Elektronische post is knap onveilig. Obama kan er van meepraten. Onlangs werd zijn, niet heftig beveiligde, e-postprofiel gekraakt, hoogstwaarschijnlijk door Russische e-krakers. Versleutelen is de enige oplossing om te voorkomen dat onbevoegden (en andere boeven) onze berichten lezen of andere bestanden stelen. Dat zei diezelfde Obama, die overigens zelf wat het onderscheppen van e-post betreft tonnen boter op zijn hoofd heeft. Ook klokkenluider Edward Snowden, die zelf aan de basis stond van een nieuwe ‘digitale bewustwording’, zweert bij versleuteling. Maar ja, loont dat voor ons, simpele zielen, die wat rondprutsen op al dit diditale speelgoed? Ja, denken ze bij de klokkenluidersstek the Intercept. In een uitgebreid artikel geeft Micah Lee goede raad om op niet al te ingewikkelde manier het ‘digitale briefgeheim’ te borgen.
De eerste en simpelste verdedigingswal is totale versleuteling van je harde schijf. Dat is simpel en een ingebouwde mogelijkheid van alle besturingssystemen (Windows, Mac OS X, en Linux). Het beschermt je gegevens op je schijf als je computer gestolen wordt of op een andere manier in onbevoegde handen raakt of gekraakt wordt. Lee vindt echter dat je niet alleen een knop moet omdraaien, maar ook moet weten wat je er mee doet en hoe je voorkomt dat een, zeg NSA-agent simpelweg door die verdedigingslinie heen breekt.
Het is duidelijk dat iemand die toegang heeft tot je digitale dinkske, dat niet beveiligd is, hij/zij simpelweg zaken kan stelen. Dan maakt het niet uit of je een goed wachtwoord hebt, want met een nieuw besturingssysteem kan je met behulp van een usb-stick de boef je computer aan de praat krijgen. Ook kun je de harde schijf uit de computer halen en die in een andere computer monteren. Er staat een hoop op zo’n schijf. Dat merk je vooral als je die eens laat scannen: vele tienduizenden bestanden passeren dan de scanner. Iedereen zou zijn harde schijf (dus) moeten versleutelen, vindt Lee.
Het schijnt dat douaniers van vele landen het ‘recht’ hebben je harde schijf te doorzoeken, in ieder geval die van de VS en Canada. Overigens moet je wel bedenken, zegt Lee, dat versleuteling je computer niet ‘waterdicht’ maakt. De gegevens op je schijf zijn veilig, maar je computer blijft daarmee net zo kwetsbaar voor lugubere NSA-agenten en Russische e-krakers als een onversleutelde. De truc met kwaadaardige schadeprogjes werkt ook op een computer met een versleutelde schijf. Onverlaten kunnen nog steeds misbruik maken van allerlei diensten die je gebruikt zoals het delen van speellijsten op iTunes, van netwerken, van BitTorrent en ga zo maar door. Versleuteling maakt alles een tikje lastiger. Voor je je computer opstart moet je die eerst ontsluiten met een code. De bestanden van je besturingssysteem staan op de schijf en die werken anders niet en je computer doet het dan gewoon niet. De code geeft in de meeste gevallen geen directe toegang tot de hele schijf, maar ontsluit een versleutelingscode die het geheel vrij maakt. Dat geeft de mogelijkheid je toegangscode te veranderen, zonder je sleutel te hoeven wijzigen en geeft ook de mogelijkheid verschillende gebruikers op je computer toe te laten met elk een eigen toegangscode. Die toegangscode is de achilleshiel van het systeem, maar een sterke toegangscode of wachtzin bergt het risico in zich dat je die vergeet en dan kun je er zelf niet meer bij en zelfs de NSA schijnt dan problemen te hebben die gegevens weer, leesbaar, boven water te krijgen.
Probleempje is weer dat de sleutel (de versleutelingscode) op een versleutelde computer wordt opgeslagen in het werkgeheugen (RAM). Vele modernere rekentuigen maken directe toegang tot het geheugen mogelijk (DMA). Een onverlaat die direct toegang tot je computer heeft, zou dan het geheugen kunnen uitlezen en achter de sleutel kunnen komen. Er is een open programma Inception dat precies dat doet via een Firewire-verbinding naar een tweede computer. Mac heeft, bijvoorbeeld, een toepassing VT-d waarmee een machine kan worden omgetoverd in meer virtuele, om dit tegen te gaan. Punt is dat als je schijf ontsloten is, de versleuteling niet waterdicht meer is, maar Lee stelt ons gerust: de meeste van dit soort doortrapte infiltratietechnieken zijn alleen maar interessant voor de ‘grote vissen’. Daar hoeven wij ons niet druk om te maken: versleuteling werkt voor de ‘kleine vis’.
Lee noemt ook apart het versleutelingsprogramma TrueCrypt. Dat was heel populair, maar de anonieme makers kapten er in mei 2014 mee. Het zou lekken bevatten. Een grondige speurtocht zou echter geen achterdeurtjes hebben ontdekt. Vreemd is dat Lee TrueCrypt wel noemt, maar het niet wil aanbevelen, omdat het niet meer onderhouden wordt. MicroSoft heeft zijn BitLocker, maar die zijn niet in alle Windows-versies beschikbaar. Apple heeft zijn FileVault. Linux kun je alleen versleutelen bij de installatie. Als je dat niet gedaan heb, moet je het boeltje herinstalleren.
Bron: the Intercept