1. #algoritme
  2. #cybercriminaliteit
  3. #encryptie
  4. #truecrypt
  5. #wachtwoorden
  6. Artikelen

<< error >> (our Markdown requires webpage links, not image links, see manual)

Nuttig lesje leren van pedo’s

Wat Robert M. deed met zijn pc, kunnen en zouden we thuis eigenlijk allemaal moeten doen.

Het is goed, gratis en veilig. En je kunt het met een druk op de knop downloaden: een versleutelprogramma waarmee je computerbestanden afschermt met een onmogelijk te kraken code. Robert M. deed het en Julian Assange zette een gecodeerde ‘insurance’-file online voor als hem wat overkomt. Kunt u ook met programma’s als Safetica Personal Edition, PGP (Pretty Good Privacy) en TrueCrypt die gratis zijn te downloaden voor thuisgebruik.

Maar zijn die programma’s nou echt niet te kraken? ‘Nee, de cryptografen hebben het gewonnen van de cryptoanalisten’, constateert directeur Ronald Prins van IT-beveiligingsbedrijf Fox-IT – de codemakers verslaan de codekrakers. De algoritmen die ter beveiliging van programma’s als TrueCrypt worden gebruikt komen uit academische kringen en zijn open source. Dat betekent dat de hele wereld ernaar kijkt en ze samen beter maakt.

Made in Belgium
Het best aangeschreven staat Advanced Encryption Standard (AES) Rijndael dat werd ontworpen door twee Belgen die er in 2001 een prijsvraag van het Amerikaanse National Institute of Standards and Technology mee wonnen. Sindsdien is AES zelfs bij de National Security Agency dé standaard.

Zelfs Prins, die justitie regelmatig adviseert over cybercriminaliteit, raadt iedereen aan om het te installeren. ‘Bij opsporingswerkzaamheden is het vervelend, maar het maatschappelijk belang dat iedereen zijn computer dichtzet is veel groter.’ Met cybercriminaliteit in opkomst moeten burgers zich er namelijk bewust van zijn dat vertrouwelijke informatie op hun pc makkelijk kan worden gestolen, vindt Prins.

Op computerveiligheidsgebied ziet hij wrang genoeg pedo’s mijlen voorlopen. ‘Die sturen elkaar gewoon handleidingen over hoe ze de boel het beste kunnen beveiligen.’

De enige manier om de beveiliging van bijvoorbeeld TrueCrypt te kraken is door er ieder mogelijk wachtwoord op los te laten met een brute force attack. Een ondoenlijk karwei dat minimaal decennia (of zelfs miljoenen jaren) kan duren bij wachtwoorden van 20 tekens.

Rubber hose
Eigenlijk is er maar een manier van kraken die experts de rubber-hose cryptanalysis noemen. In gewone-mensen-taal: het wachtwoord uit iemand slaan. Klinkt James Bond en is onmogelijk in een rechtsstaat, maar het werkt het beste. Moderne cryptosystemen zijn namelijk zo geavanceerd dat de zwakste schakel de menselijke gebruiker is die zijn wachtwoord laat slingeren of het verklapt.

TrueCrypt biedt daar zelfs een oplossing voor dat het ‘plausibel deniability’ noemt. ‘In case an adversary forces you to reveal the password’ kun je een wachtwoord opgeven waarmee slechts een deel van de schijf wordt geopenbaard. Handig als je bijvoorbeeld de verboden, maar onschuldige film Eyes Wide Shut Singapore in wilt smokkelen.

www.depers.nl

No Rights Apply
1