PvCF

logo PvCF

Versleutel je USB Stick

In de goede oude tijd (opa vertelt) bewaarde je al je bestanden op diskettes. Ik ben nog begonnen met de 5¼ inch 'floppy disks' met een opslagcapaciteit van 360 kB. Later kwamen de 3½ inch diskettes, eerst met een opslag van 720 kB, later zelfs 1,44 MB. De vooruitgang heet dat. Daarna kwamen de harde schijven (je was een hele Piet als je een exemplaar van maar liefst 10 MB had) en verloren de diskettes hun belang als opslagmedium, maar werden ze nog wel gebruikt om je data te back uppen (ook toen al) en mee te nemen.
Tegenwoordig gebruikt iedereen USB sticks. Ze zijn klein en er kan enorm veel data op. Ze zijn erg handig, maar stel dat je er een kwijt raakt. Het vervangen is snel geregeld (de PvCF had onlangs een aanbieding van een stickje van 16 GB voor maar € 19,03) maar de gegevens zijn (veel) belangrijker.
Ik ga er van uit dat je zelf wel een back up hebt, maar wat kan de 'eerlijke' vinder met de data.
Als het privé data is kan het al heel vervelend worden, maar als het Belastingdienstdata is (wat natuurlijk nooit gebeurd) is het leed niet te overzien. Dus is er maar een oplossing: zorgen dat niemand anders de gegevens kan lezen.

Veilige USB sticks

Er zijn USB sticks in de handel die hardwarematig beveiligd zijn. Om bij de data te komen moet je bijvoorbeeld je vinger op een sensor leggen om de data op de stick toegankelijk te maken.
Een prima methode, je hoeft geen wachtwoord te onthouden, maar ze zijn nogal duur. Ze zijn ook niet altijd veilig, van sommigen kun je met een soldeerbout de versleuteling omzeilen.
In nieuwere USB sticks, zoals de nieuwe BioSlimDisk die de Belastingdienst gebruikt, is de data niet alleen hardwarematig beveiligd, maar ook geëncrypt.
Blijft natuurlijk wel het risico is dat je vingerafdruk niet herkend wordt en je zelf niet meer bij je gegevens komt.
Kortom, beter en goedkoper is het de data op de stick te versleutelen.

Bitlocker

Met de invoering van Windows Vista heeft Microsoft een programma om data te versleutelen, inclusief complete USB-sticks. In deze Computer Express is een verhaal van mij opgenomen over het versleutelen met behulp van Bitlocker. Een prima versleuteling, maar alleen goed bruikbaar in een omgeving waar alleen de duurdere versies van Windows Vista en Windows 7 worden gebruikt. Als de berichten kloppen heb je deze versies alleen nodig om de USB stick te versleutelen, en kun je ze met iedere versie van Windows 7 lezen en beschrijven, maar dat heb ik nog niet kunnen testen.
Dat bracht mij er toe eens wat verder te kijken naar alternatieven. Dat heb ik gevonden. Alle gebruikers die niet deze dure Windows versies gebruiken raad ik het gebruik van TrueCrypt aan.

TrueCrypt

De TrueCrypt software (freeware) kun je downloaden van http://www.truecrypt.org/downloads. Er zijn versies voor Windows (Vista, XP en 2000), Mac OS X en Linux (OpenSuSE en Ubuntu).
Download voor Windows het bestand (TrueCrypt Setup 6.2a.exe) en dubbelklik hierop om de installatie te starten.
Ga akkoord met de licentievoorwaarden (ja, ook bij freeware) om te kunnen installeren. Je hebt de keus uit Install (installatie) en Extract (uitpakken). Normaal gesproken zul je installeren, maar als je op een computer alleen TrueCrypt een keer wilt gebruiken, bijvoorbeeld om een versleutelde USB stick te bekijken, kun je het bestand ook alleen uitpakken en het programma (TrueCrypt.exe) gebruiken zonder installatie.

Afbeelding 1: Om TrueCrypt te installeren moet je akkoord gaan met de licentievoorwaarden.
Om TrueCrypt te installeren moet je akkoord gaan met de licentievoorwaarden.

Setup Opties

Setup wil TrueCrypt standaard installeren in de map C:\Program Files\TrueCrypt\. Dat vind ik een prima plaats.
Setup biedt een aantal opties die standaard allemaal aangevinkt zijn. Achtereenvolgens: Installeren voor alle gebruikers, Voeg TrueCrypt toe aan het startmenu, maak een TrueCrypt icoon op het bureaublad, koppel de bestandsextensie .tc aan TrueCrypt (dan krijgen alle TrueCrypt bestanden ook een mooi TrueCrypt icoon) en maak een herstelpunt. Eigenlijk allemaal nuttige opties, dus laat ik ze allemaal aan.
Na een klik op Install begint de installatie, die al heel snel klaar is, nog voor je er aan kunt denken koffie te gaan drinken.
Daarna raadt het programma je aan de beginners tutorial te lezen. Ik denk met de mij aangeboren bescheidenheid dat je met dit artikel ook een eind komt.

Nederlandse taal

Onder http://www.truecrypt.org/localizations kun je de Nederlandse taalmodule vinden. Na installatie kun je het bestandje (langpack-nl-1.0.0-for-truecrypt-6.2a.zip) uitpakken en het bestand Language.nl.xml in de map plakken waar je TrueCrypt hebt geïnstalleerd (standaard C:\Program Files\TrueCrypt), dan praat het programma vervolgens in het Nederlands met je.

Het programma

De eerste keer dat je het programma opstart verschijnt er een venster met de vrije schijfletters op je computer en een aantal knoppen.

Afbeelding 2: Het programma TrueCrypt. Simpel en overzichtelijk, en in het Nederlands.
Het programma TrueCrypt. Simpel en overzichtelijk, en in het Nederlands.

Weinig spannend, zeg maar saai, maar wel duidelijk en overzichtelijk.
Er is één optie, en die is standaard aangevinkt: Nooit geschiedenis opslaan. Dat lijkt mij een prima optie voor een versleutelingsprogramma, ik laat hem dus ook aanstaan.
Het begin is de aanmaak van een nieuw bestand, dus kies de knop Maak Volume.

Afbeelding 3: Je kunt een deel van je schijf versleutelen, maar ook een hele schijf.
Je kunt een deel van je schijf versleutelen, maar ook een hele schijf.

De wizard voor het aanmaken van een nieuw volume

De eerste vraag van de wizard is wat je wilt aanmaken: Een bestand (zeg maar een deel van de harde schijf dat je als TrueCrypt drive wilt gebruiken) of een versleutelde partitie (dat kan dus ook een USB stick zijn).
De derde optie, een versleuteld systeem, laat ik in mijn verhaal buiten beschouwing.

Afbeelding 4: Blader naar de locatie waar je de container wilt aanmaken en geef de container een duidelijke naam met de extensie ".tc".
Blader naar de locatie waar je de container wilt aanmaken en geef de container een duidelijke naam met de extensie ".tc".

Ik wil een USB stick versleutelen, maar ik versleutel hem niet helemaal, ik laat een beetje ruimte over voor de portable versie van TrueCrypt, daarover later meer.

Vervolgens krijg je de vraag of je een normaal volume of een verborgen volume wilt maken. Je begint met een normaal volume, over het verborgen volume vertel ik later meer (ik begin me onder hand een commerciële zender te voelen: Na de reclame komt de volgende shit (sorry, het volgende interessante programma)).
Klik op de knop Selecteer Bestand en blader naar de locatie waar je de TrueCrypt container wilt maken. Type vervolgens de naam van de container, en sluit die naam af met ".tc". Dan krijgt de container nog een TrueCrypt pictogram ook.
Om niet te laten opvallen dat je TrueCrypt gebruikt kun je de container ook bijvoorbeeld de extensie ".doc" meegeven, dan lijkt het oppervlakkig op een Word document, maar dat is een stukje schijnzekerheid die alleen maar tot verwarring bij jezelf leidt.
Uitleg: TrueCrypt maakt een bestand, de container, dat het later als schijfstation aankoppelt. Het is een groot bestand, dat ook gewoon gewist kan worden. Als je dat bestand, de container, wist ben je alle data in de container kwijt, wees daar dus voorzichtig mee.

De versleutelingskracht

TrueCrypt laat je uit 8 Codering Algoritmes en 3 Hash Algoritmes kiezen. Ik houd het bij de standaard, AES en RIPEMD 160, die is immers ook goed genoeg voor het Top Secret level van de Amerikaanse overheid.

Afbeelding 5: Je kunt uit 8 Codering Algoritmes en 3 Hash Algoritmes kiezen. Ik houd het bij de standaard.
Je kunt uit 8 Codering Algoritmes en 3 Hash Algoritmes kiezen. Ik houd het bij de standaard.

De container zelf

Vervolgens maak je de container aan. Je kiest een grootte, de maximale grootte is gelijk aan de hele ruimte.
Ik gebruik niet de gehele ruimte, ik laat een paar MB over. Daar ga ik later de bestanden van TrueCrypt plaatsen, zodat ik ook op een computer waar TrueCrypt niet op geïnstalleerd is de bestanden kan benaderen door simpelweg het TrueCrypt programma vanaf de USB stick te starten.

Het wachtwoord

Vervolgens moet je een wachtwoord verzinnen om de nieuwe container te kunnen benaderen. Altijd lastig.
Een wachtwoord moet voldoende lang zijn (TrueCrypt wil graag ten minste 20 karakters, maar gaat met minder ook akkoord), met hoofdletters en kleine letters, getallen en bijzondere tekens. Ik vind het daarnaast ook belangrijk dat het te onthouden is.
In dit geval ben ik uitgegaan van de zin: "De PvCF is mijn kluppie", niet voor de hand liggend (in mijn geval misschien wel) maar wel onthoudbaar.
De spaties heb ik weggelaten (daar houden wachtwoorden niet van), ieder woord begint met een hoofdletter, is heb ik vervangen door het teken = en de letter i door het getal 1. Daarmee had ik zestien tekens. Vervolgens heb ik de shift toets ingedrukt en de cijfers 1 tot en met 4 ingevoerd. Dat leidt tot het wachtwoord "DePvCF=M1jnKlupp1e!@#$". Dat valt voor mij in de categorie onthoudbare wachtwoorden, en zal toch niet gemakkelijk geraden of gekraakt worden (en na publicatie van dit artikel zal ik het ook niet meer gebruiken).

Afbeelding 6: Kies een wachtwoord dat je ook kunt onthouden.
Kies een wachtwoord dat je ook kunt onthouden.

De versleuteling

Het eigenlijke volume moet aangemaakt worden met een bestandssysteem. TrueCrypt stelt voor dat te doen in FAT32 formaat, omdat dit formaat geen journaal bijhoudt van de bestanden. Daardoor is het makkelijker bestanden definitief te wissen, weer een voordeel bij het verbergen van bestanden.

Afbeelding 7: Als bestandssysteem kun je het beste kiezen voor FAT.
Als bestandssysteem kun je het beste kiezen voor FAT.

Je moet enige tijd met je muis in het venster bewegen, volgens TrueCrypt wordt de versleuteling sterker als je langer beweegt. Dat doe ik dus maar.
Als je denkt dat je genoeg bewogen hebt kun je met een klik op de knop Formatteer het formatteren starten en de container aanmaken. Na enige tijd, afhankelijk van de grootte van de container en de snelheid van de hardware, is de container aangemaakt.
Klik op sluiten als je klaar bent, en volgende als je nog een container wilt aanmaken.

Volume aankoppelen

De zojuist aangemaakte container kan worden aangekoppeld als een schijf, een volume.
Kies in het hoofdscherm van TrueCrypt een vrije letter uit. Deze letter zal gebruikt worden als de schijfletter van het versleutelde bestand.
Als je een bestand hebt aangemaakt klik je op de knop Selecteer Bestand, als je een hele schijf of USB stick hebt aangemaakt klik je op Selecteer Apparaat. Blader naar de container (bij mij het bestand TrueCrypt.tc op de f: schijf) en klik op de knop Koppel.
Er verschijnt een venster waarin je het wachtwoord moet invoeren, klik op OK en de container is gekoppeld als schijf.

Afbeelding 8: Het bestand TrueCrypt.tc op de f: schijf is gekoppeld ...
Het bestand TrueCrypt.tc op de f: schijf is gekoppeld …
Afbeelding 9: ... als g:schijf op de computer.
… als g:schijf op de computer.

TrueCrypt portable

In plaats van TrueCrypt te installeren op de computer kun je ook volstaan met het uitpakken van de bestanden. Dit is een goede optie als je geen systeemschijven gaat versleutelen. Zonder installatie van TrueCrypt kun je toch versleutelde TrueCrypt containers maken en lezen.
Ik pak de bestanden uit om ze op het onversleutelde gedeelte van mijn USB stick te zetten, dan kan ik op iedere computer toch de versleutelde container openen.
Start opnieuw de installatie van TrueCrypt. Kies nu niet voor de optie Install maar voor Extract. Geef de locatie op waar je de bestanden wilt uitpakken en de bestanden worden uitgepakt. Kopieer de bestanden vervolgens naar het onversleutelde gedeelte van de stick.

Afbeelding 10: De inhoud van de onversleutelde USB stick. Het grote bestand TrueCrypt.tc is de TrueCrypt container.
De inhoud van de onversleutelde USB stick. Het grote bestand TrueCrypt.tc is de TrueCrypt container.

Ik heb mijn TrueCrypt container iets te groot gemaakt, daarom passen niet alle bestanden meer op de stick. Ik besluit de handleiding niet te kopiëren, de rest past. Als jij de handleiding wel op de stick wilt plaatsen moet je in ieder geval 4,04 MB vrijlaten. Handiger is het om eerst de bestanden op de stick te plaatsen en vervolgens de complete resterende ruimte om te zetten in een TrueCrypt container.

Verborgen container

Een hele mooie optie van TrueCrypt is dat in een container een nieuwe container kan worden aangemaakt. Deze container wordt de verborgen partitie genoemd. Niemand die een TrueCrypt container aantreft zal ooit weten of er een verborgen container in deze container is opgenomen, en daarom zijn de bestanden in deze container nog veel veiliger.
In de handleiding spreekt TrueCrypt heel beeldend over het weerstaan van martelingen, nou, dat zal voor de meeste lezertjes wel meevallen. Feit is wel dat niemand, behalve degene de een verborgen container heeft aangemaakt, ooit weet of er een verborgen container aanwezig is. Tenzij je dat zelf vertelt dus.

Aanmaak van een verborgen container

Om een verborgen container aan te maken klik je in het hoofdscherm van TrueCrypt op Maak Volume. Verrassend. De wizard start op en je kiest voor Maak een gecodeerde bestandscontainer.
In het volgende scherm kies je voor Verborgen TrueCrypt volume.
In het volgende scherm heb je de keus uit de Normale modus en de Directe modus. In de normale modus maak je een nieuwe container aan en daarna een verborgen volume in die nieuwe container, in de directe modus maak je een verborgen volume aan in een bestaande container.
Ik kies voor de directe modus om in mijn bestaande container een nieuw volume te maken.

Afbeelding 11: In de directe modus maak je een nieuw volume in een bestaande container aan.
In de directe modus maak je een nieuw volume in een bestaande container aan.

Let op: De container waarin je het nieuwe volume gaat maken mag niet aangekoppeld zijn. Klik in het volgende scherm op de knop Selecteer Bestand. Blader naar de locatie waar je container staat en selecteer deze (in mijn geval F:\TrueCrypt.tc). In het volgende scherm moet je het wachtwoord ingeven voor het buiten volume. Dat is dus het wachtwoord van het bestaande volume. TrueCrypt kan daarmee vaststellen of je toegang hebt tot dat volume, en controleren hoeveel ruimte er is in dat volume voor een verborgen volume.

Afbeelding 12: Eerst moet je het bestaande wachtwoord ingeven om toegang te krijgen tot het bestaande volume.
Eerst moet je het bestaande wachtwoord ingeven om toegang te krijgen tot het bestaande volume.

Als dat gelukt is moet je weer opgeven welke versleuteling je wilt gebruiken en hoe groot het verborgen volume moet worden.
Voor het verborgen volume moet je een ander wachtwoord bedenken dan voor het volume waarin je het aanmaakt. Het moet aan dezelfde voorwaarden voor een sterk wachtwoord voldoen (geen bestaande woorden, namen of datums, minimaal 20 tekens, hoofdletters, kleine letters, cijfers en bijzondere tekens).
Ik houd het voor dit voorbeeld op hetzelfde zinnetje, met aan het einde Shift 0, 9, 8 en 7 (dat wordt dus "DePvCF=M1jnKlupp1e)(*&") maar voor een echt veilig bestand kies je natuurlijk een radicaal afwijkend wachtwoord.

Afbeelding 13: Voor het verborgen volume moet je een ander wachtwoord bedenken dan voor het volume waarin je het aanmaakt.
Voor het verborgen volume moet je een ander wachtwoord bedenken dan voor het volume waarin je het aanmaakt.

Vervolgens wordt het verborgen volume aangemaakt. Je bent klaar en je kunt de wizard sluiten.

Omgaan met TrueCrypt als je een verborgen volume hebt

Je hebt nu twee versleutelde volumes in een container, dat vereist een speciale aanpak.
Je kunt maar een van beide volumes tegelijkertijd openen.
Als je het verborgen volume wilt openen koppel je dat op de bekende manier aan. Voer in het wachtwoordveld het wachtwoord van het verborgen volume in.

Afbeelding 14: Alleen in het TrueCrypt scherm zie je aan het type dat je een verborgen container geopend hebt.
Alleen in het TrueCrypt scherm zie je aan het type dat je een verborgen container geopend hebt.

Om het niet verborgen deel van de container te openen koppel je het verborgen volume af en voer je bij het koppelen van het volume het wachtwoord van die container in. Vervolgens klik je op de knop Koppel Opties. Zet een vinkje bij Bescherm Verborgen Volume tegen schade door schrijven in Buitenste en voer het wachtwoord van het verborgen volume in.
Klik twee keer op OK.
Je opent nu het buitenste volume, het binnenste volume is beschermd tegen overschrijven.

Afbeelding 15: Open het buitenste volume, en klik op Koppel Opties.
Open het buitenste volume, en klik op Koppel Opties.
Afbeelding 16: Zet in de Koppel Opties een vinkje bij Bescherm Verborgen Volume en voer het wachtwoord van het verborgen volume in.
Zet in de Koppel Opties een vinkje bij Bescherm Verborgen Volume en voer het wachtwoord van het verborgen volume in.
Afbeelding 17: In het TrueCrypt scherm zie je aan het type "Buitenste" dat er in het geopende volume een verborgen container zit.
In het TrueCrypt scherm zie je aan het type "Buitenste" dat er in het geopende volume een verborgen container zit.

Wat moet je doen als je gemarteld wordt? (of te wel: Waarom is een verborgen volume zo veilig?)

Mocht je ooit onder druk gezet worden om je geheimen prijs te geven kun je het volume als een normaal volume openen. Niemand zal ooit weten of aan kunnen tonen dat er een verborgen volume in zit, alles behalve je bestanden is een brei.
Let op: Zelfs TrueCrypt zelf weet nu niet dat er een verborgen container in het volume zit, dus als je nu wat in de container opslaat is de kans groot dat je het verborgen volume beschadigd, en alle data daarin blijvend verdwenen zijn. Maar dat is na een stevige marteling een kleine prijs.
Tip van TrueCrypt: zet in het buitenste volume een paar bestanden die de indruk kunnen wekken dat ze beveiligd moeten worden, maar niet echt gevoelig zijn. Dan kun je daarmee tegenover degene die je martelt aannemelijk maken waarom je TrueCrypt gebruikt.

Afbeelding 18: Ook als er een verborgen volume aanwezig is kun je het TrueCrypt volume gewoon openen. LET OP: het verborgen volume is nu niet beschermd tegen overschrijven.
Ook als er een verborgen volume aanwezig is kun je het TrueCrypt volume gewoon openen.
LET OP: het verborgen volume is nu niet beschermd tegen overschrijven.

Conclusie

Ik hoop dat iedereen doordrongen is van het gevaar van het verliezen van een USB stick. Het kan iedereen overkomen. Als het gebeurd is het minder erg wanneer de data onleesbaar is, versleutel die data daarom.
Gebruik daarvoor een programma als TrueCrypt. Wat een geweldig, en gratis programma.
En niet vergeten: TrueCrypt voorkomt wel dat je data niet in onbevoegde handen komt, maar is geen beveiliging tegen verlies of beschadiging van de data of een defecte schijf. Back ups blijven onontbeerlijk.
PS: voor de plaatjes laat ik hier de wachtwoorden zien die ik invoer. In een normale omgeving, waarbij andere mensen mee kunnen kijken, laat je die optie natuurlijk achterwege,

Versleutel je USB Stick

Beveilig de data op USB sticks met TrueCrypt.
Freeware (gratis voor particulier gebruik) open-source (de broncode is beschikbaar) disk encryptie software voor Windows Vista/XP, Mac OS X en Linux.

Downloads:

TrueCrypt Setup 6.2a.exe (3.04 MB)

langpack-nl-1.0.0-for-truecrypt-6.2a (58 kB)

Bron: Jan Chris ©, eerder gepubliceerd in de Computer Express 5 van 2009

Je kunt mij mailen op janpuntchrisatpvcfpuntnl.

Laatste update: 15 april 2012
.