Kort maar krachtig; er is een nieuwe versie van Truecrypt uit, waarmee je (als je Windows gebruikt) nu ook een heel OS kunt verbergen. Maar persoonlijk ben ik vooral content met het feit dat je in de LInux- (en Mac OS X-) versie nu ook hidden volumes kunt aanmaken (een truecrypt volume in een truecrypt volume, waarvan het het bestaan niet te bewijzen is) en dat de Linux-versie nu sneller is omdat ze de cryptografische functies van de kernel gebruikt. Je kunt Truecrypt 6 hier downloaden, zelfs als je niet Bertrand Sassoye heet.
truecrypt
Het gebruik van versleuteling is …
Zoals ik eerder schreef pakte het parket, na de arrestatie van 4 leden van de Secours Rouge omwille van contacten met een Italiaanse extreem-linkse terreur-organisatie, uit met het feit dat
“de vier beschikten over een decoderingssyteem voor hun e-mails en software om alle data op harde schijven grondig te wissen”
Mag dat dan nog wel, encrypteren? Moeten we PGP (of GPG), Truecrypt, SSH, openSSL, … deïnstalleren om te vermijden als terrorist opgepakt te worden? Ik belde daarover onder andere met de Liga voor de Rechten van de Mens. Maartje De Schutter, die momenteel keihard lobbyt voor een privacy-vriendelijke toepassing van de Europese databewaringsrichtlijn (tekenen en linken die petitie!), was alleszins ook bijzonder verbaasd over encryptie als vermeende grond voor arrestatie.
Op basis van wat ik als niet-jurist kon opmaken uit een diagonale lezing van de wet op terroristische misdrijven, de wet op de bijzondere opsporingsmethodes en een bespreking van de afluisterwet (pdf), waren er in die teksten alleszins geen beperkingen op het gebruik van encryptie terug te vinden. Op een pagina van Prof.dr. Bert-Jaap Koops, Professor aan de rechtsfaculteit van de Universiteit van Tilburg, vond ik wel relevante informatie, die verder bevestigd en verduidelijkd werd door Geert Somers, advocaat bij timelex.eu en gespecialiseerd in IT en recht. Samengevat; het gebruik van versleuteling is volgens de wet betreffende de hervorming van sommige economische overheidsbedrijven (en meer bepaald volgens de wijziging van 19/12/1997 die artikel 109terF toevoegde) vrij, maar een onderzoeksrechter kan je volgens de wet op informatica-criminaliteit van 28/11/2008 wel verplichten die informatie te decoderen. Het gebruik van encryptie-software die “plausible deniability” toelaat, is dan ook een aanrader!
Of de feiten waarop de arrestatie van de extreem-linkse activisten gebaseerd zijn, zwaar genoeg wegen, moeten we afwachten. Misschien weigerden Sassoye en co om te decrypteren, misschien is het parket aan het bluffen. Maar dat ze opgepakt zijn omwille het gebruik van encryptie op zich, is op basis van bovenstaande alleszins onjuist.
Encryption: go to jail?
Vorige week werden ex-CCC‘ers Pierre Carette en Bertrand Sassoye (samen met enkele andere verdachten) opgepakt. De eerste berichten maakten melding van schendingen van de voorwaarden tot voorwaardelijke invrijheidsstelling. Later stelde het parket dat er contacten waren tussen de verdachten (met uitzondering van Pierre Carette), die lid zijn van steunorganisatie “Secours Rouge“, en de “Partito Comunista Politico-Militare“. Deze Italiaanse extreem-linkse groepering had plannen om aanslagen te plegen en werd in februari 2007 opgedoekt door de Italiaanse politie.
Soit, een beetje vaag allemaal misschien, we zien hoe stevig de bewijzen van het parket zijn. Maar maandag verscheen volgende opmerkelijke informatie nog in de kranten:
De vier linkse militanten die donderdag werden opgepakt in het kader van een terrorismeonderzoek […] zijn aangehouden op basis van twee feiten […] Het tweede feit is dat de vier beschikten over een decoderingssyteem voor hun e-mails en software om alle data op harde schijven grondig te wissen.
Een decoderingssysteem voor hun e-mails? Software om data op harde schijven grondig te wissen? Serieus? Betekent dit dat het gebruik van bv. GPG of Truecrypt of dban verboden zijn? Of dat, als we toch bezig zijn, SSH en -al helemaal van de pot gerukt- het alomtegenwoordige SSL U de gevangenis in kunnen tunnelen? Ik ben bijzonder benieuwd wat hier nog van gaat komen …
Wie meer weet over het wettelijke kader van het gebruik van encryptie en andere data-beveiligings-tools; het comment-formulier behoort U toe!
Truecrypt 5; meer encryptie, meer platformen
Sinds een paar dagen is er een nieuwe versie uitgekomen van één mijner favoriete tools: Truecrypt. De belangrijkste nieuwe features:
- system disk encryption voor Windows: Truecrypt kan je HD on-the-fly versleutelen en installeert dan een eigen boot loader die, na het invullen van de correcte credentials, de boel decrypteert en Windows opstart. En omdat performantie dan dubbel zo belangrijk is, zou de read/write snelheid dankzij pipelined operations tot 100% hoger zijn dan in versie 4.3.
- de Linux-versie (er zijn binaries voor Ubuntu en OpenSuse, de rest van de wereld mag zelf compileren) heeft nu ook een propere GUI (zie screenshot hiernaast) en gebruikt daarvoor wxwidgets. Truecrypt nestelt zich mooi in de Gnome notification area en als je dubbelklikt op een gemount volume opent de inhoud daarvan zich proper in Nautilus. Truecrypt voor Linux is ook onder de motorkap grondig herwerkt; het gebruikt nu fuse om te mounten en is daarmee dus minder rechtstreeks afhankelijk van de kernel.
- En er is nu ook versie voor Mac OS X (10.3 en 10.4, klik voor screenshot), die gebruikt blijkbaar ook wxwidgets en (mac)fuse, overigens.
- De ‘mode of operation’ is nu XTS ipv LRW (geen idee wat dat betekent, maar u misschien wel, dus there you go!).
Voor de rest biedt Truecrypt als vanouds file- en device-based encrypted volumes, is het nog steeds mogelijk om in het ene Truecrypt-volume een ander volledig onzichtbaar te verbergen en werkt dat vooral allemaal heel intuïtief en transparant. Truecrypt 5 is daarmee een sterke cross-platform (freebsd ontbreekt officieel, maar staat wel vermeld in de makefile Philip 😉 ), gebruiksvriendelijke open source oplossing om data betrekkelijk veilig op te slaan. Een aanrader, zeg ik U!
GroenLicht & Porno: Truecrypt is your friend!
Op Groenlicht, een betrekkelijk jonge leuke groepsblog (och, was ik ook maar jong en leuk), vergeilen ze zich aan porno-liefhebberijen op bedrijfscomputers. Niet dat ik een expert in het omzeilen van filters ben, maar als het op het veilig bewaren van data neerkomt, kunnen we wel iets forceren.Om te vermijden dat je corporate IT-vrienden bij de wekelijkse scan iets onoorbaars vinden, zou je al die mooie dames (en heren, als u dat meer zegt) in een zip-file-met-wachtwoord kunnen opsluiten. Niet moeilijk, maar vooral niet bulletproof: de lijst van files in een beveiligde zipfile is sowieso zonder wachtwoord te bekijken en de encryptie-algoritmes die standaard in zip-software gebruikt worden zijn veel te makkelijk te kraken (pdf).
Waarmee we bij een serieuzer oplossing komen; TrueCrypt! Met TrueCrypt (gratis en open source!) kun je virtuele filesystemen met zeer sterke encryptie aanmaken. Die Truecrypt-filesystemen kun je, mits correct wachtwoord natuurlijk, dan als extra hard disk ‘mounten’. Net zoals bij een usb memory stick, kun je die schijf dan in je Windows Verkenner zien en er al je geheime documenten en andere opwindende bestanden op bewaren. Na gebruik die schijf dismounten en niemand kan er ook maar iets mee doen.
En als de IT-nazi’s je komen vragen wat er in dat geëncrypteerd bestand zit? Makkelijk; je kunt in een TrueCrypt-volume een andere verborgen schijf aanmaken (TrueCrypt in TrueCrypt dus). Op de zichtbare schijf bewaar je dan enkele professionele documenten (“Om te voorkomen dat laptop-dieven bedrijfsgeheimen zouden kunnen inkijken, Mijnheer.”) en je eigen geheime pleziertjes staan dan vol ongeduld op jou te wachten op je verborgen schijf. En klaar is Kees! Zakdoekje jongen?