PC beveiligen---Hoe? Truecrypt? of iets anders

Ik heb mn hele disk ge-truecrypt.. Kan het me niet veroorloven dat hij straks ergens in een pc hangt en men de data leest. Tis maar net wat je zelf voor eisen stelt.

meermarco schreef op woensdag 15 april 2009 @ 23:17:
Ik zou graag mijn laptop beveiligen. Ik draai Windows Vista Premium 32 bit.

Natuurlijk gebruik ik een goed wachtwoord, maar ik begreep dat dit eigenlijk niks voorstelt. Ik heb echter wel belangrijke emails(belasting, ftp gegevens) en natuurlijk op mijn HDD verder wat bestanden die ik liever voor mezelf hou(kopietje paspoort etc)

Ik zoek iets wat snel werkt, en niet mijn hele pc vertraagt.

Wat raden julie aan? Truecrypt, dan een folder aanmaken die beveiligt is, en daar mijn bestanden opzetten, die beveiligd moeten blijven? En dan bijvoorbeeld ook mijn outlook archief file etc daar neer zetten, of hebben jullie betere ideeen?

Het gaat mij dus om enkele bestanden +outlook email

Truecrypt doet wat je zoekt en doet dat goed en gratis. Ik zou het aanbevelen. Maar dat is mijn persoonlijke ervaring. Desgewenst kan je ook je hele windows partitie encrypten en vul je voortaan alleen nog maar een wachtwoord in tijdens het opstarten en laat je die van windows achterwege. Voor de rest merk je er weinig van zeker als je AES gebruikt en is meteen alles beveiligd welk bestand er ook aangemaakt wordt op de betreffende partitie. Ik gebruik het zelf ook met volle tevredenheid

laptops die ik zakelijk ondersteund heb, draaiden Safeboot als versleutelingssoftware. Niet gratis, maar wel goed, en goed ondersteund

TC zal in geval van een System Disk Encryption een aanpassing doen in het bootrecord van de HDD. Maar dat is met een goede ghost image geen probleem. Zolang jij maar een image maakt van je volledige HDD, en niet slechts van de partitie.

Als je ook ondersteuning wilt hebben, kan je kijken naar http://www.securenotebook.com
Die gebruiken SafeBoot in een hosted omgeving. En dan betaal je een abonnement.

WIl je er niet voor betalen, dan is TrueCrypt de oplossing voor je. Controleer wel van te voren of er issues bekend zijn bij het volleidg versleutelen van een Vista partitie.

Wij maken hier op het werk gebruik van Bitlocker.

Bitlocker vind ik zelf interessant. Zakelijk gebruiken we PGP WDE (Whole Disk Encryption) wat uitermate goed werkt. En op de Mac Vault natuurlijk

Zie ik geen antwoord op een vraag van de TS. Het encrypten van je volledige schijf met TrueCrypt, brengt dat nog hevige vertragingen met zich mee?

Wat betreft het wachtwoord, je moet in ieder geval zorgen dat geen LM-hash van je wachtwoord wordt aangemaakt. (maar ik ben geen windows-admin, dus misschien is ook dat niet bepaald veilig)

Voor een versleuteld mapje met wat bestanden zal de rekenkracht/tijd die het kost niet significant zijn. Een volledige zeer intensief gebruikte partitie versleutelen kost wel iets meer, maar voor een moderne computer is ook dat geen probleem. Truecrypt is OK, maar afaik is de NTFS-encryptieimplementatie is ook niet heel slecht.

Wat betreft je e-mail in outlook: AFAIK kun je PST bestanden laten versleutelen. Wachtwoord gebruiken voor Outlook-toegang.

En wat betreft e-mail in het algemeen: S/MIME of PGP is op zich een goed idee.

SoaDmaggot schreef op donderdag 16 april 2009 @ 08:41:
Zie ik geen antwoord op een vraag van de TS. Het encrypten van je volledige schijf met TrueCrypt, brengt dat nog hevige vertragingen met zich mee?

Pak de CT van vorige maand.

(Lullig antwoord, maar dit had zo gegoogled kunnen worden. Ja het heeft vertraging, ik merk het niet, en daarbij is er altijd een tradeoff tussen security en werkbaarheid)

In dit topic worden best veel maatregelen die je kunt nemen genoemt:

[SEC] Firewalls, Anti-Virus, Anti-Spyware etc.

en waar ik de laatste tijd veel mee bezig ben is ossec een HIDS word nog niet genoemd in het vorige topic maar is wel gaaf

[ Voor 31% gewijzigd door Anoniem: 165232 op 16-04-2009 11:20 ]

SoaDmaggot schreef op donderdag 16 april 2009 @ 08:41:
Zie ik geen antwoord op een vraag van de TS. Het encrypten van je volledige schijf met TrueCrypt, brengt dat nog hevige vertragingen met zich mee?

Mijn ervaring is dat encryptie _altijd_ wel vertraging meebrengt. Het systeem zal er nooit sneller van worden. Met een hedendaags systeem kan je prima werken terwijl het versleuteld is. Maar dat ligt vooral aan het type processor en het gekozen encryptie-algoritme.

TrueCrypt heeft hier een leuke benchmark tool voor.


Dit is op mijn laptop de snelheid van een 10MB blok.

[ Voor 4% gewijzigd door Equator op 16-04-2009 12:46 ]

Equator schreef op donderdag 16 april 2009 @ 12:44:
[...]

Mijn ervaring is dat encryptie _altijd_ wel vertraging meebrengt. Het systeem zal er nooit sneller van worden. Met een hedendaags systeem kan je prima werken terwijl het versleuteld is. Maar dat ligt vooral aan het type processor en het gekozen encryptie-algoritme.

TrueCrypt heeft hier een leuke benchmark tool voor.
[afbeelding]

Dit is op mijn laptop de snelheid van een 10MB blok.

Processor maakt veel uit. Ik weet niet wat voor laptop jij hebt, maar ter illustratie op een desktop met een Core i7-965 haal ik het volgende:



CPU Power is gewoonweg erg belangrijk ja. Hou er trouwens rekening mee dat als je zware programma's draait je encryptie/decryptie snelheid dan ook lager zal liggen.

Om voor een paar dingen nou meteen een hele disk of partitie te gaan encrypten zou me te ver gaan, ook al haal ik hoge snelheden. Bij een beperkt aantal mappen is het praktischer die gewoon te encrypten in een aparte partitie en te decrypten wanneer je ze weer eens nodig hebt.

[ Voor 7% gewijzigd door Wildfire op 16-04-2009 13:42 ]

Hmm, mijn laptop is een Core2 T7200. Alleen even vergeten erbij te vermelden dat mijn laptop ook is versleuteld met weer een ander pakket.

Maar een i7 doet het duidelijk prima zo te zien

Wildfire schreef op donderdag 16 april 2009 @ 13:40:
[...]

Om voor een paar dingen nou meteen een hele disk of partitie te gaan encrypten zou me te ver gaan, ook al haal ik hoge snelheden. Bij een beperkt aantal mappen is het praktischer die gewoon te encrypten in een aparte partitie en te decrypten wanneer je ze weer eens nodig hebt.

Voordeel is dat je er niet meer over hoeft na te denken. Waar je het ook opslaat, het is altijd veilig opgeslagen.

Edit: Even de bench op mijn thuis P4 3.2 single core gedaan

[ Voor 65% gewijzigd door Equator op 16-04-2009 22:14 ]

Ik draai Truecrypt (4.3), maar niet de volledige drive. Werkt als een zonnetje op mijn Core2Duo U7600 ULV, heel tevreden over

gambieter schreef op donderdag 16 april 2009 @ 15:49:
Ik draai Truecrypt (4.3), maar niet de volledige drive. Werkt als een zonnetje op mijn Core2Duo U7600 ULV, heel tevreden over

Waarom nog 4.3? We zitten nu op 6.1a als ik me niet vergis? Ik kan geen enkele rede bedenken om niet de nieuwere te gebruiken. Headerbackup, dualcore ondersteuning, AES in assembly geschreven ect ect.

Kaasje123 schreef op donderdag 16 april 2009 @ 16:16:
Waarom nog 4.3? We zitten nu op 6.1a als ik me niet vergis? Ik kan geen enkele rede bedenken om niet de nieuwere te gebruiken. Headerbackup, dualcore ondersteuning, AES in assembly geschreven ect ect.

Dat was wat IT wilde, gebaseerd op de eisen van de Engelse regering toendertijd. Het is een werklaptop, vandaar. Ik ben zeker van plan naar de nieuwere versies te gaan kijken, maar druk druk druk

De outlook pst-encryptieschema's zijn niet bepaald cryptografisch verantwoord afaik. Naar de versleutelde partitie dus.

En denk aan encryptie van je e-mail

Falcon schreef op donderdag 16 april 2009 @ 08:24:
Wij maken hier op het werk gebruik van Bitlocker.

same here

Jij haalt het beveiligd binnen en de rest van het traject gaat het plaintext .. ja nuttig.

meermarco schreef op donderdag 16 april 2009 @ 23:55:


PST gegevensbestand--->op de beveiligde truecrypt folder. Gaat dat werken?

Als je zorgt dat dit volume (folder) beschikbaar is zodra je Outlook start dan is het antwoord: ja .

Anoniem: 4629 schreef op donderdag 16 april 2009 @ 23:39:
Jij haalt het beveiligd binnen en de rest van het traject gaat het plaintext .. ja nuttig.

POP3 over SSL is inderdaad alleen maar bedoeld om je uid/passwd combi beveiligd over te sturen i.p.v. plain text.

Dat de rest van de mail die je binnenhaalt ook over dit beveiligde kanaal komt s leuk meegenomen, maar geeft geen echte beveiliging als je mail onversleuteld van de versturende SMTP server naar de mailbox server is verstuurd..

mcsluis schreef op donderdag 16 april 2009 @ 22:48:
[...]


same here

Helaas, die kunnen we hier niet gebruiken, daar BitLocker niet de accrediteerd is. Bovendien wordt Vista hier in het geheel niet gebruikt.
Overigens zou ik in grote omgevingen gebruik maken van een systeem wat zich laat managen. (SG Enterprise FTW)

meermarco schreef op donderdag 16 april 2009 @ 23:55:
PST gegevensbestand--->op de beveiligde truecrypt folder. Gaat dat werken?

Ja, als jij maar insteld dat TrueCrypt eerder wordt geladen dan Outlook is er niets aan de hand. Bij het afsluiten van is je beveiligde map/container niet ge-dismount dus nog leesbaar. Let daar wel op.

Het lijkt me trouwens ook handig om er over na te denken hoe iemand anders in geval van nood -met name als het om bedrijfsgegevens gaat- toch bij de data kan. Het zou toch vervelend zijn als je onder een auto komt en al die leuke tekeningen of documenten zijn dermate versleuteld dat niemand er bij kan. Ik zag al de opmerking over managed systemen voorbij komen, lijkt me goed om daar aandacht aan te besteden!

Je mag hopen dat dermate belangrijke gegevens niet alleen op een laptop aanwezig zijn.

begintmeta schreef op vrijdag 17 april 2009 @ 10:59:
Je mag hopen dat dermate belangrijke gegevens niet alleen op een laptop aanwezig zijn.

Tja, dat mag je hopen ja, maar gebruikers zijn eigenwijs Automatische backup tools zijn dan wel gewenst...

Na het mounten kies je volumes -> 'Save currently mounted volumes as favorites'.
En dan bij Settings -> preferences zet je bij 'actions to perform upon logon to Windows' 'Mount favorite volumes' aan.

Ik gebruik Microsoft Private Folder, dit is enkele jaren geleden van de site van microsoft gehaald, maar er zijn nog voldoende plaatsen waar je dit kan terugvinden.
Private Folder is een klein programmatje dat een map zet op je bureaublad, waar je alleen met een wachtwoord inkan. Ik zet al mijn gegevens dus daar, en niemand kan er aan. Werkt dus lekker eenvoudig.
Nu vraag ik me wel af wat er gebeurt wanneer ik de software erafgooi ...

meermarco schreef op dinsdag 21 april 2009 @ 22:13:
Allerlaatste vraag. De file, zeg d:\truecryptfile Stel dat ik die kwijt raak, dan heb ik een probleem toch? Kaan je die file gewoon mailen/kopieren, en mocht de oorspronkelijke file kwijt raken/gewist worden, pak je je backup file en zet je die terug, en alles werkt weer?

Yup.

Heeft iemand al een oplossing gevonden om wachtwoorden te kunnen opslaan en andere partities automatisch te mounten bij het opstarten? Mijn systeemschijf is encrypted, dus de wachtwoorden mogen opgeslagen worden.

Als je echt gevoelige data hebt dan heeft een encryptie tooltje echt geen zin. Als er iemand echt achter je data aan zit zorgt ie wel dat ie je hacked als je data gemount is (dus unencrypted) of je key wordt gejat, of er wordt iemand gegijzeld ofzo. (Dit is een tikkie overdreven waarschijnlijk maar als het echte serieuze dingen zijn gebeurt dat wel)

Als je alleen je naakt fotos van je vriendinnetje of je illegale mp3 collectie wilt verbergen zet ze op een portable drive en wipe je cache/temp na gebruik.

Ik ben laatst op een het ITSMF congress in bussum geweest, en daar sprak een security expert, en hij vertelde dat het verschil tussen een encrypted hdd en een niet encrypted hdd, voor een beetje hacker een paar uur is.

Het hele punt met encryptie is dat het ergens (in de CPU) niet encrypted is en dus leesbaar voor iedereen je moet alleen ff weten hoe je erbij moet komen.

Hoe denk je dat al die software pirates zo snel en makkelijk games enzo cracken? ReadMemoryEx() kom je een heel eind mee heb ik wel eens gehoord

[ Voor 17% gewijzigd door Anoniem: 79727 op 22-04-2009 23:06 ]

Dat is wel van veel verschillende factoren afhankelijk Dammas, maar dat fysieke beveiliging belangrijk is staat buiten kijf.

Ik merk nauwelijks vertraging. Ik heb een Dell D630 met C2D T7500, 7200rpm schijf en 2GB ram.

Anoniem: 79727 schreef op woensdag 22 april 2009 @ 23:03:
Als je echt gevoelige data hebt dan heeft een encryptie tooltje echt geen zin. Als er iemand echt achter je data aan zit zorgt ie wel dat ie je hacked als je data gemount is (dus unencrypted) of je key wordt gejat, of er wordt iemand gegijzeld ofzo. (Dit is een tikkie overdreven waarschijnlijk maar als het echte serieuze dingen zijn gebeurt dat wel)

Als je alleen je naakt fotos van je vriendinnetje of je illegale mp3 collectie wilt verbergen zet ze op een portable drive en wipe je cache/temp na gebruik.

Ik ben laatst op een het ITSMF congress in bussum geweest, en daar sprak een security expert, en hij vertelde dat het verschil tussen een encrypted hdd en een niet encrypted hdd, voor een beetje hacker een paar uur is.

Het hele punt met encryptie is dat het ergens (in de CPU) niet encrypted is en dus leesbaar voor iedereen je moet alleen ff weten hoe je erbij moet komen.

Hoe denk je dat al die software pirates zo snel en makkelijk games enzo cracken? ReadMemoryEx() kom je een heel eind mee heb ik wel eens gehoord

Ok, dus dan zetten we onze fietsen maar niet op slot ofzo? Onder het motto van; het werkt toch niet? Security is veel meer dan alleen encryptie. Elke security maatregel opzich is wel te omzeilen.. het wordt pas moeilijk als je ze combineert.

Op mijn laptop staan allemaal design spullen van bedrijven. Als dat gejat wordt heb ik best een probleem. Als dan de boel ook nog unencrypted is..dan sta je gewoon voor l*l imo.
Waar het mij om gaat is dat wanneer iemand deze laptop steelt hij niet gewoon ff simpel de drive in zn pctje stopt en vervolgens alles kan lezen.
Daarnaast geloof ik niet dat encryptie met een paar uur te omzeilen is. Het is of jaren of minuten. Als het minuten is, dan is je pw gejat bijv. Wat mij betreft is de encryptie dan niet gekraakt..je hebt immers de sleutel gewoon.

Ik weet dat ik het allemaal wel een beetje erger laat lijken dan het is. Maar veel mensen denken, oh als ik maar een encryptie methode neem dan zit ik wel veilig. En dat is dus gewoon niet zo.

En er zijn mee manieren om een encryptie te omzeilen. Ik bedoel niet het kraken van het algorithme maar gewoon op de een of andere manier het verkrijgen van de data.

Die security expert vertelde dat een kennis/collega/whatever van hem de chips van de Visa kaarten had gekraakt doormiddel van bepaalde electriciteitspatronen van de chip uit te lezen en nog wat dingen waar ik neits van begreep, maar iig was het niet dat hij de key had weten te kraken.

meermarco schreef op donderdag 23 april 2009 @ 23:25:
Wel in mijn geval gaat het erom dat als ze leken mijn PC vinden, ze niet zomaar alles kunnen inzien. En ik denk eerlijk gezegd dat met Truecrypt je heel erg veilig bezig bent. Ja als je 'mounted' bent en ze hacken je...pech. Maar daar gaat het mij iig niet zozeer om.

wat betreft


[...]


Aan de file van Truecrypt alleen hebben ze niks toch? Ze moeten OOK nog je password hebben...

Ze hebben dan niet de file van Truecrypt, ze hebben dan gewoon je data omdat de file al mounted is. Bijvoorbeeld via een backdoortje ofzo dat je hele harde schijf shared.

Er zijn inderdaad meer wegen die naar rome leiden.

Het versturen van email over een beveiligde lijn is leuk, maar als die mail eerder onversleuteld over het Internet ging, gaat de hele beveiliging nergens meer over.

Het versleutelen van data via een sterk algoritme is fantastisch, maar als er in het bijbehorende programma waardeloos wordt omgegaan met het sleutelmateriaal dan is de versleuteling nergens meer.
Bovendien is met social enginering veel van de gebruikte wachtwoorden te achterhalen, of staan de wachtwoorden ergens beschreven.

Het veilig opslaan van data in een container is prima, maar als die container constant openstaat (gemount) dan is de beveiliging nergens meer als je besmet bent/wordt met een virus/worm/trojan. Alleen als je systeem gestolen wordt, of je verliest ja laptop, dan heeft het nut, mits er gedegen programmatuur is gebruikt.

Data echt veilig krijgen begint bij de gebruiker. Goed begrip van wat er kan gebeuren helpt al een heleboel.



Persoonlijk ben ik een fan van volledige hardeschijf versleuteling. Het risico dat er tijdens boottime een keylogger actief is die mijn userid+passwd weet te loggen is dermate klein, dat dit als zeer veilig geacht wordt. Ook verplicht je de gebruiker niet tot het nadenken over de beveiliging van de data (plaats het op die of die disk, want dan is het veilig). Daar moet je een gebruiker niet mee lastig vallen IMO.

[ Voor 3% gewijzigd door Equator op 24-04-2009 10:16 ]

Wat betreft het kwetsbaar zijn van de data tijdens het gemount zijn. Ja..ik zou bijna zeggen "duh". Dat is met elke encryptie natuurlijk zo. Het argument gaat niet op omdat het ook niet het doel is van encryptie. Het beschermen van data tijdens "runtime" doe je met antivirus, firewalls, policies en permissies. Encryptie heeft daar absoluut niets mee te maken.
Je kan bijv je e-mail ge-encrypt versturen, maar als je iemand over je schouder laat meelezen terwijl je hem typt..ja..dat schiet natuurlijk niet op. Het doel is hier om er voor te zorgen dat hij niet gelezen kan worden als men de controle niet meer heeft (dwz wanneer hij over de mta's van een vreemde (internet bijv) gaat).

Maar goed, sommige mensen hebben al moeite met het locken van hun pc als ze ff naar de koffie automaat lopen..

@Equator
Daarom encrypt ik dus de hele disk. Ook m'n USB stick is volledig ge-encrypt dmv een container net zo groot als de stick.

[ Voor 14% gewijzigd door Anoniem: 5897 op 24-04-2009 20:07 ]