Tag op encryptie

Extra veiligheid

Het opslaan van email op een mailserver kan op een aantal manier gebeuren. LinuxPro slaat met ingang van vandaag email op middels encryptie.

Waarom

Mocht de backup van de email of de email-server gecompromitteerd worden (gehackt in populaire woorden) dan kan men niet zonder meer je email-berichten lezen.

Wat merk je er van

Voor de gebruiker gebeurd dit geheel transparant, je merkt er dus niets van. Bestaande email wordt niet automatisch ge-encrypt, alle binnenkomende email wel. Als je email verplaatst van map van bijvoorbeeld de Inbox naar de map Bewaren (als je die hebt aangemaakt) wordt bestaande email tijdens deze verplaats actie meteen ge-encrypt.

Wat kan je zelf doen

Je blijft als gebruiker van email zelf verantwoordelijk wat er met je email op je notebook, tablet of phone gebeurd. Ook hier van manier voor om je email te beveiligen. Daarnaast maak je zelf regelmatig een backup van je email en zorg je er voor dat niemand behalve je zelf toegang hebt tot je notebook, tablet of phone. Gebruik bij voorkeur geen gezichtsherkenning (face-id) maar een lange PINcode, wachtwoordzin (passphrase) in plaats van een wachtwoord en/of een vingerafdruk. Verder update je regelmatig je app’s en uiteraard het besturingssysteem (iOS, Android, Linux of Windows)

Algemeen

Veilig gebruik van email door gebruik te maken van encryptie. Dat klinkt ingewikkeld maar dat hoeft het niet te zijn. Iedereen, particulier of zakelijke gebruiker, kan op vrij eenvoudige wijze voor twee dingen zorgen:

1. Dat de ontvanger grote zekerheid heeft dat een email afkomstig is van wie het afkomstig lijkt te zijn door een digitale handtekening
2. Dat het berichtenverkeer tussen de zender en ontvanger van email encrypted is zodat de berichten alleen gelezen kunnen worden door degeen aan wie de email gestuurd is. Mochten anderen de email in handen krijgen dan is deze onleesbaar.

Email wordt in leesbare tekst tussen emailservers verzonden. Internet providers, veiligheidsdiensten, kwaadwillenden en andere mensen met toegang tot deze data kunnen email dus eenvoudig meelezen. Er is immers geen enkele vorm van encryptie. Voor bedrijven maar ook voor bijvoorbeeld journalisten is dit een groot risico wat niet zelden onderschat wordt. Maar ook thuis kan encryptie prettig zijn, denk aan prive-emaill op de zaak waar de baas of een systeembeheerder met je email mee kan lezen.

Starten met encryptie

In deze uitleg wordt gebruik gemaakt van twee gratis verkrijgbare programma’s en een zodat dit geen hindernis hoeft te zijn. De programma’s zijn beschikbaar voor Windows, Apple MacOS en Linux. We gebruiken als email-programma Thunderbird wat ook in nederlands beschikbaar is met de Enigmail extensie en GnuPG voor encryptie

Starten met encryptie bestaat uit 3 stappen die hieronder worden uitgelegd:

1. Installatie Thunderbird

Het installeren van Thunderbird en het configureren ervan zodat je er email kan mee ontvangen en verzenden wordt hier niet uitgelegd. Dit verschilt van provider en bedrijf zo veel dat dit buiten de scope van dit artikel valt. Ben je LinuxPro gebruiker dan is er een pagina met de instellingen voor je email.

2. GnuPG installeren

Ga naar de downloadpagina van GnuPG en kies onder het kopje GnuPG binary releases voor jouw besturingssysteem de juiste versie. Voor Windows is er een versie die je op alle versies Windows (vanaf XP) kan installeren. Linux gebruikers hebben de keuze uit kant-en-klare pakketten geschikt voor nagenoeg alle Linux distributies. Ook voor Apple gebruikers is er een kant-en-klare versie beschikbaar. Download en installeer GnuPG met de default of standaard instellingen.

3. Enigma extensie toevoegen

Als Thunderbird is genstalleerd en je kan email verzenden en ontvangen dan is het tijd om de Enigma extensie te installeren.

Ga naar Thunderbird -> Extra’s en kies voor Add-ons en zoek naar Enigmail en installeer / activeer de extensie.

NB: Dit kan per versie Thunderbird en het gebruikte besturingssysteem iets afwijken.

Sleutelbeheer

De GnuPG of GPG encryptie werkt door het aanmaken van twee sleutels: een geheime sleutel die je niet met iemand deelt, veilig houdt en bijv. op een aparte usb stick (beveiligd!) bewaard als backup. De tweede sleutel is een publieke sleutel en zoals de naam al zegt die mag overal en met iedereen gedeeld worden. Er zijn ook zgn. keyservers waar je publieke sleutels kan delen of publieke sleutels van andere kan opzoeken.

Er moet dus nmalig per emailadres een sleutelpaar worden gemaakt. Dat is eenvoudig en kan via Enigmail door de installatie-wizard te gebruiken. Kies voor een voor jezelf makkelijk te onthouden passphrase maar wel eentje die uniek is en niet te gokken of raden valt door anderen.

Het gebruik van email met encryptie

Er zijn als je een email wilt versturen twee opties bijgekomen. Met de ene optie, het icoon met het potloodje kan een email ondertekend worden. Dit geeft de ontvanger meer zekerheid dat de email van jou afkomstig is maar zal de inhoud van de email niet encrypten.

De tweede optie die er bij gekomen is het slotje, als dit geactiveerd is/wordt zal je email worden encrypted. Dit kan overigens alleen als je de publieke sleutel van de ontvanger hebt gekregen of via een keyserver hebt opgezocht en in het sleutelbeheer van Enigmail hebt geimporteerd.

Als ge-encrypte email wordt ontvangen zal Thunderbird dit automatisch zien en vragen om de passphrase van je geheime sleutel. Onthoud deze passphrase dus goed.

Hulp nodig?

Wil je als particulier of bedrijf met encryptie en dus veiliger gebruik willen maken van email maar heb je hulp nodig? Geen probleem, LinuxPro biedt deze hulp aan, neem even contact op voor de mogelijkheden.

Encryptie met luks

Algemeen

Met LUKS (Linux Unified Key Setup) kunnen blockdevices (een disk, usb stick enz) worden voorzien van encryptie. De data wordt beveiligd met een passphrase en gebruikt het kernel device mapper systeem en is dus geschikt voor fysieke en virtuale machines.

De volgende stappen worden dan eenmalig ondernomen:

• formatteren van het te encrypten blockdevice
• het openen / mappen van het blockdevice via de device-mapper
• aanmaken van een filesysteem

Als deze stappen doorlopen zijn kan het ge-encrypte blockdevice net zoals elk ander via het commando mount gemount worden.

Formatteren van het te encrypten blockdevice

Stel dat we van de harddisk /dev/sdc de eerste partitie geschikt moet worden gemaakt voor encryptie. Dan wordt het volgende commando gegeven:

            cryptsetup luksFormat /dev/sdc1

Openen / mappen van het encrypte blockdevice

Om een blockdevice, zoals in voorbeeld /dev/sdc1 te openen en beschikbaar te maken voor het OS wordt onderstaand commando gegeven. Hier wordt /dev/sdc1 gemapt naar enc

            cryptsetup luksOpen /dev/sdc1 enc

Aanmaken van een filesysteem

Nu is het ge-encrypte blockdevice geopend en moet er een filesysteem op worden aangemaakt. In dit voorbeeld wordt /dev/mapper/enc voorzien van een ext4 filesysteem:

            mkfs.ext4 /dev/mapper/enc

Mount een encrypted disk of partitie

            mount /dev/mapper/enc /secure

Data / usb stick beveiliging

Algemeen

Het gebruik van USB sticks is niet meer weg te denken. Daar waar (heel) vroeger floppydisks portable dataopslag bieden heeft de USB stick die taak volledig overgenomen. Met opslagcapaciteiten van meerdere gigabytes is het een handel, klein en makkelijk apparaat om data mee te nemen. Echter, hoe zit het met gevoelige data of bedrijfsinformatie die op zo'n stick staat en vervolgens ergens vergeten of gestolen wordt. Dan hebbben we de poppen aan het dansen.

In sommige wanhoopspogingen werd wel eens getracht om bijv. vanuit systeembeheer het gebruik van USB sticks te verbieden of tegen tegen te gaan. Dat heeft in de praktijk inmiddels bewezen een kansloze manier te zijn om het gebruik te reguleren.

Alternatieven

Als verbieden of tegen gaan niet werkt, wat zijn dan de alternatieven. Dat hangt mede af van het te bereiken doel. Als we uitgaan van het veilig transporteren van data dan zijn er een paar alternatieven:

• USB sticks met biometrische beveiliging
• Encrypten / coderen van data op de USB stick

Uiteraard zijn er meerdere mogelijkheden maar in dit documenten behandelen we alleen deze twee.

USB sticks met biometrische beveiliging

Dit zijn USB sticks waarvan de data pas toegankelijk is nadat de eigenaar met behulp van een vingerafdruk zich geidentificeerd heeft. Op de USB stick zit hiervoor een vingerafdrukscanner. Sommige types kennen daarnaast nog een encryptie waardoor de data dubbel beveiligd is. Een groot nadeel van deze biometrisch beveiligde USB stick is dat de meeste een klein programma of driver nodig hebben voor de werking. Dat kleine programma of driver is vaak alleen beschikbaar voor pc's met Windows en heel soms ook voor Apple OS-X. Deze USB sticks zijn waardeloos als bijv. linux gebruikt wordt of de gebruiker van een Windows pc niet voldoende rechten heeft om het programma'tje of driver te installeren. Er is een enkele, zeer prijzige, USB stick die volledig zelfstandig werkt en daardoor dit probleem niet kent. Echter de prijs vormt hier dan het grootste probleem.

Encrypten / coderen van data op de USB stick

Een andere optie is om alle data of een gedeelte ervan te beveiligen door het te encrypten. Een veelgebruikt programma hiervoor is Truecrypt. Dit is een open-source en vrij te gebruiken encryptieprogramma en kent versies voor Windows, Apple OS-X en linux. Dat maakt het breed inzetbaar en vooral ook betaalbaar.

Truecrypt

[Update 12-02-2017] inmiddels is Truecrypt geen optie meer. Het programma wordt al een tijd niet meer onderhouden en er zijn serieuze kwetsbaarheiden ontdekt in de oude source-code. Voor alternatieven : https://www.comparitech.com/blog/information-security/truecrypt-is-discoutinued-try-these-free-alternatives/

Truecrypt is vrij te gebruiken voor Windows, Apple OS-X en linux gebruikers, maar wat kan het en hoe werkt het. Met Truecrypt kan een complete USB stick of een gedeelte ervan worden ge-encrypt. De gebruikte encyptietechnieken behoren tot de beter die beschikbaar zijn. Hierdoor is de kans dat de data door onbevoegden kan worden gelezen tot een minimum beperkt. Er zijn zoals al aangegeven twee opties, of de hele USB stick wordt door Truecrypt ge-encrypt of er kan gekozen worden om een deel van de stick te voorzien van een zgn. ge-encrypte container. Deze container is eigenlijk een bestand wat, nadat het door Truecrypt is geopend, als een extra disk beschikbaar komt voor de gebruiker.

De beveiliging van een complete USB stick of beveiligde container gebeurd met een zgn. passphrase. Een zin die alleen de gebruiker kent en slechts 1x hoeft in te geven als Truecrypt de beveiligde container met bestanden wil openen. Daarna kan de gebruiker de USB stick gewoon gebruiken zoals elke andere. Dat maakt dat het ook voor de gebruiker een eenvoudig te gebruiken manier is om data veilig op een UBS stick te transporteren.

Voor de downloads en manuals,zie http://www.truecrypt.org