[File Encryptie] Is er een site met hier informatie over?

Kan je in de MSDN documentatie van Microsoft zelf niets vinden? Alle Win32-api's staan daar in ieder geval in vermeld.

http://msdn.microsoft.com

Verwijderd schreef op woensdag 16 maart 2005 @ 14:48:
[...]


Bedankt voor je reactie

Ik heb er eens gekeken en door gespit, ik kwam op een ogenblik bij security > Cryptography en security > Authentication maar dat is niet echt wat ik bedoel... iets teveel achtergrond techniek helaas. al heb ik er wel 1tje uit kunnen halen en dat is met smart card,

ff wat meer informatie:

Ik heb dus informatie nodig om data te encrypten op laptops die normaal aan het netwerk hangen, dan hoef het dus niet gecodeerd te worden maar mensen nemen de laptops mee naar huis om thuis dus te werken, dan moeten ze lokaal werken. en juist dat lokale wil ik beveiligen. en de info die ik dus wil is de verschillende encryptie mogelijkheden van data, zoals: map container, container met password, nu dus ook smart card , schijf encryptie.

Verder reacties zijn nog steeds welkom

Encrypteren en coderen is volgens mij wel hetzelfde. Wat jij eigenlijk vraagt is een soort DRM. Digital Rights Management maar niet op muziek/video maar op computerniveau.
In Windows zit zoiets in als je NTFS gebruikt; je kan instellen wie welke bestanden mag gebruiken (en welke actis ze erop kunnen uitvoeren: openen, uitvoeren, verwijderen, ...).

Voor wat ik van je uitleg begrijp wil je de mensen wel notebooks meegeven, maar niet toelaten dat ze die op een USB-stick of iets dergelijks krijgen. Of heb ik het nu verkeerd voor.

Als ik heb goed heb, moet je gewoon je machtigingen instellen, en vooral het computerbeleid aanpassen (in het Engels: policy; group policy).

Verwijderd schreef op woensdag 16 maart 2005 @ 15:23:
EFS is wel goed geencrypt enzo, je kan het ook op schijf en folder niveau verdelen maar als de user zijn wachtwoord niet meer weet zijn de bestanden weg, foetsie, verdwenen.

Dat is dus niet waar. Als je EFS goed inricht kun je een soort superusers hebben die ook andermans data weer kunnen decrypten. Dus een vergeten wachtwoord is geen enkel probleem.

Ik denk dat je wel even onderscheid moet maken encryptie is encryptie. De manier waarop je je authenticeert om toegang tot zo'n encryptie systeem te krijgen, kan verschillende beveiligingsniveaus hebben. Wachtwoord, smartcards, etc (sterk)

Eentje die ik nog wel weet is [url=http//www.safeboot.com/]SafeBoot[/url].

Om in Windows encryptie van bestanden te gebruiken moet je NTFS als bestandssysteem gebruiken en als besturingssysteem Windows XP Professional, Windows 2000 of Windows Server 2003 hebben. Windows gebruikt EFS om bestanden en mappen in het NTFS-bestandssysteem te coderen (encryptie, coderen en versleutelen betekenen hetzelfde).

Er is een groot verschil tussen gecodeerde bestanden en bestandsrechten. Bij bestandsrechten is via NTFS vastgelegd wie welke acties mag uitvoeren op een bestand (lezen, wijzigen, verwijderen etc.), maar zijn de bestanden zelf onversleuteld op de harddisk aanwezig. Iemand die de harddisk benadert door hem aan een andere computer te hangen kan de bestanden daardoor gewoon lezen. Bij versleutelde bestanden wordt de inhoud van het bestand versleuteld, waardoor het bestand voor mensen die de sleutel niet hebben bestaat uit een onleesbare brei nullen en enen.

Voor de versleuteling gebruikt Windows certificaten. Zonder certficaat geen toegang tot de bestanden, dus zorg voor een backup van de certificaten! Je kunt een map of bestand heel eenvoudig versleutelen door in de Verkenner in het contextmenu van de map of het bestand te kiezen voor Eigenschappen - tabblad Algemeen - Geavanceerd... - Inhoud coderen om gegevens te beveiligen. Nu wordt de hele map versleuteld met het certificaat van de huidge gebruikersaccount.

Ga vervolgens in Internet Explorer naar Extra - Internet-opties... - Inhoud - Certificaten - Persoonlijk en hier tref je het certificaat aan waarmee de mapgegevens zijn versleuteld. Maak een backup van dit certificaat en zorg dat je dit goed bewaart. Als je het certificaat kwijt bent is er geen enkele manier meer om de gecodeerde bestanden terug te halen!

Als je andere gebruikers toegang wilt geven tot de versleutelde gegevens doe je dat als volgt. Log in onder hun gebruikersaccount. Ga in Internet Explorer weer naar het dialoogvenster met certificaten en importeer daar het certificaat waarmee de gegevens door de andere gebruiker zijn versleuteld. Klaar!

Doe ten slotte een test of alles goed is gegaan. Kopieer een versleuteld bestand via het netwerk naar een andere computer. Doe dit niet via een cd-r of zo, want die kent geen NTFS-encryptie. Kijk of een willekeurige andere gebruiker het versleutelde bestand kan openen. Dit zou niet mogen lukken, het bestand is immers versleuteld. Importeer nu het certificaat vanaf je backupdiskette (of ander backupmedium). Nu zou je het bestand gewoon moeten kunnen openen. Zo niet, dan is er iets niet goed gegaan. Doe deze test te allen tijde, want als je dit nalaat bestaat de kans dat je in geval van nood niet meer bij je gegevens kunt!

bestcrypt is ook een leuk programmatje. Met [search=bestcrypt] wel het een en ander aan gerelateerde hits. [search=encryptie met programma] levert ook veel info

Wat heb je zelf allemaal al opnderzocht en geprobeerd? Hier op GoT verwachten we namelijk dat je zelf al wat opties probeert en onderzoekt alvorens een topic te openen. Er is hier veel over te vinden

Als het alleen maar gaat om het encrypten van data die de users op hun laptop mee naar huis nemen, denk ik dat TrueCrypt een goedkope (gratis) en ongecompliceerde oplossing is. Je kunt gemakkelijk een virtuele disk mounten uit een file die gewoon op het bestaand filesysteem wordt geplaatst. Ook een dedicated partitie is mogelijk. De ingebouwde encryptiealgoritmes zijn absoluut state of the art. Zelfs meervoudige encryptie is mogelijk.

Doe wel voorzichting met EFS. Je hebt en wel een goed werkende PKI voor nodig en een recovery agent. Indien je geen PKI hebt moet je er niet aan beginnen. Ga daar eens goed naar kijken.

Daarnaast staat de key-pair gewoon in het Windows profiel. Als je toegang hebt tot de profiel heb je ook de sleutel om de files te decrypten. De key op een hardware token plaatsen kan niet met EFS. Het blijft een software key-pair. Dus EFS files op gestolen laptop kunnen op een makkelijke manier worden decrypt.

Nadelen:
- EFS is alleen lokaal. (Server en werkstation) de files worden gedecrypt en gaan in clear over het netwerk. Dus je hebt ook nog netwerk encryptie nodig als je het veilig wilt doen.
- In Windows 2000 zijn ofline files niet geencrypt. ook al heb je dat op de server wel ingesteld.
- Software key's zijn niet veilig. Deze kunnen uit het Windows profiel worden gehaald door derden.
- In Windows 2000 is er niet een standaard enctryptie logaritme gebruikt (120 bit). Dat is in Windows XP/2003 opgelost (3DES).
- Indien er geen PKI is en je werkt niet in een Windows domain. BEGIN ER NIET AAN. Dit geeft veel problemen indien je de private key kwijt bent door een HD-crash.
- Let goed op hoe je de recovery agent gebruikt. Hier moet je goed naar kijken.

Voordelen
- Makkelijk te gebruiken. (het enige voordeel)

Tip: Ik zou kijken naar andere progs. Bv de al genoemde BestCrypt (goedkoop) en de PGP oplossingen.

Verwijderd schreef op woensdag 16 maart 2005 @ 15:59:
Ik denk dat je wel even onderscheid moet maken encryptie is encryptie. De manier waarop je je authenticeert om toegang tot zo'n encryptie systeem te krijgen, kan verschillende beveiligingsniveaus hebben. Wachtwoord, smartcards, etc (sterk)

Eentje die ik nog wel weet is [url=http//www.safeboot.com/]SafeBoot[/url].

Of Pointsec.. wij hebben ze vergeleken, en pointsec vonden wij beter en goedkoper..

Encryptie is een vorm van beveiliging en hoort dus in Beveiliging & Virussen thuis.

Software Algemeen > Beveiliging & Virussen