Gevoelige gegevens zijn het best beschermd tegen toegang door vreemde gebruikers als ze gecodeerd zijn. Met EFS biedt Windows XP Professional een optie voor bestandscodering, maar dit is niet voor elk doel de optimale oplossing. Gebruikers van Windows XP Home beschikken helemaal niet over een dergelijke functie. In het volgende artikel presenteren we programma’s voor verschillende scenario’s en laten we zien hoe ze verstandig gebruikt kunnen worden.
Inhoudsopgave
Een kort uitstapje naar encryptie
Bij versleuteling wordt de inhoud van een bestand door een algoritme in combinatie met een sleutel (vaak ook wachtwoord genoemd) zodanig veranderd dat de eigenlijke inhoud niet meer herkenbaar is. Bij ontcijfering wordt dit proces omgekeerd. De wetenschap achter encryptie en decryptie wordt cryptografie genoemd.
Versleutelingsvarianten
Er zijn in principe 3 soorten versleuteling.
a.) Symmetrische versleuteling
Bij deze variant wordt dezelfde sleutel gebruikt voor vercijfering en ontcijfering. Alleen met een voldoende lange sleutel en een veilig versleutelingsalgoritme zijn de versleutelde bestanden veilig tegen zogenaamde “brute force attacks”, waarbij alle mogelijke sleutels na elkaar worden geprobeerd. Momenteel wordt de Advanced Enryption Standard (AES) als veilig en onbreekbaar beschouwd. Het algoritme is vrij beschikbaar en kan zonder licentiekosten in hardware en software worden gebruikt. Blowfish wordt momenteel ook als veilig beschouwd en werkt in verschillende vergelijkende tests iets sneller dan AES. Het verouderde DES daarentegen mag niet meer worden gebruikt, omdat het met zijn sleutellengte van slechts 56 bits in principe niet bestand is tegen een langere brute force-aanval. DES is inmiddels vervangen door AES.
b.) Asymmetrische versleuteling
In tegenstelling tot symmetrische encryptie, gebruikt asymmetrische encryptie, ook bekend als de publieke-sleutelmethode, 2 sleutels. Elke gebruiker heeft twee sleutels: een openbare sleutel en een privésleutel.
Bestanden worden versleuteld met de publieke sleutel en kunnen alleen met de privésleutel weer worden ontsleuteld. Als 2 gebruikers de openbare-sleutelmethode gebruiken, hoeft de verzender alleen de openbare sleutel van de ontvanger te kennen om het bestand daarmee te versleutelen. De ontvanger kan het bestand dan alleen weer ontsleutelen met zijn privésleutel. Voor alle andere gebruikers is het bestand echter waardeloos omdat de privésleutel ontbreekt. Het Encryption File System (EFS) van Windows XP Professional of Windows Server 2003 maakt bijvoorbeeld gebruik van de asymmetrische versleutelingsmethode.
c.) Combinatie: hybride versleuteling
Hybride versleuteling is een combinatie van asymmetrische en symmetrische versleuteling. Hierbij wordt gebruik gemaakt van de voordelen van beide procedures – de hoge snelheid voor de symmetrische versleuteling van de gebruikersgegevens en de veiligere asymmetrische versleuteling voor de kleine sessiesleutel. De procedure wordt onder meer gebruikt in het IPsec-netwerkprotocol. De bekendste vertegenwoordigers van hybride versleuteling zijn PGP (of GnuPG) en S/MIME.
Het werkt als volgt: een document wordt versleuteld met een symmetrische sleutel. Deze sleutel zelf wordt vervolgens versleuteld met de publieke sleutel van de ontvanger en kan alleen weer worden ontsleuteld met de privésleutel van de ontvanger. Dit voorkomt dat grote hoeveelheden gegevens met de trage asymmetrische methode moeten worden versleuteld en ontsleuteld. Alleen de sleutel van de symmetrische procedure hoeft op deze manier te worden versleuteld en ontsleuteld.
Als u zich nader wilt verdiepen in cryptografie, moet u eens kijken naar CrypTool. CrypTool is een gratis programma dat u helpt cryptografische procedures toe te passen en te analyseren. Zo kunt u nieuwe documenten maken en bestaande documenten openen en verder bewerken. Een document kan worden versleuteld en ontsleuteld met verschillende versleutelingsmethoden. Zowel klassieke (bijvoorbeeld de Caesar-coderingsmethode) als moderne cryptografische methoden (bijvoorbeeld de RSA- en DES-methoden en methoden gebaseerd op elliptische krommen) zijn beschikbaar.
 |
| CrypTool Klik op de afbeelding om te vergroten |
Programma’s voor het coderen en decoderen van bestanden en mappen
Op WinTotal hebben we in de rubriek Encryptie en Wachtwoorden een kleine selectie van programma’s over dit onderwerp. De selectie maakt geen aanspraak op volledigheid en bevat alleen programma’s die naar onze mening bijzonder aanbevelenswaardig zijn vanwege hun functieaanbod, prijs en prestaties.
Met de volgende programma’s kunt u eenvoudig bestanden versleutelen en ontsleutelen. U hebt alleen de geheime sleutel nodig. Wanneer u het bestand verstuurt, moet de ontvanger hetzelfde programma gebruiken om het bestand weer te ontsleutelen, tenzij het versleutelingsprogramma een uitvoerbaar bestand kan maken dat na een dubbelklik vraagt om de sleutel in te voeren en vervolgens de inhoud zelf ontsleutelt.
Geavanceerde bestandsbeveiliging
Het eenvoudige Advanced File Security versleutelt bestanden met het AES-algoritme en maximaal 256 bits. De freeware, die ook commercieel kan worden gebruikt, integreert zichzelf na installatie in het contextmenu van de Verkenner en kan van hieruit bestanden versleutelen en ontsleutelen.
 |
| Geavanceerde bestandsbeveiliging |
Het eigenlijke programma kan ook zonder installatie worden gestart en is dus ook geschikt voor mobiele gegevensdragers zoals USB-sticks. Het bronbestand kan na versleuteling worden verwijderd.
 |
| Geavanceerde bestandsbeveiliging Klik op de afbeelding om te vergroten |
Shareware, Duits, Downloaden via WinTotal (helaas niet langer freeware)
AxCrypt
AxCrypt, dat gebaseerd is op een open source licentie, integreert zichzelf na installatie ook in het contextmenu.
 |
| AxCrypt |
Naast encryptie en decryptie met AES (128-bit) kan AxCrypt ook bestanden versleutelen als een EXE. Het aldus versleutelde bestand kan door de ontvanger na het invoeren van de sleutel zonder verdere software weer worden ontsleuteld.
 |
| AxCrypt |
Daarnaast kan de software ook bestaande bestanden veilig verwijderen met een data shredder door ze te overschrijven met willekeurige inhoud voordat ze worden verwijderd.
Open Source, Meertalig, Downloaden via WinTotal
Sophos Gratis Encryptie
Sophos Free Encryption is de licentievrije versie van SafeGuard PrivateCrypto. Sophos Free Encryption biedt ook 128-bit AES-versleuteling en kan versleutelde bestanden opslaan als EXE-bestanden, die optioneel kunnen worden gecomprimeerd. De software is echter alleen gratis voor privégebruik.
Gratis voor privégebruik, Duits/Engels, te downloaden via WinTotal
De eerste groep gepresenteerde programma’s is alleen geschikt voor het versleutelen van individuele bestanden of mappen. Een andere methode is het versleutelen van hele containerbestanden, die net als harde schijven toegankelijk zijn. Onze favoriet hiervoor is het gratis TrueCrypt. Een containerbestand is een bestand dat van buitenaf niet zichtbaar is, dat van binnen versleuteld is, een bestandssysteem met de eigenlijke gegevens verbergt en door TrueCrypt gemount wordt, vergelijkbaar met een ISO-image.
TrueCrypt
TrueCrypt, dat beschikbaar is onder een open source licentie, creëert versleutelde volumes die in het systeem kunnen worden gemount zoals normale harde schijven. Een volume kan een containerbestand zijn of een echte schijf (USB-stick, harde schijf partitie). Zonder decryptie zijn noch de bestandsstructuur noch de inhoud van de volumes zichtbaar.
 |
| TrueCrypt Klik op de afbeelding om te vergroten |
Op de schermafbeelding ziet u een containerbestand van 199 MB met de letter F: evenals een USB-stick met 509 MB, die beide zijn versleuteld en geregistreerd als volumes. U hebt toegang tot beide volumes via de letters E en F zoals bij normale harde schijven.
TrueCrypt is uiterst krachtig qua prestaties en functionaliteit. De vele opties zijn allemaal beschreven in een gedetailleerd Engels PDF-bestand. U kunt bijvoorbeeld met de opties bepalen hoe lang de volumes toegankelijk zijn als er geen lees- of schrijftoegang is. Na xx minuten vergrendelt TrueCrypt de volumes en moet de sleutel opnieuw worden ingevoerd. De belangrijkste functies van TrueCrypt zijn toegankelijk via het systray-pictogram .
Open source, Duits/Engels, te downloaden via WinTotal
Mogelijke toepassingsgebieden voor TrueCrypt
USB-stick met versleuteling en NTFS als bestandssysteem
Als de USB-stick bijvoorbeeld geen versleuteling biedt, kunt u deze achteraf gewoon versleutelen met TrueCrypt. Klik daarvoor op Volume maken.
 |
| Volume aanmaken Klik op de afbeelding om te vergroten |
De volgende wizard helpt u bij het aanmaken van een TrueCrypt-volume.
Opmerking: Verborgen volumes zijn een speciale functie van TrueCrypt. Hier verbergt het programma een gecodeerd containerbestand binnen een gecodeerd containerbestand. Afhankelijk van het ingevoerde wachtwoord wordt het buitenste of binnenste bestand geopend. Mocht u dus ooit gedwongen worden een wachtwoord af te geven, dan kunt u zelfs het zogenaamd juiste wachtwoord veilig prijsgeven zonder argwaan te wekken.
In het volgende dialoogvenster selecteert u de bestemming van het volume. Voor een USB-stick klikt u op Gegevensvolume en selecteert u het betreffende gegevensvolume (in het voorbeeld U:).
 |
| Gegevensdrager selecteren Klik op de afbeelding om te vergroten |
In het volgende dialoogvenster kunt u het coderingsalgoritme selecteren, waaronder AES en BlowFish.
 |
| Selecteer encryptie-algoritme Klik op de afbeelding om te vergroten |
Afhankelijk van het gebruikte algoritme verandert ook de schrijf- en leessnelheid op het volume. Met de knop “Benchmark Test” kunt u de snelheid afhankelijk van het algoritme testen. In de regel selecteert u AES of Blowfish.
In het dialoogvenster voor het formatteren van het volume kunt u vervolgens ook het bestandssysteem van het volume opgeven. Dit maakt het mogelijk om met NTFS te werken, zelfs op USB-sticks die normaal gesproken alleen FAT als bestandssysteem bieden.
 |
| Formatteren selecteren Klik op de afbeelding om te vergroten |
Als het formatteren klaar is, kunt u het zojuist aangemaakte volume in het programmavenster selecteren door op de knop “Disk” te klikken en het vervolgens als station te mounten. U bepaalt zelf de te gebruiken letter.
 |
| Volume als schijf koppelen Klik op de afbeelding om te vergroten |
Als u nu in het voorbeeld op “Mount” klikt, wordt het volume op de USB-stick in het systeem geregistreerd als een NTFS-gegevensdrager met de letter E:.
Virtuele volumes via containerbestanden
Een ander toepassingsgebied is het gebruik van containerbestanden. Ook deze kunnen via de wizard worden aangemaakt. Hier kiest u echter “Bestand” als doel en kent u een eigen naam toe. In tegenstelling tot het vorige voorbeeld bepaalt u deze keer zelf de grootte van het volume.
 |
| Volume als containerbestand Klik op de afbeelding om te vergroten |
U kunt het voltooide volume ook als een containerbestand mounten en het aanspreken als een harde schijf.
|
| TrueCrypt met gemounte volumes Klik op de afbeelding om te vergroten |
Traveller-schijf in actie
Een andere specialiteit van TrueCrypt is de traveller disk functie. Hiermee kun je een gegevensdrager voorzien van een autostartfunctie. De wizard kopieert alle benodigde bestanden en een autorun.inf naar een gegevensdrager en kan een volume automatisch mounten.
 |
| Reizende schijf aanmaken |
In het voorbeeld kopiëren we de travellerschijfbestanden naar een USB-stick (letter U:) en geven we aan dat het virtuele volume “Container” automatisch moet worden gemount in het pad c: met de eerste vrije stationsletter. Als de USB-stick nu wordt ingeplugd, hoeft men alleen de sleutel in te voeren en dan heeft men toegang tot het volume “container”.
U zou de traveller disk files ook samen met een volume op een CD/DVD kunnen branden, maar dan zou u moeten werken met relatieve (bijv. homedata) paden in het “mount option” pad. Als je zo’n CD/DVD zou plaatsen, zou er automatisch een volume op gemount worden zodra je de sleutel invoert.
Met behulp van de reizende schijf op een USB-stick of een diskette, samen met een volume in een containerbestand, kunt u privégegevens veilig op de bedrijfs-pc opslaan (indien toegestaan), maar beschermen tegen toegang door andere medewerkers en beheerders. Aangezien u de bestandsnaam van het containerbestand vrij kunt kiezen, kunnen deze bestanden onopvallend worden verborgen in de diepte van een harde schijf. Wie zou bijvoorbeeld achter default.tmp een container met privégegevens vermoeden?
Hybride versleuteling met PGP en OpenPGP
PGP
PGP is de bekendste software voor het versleutelen van allerlei soorten gegevens. Het programma maakt gebruik van het hybride encryptiesysteem, dat in het begin is uitgelegd. Voor het downloaden moet u minimaal een geldig e-mailadres opgeven, waarna u de downloadlink samen met een proeflicentie als PDF per e-mail ontvangt. Dit is een proefversie die na 30 dagen terugschakelt naar een freeware versie. De volgende functies blijven actief: PGP bestandscodering en -ondertekening, PGP Zip en codering, verificatie en ondertekening van de inhoud van het actieve venster en het klembord. De functies worden zo dadelijk uitgelegd. Tijdens de installatie moeten naam, mailadres en licentienummer worden ingevuld.
Freeware, Meertalig, Downloaden via WinTotal
Tijdens de installatie kunt u sleutels aanmaken of bestaande importeren. PGP ondersteunt onder andere AES en TripleDES.
 |
| PGP sleutel instellingen |
De interface van het programma is eenvoudig en overzichtelijk gehouden:
 |
| PGP Desktop Klik op de afbeelding om te vergroten |
Het programma biedt de volgende functies in de trial/full version modus:
- PGP Whole Disk: versleuteling van hele schijven
- PGP Virtual Disk: beveilig bestanden, mappen, USB-drives en CD’s met behulp van versleutelde containers.
- PGP Mail: automatische versleuteling en ondertekening van e-mails en bijlagen
- PGP Secure Messenger: versleuteling van AOL Messenger berichten (dus ook ICQ)
- PGP Zip: compressie en versleuteling van berichten, mailbijlagen en bestanden
- PGP Shred: veilig verwijderen van gegevens
Qua werking is dit programma voorbeeldig. De integratie in Windows en mailprogramma’s is zeer goed. Enkele voorbeelden:
 |
| Integratie in het contextmenu |
 |
| Integratie in mailclients |
 |
| PGP Desktop Klik op de afbeelding om te vergroten |
Het versleutelen en ondertekenen van mail vereist geen configuratie-inspanning in het mailprogramma. Zodra PGP een mail herkent via bekende mailpoorten, wordt de versleuteling en/of ondertekening automatisch toegepast, afhankelijk van de configuratie.
Gebruiksvriendelijker kan encryptie nauwelijks zijn. De thuisversie van PGP Desktop kost echter ook 105 euro. Wie zijn portemonnee dat niet aankan, kan eens kijken naar het gratis alternatief: OpenPGP.
OpenPGP
OpenPGP is een gestandaardiseerd hybride encryptie- en ondertekeningsprotocol dat in 1998 werd gelanceerd na een reeks gebeurtenissen. OpenPGP is gebaseerd op de broncode van PGP 5.x, die in boekvorm werd geëxporteerd vanwege de toenmalige exportregels in de VS. Deze voorschriften bepaalden dat encryptie >40 bits verboden was. Bovendien waren de in PGP gebruikte algoritmen (IDEA en RSA) gepatenteerd. Er waren ook valse geruchten dat er backdoors bestonden in PGP.
Inmiddels volgt PGP bijna volledig de oorspronkelijk erna ontwikkelde OpenPGP standaard, zodat er nauwelijks problemen zijn bij het uitwisselen van gegevens.
De eerste implementatie van OpenPGP was GnuPG, dat vandaag de dag nog steeds in veel programma’s wordt gebruikt. Er was bijvoorbeeld een suite genaamd GnuPT, die sleutelbeheer, mailversleuteling en bestandsversleuteling combineerde. De ontwikkeling werd echter stopgezet ten gunste van een ander open source project genaamd gpg4win, dat niet zo gestroomlijnd was als GnuPT. Beide programma’s hebben één ding gemeen: helaas is er geen uniforme gebruikersinterface. Hieronder wordt gpg4win gepresenteerd in zijn huidige versie 1.00 (april 2006). Vervolgens zal een uitbreiding voor het mailprogramma Thunderbird, genaamd EnigMail, die gebruiksvriendelijke mailvercijfering en ondertekening biedt, een ander onderwerp zijn.
gpg4win
Zoals reeds vermeld, bestaat gpg4win uit individuele componenten die geselecteerd kunnen worden in het installatieprogramma:
 |
| gpg4win Installer |
De tools in detail zijn:
- GnuPG – opdrachtregelprogramma, zorgt voor de eigenlijke versleuteling
- GPGol – een Outlook 2003 plug-in voor het versleutelen en ondertekenen van mails
- GPA – sleutelbeheer
- WinPT – alternatief sleutelbeheer – beslis zelf welke het beste bij u past
- GPGee – contextmenu-extensie voor Windows Verkenner voor versleuteling en ondertekening
- Sylpheed – POP3 mail client en nieuwslezer met geïntegreerde GnuPG ondersteuning
Net als bij PGP maakt u eerst een persoonlijke sleutel aan in het sleutelbeheer. Deze sleutel heeft een publiek en een geheim deel. De sleutel kan worden gebruikt voor certificering, ondertekening en versleuteling. De integratie in Outlook 2003 biedt een knop in de hoofdinterface van Outlook 2003 voor toegang tot het sleutelbeheer en 2 knoppen (Versleutelen + Ondertekenen) bij het aanmaken van een mail.
 |
| Integratie in Outlook Klik op de afbeelding om te vergroten |
Er is een tabblad in de Outlook-opties met belangrijke instellingen voor de plug-in.
 |
| Instellingen voor de plug-in |
Nu heb je alle technische middelen die nodig zijn. Nu heb je alleen nog de publieke sleutel nodig van de persoon aan wie je een versleuteld bericht wilt sturen. De persoon kan deze sleutel als ASC-bestand exporteren in het sleutelbeheer. Er bestaan ook zogenaamde sleutelservers, die de publieke sleutels van vele personen bewaren. Ook daarvan kunt u sleutels importeren in uw eigen sleutelbeheer.
EnigMail
EnigMail is een plug-in voor de mailclient Thunderbird en biedt OpenPGP-versleuteling en -ondertekening. Het programma vereist een geïnstalleerde GnuPG, dus gpg4win kan hier ook gebruikt worden. De download is beschikbaar als een XPI-bestand, dat kan worden geïnstalleerd via Extras – Extensions in Thunderbird.
Open Source, Meertalig, Downloaden via WinTotal
Na installatie moet eerst het pad naar GnuPG (gpg.exe) worden ingesteld.
 |
| EnigMail – Instellingen |
EnigMail is dan klaar voor gebruik.
 |
| EnigMail klaar voor gebruik Klik op de afbeelding om te vergroten |
Na het klikken op “Verzenden” worden de berichten volgens de instellingen versleuteld en/of ondertekend en vervolgens verzonden.
Andere mailclients
Voor bijna elke mailclient is er ook een mogelijkheid om OpenPGP of zijn implementatie GnuPG te gebruiken. U vindt veel informatie op deze pagina. De pagina wordt ook speciaal aanbevolen voor implementaties van mailprogramma’s. U vindt er bijvoorbeeld programma’s als GPGRelay – een mailproxy die encryptie en decryptie biedt voor POP3 en SMTP. IMAP-ondersteuning is technisch beschikbaar, maar werkt niet goed en wordt momenteel niet verder ontwikkeld. Voor Outlook Express 5.0/5.5/6.0 is er een plug-in van de ontwikkelaar van het sleutelbeheer WinPT, die gewoon gebruik maakt van de bestaande versleutelings- en ondertekeningsknoppen van de in Outlook Express geïmplementeerde S/MIME-ondersteuning.
Conclusie
Afhankelijk van het toepassingsgebied en het doel zijn er verschillende oplossingen en werkwijzen voor encryptie, vaak zelfs gratis. In de toekomst hoeven gevoelige gegevens niet meer onbeveiligd te worden opgeslagen of naar het internet te worden gestuurd. Het is aan de gebruiker om de veiligheid van de gegevens te waarborgen. De mogelijkheden zijn in ieder geval voor iedereen beschikbaar en bruikbaar.
Mochten zich problemen voordoen met uw encryptiesoftware, dan is de website van de fabrikant altijd een goede plek om te beginnen.