Encryptie & Decryptie • HOE EN MET WAT KUNNEN WE DATA BEVEILIGEN. • HOE ZIT DAT IN ELKAAR • EN… WAT HEEFT DAT.

Download Report

Transcript Encryptie & Decryptie • HOE EN MET WAT KUNNEN WE DATA BEVEILIGEN. • HOE ZIT DAT IN ELKAAR • EN… WAT HEEFT DAT.

Encryptie & Decryptie
• HOE EN MET WAT KUNNEN WE DATA BEVEILIGEN.
• HOE ZIT DAT IN ELKAAR
• EN… WAT HEEFT DAT MET VARKENS EN GEHAKT TE MAKEN ?
• EN… IS DE ACHTERDEUR GESLOTEN
De verschillende vormen
 De meest voorkomende vorm is een file aanmaken
Mounten
waarvan de inhoud wordt beveiligd
door een
Een Container is een component
(bv een file)en
die de
andere
paswoord
inhoud
componenten in zich kan
bevatten.
jargon voor het beschikbaar
is Isgeëncrypteerd.
maken en aankoppelen van
opslagmedia voor een
besturingssysteem
 Een geëncrypteerde file die wordt aangemaakt als
container (kan dus meerder file’s bevatten) en die
kan worden gemount als een nieuwe drive.
 Een partitie of volledige harde schijf die als
geëncrypteerde schijf wordt aangemaakt
Hoe was het ook al weer (vb)
Op de eerste enigma machine wordt via jumpers een key code ingesteld
De tekst wordt ingegeven en versleuteld
Boodschap wordt doorgestuurd naar de ontvanger
Op de andere machine stelt men de zelfde key code in en vertaalt men de tekst
Hier moet men dus vooraf langs de twee kanten in het bezit zijn van de juiste key code
En natuurlijk een gelijke machine (of algoritme) hebben
De boodschap bevat dus geen enkele verwijzing in zich van de key code of de machine
Nu…Hoe ziet een geëncrypteerde file er uit
sleutel
algoritme
Onder de deurmat
Ligt de key (paswoord)
In de brandkast zit de encryptie sleutel en
De aanduiding welk encryptie algoritme
Er is gebruikt
Met de key code en het algoritme wordt
De data versleuteld en in de container
Opgeslagen.
Wat zit er dus in een geëncrypteerde file
 Paswoord in versleutelde vorm (hashing)
 Met dat paswoord hebben we toegang tot het
beveiligde gedeelte (de brandkast) waar de key code
en het algoritme (enkel de naam) is opgeslagen
 In de rest van de container zitten dan de file’s in
versleutelde vorm (encryptie).
 Het verschil met de enigma machine is dat hier dus
wel de key code en het type algoritme aanwezig is en
dat deze door een paswoord zijn afgeschermd
Waar zit de zwakke schakel
 Vroeger moesten ze komen inbreken om de key code
uit je brandkast te stelen… maar nu wordt die
meegeleverd (in de virtuele brandkast)
 Dus ondanks het feit dat de encryptie op zich enorm
sterk is wordt deze enkel beveiligd door een
paswoord.
 Het paswoord is dus de zwakke schakel in de keten
 Dus je voornaam of de naam van je hond is geen
goed idee.
Wat kunnen we afleiden uit het voorgaande
 Er zijn dus 2 methoden of gebruikswijzen….

Encryptie tussen 2 gebruikers waarbij de key en type algoritme aan beide
kanten bekend is en waarbij de gecodeerde data wordt verzonden. In
oorsprong kon de key bestaan uit een boek (bij de 2 kanten zelfde druk )
waar volgens de gecodeerde boodschap de juiste letters konden worden
gevonden. De brandkast kan in dit geval gewoon een bibliotheek met 100en
boeken zijn waar dat bepaalde boek de key is.

Encryptie voor 1 gebruiker om te beletten dat iemand anders de data kan
lezen. Dit is de klassieke manier op de PC, waar alles in 1 file (container) zit.
Dit kan ook voor 2 of meer gebruikers worden gebruikt, zoals het vorige,
alleen zit de key in de brandkast meegeleverd. Alleen het paswoord en
encryptie programma moeten aan beide kanten gekend zijn.
en/decryptie
 Deze algoritmen werken in de 2 richtingen, we kunnen de data dus versleutelen
met een key code en met dezelfde code terug halen.
 Welke algoritmen bestaan er (encryptie)
 AES
lengte key code = 256 bits
 Serpent
256 bits
 Twofish
256 bits
 Cascades (combinatie van de 3 vorige)
 De key code wordt aangemaakt door een hashing algoritme
 RIPEMD-160 (RACE Integrity Primitives Evaluation Message Digest)
 SHA-512 (Secure Hash Algorithm)
 Whirlpool (dit is geen wasmachine)
Encrypteren
Originele
Data
symmetrische cryptografie
zender en ontvanger gebruiken
dezelfde sleutel Die sleutel moet
van tevoren uitgewisseld worden
via een veilig kanaal of
brandkast
Versleutelde
Data
Opm:
Bij verlies van de sleutel is ook de
versleutelde data verloren.
Hashing sleutel
Hashing
Data waar een unieke
code uit wordt gemaakt
Dit kan van alles zijn
• Paswoord
• File
• Muisbewegingen
Een cryptografisch veilige
hashcode heeft de
eigenschappen dat het niet
mogelijk is om te
achterhalen van welk blok
gegevens de bepaalde code
is afgeleid en dat het
onmogelijk is om twee
verschillende blokken
gegevens te maken die
dezelfde hashcode hebben
Unieke Hash code
Dit is eenrichting,
Er is geen weg terug
Het paswoord
Gaat door de hash molen en
wordt het paswoord
opgeslagen als gehakt
P.S. Eerst varken slachten
Paswoord “Varken”
En zoals je wel weet…..
Van een varken kan je gehakt maken,
Maar van gehakt kan je geen varken maken
De versleuteling van een paswoord is dus enkel in een (1) richting en gebeurd
met een hashing algoritme
Om te weten
 Al in de begin jaren van de computer zijn er algoritmen ontwikkeld om





paswoorden te versleutelen. Dit is altijd al versleuteling in een (1)
richting geweest.
De file(‘s) waar de paswoorden in worden bewaard bevatten dus enkel
“gehakt”
Als we een paswoord moeten ingeven, dan wordt daar eerst gehakt van
gemaakt en daarna wordt in de paswoord file gezocht of we de juiste bal
gehakt terug vinden.
Als het gehakt dezelfde is, dan is het paswoord juist.
Als de paswoorden goed gekozen zijn, dan is dit een redelijk veilig
systeem….
Uit de paswoord file is er dus geen paswoord terug te reconstrueren
Veel gebruikte kraak methode
 Voer complete woordenboeken door dezelfde hash molen
Veel gebruikt zijn de spelling boeken van een tekstverwerker
 Vertaal woordenboeken
 Groene boekje…….. enz
 Vergelijk deze woordenboeken hash file’s met een paswoorden hash file
 Veel kans dat er gebruikers zijn die paswoorden gebruiken die in een
woordenboek terug te vinden zijn…..
 Als er een vergelijk in hash waarde wordt gevonden, dan kent men het
paswoord.

 Deze methode is al ontwikkeld door hackers ten tijde van de de oude PDP
machines, dus kort na het ontwikkelen van de eerste hash algoritmen
 Dus gebruik geen woorden als paswoord die in een woordenboek kunnen
voorkomen.
De brute methode

Aangezien veel mensen korte paswoorden gebruiken zijn deze met brute computerkracht
redelijk snel te kraken. Gewoon beginnen met 1 binair teken (00) en alle combinaties
afwerken… 2e teken erbij en zo verder. Hoe meer tekens hoe meer combinaties. Vroeger
was 1 miljoen combinatie met de hand te testen een gigantisch werk…. Nu met de PC een
fluitje van een cent. Dus om zeker te zijn dat een computer te lang moet zoeken om
werkbaar te zijn, moeten er terra en liever terra * terra * terra combinaties zijn.

Dus wat vandaag een onkraakbaar paswoord lijkt te zijn, zal morgen een kwestie van een
paar uur zijn.

Dus wat voor Jan met de pet onkraakbaar is, zal voor de gespecialiseerde diensten best
wel te doen zijn door gebruik te maken van supercomputers.
Die achterdeur…..
Ondanks het feit dat de grote firma’s er met geen woord
over reppen…. Wordt er aan hen gevraagd (geëist) dat
hun encryptie software een fabriekssleutel heeft
waarmee overheden (FBI…CIA…Interpol Enz.)
toegang heeft tot beveiligde harde schijven, files enz.
Dit noemt men de achterdeur (backdoor). Dit is een
vast ingebakken key waarmee de safe kan worden
geopend. Na het TwinTower debacle is de discussie in
de VS hierover opnieuw opgelaaid….
Open source projecten (zoals TrueCrypt) vermelden
dus wel met zekere trots dat er bij hun geen
achterdeuren zijn ingebouwd. Dit is in de source
(aangezien het open source is) te controleren.
Voordeel….. Als je je paswoord vergeten bent, kan je altijd eens bellen naar de baas van
de FBI met de vraag… geef me dat paswoord eens even want ben het mijne vergeten.
Achterdeur info
Wie op zoek gaat op het internet naar bv
“backdoor encryptie software”
zal meerdere artikelen vinden waar over dit onderwerp van alles wordt
gezegd….. Waar… niet waar ???
Enkele als voorbeeld

http://www.privacylover.com/encryption/analysis-is-there-a-backdoor-in-truecrypt-is-truecrypt-a-cia-honeypot/

http://en.wikipedia.org/wiki/Honeypot_(computing)

http://tweakers.net/nieuws/18451/congres-vs-verplicht-backdoors-in-encryptie-software.html

http://www.pcworld.com/article/213751/former_contractor_says_fbi_put_back_door_in_openbsd.html

https://www.security.nl/artikel/34586/1/FBI_wil_backdoor_in_encryptie_software.html

http://www.techsupportalert.com/content/encryption-not-enough.htm

http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption
Welk programma op PC en Android

Een van de bekende freeware (donatie ware) is TrueCrypt (enkel voor pc mac linux)
 http://www.truecrypt.org/

Voor Android zijn er ook meerdere, maar deze kan werken met de file’s van trueCrypt
 EDS (lite)
 http://www.sovworks.com/
hier is alle uitleg te vinden
 https://play.google.com/store/apps/details?id=com.sovworks.edslite&hl=nl
 Beperking is dat de trueCrypt file moet worden aangemaakt als volgt om compatibel te
zijn met EDS lite. (dus met de gratis versie)
 Encryption algorithm: AES
 Hash algorithm: SHA-512
 File system: FAT
En nu
 Demo met TrueCrypt op pc
 Demo met EDS …. kan niet, omdat er geen aansluitmogelijkheid is van tablet
naar de video beamer.