HOE EN MET WAT KUNNEN WE DATA BEVEILIGEN. HOE ZIT DAT IN ELKAAR EN… WAT HEEFT DAT MET VARKENS EN...
-
Upload
sebastiaan-verhoeven -
Category
Documents
-
view
215 -
download
0
Transcript of HOE EN MET WAT KUNNEN WE DATA BEVEILIGEN. HOE ZIT DAT IN ELKAAR EN… WAT HEEFT DAT MET VARKENS EN...
• HOE EN MET WAT KUNNEN WE DATA BEVEILIGEN.
• HOE ZIT DAT IN ELKAAR
• EN… WAT HEEFT DAT MET VARKENS EN GEHAKT TE MAKEN ?
• EN… IS DE ACHTERDEUR GESLOTEN
Encryptie & Decryptie
De verschillende vormen
De meest voorkomende vorm is een file aanmaken waarvan de inhoud wordt beveiligd door een paswoord en de inhoud is geëncrypteerd.
Een geëncrypteerde file die wordt aangemaakt als container (kan dus meerder file’s bevatten) en die kan worden gemount als een nieuwe drive.
Een partitie of volledige harde schijf die als geëncrypteerde schijf wordt aangemaakt
Mounten
Is jargon voor het beschikbaar maken en
aankoppelen van opslagmedia voor een
besturingssysteem
Een Container is een component (bv een file) die
andere componenten in zich kan bevatten.
Hoe was het ook al weer (vb)
Op de andere machine stelt men de zelfde key code in en vertaalt men de tekst
Hier moet men dus vooraf langs de twee kanten in het bezit zijn van de juiste key codeEn natuurlijk een gelijke machine (of algoritme) hebbenDe boodschap bevat dus geen enkele verwijzing in zich van de key code of de machine
Op de eerste enigma machine wordt via jumpers een key code ingesteldDe tekst wordt ingegeven en versleuteld Boodschap wordt doorgestuurd naar de ontvanger
Nu…Hoe ziet een geëncrypteerde file er uit
Onder de deurmatLigt de key (paswoord)
In de brandkast zit de encryptie sleutel enDe aanduiding welk encryptie algoritmeEr is gebruikt
sleu
tel
alg
oritm
e
Met de key code en het algoritme wordtDe data versleuteld en in de container Opgeslagen.
Wat zit er dus in een geëncrypteerde file
Paswoord in versleutelde vorm (hashing)Met dat paswoord hebben we toegang tot het
beveiligde gedeelte (de brandkast) waar de key code en het algoritme (enkel de naam) is opgeslagen
In de rest van de container zitten dan de file’s in versleutelde vorm (encryptie).
Het verschil met de enigma machine is dat hier dus wel de key code en het type algoritme aanwezig is en dat deze door een paswoord zijn afgeschermd
Waar zit de zwakke schakel
Vroeger moesten ze komen inbreken om de key code uit je brandkast te stelen… maar nu wordt die meegeleverd (in de virtuele brandkast)
Dus ondanks het feit dat de encryptie op zich enorm sterk is wordt deze enkel beveiligd door een paswoord.
Het paswoord is dus de zwakke schakel in de keten
Dus je voornaam of de naam van je hond is geen goed idee.
Wat kunnen we afleiden uit het voorgaande
Er zijn dus 2 methoden of gebruikswijzen….
Encryptie tussen 2 gebruikers waarbij de key en type algoritme aan beide kanten bekend is en waarbij de gecodeerde data wordt verzonden. In oorsprong kon de key bestaan uit een boek (bij de 2 kanten zelfde druk ) waar volgens de gecodeerde boodschap de juiste letters konden worden gevonden. De brandkast kan in dit geval gewoon een bibliotheek met 100en boeken zijn waar dat bepaalde boek de key is.
Encryptie voor 1 gebruiker om te beletten dat iemand anders de data kan lezen. Dit is de klassieke manier op de PC, waar alles in 1 file (container) zit. Dit kan ook voor 2 of meer gebruikers worden gebruikt, zoals het vorige, alleen zit de key in de brandkast meegeleverd. Alleen het paswoord en encryptie programma moeten aan beide kanten gekend zijn.
en/decryptie
Deze algoritmen werken in de 2 richtingen, we kunnen de data dus versleutelen met een key code en met dezelfde code terug halen.
Welke algoritmen bestaan er (encryptie) AES lengte key code = 256 bits Serpent 256 bits Twofish 256 bits Cascades (combinatie van de 3 vorige)
De key code wordt aangemaakt door een hashing algoritme RIPEMD-160 (RACE Integrity Primitives Evaluation Message
Digest) SHA-512 (Secure Hash Algorithm) Whirlpool (dit is geen wasmachine)
Encrypteren
symmetrische cryptografiezender en ontvanger
gebruiken dezelfde sleutel Die sleutel moet van tevoren uitgewisseld
worden via een veilig kanaal of brandkast
OrigineleData
VersleuteldeData
Hashing sleutel
Opm: Bij verlies van de sleutel is ook de versleutelde data verloren.
Hashing
Een cryptografisch veilige hashcode heeft de eigenschappen dat het niet mogelijk is om te achterhalen van welk blok gegevens de bepaalde code is afgeleid en dat het onmogelijk is om twee verschillende blokken gegevens te maken die dezelfde hashcode hebben
Data waar een unieke code uit wordt gemaaktDit kan van alles zijn• Paswoord• File• Muisbewegingen
Unieke Hash code Dit is eenrichting,Er is geen weg terug
Het paswoord
Paswoord “Varken”
Gaat door de hash molen enwordt het paswoord opgeslagen als gehakt
P.S. Eerst varken slachten
En zoals je wel weet….. Van een varken kan je gehakt maken,
Maar van gehakt kan je geen varken maken
De versleuteling van een paswoord is dus enkel in een (1) richting en gebeurd met een hashing algoritme
Om te weten
Al in de begin jaren van de computer zijn er algoritmen ontwikkeld om paswoorden te versleutelen. Dit is altijd al versleuteling in een (1) richting geweest.
De file(‘s) waar de paswoorden in worden bewaard bevatten dus enkel “gehakt”
Als we een paswoord moeten ingeven, dan wordt daar eerst gehakt van gemaakt en daarna wordt in de paswoord file gezocht of we de juiste bal gehakt terug vinden.
Als het gehakt dezelfde is, dan is het paswoord juist. Als de paswoorden goed gekozen zijn, dan is dit een redelijk
veilig systeem…. Uit de paswoord file is er dus geen paswoord terug te
reconstrueren
Veel gebruikte kraak methode
Voer complete woordenboeken door dezelfde hash molen Veel gebruikt zijn de spelling boeken van een tekstverwerker Vertaal woordenboeken Groene boekje…….. enz
Vergelijk deze woordenboeken hash file’s met een paswoorden hash file Veel kans dat er gebruikers zijn die paswoorden gebruiken die in een
woordenboek terug te vinden zijn….. Als er een vergelijk in hash waarde wordt gevonden, dan kent men het
paswoord.
Deze methode is al ontwikkeld door hackers ten tijde van de de oude PDP machines, dus kort na het ontwikkelen van de eerste hash algoritmen
Dus gebruik geen woorden als paswoord die in een woordenboek kunnen voorkomen.
De brute methode
Aangezien veel mensen korte paswoorden gebruiken zijn deze met brute computerkracht redelijk snel te kraken. Gewoon beginnen met 1 binair teken (00) en alle combinaties afwerken… 2e teken erbij en zo verder. Hoe meer tekens hoe meer combinaties. Vroeger was 1 miljoen combinatie met de hand te testen een gigantisch werk…. Nu met de PC een fluitje van een cent. Dus om zeker te zijn dat een computer te lang moet zoeken om werkbaar te zijn, moeten er terra en liever terra * terra * terra combinaties zijn.
Dus wat vandaag een onkraakbaar paswoord lijkt te zijn, zal morgen een kwestie van een paar uur zijn.
Dus wat voor Jan met de pet onkraakbaar is, zal voor de gespecialiseerde diensten best wel te doen zijn door gebruik te maken van supercomputers.
Die achterdeur…..
Ondanks het feit dat de grote firma’s er met geen woord over reppen…. Wordt er aan hen gevraagd (geëist) dat hun encryptie software een fabriekssleutel heeft waarmee overheden (FBI…CIA…Interpol Enz.) toegang heeft tot beveiligde harde schijven, files enz.
Dit noemt men de achterdeur (backdoor). Dit is een vast ingebakken key waarmee de safe kan worden geopend. Na het TwinTower debacle is de discussie in de VS hierover opnieuw opgelaaid….
Open source projecten (zoals TrueCrypt) vermelden dus wel met zekere trots dat er bij hun geen achterdeuren zijn ingebouwd. Dit is in de source (aangezien het open source is) te controleren.
Voordeel….. Als je je paswoord vergeten bent, kan je altijd eens bellen naar de baas van de FBI met de vraag… geef me dat paswoord eens even want ben het mijne vergeten.
Achterdeur info
http://www.privacylover.com/encryption/analysis-is-there-a-backdoor-in-truecrypt-is-truecrypt-a-cia-honeypot/ http://en.wikipedia.org/wiki/Honeypot_(computing)
http://tweakers.net/nieuws/18451/congres-vs-verplicht-backdoors-in-encryptie-software.html
http://www.pcworld.com/article/213751/former_contractor_says_fbi_put_back_door_in_openbsd.html
https://www.security.nl/artikel/34586/1/FBI_wil_backdoor_in_encryptie_software.html
http://www.techsupportalert.com/content/encryption-not-enough.htm
http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption
Wie op zoek gaat op het internet naar bv “backdoor encryptie software” zal meerdere artikelen vinden waar over dit onderwerp van alles wordt gezegd….. Waar… niet waar ???
Enkele als voorbeeld
Welk programma op PC en Android
Een van de bekende freeware (donatie ware) is TrueCrypt (enkel voor pc mac linux) http://www.truecrypt.org/
Voor Android zijn er ook meerdere, maar deze kan werken met de file’s van trueCrypt EDS (lite) http://www.sovworks.com/ hier is alle uitleg te vinden https://play.google.com/store/apps/details?id=com.sovworks.edslite&hl=nl Beperking is dat de trueCrypt file moet worden aangemaakt als volgt om
compatibel te zijn met EDS lite. (dus met de gratis versie) Encryption algorithm: AES Hash algorithm: SHA-512 File system: FAT
En nu
Demo met TrueCrypt op pc
Demo met EDS …. kan niet, omdat er geen aansluitmogelijkheid is van tablet naar de video beamer.