Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 98 reacties

De Amerikaanse hardwarefabrikant Corsair heeft een usb-drive uitgebracht die data niet alleen met stevige encryptie probeert te beveiligen, maar deze ook met een cijferslot tegen nieuwsgierige ogen moet kunnen beschermen.

De Flash Padlock 2-drive is voorzien van twee beveiligingsmechanismen. Via het geïntegreerde numerieke toetsenbord kan een pin van vier tot tien cijfers worden gekozen; zonder de juiste code kan de Padlock 2 niet worden gebruikt. Herhaalde pogingen de pin te achterhalen leiden tot ontoegankelijkheid van de drive gedurende twee minuten. Dat moet brute force-aanvallen tegengaan. Daarnaast wordt de data versleuteld met 256bit-aes-encryptie. Dat moet het direct aanspreken van de geheugenchips zinloos maken.

Door het geïntegreerde toetsenbord is het gebruik van software niet nodig, wat volgens Corsair niet alleen een extra kwetsbaarheid wegneemt, maar de drive ook platform-onafhankelijk maakt. De communicatie tussen de logica aan boord van de usb-drive en de usb-controller is beveiligd en ook het resetten van de pin biedt geen toegang tot de opgeslagen gegevens: de drive wordt bij het veranderen van de code gewist.

De drive heeft een capaciteit van 8GB en is in min of meer dezelfde rubber behuizing gevat als de Voyager flash-drives. De prijs van de drive bedraagt ongeveer 50 euro.

Corsair Padlock 2
Moderatie-faq Wijzig weergave

Reacties (98)

Dergelijke oplossingen zijn leuk voor de huis-tuin-en-keuken beveiligingsbehoeftes. Echter, de exacte implementatie van deze maatregelen is van wezenlijke invloed op de veiligheid ervan. Een aantal vragen:
  • De sleutel voor de AES-encryptie wordt (onversleuteld) opgeslagen in een chip van de USB-stick. Ten eerste: Is deze opslag niet gemakkelijk open te breken? Ten tweede: AES is gevoelig voor side-channel attacks, die bij gebruik van een USB-stick in een niet te vertrouwen computer zeker denkbaar zijn (linkje). Hoe is deze USB-stick daartegen beveiligd?
  • De chip die de authenticatie met het keypad verzorgt, moet na het invoeren van de juiste keuze doorgeven dat de authenticatie geslaagd is, en de gegevens ontsleuteld moeten worden. Kan deze communicatie nagedaan worden, zodat de gegevens sowieso ontsleuteld worden?
  • Is de gebruikte AES-sleutel uniek voor ieder exemplaar van deze sticks? Heeft Corsair de beschikking over een tabel die serienummer aan AES-key koppelt?
  • Hoe wordt de twee minuten durende blokkering toegepast? Kan deze omzeild worden?
  • Deze USB-stick biedt niet dezelfde garanties als wanneer je zelf je gegevens met AES versleutelt, vooral omdat de sleutel zelf naast de gegevens opgeslagen staat. Waarom staat dit nergens vermeld? Erger, door te zeggen dat er 'encryptie' gebruikt is, wordt gesuggereerd dat de noodzaak van softwarematige encryptie wegvalt. Effectief heeft iedere gebruiker nog maar een zeer beperkt aantal mogelijke sleutels tot zijn beschikking (namelijk alle mogelijke pin-codes, ongeveer 12 miljoen). Alleen al het gebruik van een puur tekst-gebaseerd password zou veel meer mogelijkheden bieden.
Al met al is de gedachte dat je voor een dubbeltje op de eerste rij kunt zitten met veilige USB-sticks een te beperkte. Producten als TrueCrypt gebruiken geeft wel veel meer zekerheid, al hebben die weer hun eigen beperkingen en risico's. Verder kun je TrueCrypt net zo goed op een vele malen goedkopere USB-stick draaien.
Tegenover dieven zit je inderdaad voor een dubbeltje op de 1e rij, die zijn meestal niet zo bijdehand en weten niet zoveel van encryptiegaten zoals jij beschrijft. Zelfde met passwords voor laptops, door een simpel biospassword/(windowspasswords zijn gestolen laptops voor een hoop dieven onbruikbaar, terwijl de "beveiligingen" over het algemeen redelijk simpel te omzeilen zijn voor de wat gevorderde gebruiker (die vaak wel wat beter hebben te doen als laptops jatten).

Als je een of andere officiele instantie of geheime dienst jouw data perse wilt hebben dan heb je niet veel aan deze beveiliging, maar dat zal niet zo vaak voorkomen hoop ik voor je.

[Reactie gewijzigd door een_naam op 19 februari 2010 14:33]

Goede punten! Je ziet deze ook veel terug komen bij vingerafdruk lezers: ergens moet de vertaling van vingerafdruk naar een digitaal patroon gemaakt worden, dan wel een access / access-denied.

Omdat de stick zonder software werkt kan het niet anders zijn dan dat de encryptie sleutel ergens op die stick staat, en dat de juiste (analoge) pin deze ontsluit...

Probleem met dit soort sticks is dat men zich laat verblinden door de beveiliging met pin-code en de AES encryptie: lijkt dubbel veilig maar is dat juist niet...
Ziet er leuk uit. Handig dat er geen software voor nodig is. Zeker nu er het laatste jaar zoveel software alternatieven gekraakt zijn. Dit zou wel een een mooi alternatief voor al die anderen kunnen zijn.

Wel jammer dat er alleen een 8 Gb versie wordt gemaakt. Een kleinere (goedkopere) versie zou misschien wel veel beter lopen, omdat de meeste bestanden die beveiligd moeten worden toch alleen documenten zijn. Die nemen geen 8 Gb in beslag.
Truecrypt is platform onafhankelijk en nog niet gekraakt.
Gebruik dit standaard op m'n laptop en alle externe usb disks/sticks.
Echter deze stick is veel handiger imho, omdat je niet de truecrypt software geïnstalleerd hoeft te hebben en een langwachtwoord omdat met truecrypt (opensource) altijd brute force aanvallen mogelijk zijn.
Je hoeft TrueCrypt helemaal niet geinstalleerd te hebben om 't te hebben werken op een USBstick. Standalone draait het prima.. gewoon een stick van 16GB inrichten met een autorun directory die die standalone versie opstart en een TrueCrypt partitie die de hele drive in beslag neemt.

Hoppa.. stick in het systeem, wachtwoord invoeren en VOILA! Je hebt je beveiligde drive.
Volgens de site van Truecrypt heb je dan wel adminrights nodig ... is niet overal (internetshopje in buitenland ofzo ... )
Ik denk niet dat de kosten van deze stick in het geheugen zitten, maar meer in het mini-keyboard. Dus er 1 GB van maken zal prijstechnisch niet erg interessant zijn.
kosten zitten hem in de 256-bits AES versleuteling.

Alle "Veilige"USB-sticks zijn vele malen duurder als de onbeveiligde stick.
dat er geen software voor nodig is, heeft ook als voordeel dat het op ieder platform gebruikt kan worden. Ik krijg laatst een 'encrypte' usb stick in handen gedrukt waar fijn een windows executable op stond. Daar doe je dus helemaal niks mee op de Mac of onder Linux.
Dat ziet er zeer mooi uit. Het is alleen de vraag of je blij moet zijn dat de drive gewist wordt bij het wisselen van code: Als je weet dat iemand jouw code heeft dan zou het handig kunnen zijn als je de code snel kan veranderen. Op deze manier moet je eerst omslachtig alle gegevens van de drive halen en opslaan op een ander medium. Daarna moet je de code veranderen en dan weer alles terugzetten.
Verder op zich wel slim gedaan want zo kan een ander niet jouw gegevens proberen te achterhalen door de code te resetten.
Zou idd wel handig zijn als je na het invoeren van je code je deze code ook kan aanpassen zonder dat de stick gewist word. Vooral als je voor extra veiligheid elke maand een nieuwe code wilt gebruiken.
Tenzij er een nieuw bestand van 8gb wordt gemaakt op de drive kan je als je het password reset nog alles terug vinden hoor ;). Dit ding is dus compleet onveilig.
En wat ga jij doen dan met een blob data ge-encrypt met 256bit-aes-encryptie?

Veel plezier daarmee. :+
Het lijkt me dat in de salt van de aes je code zit. Zonder pin ook geen decryptie van de data
Iedere maand een nieuwe code is niet extra veilig.
Als je om de haverklap je wachtwoord moet veranderen worden ze vanzelf eenvoudiger.
Ik blijf geen ingewikkelde combinaties verzinnen en onthouden...
sorry hoor, maar als het echt een security issue is waardoor je je code moet verranderen dan is 2 maal (heen en weer) 8 GB via USB te versturen niet echt een issue...

het is dan eerder een issue dat iemand anders jouw code weet.
Heen en weer sturen, dat is 2x transport én 1x al je data extra ergens opslaan.

Dat is dus 3x een extra optie voor een hacker om de onbeveiligde (!) data te onderscheppen, nog afgezien van het feit dat je je back-up bestand zelf per ongeluk zou kunnen vergeten te wissen.

En dat een ander jouw code weet, dat kan heel praktisch zijn. Denk alleen maar aan situaties waarbij je de bestanden op de stick aan een ander door wil geven.
Als dat éénmalig is zul je daarna je code willen veranderen.
juist, en jij hebt het niet door dat iemand terwijl jij met je usb aan je laptop zit dat iemand een apparaat tussen jouw laptop en jouw usb stick zet? anders weet ik echt niet hoe iemand het transport zou kunnen onderscheppen.

en zoals elders opgemerkt is dit geen backup, maar een manier om je documenten veillig(er) mee over straat te kunnen nemen.

als je fraude gevoelige informatie enkel op een usb stick laat staan is dit an-sich geen slim idee omdat er altijd een kans bestaat dat je die kwijt raakt en je de data verliest.

als je data met iemand wil delen dan kan je ook zijn (beveiligde) usb stick nemen zodat je de code niet hoeft uit te wisselen. Als je de persoon vertrouwd waar je je code aan geeft is er ook geen reden om je code te moeten verranderen.
Niet iedereen heeft overal een vertrouwde PC te beschikking. Een aangezien hiet hier in principe over vertrouwde data gaat kan ik mee voorstellen dat een hacker (of een concurent) erg ver kan gaan om de data te onderscheppen.
Dus nee, wanneer het 'apparaatje' waar jij over spreekt erg goed verborgen is heb ik mogelijk niets in de gaten als mijn backup onderschept wordt.

Mijn stelling blijft daarom dat 3 extra hack-opties altijd minder veilig is dan géén extra hackopties. Simpel toch ?

En wat het delen van de beveiligde key betreft: ik hoef niet per definitie in de buurt te zijn. Stel dat je, b.v. medische dossiers naar de andere kant van de wereld wil sturen. (ook vertrouwelijk, maar minder gevoelig dan b.v. nucleaire kennis) Dat kan prima via de post. Maar om nou te voorkomen dat een postbode in de dossiers gaat neuzen is een beveiligingscode op de key echt wel een aanrader. ;)

[Reactie gewijzigd door T-men op 19 februari 2010 15:58]

Mag ik je er dan op wijzen dat als iemand de moeite wilt doen dit te stelen, hij dat dan softwarematig zou doen en dus het geen verschil maakt of je het wel of niet allemaal kopieerd. Deze stick moet op een (makkelijke en gebruikersvriendelijke) manier voorkomen dat dieven of wie dan ook die de stick zomaar vind er wat dan ook mee kan. (Het enige wat ze nog zouden moeten toevoegen is gps :P )
nouja, in het ergste geval ben je versleutelde data kwijt. je moet goed je best doen om een 256 bit aes code te hacken hoor..
Ik neem aan dat dit soort sticks gebruikt worden om data veilig te transporteren en niet als backup.
Is het met de moderne techniek niet net zo veilig om data gewoon over internet te sturen?
Het lijkt net alsof er geen 10 maar 5 toetsen zijn voor een combinatie. Beetje vreemd dat ze doortellen.
Denk dat het doormiddel van klikken wordt geteld.

1 klik = 0, 2, 4, 6, 8.
2 klikken = 1, 3, 5, 7, 9
Dus als je een code zou hebben van "0097"
Zou je bij de tweede "0" al fout gaan, want dat zou dan een "1" opleveren.
“What? Five buttons? I thought you said it had 10 digits?”

I did. Much like some the keyless entry systems on cars, there are two numbers mapped to each button. In this way, you don’t really have all ten digits available to you; they’re just there as memory aids, because there are only five different possibilities. Thankfully, the length of your PIN is also customizable.

According to the provided documentation, the unlocking code can be anywhere from one to ten digits in length. For example, your PIN can be 2 or it can be 1234567890… or anything in between. Most people will probably select codes that are four or five numbers long, but you can really throw off would-be data thieves by picking an obscure 7-digit code, for example. At its maximum length (ten digits), you essentially have 9,765,625 unique codes (5^10).

If you look at all the possibilities with all the possible lengths, you end up with 12,207,030 unique unlocking codes: this is calculated by 5^1 + 5^2 + 5^3 + 5^4 + 5^5 + 5^6 + 5^7 + 5^8 + 5^9 + 5^10. Yeah, go ahead and try to guess using brute force.
http://www.futurelooks.co...lash-memory-drive-review/
In het artikel staat duidelijk dat de code tussen 4 en 10 cijfers lang is, dus 5^4 + 5^5 + 5^6 + 5^7 + 5^8 + 5^9 + 5^10 = 12206875 verschillende codes. Relatief klein verschil, maar juist is juist.
Denk nou even na, een mobiele telefoon gebruikt toch het zelfde systeem, gewoon even een korte pauze :).
Maar natuurlijk, maar dan heb je enig feedback van je scherm, wat hierbij ontbreekt ;)
Nou begrijp ik natuurlijk wel hoe dat zit met 'tussen pauze's'.

Waar het mij om gaat, dat je zo in principe niet weet wanneer je een foute code intoetst.
Met of zonder pauze's

@My-life
Dat zou inderdaad de benodigde feedback kunnen geven, maar blijft nog een beetje een twijfel puntje.

Maar alsnog, is dit natuurlijk erg bruikbaar ;)

[Reactie gewijzigd door Delusion op 19 februari 2010 13:27]

Er zit een LED-tje in. Dat moet genoeg feedback kunnen geven.
Lijkt me wel logisch dat als je iets van 2 seconden geen toets aanraakt het apparaat er vanuit gaat dat het volgende cijfer wordt ingetypt. Net zoals met een telefoon waar 3 letters onder 1 toets zitten.
O, en hoe kun je op een telefoon dan met 1 knopje een 2, een a en b en een c intikken?
Ik denk dat je gewoon voor de 0 en voor de 1 op hetzelfde knopje drukt. Het aantal knopjes is om praktische redenen beperkt maar mensen willen toch graag een cijfercode bedenken waarin ze alle tien cijfers kunnen gebruiken. Niets geen twee keer drukken of feedback of wat dan ook nodig. Enige nadeel is dat het feitelijke aantal mogelijke codes beperkt is.
Ikzelf heb een Voyagger versie van 4GB. Prima ding. Al heeft de lijm wel losgelaten en trok ik het rubebren hoesje ervan af bij het uithalen van de USB stick. Gewoon terug erop schuiven...

Wat ik me wel afvraag is je hebt 5 cijfertoetsen. Dus 1x intoetsen is 1e cijfer 2x intoetsen 2e cijfer. Maar het rubber slijt wel. Je krijgt plekken erop. Hierdoor wordt het kraken van de code toch veel makkelijker?
Gewoon de vijf toetsen gebruiken in willekeurige volgorde, slijt het overal even hard :)
Betekent wel dat brute-forcen makkelijker wordt. Je weet dat je in elk geval alle toetsen nodig hebt, en dat dus de pincode uit minstens vijf cijfers bestaat. Als je alle toetsen gelijk wil laten slijten, moet je zorgen dat je elke toets even vaak gebruikt. Dat betekent dat de pincode dus alleen uit vijf of tien cijfers kan bestaan, waarin in het eerste geval elk cijfer één keer voor komt, en in het tweede geval elk cijfer twee keer. Het aantal mogelijke pincodes is daarmee gereduceerd van de theoretische 5^4 + 5^5 + ... + 5^10 = 12.207.030 mogelijkheden naar een veel kleinere hoeveelheid. Het aantal combinaties dat je kan maken met 1,1,2,2,3,3,4,4,5,5 weet ik zo even snel niet, maar het is veel kleiner dan 5^10. Het aantal combinaties voor de vijf cijferige code is maar 5! = 120.

Bruteforcen wordt ineens wellicht een optie...
Het aantal combinaties met ieder cijfer van 1 t/m 5 twee maal krijg je als volgt. Neem eerst alle reeksen van 10 verschillende getallen van 1 t/m 10. Dit zijn er 10!=3628800. Vervolgens ga je reeksen bij elkaar vegen. We vatten nu ieder getal in zo'n reeks op als dat getal modulo 5. Voorbeeld: We vatten 1 3 8 7 2 6 4 5 10 9 op als 1 3 3 2 2 1 4 5 5 4*. Dit betekent dat we in die reeks bijvoorbeeld de 2 en de 7 kunnen verwisselen, en nog steeds op dezelfde nieuwe reeks uitkomen (want 2 en 7 zijn allebei 2 modulo 5). Deze paring gaat vijf keer op, dus we kunnen vijf paren getallen verwisselen. Dit betekent dat we telkens 2^5=32 reeksen bijeenvegen op een hoopje. Dit heeft tot gevolg dat er 10!/(2^5)=113400 mogelijke reeksen zijn met ieder cijfer van 1 t/m 5 twee maal.

* Inderdaad is de gebruikelijke representatie van 5 modulo 5 eigenlijk 0, maar dit is voor dit voorbeeld handiger (en ook correct).
Als het gaat slijten geeft het inderdaad een indicatie. Bovendien is de kans dat de code b.v. 6240 groter is dan 5533, omdat je het eerste makkelijker intoetst.
Hier heb je zeker gelijk in als je weet welke toetsen gebruikt worden wordt het aantal mogelijkheden voor de code tot de macht 2 per gebruikte cijfer. bij 4 cijfers dus 42 dus 16 mogelijkheden.
en ook het resetten van de pin biedt geen toegang tot de opgeslagen gegevens: de drive wordt bij het veranderen van de code gewist.
Wat als je dan een un-delete programma als bv Recuva gebruikt om de data in handen te krijgen?

[Reactie gewijzigd door sanderev66 op 19 februari 2010 13:33]

Dan is die data nog altijd versleuteld als je er al aan raakt.
Daar heb ik ook aan zitten denken, maar als het goed is moet de data ontsleuteld zijn zodra je het ding unlocked. Dit zal enkel kunnen werken als de versleuteling die gebruikt is op de een of andere manier verbonden is met de pincode. En als dat zo is, kan je als je het ding eenmaal gebruikt nooit die code meer veranderen zonder je data te verliezen.

@AsoT: ik denk het niet, want dat is nogal een tijdrovend proces.

[Reactie gewijzigd door sanderev66 op 19 februari 2010 13:55]

Dat klopt dus ook, bij het veranderen van de code moet je de data er opnieuw op zetten.
Volgens mij zal daar wel aan gedacht worden en zullen all voorgaande bytes wel eens overschreven worden..
is zeker handig voor bepaalde mensen en functies , maar wanneer stoppen ze eens met dopjes versies(vooral een corsair ding) , slide systemen zijn toch veeeeeel gebruiksvriendelijker ???
Ben het er niet zo mee eens die slide dingen worden naar een tijdje lam en dan als je ze in de usb poort wilt steken schieten ze naar binnen.*Is zelf eigenaar van Kingston G2*
hahaha geweldig! een "analoog" cijferslot, ik kan zulk soort eenvoudige oplossingen altijd erg toejuichen....kun je gaan bruteforcen tot je duimen blauw zijn.

uiteraard zal het wel te kraken zijn, maar desondanks genoeg moeite zijn om voor jan gemiddeld de data uit handen te houden. En enterprise of staatveiligheid, sja, dat soort zooi mag je wel beveiligen met iets wat meer dan 50,- kost.
Er zijn altijd nog wel andere manieren om te brute forcen. Sloop de stick open, desoldeer de flash chip en zet deze in een gewone USB stick, en dan kan je hoogstwaarschijnlijk gewoon via de PC burte-forcen omdat je alleen nog maar met de encryptie te doen hebt.
De vraag is of de encryptie ook in software gebeurt, want dan zou bijv een rootkit of trojan die encryptie kunnen uitschakelen waardoor gegevens alsnog onversleuteld op de stick terecht komen. Een paar weken later slaat dezelfde crimineel toe door het ding te jatten en klaar. Met encryptie in hardware kan dit niet.

Dan nog de vraag of de print in de stick in epoxy-hars gegoten is. Dat zou uitkomst bieden tegen soldeerders. En natuurlijk een self-destruct: teveel foutieve sleutels achter elkaar gebruiken zou de data onklaar moeten maken, bijvoorbeeld door de flash-chips te overvolten.

[Reactie gewijzigd door _Thanatos_ op 19 februari 2010 15:08]

De flash chips overvolten is een beetje paardenmiddel, en nog niet echt effectief. Een on-chip mechanisme dat gewoon alle blokken onbruikbaar maakt is net zo effectief.
Leg eens uit? Als je flash-chips overvolt, gaan ze dan nog niet kapot?

Me dunkt als ik er 230V op gooi, dan gaan ze echt wel naar de klote hoor. En een USB-stick kan dat best opwekken, met de juiste elektronica.

[Reactie gewijzigd door _Thanatos_ op 21 februari 2010 21:11]

Leuk ding, zou wel mooi zijn als je een bepaald code invoert dat hij andere data weergeeft (andere partitie) dan als je je normale code invoert. Voor het geval dat je wordt verplicht de inhoud van je stick weer te geven (vliegvelden etc.)
Ik heb ook zo'n 8Gb Corsair (zonder code), gaaf gummy dingetje.

[Reactie gewijzigd door een_naam op 19 februari 2010 13:15]

Dat zou juist niet mooi zijn. Maarja alles wat men voor de veiligheid doet wordt uitgekotst.
Welke veiligheid, die "veiligheid" dat een bewaker op het vliegveld mijn prive-data kan inzien op mijn USB stick of laptop, waarom niet gelijk mijn huis doorzoeken wie weet wat voor criminele zaken daar allemaal wel niet te vinden zijn? De hoeveelheid prive data die je op je laptop kunt meenemen is haast onbegrenst (ingescande docs, wachtwoorden, prive foto's films) 99.9999% van de mensen worden ten onrechte in hun privesfeer aangetast omwille de "veiligheid". Een georganiseerde groep kwaadwillenden hou je echt niet tegen door dit soort controles, misschien haal je er af en toe een domme pedo tussenuit, maar mijn privacy is me meer waard dan het leven in een totalitaire staat omwille van de "veiligheid".

[Reactie gewijzigd door een_naam op 19 februari 2010 14:38]

Dat kan dit ding niet... TrueCrypt kan 't wel.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True