Versleuteling van mappen met prive informatie
- Versleuteling met Truecrypt (gratis)
- Versleuteling harde schijf met Bitlocker (in Windows 7 en hoger)
- Versleuteling van communicatie met websites
- Versleuteling van mail
- Terminologie
Versleuteling met Truecrypt (gratis)
Recente ontwikkelingen
Het gebruik van Truecrypt
is momenteel (29-5-2014)
misschien geen goed idee.
Er staat sinds 28-5-2014 een zeer bizarre, cryptische (toepasselijk in dit geval :-) ) melding op de site van het programma.
De makers (?) zeggen dat het programma mogelijk niet veilig meer is, en raden
aan over te schakelen op
Bitlocker
Zodra er meer bekend is over wat er aan de hand is (makers onder druk gezet door de Amerikaanse regering?, site gehacked?, makers hadden er genoeg van?) volgt er hier een nieuwe mededeling.
Introductie
Hoe goed je je ook beschermt met virusscanners, firewalls, e.d., het is altijd mogelijk dat iemand je PC binnendringt.
En in dat geval wil je waarschijnlijk niet dat iemand je psychiatrische rapporten kan lezen :-), gevoelige foto's kan zien of stelen, etc.
Bepaalde bestanden en mappen zou je dus extra sterk willen beveiligen, en
dat kan met versleuteling.
En er is een zeer gerenommeerd en gratis programma,
TrueCrypt
,
dat dat op een betrekkelijk eenvoudige manier mogelijk maakt.
Je moet het programma eenmalig installeren en instellen. Daarna heb je er 1 bestand bij, waarin al je versleutelde bestanden en mappen worden opgeslagen.
Om daarvan gebruik te kunnen maken moet je eerst toegang krijgen tot dat bestand (o.a. door een wachtwoord in te vullen), en als je er mee klaar bent moet je het weer netjes afsluiten. Deze 2 acties moet je in principe altijd doen als je met de versleutelde bestanden gaat werken, maar ze zijn allebei heel simpel en kort.
Installatie
Onderstaand stuk gaat over versie 7.1a
Er is een portable versie beschikbaar die je ook op USB sticks kan gebruiken. Maar deze versie kan je ook gewoon installeren, en op je harde schijf gebruiken (portable of niet).
Na een paar beginvragen kom je op het scherm
Wizard Mode
Als je het programma normaal wilt installeren klik je nu op
Install
,
anders op Extract
Ik ga verder met de 2e optie.
Zet de software in een map van je keuze (in mijn geval bv.
\Portable Tools\TrueCrypt
)
In gebruik nemen van TrueCrypt
Start TrueCrypt.exe
Het programma gebruikt een eigen schijfletter, dus je moet een letter
selecteren uit de lijst onder (Drive)
.
Het programma laat alleen beschikbare letters zien, maar ik zou desondanks
kiezen voor een letter in de hogere regionen (bv. de 'T' van TrueCrypt).
USB-sticks stellen het bv. graag op prijs als ze dezelfde letter als een
eerdere keer kunnen krijgen, en dan zou het vervelend zijn als die ineens
bezet is.
Klik dan op (Create Volume)
Op het scherm (TrueCrypt Volume Creation Wizard)
moet je 1 van 3 opties kiezen.
De optie die standaard geselecteerd is, is aan te raden voor beginnende
gebruikers:
(Create an encrypted file container)
Dit houdt in dat er 1 bestand op je systeem bij komt, en in dat bestand
zit de virtuele versleutelde schijf (waarvan je zopas de letter hebt gekozen).
Alle bestanden die je later versleuteld wilt hebben, worden door
TrueCrypt
in dat ene bestand gepropt.
Op het scherm (Volume Type)
kan je er voor kiezen om de versleutelde virtuele schijf zelfs onzichtbaar
te maken.
Handig als je verwacht dat iemand je gaat martelen om het wachtwoord uit je
los te peuteren.
Maar ik zou toch maar gewoon kiezen voor
(Standard TrueCrypt volume)
Op het scherm (Volume Location)
moet je het bestand
kiezen waarin de virtuele schijf wordt opgeslagen.
Dat kan in principe op elke normale schijf of USB-stick.
Ik heb gekozen voor J:\Encrypted_volume
Je komt dan op het scherm (Encryption Options)
.
Ik zou gewoon de standaardkeuzes laten staan.
Op dit moment heb ik te weinig kennis van al die encryptie-algoritmes.
Op het scherm (Volume Size)
moet je de grootte van het bestand kiezen.
De minimum grootte van een virtuele schijf op een NTFS-schijf (en de meeste
zijn dat tegenwoordig) is 3792 KB.
Op het scherm (Volume Password)
moet je een wachtwoord bedenken.
Aangezien je de moeite neemt om deze informatie te versleutelen,
is het niet erg logisch om een simpel wachtwoord te kiezen.
Sterker nog, ze raden aan minimaal 20 tekens te gebruiken, met daarin ook
een aantal rare tekens, zoals '$', '*', e.d.
Kies wel een wachtwoord dat je kan onthouden, of schrijf het ergens op waar
je het 100% zeker kan terugvinden, want anders is de informatie voorgoed
verloren.
Je kan klikken op (Display Password)
zodat je kan zien wat je intikt.
Als je een te kort password gebruikt krijg je nog een waarschuwing voor je kiezen.
In het volgende scherm, (Large Files)
, wil
het programma weten of je bestanden groter dan 4 GB gaat opslaan.
Dan kiest het voor een efficientere
structuur van het bestand met de virtuele schijf.
In het scherm (Volume Format)
zou ik eerst achter (Filesystem)
kiezen voor
NTFS
Er wordt je gevraagd om met de muis een tijdje (des te langer, des te beter)
kris-kras over het scherm te bewegen.
De kwaliteit van de encryptie wordt daardoor blijkbaar beter.
Als je er genoeg van hebt kan je klikken op
(Format)
Uiteindelijk krijg je (hopelijk) de melding
(The TrueCrypt volume has been successfully created.)
Klik op (Exit)
om dit deel van het proces te beëindigen.
Bestanden en mappen op de versleutelde virtuele schijf zetten
Start TrueCrypt.exe
Selecteer de schijfletter van de virtuele versleutelde schijf (in mijn geval
T
) door er op te klikken.
Klik op (Select File)
,
ga naar de schijf waarop je het bestand met de virtuele schijf hebt aangemaakt
(in mijn geval J
), en selecteer daar dan de
naam van het bestand (in mijn geval
Encrypted_volume
)
Nu wordt gevraagd om het wachtwoord in te tikken, waarbij je het opnieuw kan
laten zien (i.p.v. sterretjes) als er niemand over je schouder meekijkt.
Klik dan eerst op (Display Password)
Je ziet als het goed is de naam van je versleutelde bestand nu verschijnen in het grote witte vak.
Als je nu in een file manager kijkt, bv.
Verkenner (Explorer)
zie je dat je er een schijfletter bij hebt gekregen.
De naam van de schijf is Local Disk
.
Vanaf dit moment kan je met die schijf (bij mij T
)
werken als met elke andere normale schijf.
Netjes beëindigen van TrueCrypt
Er hoeft geen venster open te staan voor TrueCrypt in de tijd dat je met de versleutelde schijf werkt. Er blijft natuurlijk wel een icoontje in het systeemvak (system tray) rechtsonder, omdat elk bestand dat je naar of van de versleutelde schijf transporteert versleuteld, resp. 'verontsleuteld' moet worden.
Als je klaar ben met de schijf klik je met rechts op het icoontje, en
dan op (Show TrueCrypt)
(als het venster tenminste niet meer open stond).
Vervolgens selecteer je de schijfletter (bij mij J
),
maar waarschijnlijk is die al geselecteerd, en klik je op
(Dismount)
De schijf verdwijnt uit het witte vak, en je kan klikken op
(Exit)
Het enige spoortje dat je nu nog van TrueCrypt
zult
zien is het bestand dat de virtuele versleutelde schijf bevat, in mijn
geval J:\Encrypted_volume
Versleuteling harde schijf met Bitlocker (in Windows 7 en hoger)
Je kan je hele Windows-schijf versleutelen met het in Windows ingebouwde
Bitlocker
Hoewel dat op mijn werk gebruikt wordt heb ik het zelf nog niet ergens geïnstalleerd.
Bitlocker Control Panel
Door te klikken op de Windows-toets, en dan bitlocker (gedeeltelijk) in te
tikken zie je als keuze in het lijstje
Manage BitLocker Control Panel
.
In het venster dat je krijgt staan alle schijven op je PC (ook externe en
USB-sticks), en of Bitlocker
aan staat voor die schijf.
Bitlocker
is afhankelijk van de
Trusted Platform Module
(een chip op het moederbord?!).
Door linksonder in het scherm te klikken op
TPM Administration
kan je zien of dat deel van
encryptie-gebeuren in orde is.
Ik krijg op mijn thuis-PC bv. de melding:
Compatible Trusted Platform Module (TPM)
cannot
be found on this computer.
Verify that this computer has a 1.2 TPM or later and it is turned on in the
BIOS.
Afdrukken of bekijken van de BitLocker key
Als je je schijf met BitLocker
beveiligt is het
wijs om de key ergens los van de computer op te slaan (bv. op een stick).
Als je de key niet meer weet, maar nog wel de computer kan starten, kan je de key als volgt te weten komen.
Klik in Verkenner (Explorer)
met rechts op de
schijf die met BitLocker
beveiligd is.
Klik dan op (Manage BitLocker)
en dan op
(Save or print recovery key again)
.
Je kan dan de key afdrukken of naar een bestand sturen.
In dat bestand komt dan iets als het volgende te staan:
BitLocker Drive Encryption Recovery Key
The recovery key is used to recover the data on a BitLocker protected drive.
To verify that this is the correct recovery key compare the identification
with what is presented on the recovery screen.
Recovery key identification: 8585ABB7-8B7A-5E
Full recovery key identification: 8585ABB7-8B7A-5E3A-81B8-B247D11456A4
BitLocker recovery key:
381959-377792-192812-389298-882899-123211-696509-165396
Als je kiest voor een bestand, kan je de tekst in dit bestand niet kopiëren of opslaan.
Problemen
Bitlocker suspended
Op mijn PC in het bedrijfsnetwerk kreeg ik een mail van Microsoft InTune dat mijn werkplek incompliant was.
In het Bitlocker Control Panel staat dat voor de
harde schijf Bitlocker suspended
is.
Gelukkig is er een link (Resume protection)
.
Als ik daarop klik krijg ik:
Wizard initialization has failed:
A compatible Trusted Platform Module (TPM) Security Device cannot be found
on this computer.
Als ik klik op TPM Administration
krijg ik
Compatible Trusted Platform Module (TPM)
cannot
be found on this computer.
Verify that this computer has a 1.2 TPM or later and it is turned on in the
BIOS.
Ik moet dus naar het BIOS, maar mijn Dell Latitude 5590 vertikt het om het
BIOS-menu te vertonen, en ik heb ongeveer alle opties geprobeerd
(volgens het manual moet het F2
zijn).
Bij iedere start moet je de BitLocker key invoeren
Wat op het werk zowel met de oude als met de nieuwe PC is gebeurd, is dat ik op een bepaald moment de volgende melding krijg, bij het starten van de PC:
The boot configuration data (BCD) settings for the following boot application
have changed since BitLocker was enabled.
Boot Application: \WINDOWS\system32\winload.exe
Changed Setting: 0x16000049
You must supply a BitLocker recovery key to start this system.
Confirm that the changes to the BCD settings are trusted.
If the changes are trusted then suspend and resume bitlocker.
This will reset bitlocker to use the new BCD settings.
Otherwise restore the original BCD settings
Vervolgens moet ik elke keer bij het starten een sleutel van 8 x 8 cijfers
invoeren.
In de melding wordt ook nog gezegd dat je terug kunt keren naar een normale
sitatie door BitLocker
uit te schakelen
en dan weer in te schakelen.
Hoewel ik redelijke privileges heb vrees ik dat ik daar de helpdesk voor
zal moeten inschakelen.
In elk geval snap ik dankzij deze pagina waar het probleem door ontstaan is: ik heb met de bootvolgorde zitten rotzooien (eerst USB-stick, dan harde schijf). En als ik de originele bootvolgorde terugzet zou het probleem over moeten zijn.
Een andere oplossing is om vanaf een commandoregel met administratieve
rechten de volgende commando's uit te voeren:
manage-bde.exe -protectors -disable [drive name]
manage-bde.exe -protectors -enable [drive name]
Je moet dat natuurlijk niet doen als je geen goede verklaring hebt voor het verschijnen van de melding, zoals in mijn geval het veranderen van de bootvolgorde. Je zou bv. ook geïnfecteerd kunnen zijn door een virus.
Bitlocker foutcodes
Op deze pagina
vind je iets meer informatie over de codes die in een
foutmelding van Bitlocker
kunnen staan.
De waarde van de "changed setting" die ik in
dit probleem tegen kwam
(0x16000049
) staat voor
testsigning
.
Niet dat je daar veel mee opschiet, maar het is meer dan alleen een getal.
Versleuteling van communicatie met websites
Introductie - wat is HTTPS Everywhere?
HTTPS Everywhere
is een plugin voor
Firefox
en Google Chrome
(de
laatste nog in beta-status, d.w.z. nog niet 100% stabiel).
De plugin is gemaakt door een zeer betrouwbare organisatie, de EFF (Electronic Frontier Foundation).
HTTPS Everywhere
is volledig afhankelijk van de site
die je bezoekt.
Als je bv. webmail gebruikt, en je mail provider ondersteunt
HTTPS niet, dan kan de plugin ook
niets voor je betekenen.
Installatie
Ga naar deze pagina, en je kunt kiezen in welke browsers je de plugin wilt installeren.
Na de installatie
Als het goed is heb je rechtsboven een nieuw icoontje erbij, een soort blauw cirkeltje met wat streepjes die eruit komen en een pijltje naar beneden rechts ervan.
Door op dat pijltje te klikken kan je dingen beter instellen. In elk geval kan je de plugin per site aan- of uitzetten.
Ik heb zelf de plugin ook net voor het eerst geinstalleerd, dus ik moet nog ervaren tegen wat voor problemen ik aan ga lopen.
Vragen over HTTPS Everywhere
Er is een uitgebreide FAQ, helaas in het Engels.
T.z.t. voeg ik wel informatie uit de FAQ aan deze pagina toe.
Versleuteling van mail
Reageer via E-mail (dalmolen@xs4all.nl)
Deze pagina is voor het laatst gewijzigd op: 24-01-23 21:16:31