Versleutel bestanden, schijven, cloudopslag en mail

© PXimport

Versleutel bestanden, schijven, cloudopslag en mail

Geplaatst: 16 april 2018 - 05:08

Aangepast: 24 november 2022 - 13:06

Toon van Daele

‘Privacy is een mensenrecht’, zo luidt het op de website van de initiatiefnemers voor een referendum rond de veelbesproken ‘sleepwet’. De beste manier om privacygevoelige gegevens voor jezelf te houden is en blijft stevige encryptie. Versleutel bestanden, schijven, cloudopslag en mail met deze gratis tools.

Tip 01: AES Crypt

Een van de betere tools om afzonderlijke bestanden te versleutelen is het gratis AES Crypt (beschikbaar voor Windows, macOS, Linux en mobiel). Dit programma gebruikt de beproefde AES-256bit-versleuteling en is opensource zodat in principe gecontroleerd kan worden of er geen achterdeurtjes zijn ingebouwd.

Na de installatie (van in ons geval de Windows-versie) vind je in het contextmenu van Windows Verkenner de optie AES Encrypt. Als je een of meer bestanden in Verkenner hebt geselecteerd, dan klik je daarop met de rechtermuisknop om dit menu te gebruiken. Na het twee keer invullen van een wachtwoord wordt van die bestanden een versleutelde versie gecreëerd met .aes als extra extensie. De originele bestanden blijven intact en moet je desgewenst zelf nog verwijderen. Om toegang te krijgen tot zo’n aes-bestand klik je erop met de rechtermuisknop en kies je AES Decrypt, waarna je het bijhorende wachtwoord invult.

AES Crypt laat zich tevens aansturen vanaf de opdrachtprompt: aescrypt -e -p <wachtwoord> <bestandsnaam>. Laat je de parameter -p <wachtwoord> weg, dan vraagt Aes Crypt je zelf om een wachtwoord. Met aescrypt -d -p <wachtwoord> <bestandsnaam.aes> ontsleutel je een versleuteld bestand.

Tip 01 Bestanden versleutelen: selecteren en wachtwoord invullen (en eventueel de originelen verwijderen).

© PXimport

Tip 02: Challenger, basis

Het Duitse Challenger is iets complexer, maar biedt ook meer mogelijkheden. De gratis versie maakt gebruik van slechts 128bit-versleuteling. Tijdens de setup kies je tussen een gewone installatie of een portable versie op een usb-stick. Deze laatste heeft het voordeel dat je die in principe overal kunt gebruiken en ook data op de stick zelf kunt versleutelen.

Start je de tool de eerste keer op, dan vul je in het veld Enter start-password standaard Berlin in. Bevestig met OK en laat de andere opties voor wat ze zijn. Vervolgens druk je op de knop Manage passphrases, selecteer je Channel A – Masterphrase en klik je op New, waarna je twee keer een stevig wachtwoord invult. Bevestig met OK / Close. Je komt terug in het hoofdvenster waar je de knop Activate passhprase indrukt en twee keer het wachtwoord invult dat je zonet bij A - Masterphrase hebt opgegeven. Je kunt nu een of meer bestanden, maar ook een complete map naar het pictogram Drag&Drop verslepen, waarna je de bestandsselectie met Encrypt versleutelt.

Aangezien op dit moment PassPhrase ‘A’ actief is, wordt hiervoor het wachtwoord van Channel A ingezet. Je bestanden krijgen nu de extensie .cha mee en het originele bestand wordt meteen grondig verwijderd!

Om het te ontsleutelen sleep je het opnieuw naar Drag&Drop, druk je op de knop Decrypt en vul je het bijhorende wachtwoord in.

Tip 02 Data versleutelen doe je door geselecteerde bestanden (of mappen) naar een pictogram te verslepen en het wachtwoord in te vullen.

© PXimport

Tip 03: Challenger, kanalen

Wat Challenger zo bijzonder maakt is dat je 8 kanalen ter beschikking krijgt. Elk kanaal kun je zien als een beveiligde opslagplaats voor telkens een ander wachtwoord. Via Manage passphrases kun je aan elk kanaal een ander wachtwoord koppelen. Let wel, als je ook kanaal B wilt gebruiken, dan doe je er goed aan het standaardwachtwoord Berlin door een eigen wachtwoord te vervangen. Zo zouden bijvoorbeeld de ouders van een gezin (of de beheerders van een bedrijf) kanaal A en/of B kunnen gebruiken, terwijl andere gezinsleden (of werknemers) eventueel een ander kanaal gebruiken. Houd er wel rekening mee dat (enkel) wie het wachtwoord van kanaal A of B kent (‘masterphrase’) de wachtwoorden van de andere kanalen (C tot H) kan verwijderen en vervangen.

Je kunt trouwens ook een stationsletter (van een usb-schijf of partitie) versleutelen. De bestanden op dit station worden dan nog steeds afzonderlijk versleuteld, maar tegelijk wordt de vrije ruimte op het station met pseudo-willekeurige data overschreven.

Tip 03 Je kunt Challenger met acht verschillende kanalen (wachtwoorden) configureren.

© PXimport

Challenger laat je tot acht encryptie-wachtwoorden gebruiken

-

Tip 04: VeraCrypt, selectie

Zoals gezegd kun je ook met Challenger een compleet station versleutelen, maar echt praktisch is dat niet omdat zoals gezegd elk bestand afzonderlijk wordt versleuteld. Wil je een compleet station versleutelen, dan maak je beter gebruik van een tool als VeraCrypt (beschikbaar voor Windows, macOS en Linux).

Met VeraCrypt kun je je complete schijf of systeempartitie versleutelen, maar in dit artikel beperken we ons tot het versleutelen van een datapartitie. Ook VeraCrypt kan een portable versie van de tool op een usb-stick zetten (via de optie Extract). Houd er wel rekening mee dat je administratorrechten nodig hebt op de pc waar je VeraCrypt wilt gebruiken.

Start de tool, druk op de knop Create Volume en selecteer de optie Encrypt a non-system partition/drive. Laat de optie Standard VeraCrypt volume geselecteerd, druk op Next / Select Device. Verwijs naar de datapartitie die je compleet wilt versleutelen. Bevestig met OK en Next.

Tip 05: VeraCrypt, encryptie

Laat Encrypt partition in place geselecteerd – dit voorkomt dat de bestaande data op die partitie verdwijnen! – en bevestig met Next en Ja. VeraCrypt wijst je er op dat je veiligheidshalve eerst een (tijdelijke) back-up van die partitie maakt, iets wat wij je ook aanbevelen. Laat de voorgestelde algoritmes ongemoeid, druk op Next en geef twee keer een stevig wachtwoord op. Druk een aantal keer op Next en op Encrypt. Bevestig met Ja en besef dat de partitie niet beschikbaar is tot de encryptie is voltooid. Dit hele proces tot enkele uren in beslag nemen, afhankelijk van de partitiegrootte. Met de knop Defer kun je dit proces uitstellen en naderhand weer starten via Volumes / Resume interrupted process.

Na afloop beland je opnieuw in het hoofdvenster van VeraCrypt. Selecteer een vrije stationsletter in de kolom Drive, druk op de knop Auto-Mount Devices en vul het juiste wachtwoord in. VeraCrypt koppelt de gekozen stationsletter aan het versleutelde station en is die vanuit Verkenner bereikbaar.

Tip 05 Je moet je versleutelde partitie telkens wel eerst koppelen.

© PXimport

Tip 06: Cloudopslag

Handig, opslagruimte in de cloud … maar als je data op die servers al versleuteld worden bewaard, is het meestal zo dat de aanbieder de decryptiesleutel (ook) in handen heeft en die bijvoorbeeld aan bepaalde overheidsinstanties kan doorspelen. Vind je dat niet prettig, dan kun je een gratis tool als Cryptomator overwegen. Die zorgt er namelijk voor dat de gegevens in de lokale ‘synchronisatiemap’ worden versleuteld voor ze naar de cloudopslagdienst worden verstuurd. Je downloadt Cryptomator hier (beschikbaar voor Windows, macOS, Linux, iOS en Android).

We installeren met een paar muisklikken de Windows-variant. Mogelijk moet je aan je firewall duidelijk maken dat het om een bonafide tool gaat. Start je Cryptomator de eerste keer op, dan is het programmavenster nog compleet leeg. Logisch, want je moet eerst een kluis maken.

Tip 06 Bij de eerste opstart heb je weinig andere keuzes dan een kluis te creëren.

© PXimport

Tip 07: Cryptomator: kluis

Klik op de plusknop en kies Maak Nieuwe Kluis. Er verschijnt een Verkenner-venster waarin je een map selecteert. Dat kan ook een gewone lokale map zijn, maar omdat het de bedoeling is de data van je cloudopslag te versleutelen, kies je een map binnen de synchronisatiemap van die dienst (zoals Dropbox, OneDrive of Google Drive).

Geef de kluis een (bestands)naam. Klik op Opslaan, geef twee keer een stevig wachtwoord op en bevestig met Creëer kluis. Besef goed dat je dit wachtwoord nodig hebt om je (versleutelde) data te kunnen benaderen die je aan deze kluis toevoegt. Zodra je dit wachtwoord hebt ingevuld en de knop Ontgrendel kluis hebt ingedrukt, wordt je kluis beschikbaar als een virtueel station in Verkenner. De stationsletter wordt automatisch toegekend, maar via de knop Meer Opties kun je die bij de optie Schijfletter nog wijzigen.

De locatie van je kluis is ook via WebDAV beschikbaar: selecteer de kluis, klik op het pijltje naast Vergrendel kluis en kies Kopieer WebDAV URL. Deze url kun je vervolgens in Verkenner plakken. Dat wordt iets als http://localhost:42427/<naam_van_kluis>. Via het tandwielpictogram, onderaan het kluisoverzicht, kun je het poortnummer aanpassen.

Zodra je Vergrendel kluis aanklikt, zie je alleen nog maar met AES 256-bit versleutelde data. Op dezelfde manier kun je meer kluizen voor andere cloudopslagdiensten maken.

Tip 07 De digitale kluis in werking: alle toegevoegde data worden automatisch versleuteld.

© PXimport

Cloudopslagproviders hebben zelf ook de sleutel tot je online data in handen

-

Tip 08: Aanvraag certificaat

Om je e-mail te versleutelen zou je in principe de eigenlijke boodschap in een aparte bijlage kunnen onderbrengen waarna je die versleutelt met een of andere tool, zoals AES Crypt. Erg praktisch is dat natuurlijk niet. Met een digitaal certificaat werkt dat een stuk handiger. De achterliggende werking is behoorlijk complex – alles draait eigenlijk rond een sleutelpaar en rond het begrip asymmetrische encryptie – maar ook zonder deze kennis kun je er mee aan de slag.

We maken hiervoor gebruik van de gratis dienst van Comodo, een online beveiligingsbedrijf. Surf hiernaartoe. Gebruik bij voorkeur Internet Explorer (ook nog aanwezig in Windows 10), omdat andere browsers voor deze operatie weleens nukkig willen doen. Klik je op Sign Up Now. Wellicht duikt er een venster op dat toestemming vraagt om een bewerking met een digitaal certificaat uit te voeren. Bevestig deze vraag met Ja en vul alle gevraagde informatie in. Houd er rekening mee dat het e-mailadres dat je hier invult meteen ook het adres is dat je wilt gebruiken voor het versturen van versleutelde en ondertekende berichten. Dit is tegelijk ook de enige ‘garantie’ die Comodo je met die gratis certificaat aanbiedt. Het wordt dus alleen aan dit adres gekoppeld; andere controles, zoals het opsturen van een kopie van je identiteitskaart, zijn dus niet ingebouwd.

Tip 08 Bij Comodo kun je terecht voor een gratis digitaal certificaat voor het versturen van e-mail.

© PXimport

Tip 09: Installatie certificaat

Je dient hier tevens een ‘revocation password’ in te vullen: dat is voor als je ooit je certificaat wilt intrekken, bijvoorbeeld als je denkt dat het gecompromitteerd is. Verwijder het vinkje bij Opt in? Als je geen nieuwsbrieven van Comodo wilt ontvangen. Bevestig met I accept […] en klik op Next. Bevestig de vraag of je de bewerking met het digitale certificaat wilt toelaten.

Enkele minuten later ontvang je een bevestigingsmail op je opgegeven mailadres, samen met een url en een wachtwoord. Ga opnieuw met Internet Explorer naar deze url en vul je e-mailadres evenals het wachtwoord uit de e-mail in. Bevestig met Submit & Continue, beantwoord nogmaals de vraag om toelating met Ja en als het goed is verschijnt de melding ‘Successful’ om aan te geven dat het certificaat daadwerkelijk is geïnstalleerd.

Dat ga je als volgt na. Druk op Windows-toets+R en voer het commando certmgr.msc uit. Open hier de rubriek Persoonlijk / Certificaten: het Comodo-certificaat verschijnt. Maak meteen van de gelegenheid gebruik dit certificaat met je privésleutel te back-uppen. Daarvoor klik je met rechts op het geselecteerde certificaat en kies je Alle taken / Exporteren. Druk op Volgende, selecteer Ja, de persoonlijke sleutel exporteren, druk op Volgende, laat de standaardinstellingen ongemoeid, klik nogmaals op Volgende, voorzie een wachtwoord (2x) en bewaar het bestand op een veilige, externe locatie. Gaat er naderhand iets fout, dan kun je dit langs dezelfde weg ook weer importeren.

Tip 09 Je doet er verstandig aan je certificaat (met sleutel) te back-uppen.

© PXimport

Tip 10: Bericht ondertekenen

Hoe ga je aan de slag met dit certificaat? We gebruiken Outlook 2016 als voorbeeld, maar het kan ook met de meeste andere desktop-mailclients. Start Outlook, ga naar het menu Bestand / Opties. Open de rubriek Vertrouwenscentrum en klik op Instellingen voor het Vertrouwenscentrum. Hier open je dan de rubriek E-mailbeveiliging en druk je op de knop Instellingen.

Bij Handtekeningcertificaat klik je op Kiezen en bevestig je dat je het Comodo-certificaat wilt gebruiken. Herhaal dit voor het Versleutelingscertificaat (mogelijk is dit al automatisch zo ingesteld). Vul een geschikte Naam van beveiligingsinstellingen in en rond af met OK (3x).

Om een e-mail digitaal te ondertekenen klik je op Nieuwe e-mail en open je het tabblad Opties. In de rubriek Machtiging selecteer je Ondertekenen en stuur je een testbericht naar jezelf. Je zult merken dat dit bericht een rood zegelpictogram heeft meegekregen. Dat houdt in dat de ontvanger met zekerheid weet dat het bericht wel degelijk van jouw adres afkomstig is en dat er onderweg niet mee werd geknoeid.

Tip 10 Een rood zegelicoon: bericht is intact en authentiek.

© PXimport

Een digitaal certificaat is best wel veilig, maar vergt enige voorbereiding.

-

Tip 11: Bericht versleutelen

Het is ook mogelijk berichten te versleutelen, maar dat lukt alleen als zowel de verzender als de ontvanger over een digitaal certificaat beschikken – die hoeven trouwens niet noodzakelijk van Comodo afkomstig te zijn. Om een bericht dat je naar een bepaalde ontvanger stuurt te kunnen versleutelen, moet je wel beschikken over de publieke sleutel (van het certificaat) van die ontvanger. Dat hoeft niet zo lastig te zijn: als die persoon je al een ondertekende mail heeft verstuurd, dan beschik je automatisch over zijn certificaat met zijn publieke sleutel.

Je moet die persoon, samen met een kopie van dat certificaat, opnemen in je contactpersonen. Hiervoor klik je met de rechtermuisknop op de naam van die persoon in het Van-veld en kies je Toevoegen aan Outlook-contactpersonen, waarna je de gewenste gegevens invult en de contactpersoon bewaart.

Om die persoon een versleuteld bericht te versturen, stel je eerst een bericht op, daarna open je het menu Opties en druk je op de knop Versleutelen. Zo’n versleuteld bericht krijgt een goudkleurig hangslotje in Outlook.

Deel dit artikel
Voeg toe aan favorieten