Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Een jaar na TrueCrypt - Kunnen we ons nog wel beveiligen?

Door: Edmond Varwijk | 06 juli 2015 07:56

None
Apps & Software

Inhoudsopgave

  1. Inleiding
  2. pagina 2
  3. pagina 3

Het is alweer een jaar geleden dat abrupt de stekker uit TrueCrypt werd getrokken. De populairste tool om je bestanden en schijven mee te beveiligen, was ineens niet meer betrouwbaar. Er lijkt geen degelijk alternatief te zijn opgestaan. Kunnen we onze bestanden nog wel afdoende beveiligen?

Paniek en ongeloof maakten zich op 29 mei 2014 meester van de gebruikers van het populaire versleutelingsprogramma TrueCrypt, toen vanuit het niets de ontwikkeling stopte. De website www.truecrypt.org, jarenlang een betrouwbare bron van software om digitale informatie te versleutelen, stuurde ineens alle bezoekers door naar een projectpagina op Sourceforge. Daarop stond dat TrueCrypt niet meer veilig was, vergezeld van het advies over te stappen op nota bene Microsoft BitLocker. Het enige wat verder op de Sourceforge-pagina stond: migratietips en een nieuwe versie van TrueCrypt die alleen nog geschikt was om bestaande schijven te ontsleutelen. Dit kon niet waar zijn!

Stekker eruit

Maar het was wel waar. Werd eerst nog aan een defacement gedacht, al snel werd duidelijk dat het toch echt de makers van TrueCrypt zelf waren die de stekker uit het project hadden getrokken. Zo bleek TrueCrypt 7.2, de versie die alleen geschikt is om eerder met TrueCrypt versleutelde gegevens te ontsleutelen, ondertekend te zijn met dezelfde digitale handtekening als de laatste volledige versie van het programma. Door dezelfde persoon dus. En ook de WHOIS en DNS-records van de TrueCrypt-website gaven geen aanleiding aan iets anders te denken dan een regulier einde van het project.

Ongeloof overheerste toen de TrueCrypt-site ineens meldde dat de ontwikkeling was gestopt en gebruikers moesten overstappen op BitLocker.

Een ongekend goede trackrecord

De eerste versie van TrueCrypt verscheen in februari 2004. In de tien jaar daarna heeft het een ongekend goede trackrecord opgebouwd van stabiliteit en functionaliteit en daarmee een grote schare gebruikers voor zich gewonnen. Er is natuurlijk meer software om gegevens te versleutelen, maar TrueCrypt was gratis, opensource en voorzag in alle functionaliteit die je nodig hebt om gegevens te versleutelen op massaal gebruikte media zoals een usb-stick of harde schijf en zelfs een hele computer inclusief de systeempartitie.

TrueCrypt biedt zogeheten transparante of on-the-fly-encryptie. De gegevens worden automatisch versleuteld en ontsleuteld bij het schrijven en lezen van de gegevens. Dit is verreweg de meest gebruiksvriendelijke manier van versleuteling, doordat het maar eenmaal nodig is om het juiste wachtwoord in te geven. Daarna zijn alle versleutelde gegevens direct toegankelijk.

TrueCrypt was bij uitstek ook geschikt voor de beveiliging van mobiele computers, die in de jaren na 2004 ook steeds populairder werden en een groeiend volume aan data bevatten. Daarbij was de software echt cross-platform met 32bit- én 64bit-versies voor Windows, Mac OS X én Linux. Het bestandsformaat van de versleutelde containers was daarbij tussen de platformen uitwisselbaar, wat ook weer een duidelijke plus was voor het programma. Logisch dus dat het zo populair was en het einde zoveel gebruikers voor een probleem stelt.

Zet je alu-hoedje op

Liefhebbers van complottheorieën kregen er met het plotse einde van TrueCrypt een dankbaar onderwerp bij. Waarom immers zou zo'n succesvol project stoppen? De aanbeveling om Microsoft BitLocker te gebruiken maakte het bovendien extra verdacht. Daar moest haast wel de NSA achter zitten, de door de onthullingen van Edward Snowden beschadigde Amerikaanse inlichtingendienst. De klokkenluider gebruikte bovendien zelf ook TrueCrypt om zijn documenten geheim te houden.

Wie gaat spitten in de wereld van TrueCrypt, heeft al snel aanleiding genoeg om achterdochtig te zijn. Zo hebben 'Ennead' en 'Syncon', de makers van TrueCrypt, hun identiteit nooit bekendgemaakt. Onbekend is ook David Tesařík, de eigenaar van de in Tsjechië geregistreerde merknaam TrueCrypt. De domeinnaam www.truecrypt.org was jarenlang geregistreerd op het valse adres 'NAVAS Station, Antarctica', terwijl de registratiegegevens nu via een privacydienst worden afgeschermd.

Ook de goede kwaliteit van TrueCrypt riep ironisch genoeg vragen op. Waren twee programmeurs genoeg om telkens zo snel de nieuwste versies van Windows, Linux en Mac OS X te ondersteunen? Dat het moeilijk bleek uit de broncode dezelfde binaries te compileren als die de TrueCrypt-ontwikkelaars aanboden, voedde bovendien weer speculaties over de aanwezigheid van backdoors.

De ontwikkelaars van TrueCrypt hebben hun identiteit altijd afgeschermd. Zo gebruiken ze PerfectPrivacy om hun domeingegevens geheim te houden.

0 Reacties op: Een jaar na TrueCrypt - Kunnen we ons nog wel beveiligen?

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.