InfoNu.nl > Pc en Internet > Hardware > Harde schijf beveiliging

Harde schijf beveiliging

Het computer systeem waar we het meest op werken kan vertrouwelijke documenten bevatten. Maar ook privégegevens zoals e-mail berichten, belastingaangiftes, vakantiefoto's en dergelijke zijn zaken die we privé willen houden, ook wanneer ons computersysteem gestolen wordt of wanneer wij dit onverhoopt kwijtraken.

Gestolen of verloren laptop/werkstation

Het gebruik van laptops is tegenwoordig niet meer voorbehouden aan de luxe zakenman, maar is er voor student tot directeur: de laptop is voor veel mensen te betalen. De toename van laptops leidt ook tot een toename van diefstal. Alhoewel de meeste mensen hun laptop niet zo snel kwijt zullen raken als een USB-stick, komt ook dit voor. In de media hebben we zelfs voorbeelden gezien van laptops die uit een politieauto gestolen worden. Dit kan natuurlijk verstrekkende gevolgen hebben. Veel (ICT) werkgevers rusten al hun medewerkers uit met een 'laptop van de zaak'. Behalve dat het handig is dat al die medewerkers overal kunnen werken, kan dit ook betekenen dat de bedrijfsgevoelige informatie zich heeft verplaatst van binnen het kantoor naar buiten op straat. De kans is dat één van die laptops een keer kwijtraakt of gestolen wordt, is aanzienlijk.

Het verliezen van een compleet werkstation zal niet gauw voorkomen, echter een gestolen werkstation komt wel voor. Bij bijvoorbeeld een inbraak is hardware vaak gewild bij de inbreker. In dit geval kan er veel data verloren gaan en kan bepaalde informatie ongewenst publiek eigendom worden.

Oplossing: Versleutelde disk

De oplossing is een versleutelde disk, ook wel 'full disk encryption' genoemd. Een versleutelde disk is een harde schijf waar elke bit versleuteld is, dus ook het gehele besturingssysteem. Er is echter wel één uitzondering, namelijk de Master Boot Record (MBR). Deze is nooit versleuteld. De MBR is altijd vrij toegankelijk, omdat de BIOS anders niet weet welke partitie er opgestart moet worden en waar deze partitie op de harde schijf begint.

Bij een versleutelde disk vindt er een extra authenticatie moment plaats, nog voordat het besturingssysteem is opgestart. Dit noemen we ook wel pre-boot authenticatie. Naast het gebruik van een sleutel kan er bij een versleutelde disk gebruik worden gemaakt van twee factoren authenticatie. Voorbeelden van mogelijke extra authenticatiemethoden zijn tokens, speciale hardware en een netwerkconnectie.

Een voordeel van een versleutelde disk is dat de gebruiker van het computersysteem zich nooit hoeft af te vragen of een bestand wel of niet versleuteld dient te worden, omdat sowieso alle bestanden versleuteld zijn. Op deze manier hoeft een werkgever zich niet druk te maken of zijn werknemers er wel aan denken de gevoelige data te beschermen, wan dat gebeurt automatisch.

De sleutel kan een nadeel zijn. Wanneer deze oplossing als stand-alone-oplossing gebruikt wordt, is er geen mogelijkheid om het computersysteem op te starten zonder de sleutel. Dus wanneer je ooit de sleutel kwijtraakt, rest er maar één optie: de harde schijf formatteren en het besturingssysteem opnieuw installeren.

TrueCrypt

Met TrueCrypt heb je de mogelijkheid om een systeemschijf of partitie helemaal te versleutelen. Wanneer we een systeempartitie geheel versleutelen, vindt de zogenaamde pre-boot authenticatie plaats. Op dat moment is het gehele besturingssysteem versleuteld, inclusief swapfile en tijdelijke bestanden, en moet eerst het TrueCrypt wachtwoord ingevoerd worden voordat men gebruik kan maken van het besturingssysteem. TrueCrypt biedt de mogelijkheid om een TrueCrypt Rescue Disk aan te maken. Deze reddingsdiskette is de enige mogelijkheid om nog in het systeem te komen indien je je wachtwoord vergeten bent.

Safeboot

Een commercieel softwareproduct dat veel gebruikt wordt voor full disk encryption is Safeboot. Eind 2007 is Safeboot overgenomen door McAfee, en heet sindsdien Safeboot Encryption McAfee Eindpoint Encryption. We spreken in dit artikel over Safeboot, omdat dit nog de gangbare naam is voor het product.

Safeboot biedt de mogelijkheid om van een centrale server de encryptie, en alle daaraan verbonden authenticatieregels, te beheren. Met andere woorden: Safeboot biedt de mogelijkheid om vanaf één centrale server de encryptie-instellingen van honderden werkstations te beheren.

De centrale beheermogelijkheid, de integratie in netwerkstructuren zoals de Active Directory en ook de integratie met tokens en dergelijke, maken van Safeboot een complete oplossing voor bedrijven.

Trusted Platform Module

De Trusted Platform Module (TPM) is een kleine cryptografische processor die in staat is cryptografische sleutels te genereren. Ook is elke TPM-chip uitgerust met een unieke RSA-sleutel (RSA is een veelgebruikt asymmetrisch encryptie-algoritme.

Deze unieke sleutel biedt full disk encryptionsoftware de mogelijkheid de authenticatie door de hardware te laten verzorgen. Met andere woorden: wanneer een versleutelde harde schijf opstart, kan deze aan de hardware vragen 'wat is jouw TPM-sleutel?'. Is deze niet bekend, dan wordt er geen toegang verschaft tot het besturingssysteem. TPM kan ook hashwaarden van de aanwezige hardware maken. Op deze manier kan het systeem de toegang blokkeren wanneer de hardware gewijzigd is. Momenteel is Microsoft's BitLocker de enige disk encryptionsoftware die gebruikmaakt van TPM. Aangezien steeds meer laptops standaard een TPM-chip hebben en het initiatief gesteund wordt door Microsoft, Nokia, Dell, Intel, AMD, IBM en vele andere producenten, is de verwachting dat het gebruik van TPM alleen maar zal toenemen.

BitLocker

Microsoft biedt sinds de komst van Windows Vista ook een vorm van versleuteling aan, onder de naam BitLocker. Deze software is beschikbaar in Windows Vista Enterprise, Windows Vista Ultimate, Windows 7 en Windows Server 2008. BitLocker kan geintegreerd worden met de Active Directory.

BitLocker biedt een aantal verschillende pre-boot authenticatiemethoden aan:
  • TPM-chip. Start alleen indien de chip aanwezig is.
  • TPM-chip en pincode. Start alleen indien chip aanwezig is en de juiste pincode ingevoerd is.
  • TPM-chip, pincode en USB-stick. Start alleen indien chip, pincode en USB-stick is aangesloten welke de opstartsleutel bevat.
  • TPM-chip en USB-stick. Start alleen indien chip aanwezig is en de USB-stick is aangesloten welke de opstartsleutel bevat.
  • USB-stick. Start alleen indien er een USB-stick is aangesloten welke de opstartsleutel bevat.

BitLocker biedt dus verschillende vormen van pre-boot authenticatie aan waarbij gebruik kan worden gemaakt van multifactor-authenticatie.

Het is met BitLocker alleen mogelijk partities te versleutelen en niet de gehele disk. Er moet bij BitLocker altijd een bootpartitie van minimaal 1.5 GB zijn. Deze bootpartitie wordt niet versleuteld. BitLocker is, formeel gesproken, dan ook geen full disk encryptionsoftware.

BitLocker kan tijdens de installatie mee geinstalleerd worden, maar dit kan ook achteraf. Om BitLocker achteraf te installeren kan men gebruikmaken van de BitLocker Disk Prepartion Tool. Deze tool kan de grootte van partities aanpassen en de nieuwe bootpartitie aanmaken en inrichten.
© 2012 - 2019 Tomski, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Alles over de Chromebook laptopAlles over de Chromebook laptopEen artikel alles over een geheel nieuw product die op de markt is verschenen ‘de Chromebook laptop’. Dé Chrombook is ge…
Wat is een SSL certificaat?SSL certificaten zijn niet heel bekend onder gewone internetgebruikers. Men weet echter vaak wel dat de beveiliging van…
Bronnen en referenties
  • http://www.truecrypt.org/
  • http://windows.microsoft.com/nl-NL/windows7/products/features/bitlocker
  • http://www.anubis.nl/prod/encryptie/safeboot_encryptie_kort.html

Reageer op het artikel "Harde schijf beveiliging"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Tomski
Gepubliceerd: 09-02-2012
Rubriek: Pc en Internet
Subrubriek: Hardware
Bronnen en referenties: 3
Schrijf mee!