Encryptie & Decryptie • HOE EN MET WAT KUNNEN WE DATA BEVEILIGEN. • HOE ZIT DAT IN ELKAAR • EN… WAT HEEFT DAT.
Download ReportTranscript Encryptie & Decryptie • HOE EN MET WAT KUNNEN WE DATA BEVEILIGEN. • HOE ZIT DAT IN ELKAAR • EN… WAT HEEFT DAT.
Encryptie & Decryptie • HOE EN MET WAT KUNNEN WE DATA BEVEILIGEN. • HOE ZIT DAT IN ELKAAR • EN… WAT HEEFT DAT MET VARKENS EN GEHAKT TE MAKEN ? • EN… IS DE ACHTERDEUR GESLOTEN De verschillende vormen De meest voorkomende vorm is een file aanmaken Mounten waarvan de inhoud wordt beveiligd door een Een Container is een component (bv een file)en die de andere paswoord inhoud componenten in zich kan bevatten. jargon voor het beschikbaar is Isgeëncrypteerd. maken en aankoppelen van opslagmedia voor een besturingssysteem Een geëncrypteerde file die wordt aangemaakt als container (kan dus meerder file’s bevatten) en die kan worden gemount als een nieuwe drive. Een partitie of volledige harde schijf die als geëncrypteerde schijf wordt aangemaakt Hoe was het ook al weer (vb) Op de eerste enigma machine wordt via jumpers een key code ingesteld De tekst wordt ingegeven en versleuteld Boodschap wordt doorgestuurd naar de ontvanger Op de andere machine stelt men de zelfde key code in en vertaalt men de tekst Hier moet men dus vooraf langs de twee kanten in het bezit zijn van de juiste key code En natuurlijk een gelijke machine (of algoritme) hebben De boodschap bevat dus geen enkele verwijzing in zich van de key code of de machine Nu…Hoe ziet een geëncrypteerde file er uit sleutel algoritme Onder de deurmat Ligt de key (paswoord) In de brandkast zit de encryptie sleutel en De aanduiding welk encryptie algoritme Er is gebruikt Met de key code en het algoritme wordt De data versleuteld en in de container Opgeslagen. Wat zit er dus in een geëncrypteerde file Paswoord in versleutelde vorm (hashing) Met dat paswoord hebben we toegang tot het beveiligde gedeelte (de brandkast) waar de key code en het algoritme (enkel de naam) is opgeslagen In de rest van de container zitten dan de file’s in versleutelde vorm (encryptie). Het verschil met de enigma machine is dat hier dus wel de key code en het type algoritme aanwezig is en dat deze door een paswoord zijn afgeschermd Waar zit de zwakke schakel Vroeger moesten ze komen inbreken om de key code uit je brandkast te stelen… maar nu wordt die meegeleverd (in de virtuele brandkast) Dus ondanks het feit dat de encryptie op zich enorm sterk is wordt deze enkel beveiligd door een paswoord. Het paswoord is dus de zwakke schakel in de keten Dus je voornaam of de naam van je hond is geen goed idee. Wat kunnen we afleiden uit het voorgaande Er zijn dus 2 methoden of gebruikswijzen…. Encryptie tussen 2 gebruikers waarbij de key en type algoritme aan beide kanten bekend is en waarbij de gecodeerde data wordt verzonden. In oorsprong kon de key bestaan uit een boek (bij de 2 kanten zelfde druk ) waar volgens de gecodeerde boodschap de juiste letters konden worden gevonden. De brandkast kan in dit geval gewoon een bibliotheek met 100en boeken zijn waar dat bepaalde boek de key is. Encryptie voor 1 gebruiker om te beletten dat iemand anders de data kan lezen. Dit is de klassieke manier op de PC, waar alles in 1 file (container) zit. Dit kan ook voor 2 of meer gebruikers worden gebruikt, zoals het vorige, alleen zit de key in de brandkast meegeleverd. Alleen het paswoord en encryptie programma moeten aan beide kanten gekend zijn. en/decryptie Deze algoritmen werken in de 2 richtingen, we kunnen de data dus versleutelen met een key code en met dezelfde code terug halen. Welke algoritmen bestaan er (encryptie) AES lengte key code = 256 bits Serpent 256 bits Twofish 256 bits Cascades (combinatie van de 3 vorige) De key code wordt aangemaakt door een hashing algoritme RIPEMD-160 (RACE Integrity Primitives Evaluation Message Digest) SHA-512 (Secure Hash Algorithm) Whirlpool (dit is geen wasmachine) Encrypteren Originele Data symmetrische cryptografie zender en ontvanger gebruiken dezelfde sleutel Die sleutel moet van tevoren uitgewisseld worden via een veilig kanaal of brandkast Versleutelde Data Opm: Bij verlies van de sleutel is ook de versleutelde data verloren. Hashing sleutel Hashing Data waar een unieke code uit wordt gemaakt Dit kan van alles zijn • Paswoord • File • Muisbewegingen Een cryptografisch veilige hashcode heeft de eigenschappen dat het niet mogelijk is om te achterhalen van welk blok gegevens de bepaalde code is afgeleid en dat het onmogelijk is om twee verschillende blokken gegevens te maken die dezelfde hashcode hebben Unieke Hash code Dit is eenrichting, Er is geen weg terug Het paswoord Gaat door de hash molen en wordt het paswoord opgeslagen als gehakt P.S. Eerst varken slachten Paswoord “Varken” En zoals je wel weet….. Van een varken kan je gehakt maken, Maar van gehakt kan je geen varken maken De versleuteling van een paswoord is dus enkel in een (1) richting en gebeurd met een hashing algoritme Om te weten Al in de begin jaren van de computer zijn er algoritmen ontwikkeld om paswoorden te versleutelen. Dit is altijd al versleuteling in een (1) richting geweest. De file(‘s) waar de paswoorden in worden bewaard bevatten dus enkel “gehakt” Als we een paswoord moeten ingeven, dan wordt daar eerst gehakt van gemaakt en daarna wordt in de paswoord file gezocht of we de juiste bal gehakt terug vinden. Als het gehakt dezelfde is, dan is het paswoord juist. Als de paswoorden goed gekozen zijn, dan is dit een redelijk veilig systeem…. Uit de paswoord file is er dus geen paswoord terug te reconstrueren Veel gebruikte kraak methode Voer complete woordenboeken door dezelfde hash molen Veel gebruikt zijn de spelling boeken van een tekstverwerker Vertaal woordenboeken Groene boekje…….. enz Vergelijk deze woordenboeken hash file’s met een paswoorden hash file Veel kans dat er gebruikers zijn die paswoorden gebruiken die in een woordenboek terug te vinden zijn….. Als er een vergelijk in hash waarde wordt gevonden, dan kent men het paswoord. Deze methode is al ontwikkeld door hackers ten tijde van de de oude PDP machines, dus kort na het ontwikkelen van de eerste hash algoritmen Dus gebruik geen woorden als paswoord die in een woordenboek kunnen voorkomen. De brute methode Aangezien veel mensen korte paswoorden gebruiken zijn deze met brute computerkracht redelijk snel te kraken. Gewoon beginnen met 1 binair teken (00) en alle combinaties afwerken… 2e teken erbij en zo verder. Hoe meer tekens hoe meer combinaties. Vroeger was 1 miljoen combinatie met de hand te testen een gigantisch werk…. Nu met de PC een fluitje van een cent. Dus om zeker te zijn dat een computer te lang moet zoeken om werkbaar te zijn, moeten er terra en liever terra * terra * terra combinaties zijn. Dus wat vandaag een onkraakbaar paswoord lijkt te zijn, zal morgen een kwestie van een paar uur zijn. Dus wat voor Jan met de pet onkraakbaar is, zal voor de gespecialiseerde diensten best wel te doen zijn door gebruik te maken van supercomputers. Die achterdeur….. Ondanks het feit dat de grote firma’s er met geen woord over reppen…. Wordt er aan hen gevraagd (geëist) dat hun encryptie software een fabriekssleutel heeft waarmee overheden (FBI…CIA…Interpol Enz.) toegang heeft tot beveiligde harde schijven, files enz. Dit noemt men de achterdeur (backdoor). Dit is een vast ingebakken key waarmee de safe kan worden geopend. Na het TwinTower debacle is de discussie in de VS hierover opnieuw opgelaaid…. Open source projecten (zoals TrueCrypt) vermelden dus wel met zekere trots dat er bij hun geen achterdeuren zijn ingebouwd. Dit is in de source (aangezien het open source is) te controleren. Voordeel….. Als je je paswoord vergeten bent, kan je altijd eens bellen naar de baas van de FBI met de vraag… geef me dat paswoord eens even want ben het mijne vergeten. Achterdeur info Wie op zoek gaat op het internet naar bv “backdoor encryptie software” zal meerdere artikelen vinden waar over dit onderwerp van alles wordt gezegd….. Waar… niet waar ??? Enkele als voorbeeld http://www.privacylover.com/encryption/analysis-is-there-a-backdoor-in-truecrypt-is-truecrypt-a-cia-honeypot/ http://en.wikipedia.org/wiki/Honeypot_(computing) http://tweakers.net/nieuws/18451/congres-vs-verplicht-backdoors-in-encryptie-software.html http://www.pcworld.com/article/213751/former_contractor_says_fbi_put_back_door_in_openbsd.html https://www.security.nl/artikel/34586/1/FBI_wil_backdoor_in_encryptie_software.html http://www.techsupportalert.com/content/encryption-not-enough.htm http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption Welk programma op PC en Android Een van de bekende freeware (donatie ware) is TrueCrypt (enkel voor pc mac linux) http://www.truecrypt.org/ Voor Android zijn er ook meerdere, maar deze kan werken met de file’s van trueCrypt EDS (lite) http://www.sovworks.com/ hier is alle uitleg te vinden https://play.google.com/store/apps/details?id=com.sovworks.edslite&hl=nl Beperking is dat de trueCrypt file moet worden aangemaakt als volgt om compatibel te zijn met EDS lite. (dus met de gratis versie) Encryption algorithm: AES Hash algorithm: SHA-512 File system: FAT En nu Demo met TrueCrypt op pc Demo met EDS …. kan niet, omdat er geen aansluitmogelijkheid is van tablet naar de video beamer.