooppunten zijn weg vindt kan ook de privacy van de verzender (of de ontvanger) in het geding zijn. De meeste internetgebruikers staan hier helemaal niet bij stil. In dit Engelstalige artikel wordt uitgelegd hoe je je e-mail kunt beveiligen met gratis open source software, zodat uitsluitend de ontvanger in staat is om je bericht (en de bijlagen) te lezen.

Als je een bestand wilt versleutelen, zodat deze alleen door een bepaalde persoon bekeken kan worden, dan zijn er meerdere mogelijkheden. Ten eerste kun je gebruik maken van symmetrische encryptie (mijn voorkeur gaat uit naar AES). Dan kan het bestand alleen geopend worden als je het juiste wachtwoord weet. Je hoeft dan alleen maar mondeling (zoals telefonisch) het wachtwoord aan iemand anders te geven (niet via de mail!) en je kunt er relatief zeker van zijn dat alleen die andere persoon het versleutelde bestand kan openen.

Tip: EncryptOnClick voor Windows (gratis)

Maar er bestaat ook een andere, erg mooie mogelijkheid in de vorm van versleuteling met een publieke sleutel.