KB » Computer » Versleuteling van mappen met prive informatie (bv. met Truecrypt)

Versleuteling van mappen met prive informatie

    Tweeten

Versleuteling met Truecrypt (gratis)

Recente ontwikkelingen

Het gebruik van Truecrypt is momenteel (29-5-2014) misschien geen goed idee.

Er staat sinds 28-5-2014 een zeer bizarre, cryptische (toepasselijk in dit geval :-) ) melding op de site van het programma.

De makers (?) zeggen dat het programma mogelijk niet veilig meer is, en raden aan over te schakelen op Bitlocker

Zodra er meer bekend is over wat er aan de hand is (makers onder druk gezet door de Amerikaanse regering?, site gehacked?, makers hadden er genoeg van?) volgt er hier een nieuwe mededeling.

Introductie

Hoe goed je je ook beschermt met virusscanners, firewalls, e.d., het is altijd mogelijk dat iemand je PC binnendringt.

En in dat geval wil je waarschijnlijk niet dat iemand je psychiatrische rapporten kan lezen :-), gevoelige foto's kan zien of stelen, etc.

Bepaalde bestanden en mappen zou je dus extra sterk willen beveiligen, en dat kan met versleuteling. En er is een zeer gerenommeerd en gratis programma, TrueCrypt, dat dat op een betrekkelijk eenvoudige manier mogelijk maakt.

Je moet het programma eenmalig installeren en instellen. Daarna heb je er 1 bestand bij, waarin al je versleutelde bestanden en mappen worden opgeslagen.

Om daarvan gebruik te kunnen maken moet je eerst toegang krijgen tot dat bestand (o.a. door een wachtwoord in te vullen), en als je er mee klaar bent moet je het weer netjes afsluiten. Deze 2 acties moet je in principe altijd doen als je met de versleutelde bestanden gaat werken, maar ze zijn allebei heel simpel en kort.

Installatie

Onderstaand stuk gaat over versie 7.1a

Er is een portable versie beschikbaar die je ook op USB sticks kan gebruiken. Maar deze versie kan je ook gewoon installeren, en op je harde schijf gebruiken (portable of niet).

Na een paar beginvragen kom je op het scherm Wizard Mode

Als je het programma normaal wilt installeren klik je nu op Install, anders op Extract

Ik ga verder met de 2e optie. Zet de software in een map van je keuze (in mijn geval bv. \Portable Tools\TrueCrypt)

In gebruik nemen van TrueCrypt

Start TrueCrypt.exe

Het programma gebruikt een eigen schijfletter, dus je moet een letter selecteren uit de lijst onder (Drive). Het programma laat alleen beschikbare letters zien, maar ik zou desondanks kiezen voor een letter in de hogere regionen (bv. de 'T' van TrueCrypt). USB-sticks stellen het bv. graag op prijs als ze dezelfde letter als een eerdere keer kunnen krijgen, en dan zou het vervelend zijn als die ineens bezet is.

Klik dan op (Create Volume)

Op het scherm (TrueCrypt Volume Creation Wizard) moet je 1 van 3 opties kiezen. De optie die standaard geselecteerd is, is aan te raden voor beginnende gebruikers: (Create an encrypted file container)

Dit houdt in dat er 1 bestand op je systeem bij komt, en in dat bestand zit de virtuele versleutelde schijf (waarvan je zopas de letter hebt gekozen). Alle bestanden die je later versleuteld wilt hebben, worden door TrueCrypt in dat ene bestand gepropt.

Op het scherm (Volume Type) kan je er voor kiezen om de versleutelde virtuele schijf zelfs onzichtbaar te maken. Handig als je verwacht dat iemand je gaat martelen om het wachtwoord uit je los te peuteren. Maar ik zou toch maar gewoon kiezen voor (Standard TrueCrypt volume)

Op het scherm (Volume Location) moet je het bestand kiezen waarin de virtuele schijf wordt opgeslagen. Dat kan in principe op elke normale schijf of USB-stick. Ik heb gekozen voor J:\Encrypted_volume

Je komt dan op het scherm (Encryption Options). Ik zou gewoon de standaardkeuzes laten staan. Op dit moment heb ik te weinig kennis van al die encryptie-algoritmes.

Op het scherm (Volume Size) moet je de grootte van het bestand kiezen. De minimum grootte van een virtuele schijf op een NTFS-schijf (en de meeste zijn dat tegenwoordig) is 3792 KB.

Op het scherm (Volume Password) moet je een wachtwoord bedenken. Aangezien je de moeite neemt om deze informatie te versleutelen, is het niet erg logisch om een simpel wachtwoord te kiezen. Sterker nog, ze raden aan minimaal 20 tekens te gebruiken, met daarin ook een aantal rare tekens, zoals '$', '*', e.d. Kies wel een wachtwoord dat je kan onthouden, of schrijf het ergens op waar je het 100% zeker kan terugvinden, want anders is de informatie voorgoed verloren.

Je kan klikken op (Display Password) zodat je kan zien wat je intikt.

Als je een te kort password gebruikt krijg je nog een waarschuwing voor je kiezen.

In het volgende scherm, (Large Files), wil het programma weten of je bestanden groter dan 4 GB gaat opslaan. Dan kiest het voor een efficientere structuur van het bestand met de virtuele schijf.

In het scherm (Volume Format) zou ik eerst achter (Filesystem) kiezen voor NTFS

Er wordt je gevraagd om met de muis een tijdje (des te langer, des te beter) kris-kras over het scherm te bewegen. De kwaliteit van de encryptie wordt daardoor blijkbaar beter. Als je er genoeg van hebt kan je klikken op (Format)

Uiteindelijk krijg je (hopelijk) de melding (The TrueCrypt volume has been successfully created.)

Klik op (Exit) om dit deel van het proces te beëindigen.

Bestanden en mappen op de versleutelde virtuele schijf zetten

Start TrueCrypt.exe

Selecteer de schijfletter van de virtuele versleutelde schijf (in mijn geval T) door er op te klikken.

Klik op (Select File), ga naar de schijf waarop je het bestand met de virtuele schijf hebt aangemaakt (in mijn geval J), en selecteer daar dan de naam van het bestand (in mijn geval Encrypted_volume)

Nu wordt gevraagd om het wachtwoord in te tikken, waarbij je het opnieuw kan laten zien (i.p.v. sterretjes) als er niemand over je schouder meekijkt. Klik dan eerst op (Display Password)

Je ziet als het goed is de naam van je versleutelde bestand nu verschijnen in het grote witte vak.

Als je nu in een file manager kijkt, bv. Verkenner (Explorer) zie je dat je er een schijfletter bij hebt gekregen. De naam van de schijf is Local Disk. Vanaf dit moment kan je met die schijf (bij mij T) werken als met elke andere normale schijf.

Netjes beëindigen van TrueCrypt

Er hoeft geen venster open te staan voor TrueCrypt in de tijd dat je met de versleutelde schijf werkt. Er blijft natuurlijk wel een icoontje in het systeemvak (system tray) rechtsonder, omdat elk bestand dat je naar of van de versleutelde schijf transporteert versleuteld, resp. 'verontsleuteld' moet worden.

Als je klaar ben met de schijf klik je met rechts op het icoontje, en dan op (Show TrueCrypt) (als het venster tenminste niet meer open stond).

Vervolgens selecteer je de schijfletter (bij mij J), maar waarschijnlijk is die al geselecteerd, en klik je op (Dismount)

De schijf verdwijnt uit het witte vak, en je kan klikken op (Exit)

Het enige spoortje dat je nu nog van TrueCrypt zult zien is het bestand dat de virtuele versleutelde schijf bevat, in mijn geval J:\Encrypted_volume

Versleuteling harde schijf met Bitlocker (in Windows 7 en hoger)

Je kan je hele Windows-schijf versleutelen met het in Windows ingebouwde Bitlocker

Hoewel dat op mijn werk gebruikt wordt heb ik het zelf nog niet ergens geïnstalleerd.

Bitlocker Control Panel

Door te klikken op de Windows-toets, en dan bitlocker (gedeeltelijk) in te tikken zie je als keuze in het lijstje Manage BitLocker Control Panel.

In het venster dat je krijgt staan alle schijven op je PC (ook externe en USB-sticks), en of Bitlocker aan staat voor die schijf.

Bitlocker is afhankelijk van de Trusted Platform Module (een chip op het moederbord?!). Door linksonder in het scherm te klikken op TPM Administration kan je zien of dat deel van encryptie-gebeuren in orde is.

Ik krijg op mijn thuis-PC bv. de melding:
Compatible Trusted Platform Module (TPM) cannot be found on this computer.
Verify that this computer has a 1.2 TPM or later and it is turned on in the BIOS.

Afdrukken of bekijken van de BitLocker key

Als je je schijf met BitLocker beveiligt is het wijs om de key ergens los van de computer op te slaan (bv. op een stick).

Als je de key niet meer weet, maar nog wel de computer kan starten, kan je de key als volgt te weten komen.

Klik in Verkenner (Explorer) met rechts op de schijf die met BitLocker beveiligd is.

Klik dan op (Manage BitLocker) en dan op (Save or print recovery key again). Je kan dan de key afdrukken of naar een bestand sturen. In dat bestand komt dan iets als het volgende te staan:

BitLocker Drive Encryption Recovery Key The recovery key is used to recover the data on a BitLocker protected drive. To verify that this is the correct recovery key compare the identification with what is presented on the recovery screen. Recovery key identification: 8585ABB7-8B7A-5E Full recovery key identification: 8585ABB7-8B7A-5E3A-81B8-B247D11456A4 BitLocker recovery key: 381959-377792-192812-389298-882899-123211-696509-165396

Als je kiest voor een bestand, kan je de tekst in dit bestand niet kopiëren of opslaan.

Problemen

Bitlocker suspended

Op mijn PC in het bedrijfsnetwerk kreeg ik een mail van Microsoft InTune dat mijn werkplek incompliant was.

In het Bitlocker Control Panel staat dat voor de harde schijf Bitlocker suspended is.

Gelukkig is er een link (Resume protection). Als ik daarop klik krijg ik:
Wizard initialization has failed:
A compatible Trusted Platform Module (TPM) Security Device cannot be found on this computer.

Als ik klik op TPM Administration krijg ik
Compatible Trusted Platform Module (TPM) cannot be found on this computer.
Verify that this computer has a 1.2 TPM or later and it is turned on in the BIOS.

Ik moet dus naar het BIOS, maar mijn Dell Latitude 5590 vertikt het om het BIOS-menu te vertonen, en ik heb ongeveer alle opties geprobeerd (volgens het manual moet het F2 zijn).

Bij iedere start moet je de BitLocker key invoeren

Wat op het werk zowel met de oude als met de nieuwe PC is gebeurd, is dat ik op een bepaald moment de volgende melding krijg, bij het starten van de PC:

The boot configuration data (BCD) settings for the following boot application have changed since BitLocker was enabled. Boot Application: \WINDOWS\system32\winload.exe Changed Setting: 0x16000049 You must supply a BitLocker recovery key to start this system. Confirm that the changes to the BCD settings are trusted. If the changes are trusted then suspend and resume bitlocker. This will reset bitlocker to use the new BCD settings. Otherwise restore the original BCD settings

Vervolgens moet ik elke keer bij het starten een sleutel van 8 x 8 cijfers invoeren. In de melding wordt ook nog gezegd dat je terug kunt keren naar een normale sitatie door BitLocker uit te schakelen en dan weer in te schakelen. Hoewel ik redelijke privileges heb vrees ik dat ik daar de helpdesk voor zal moeten inschakelen.

In elk geval snap ik dankzij deze pagina waar het probleem door ontstaan is: ik heb met de bootvolgorde zitten rotzooien (eerst USB-stick, dan harde schijf). En als ik de originele bootvolgorde terugzet zou het probleem over moeten zijn.

Een andere oplossing is om vanaf een commandoregel met administratieve rechten de volgende commando's uit te voeren:
manage-bde.exe -protectors -disable [drive name]
manage-bde.exe -protectors -enable [drive name]

Je moet dat natuurlijk niet doen als je geen goede verklaring hebt voor het verschijnen van de melding, zoals in mijn geval het veranderen van de bootvolgorde. Je zou bv. ook geïnfecteerd kunnen zijn door een virus.

Bitlocker foutcodes

Op deze pagina vind je iets meer informatie over de codes die in een foutmelding van Bitlocker kunnen staan.

De waarde van de "changed setting" die ik in dit probleem tegen kwam (0x16000049) staat voor testsigning. Niet dat je daar veel mee opschiet, maar het is meer dan alleen een getal.

Versleuteling van communicatie met websites

Introductie - wat is HTTPS Everywhere?

HTTPS Everywhere is een plugin voor Firefox en Google Chrome (de laatste nog in beta-status, d.w.z. nog niet 100% stabiel).

De plugin is gemaakt door een zeer betrouwbare organisatie, de EFF (Electronic Frontier Foundation).

HTTPS Everywhere is volledig afhankelijk van de site die je bezoekt. Als je bv. webmail gebruikt, en je mail provider ondersteunt HTTPS niet, dan kan de plugin ook niets voor je betekenen.

Installatie

Ga naar deze pagina, en je kunt kiezen in welke browsers je de plugin wilt installeren.

Na de installatie

Als het goed is heb je rechtsboven een nieuw icoontje erbij, een soort blauw cirkeltje met wat streepjes die eruit komen en een pijltje naar beneden rechts ervan.

Door op dat pijltje te klikken kan je dingen beter instellen. In elk geval kan je de plugin per site aan- of uitzetten.

Ik heb zelf de plugin ook net voor het eerst geinstalleerd, dus ik moet nog ervaren tegen wat voor problemen ik aan ga lopen.

Vragen over HTTPS Everywhere

Er is een uitgebreide FAQ, helaas in het Engels.

T.z.t. voeg ik wel informatie uit de FAQ aan deze pagina toe.

Versleuteling van mail

    Tweeten
© Henk Dalmolen
Reageer via E-mail (dalmolen@xs4all.nl)

Deze pagina is voor het laatst gewijzigd op: 24-01-23 21:16:31