Door Willem de Moor

Redacteur

Kingston Ironkey VP80ES Review

Superveilige externe ssd met touchscreen

Tot slot

Het moge uit de testresultaten duidelijk zijn dat de Ironkey VP80ES geen snelheidsmonster is. Dat kon je uiteraard al verwachten op basis van het hele concept van de drive; de Ironkey moet bovenal een veilige plek zijn voor je data of die van je organisatie. Dat zie je overigens terug in de prijs. De bijna 400 euro die je voor een drive van 1TB betaalt, is geen prijs die betaald wordt door de gemiddelde consument die een filmpje op vakantie wil meenemen.

Het gebrek aan snelheid is te verklaren door enerzijds de versleuteling die niet kan worden uitgezet of omzeild; AES-256-encryptie zonder 5GHz-octocore kost nu eenmaal tijd. Anderzijds heeft Kingston niet het rapste nand en dito controller in de drive gebouwd. De A400-drive is geen speciale enterprise-ssd en is zelfs als budgetdrive te bestempelen. De tlc-drive in 1TB-uitvoering heeft een endurance tot 300TBW, wat aan de lage kant is.

Het gebruiksgemak van de VP80ES is bijna gelijk aan dat van een reguliere drive. Dat is te danken aan de combinatie van een touchscreen om de drive te ontgrendelen en het verschijnen van de drive als zodanig binnen je besturingssysteem, zonder tussenkomst van software. Wat dat betreft is de Samsung T7 Touch natuurlijk ook enorm makkelijk, met zijn vingerafdruklezer om de drive te ontgrendelen, maar die mist certificatie en is meer beveiligd tegen de toevallige voorbijganger dan tegen een toegewijde hacker.

Los van de hoge prijs, wat voor de beoogde clientèle natuurlijk geen belemmering hoeft te zijn, en de nogal wat geduld vergende prestaties, kan vooral het gebrek aan FIPS 140-2-certificering roet in het eten gooien voor de VP80ES. Zonder gedegen certificering van de fysieke beveiliging is de drive voor bijvoorbeeld overheden niet echt bruikbaar. Los daarvan heeft Kingston wel een vrij innovatief en gebruikersvriendelijke drive uitgebracht, die je met een gerust hart mag kwijtraken.

Reacties (85)

Wijzig sortering
Het gebrek aan snelheid is te verklaren door enerzijds de versleuteling die niet kan worden uitgezet of omzeild; AES-256-encryptie zonder 5GHz-octocore kost nu eenmaal tijd.
Op een PC heb je geen 5GHz-octocore nodig. AES-NI is voldoende, en dat zit op praktisch elke non-budget CPU van de afgelopen 10 jaar (en elke budget CPU van de afgelopen zoveel jaar).

Op een embedded platform heb je ook geen 5GHz-octocore nodig. AES-256 acceleratie met gespecialiseerde hardware is niets nieuws. Wat het wellicht lastig maakt is om een vlotte accelerator veilig te maken/implementeren.

[Reactie gewijzigd door The Zep Man op 15 juni 2022 07:37]

Ik krijg met mijn Intel 8250U xts-aes 256b iets onder de 1500MiB/s (187,5MB/s) encryption wanneer ik "sudo cryptsetup benchmark" gebruik, de snelheid van de encryptie chip in de SSD lijkt mij in ieder geval vergelijkbaar met wat er al in je laptop zit.

Dat betekent wel dat elke willekeurige externe SSD met de gebruiksvriendelijke tools als Bitlocker (Windows) en Disks (Linux) vergelijkbare of betere prestaties levert als deze Kingston, en krijg je een gebruiksvriendelijke melding op het bureaublad om een complex wachtwoord in te voeren in plaats van een wachtwoord in te typen op een touchscreen wat kapot kan gaan, en de schijf is dan makkelijk te backupen.

Edit: foutje, bedankt Zep.

[Reactie gewijzigd door xfj op 15 juni 2022 09:51]

Het verschil tussen het touchscreen gebruiken en de betere software gebruiken is dat je desktop met een keylogger (software of hardware) kan worden afgeluisterd. Deze keylogger kun je niet (zomaar) op een SSD plaatsen zonder extra hardware toe te voegen.

Er zijn USB-kabels te koop met daarin een key logger verwerkt die data over WiFi verstuurd. Daartegen kun je je realistisch gezien niet wapenen als je je sleutel wil beveiligen.

Theoretisch is het mogelijk om een skimmer-aanval op het touchpad uit te voeren door iets over het touchpad heen te leggen maar als het touchpad goed is ontwikkeld (en ik zeg niet dat dat voor dit product geldt) zou dat direct moeten opvallen.

Er is een goede reden om hardware-sleutelinvoer te gebruiken, al zullen 99,99% van alle mensen er geen zak aan hebben.

Ook moet je met zulke externe schijven uitkijken voor caches, je zult je hele werkgedrag moeten aanpassen aan het gebruik van zo'n schijf. Ik kan niet wachten tot de AIVD een stel criminelen oppakt die zulke schijven gebruiken omdat ze denken dat ze veilig zijn maar achteraf ontdekken dat Windows een kopie in de %APPDATA%\TEMP map van hun onversleutelde Windows-partitie heeft achtergelaten.
Als ze willen komen ze idd overal binnen, maar het word ze wel moeilijker gemaakt.
Sowieso moet je je bron computer natuurlijk beveiligen. Dit is vooral voor backup en communicatie, niet zozeer als (enige) werklocatie. Als je denkt dat je veilig bent door slechts je bestanden enkel op deze SSD te zetten dan kan je van een koude kermis thuiskomen.
Ik krijg met mijn Intel 8250U xts-aes 256b iets onder de 1500MiB/s (187,5MB/s) encryption
Waarschijnlijk bedoel je 1500 Mbps (megabit per seconde), niet 1500 MiB/s (mebibyte per seconde). MB vs MiB.

[Reactie gewijzigd door The Zep Man op 15 juni 2022 09:39]

Oeps, dat dacht ik dus ook naar aanleiding van de SSD snelheid, maar het is dus wel MiB/s. Dan lijkt me de SSD een beetje een tegenvaller vergeleken met de ingebouwde mogelijkheden van moderne besturingssystemen en processoren.
[...]
Op een PC heb je geen 5GHz-octocore nodig. AES-NI is voldoende, en dat zit op praktisch elke non-budget CPU van de afgelopen 10 jaar.
Zelfs budget-CPU's van de afgelopen tien jaar hebben AES-NI, waaronder de Intel Atom lijn.
Zelfs budget-CPU's van de afgelopen tien jaar hebben AES-NI, waaronder de Intel Atom lijn.
De serie van de CPU maakt niet uit, maar wel de generatie. Zo heeft de Atom D2560 geen AES-NI.
Dit zal een kostenaspect zijn. Snelle gecertificeerde modules zijn duur, een software implementatie meestal niet.
Toch enkele red flags: meerdere users en data wissen na 15 pogingen.

In het verleden is het al vaker gebleken dat dit soort extern hdd's makkelijk te kraken zijn. En zelf heb ik ooit ook een een recovery gedaan voor iemand die een hardware encrypted extern hdd had. Enkel de ntfs index was toen geencrypteerd.
Geen red flags, gewoon een slechte review...
Deze USB schijf heeft 1 unieke feature: beveiliging.
Een feature die in de review niet echt op de proef wordt gesteld terwijl, zoals je zelf al aangeeft, in het verleden niet eens goed functioneerde. Het kernprobleem hier benoemen ze wel, de drive is niet fysiek beveiligt. En daar laat men het dan bij.... En daarna stelt men tegenstrijdige punten:

Superveilige externe ssd met touchscreen
maar die mist certificatie en is meer beveiligd tegen de toevallige voorbijganger dan tegen een toegewijde hacker.

:/

Dit probleem wordt hier ook beschreven: https://gcn.com/cybersecu...-secure-after-all/293400/
Het feit dat je de schijf kunt verwijderen en net zo lang kunt gaan kraken zonder gevolgen maakt deze drive inherent waardeloos in zijn enige unieke punt. Gezien je hetzelfde kunt bewerkstelligen met gratis software maakt dit apparaat ook per definitie zijn geld niet waard.

De bijna 400 euro die je voor een drive van 1TB betaalt, is geen prijs die betaald wordt door de gemiddelde consument die een filmpje op vakantie wil meenemen.
Zonder gedegen certificering van de fysieke beveiliging is de drive voor bijvoorbeeld overheden niet echt bruikbaar.


Dus te duur voor consumenten en niet veilig genoeg voor professioneel gebruik... Dat zou de echte titel moeten zijn....
Zonder gedegen certificering van de fysieke beveiliging is de drive voor bijvoorbeeld overheden niet echt bruikbaar.[/i]
Jouw artikel trekt een conclusie op basis van een andere drive dan die uit dit artikel.
Deze is volgens de fabrikant FIPS 197 Certified with XTS-AES 256-bit Encryption

Het verwijderbaar zijn van de interne media zegt weinig over de veiligheid, hooguit dat men vertrouwt op de encryptie. Je kan de fysieke media altijd wel op een of andere manier benaderen (desnoods door de behuizing te strippen met een lasersnijder). Mogelijk zit het encryptie algoritme wel in de SSD controller ingebouwd en is die wel ingegoten...

Ik ben het met je eens dat veel van deze 'secure' drives alles behalve dat zijn, maar deze drives hebben een echt security model (en niet alleen een keypad voor de toevallige passant) en zijn prima geschikt voor professioneel gebruik tenzij je James Bond achtige scenario's voorziet. Jouw titelsuggestie is dan ook redelijk kort door de bocht.
[...]

Het verwijderbaar zijn van de interne media zegt weinig over de veiligheid, hooguit dat men vertrouwt op de encryptie
Het breken van encryptie is niet de enige manier om de data terug te krijgen natuurlijk, helemaal met een stuk hardware die blijkbaar open te maken is. De maatregel is dan een zegel (en dat is vervangbaar), maar ik had toch eerder voor de oplossing willen gaan die de IronKey heeft: chips met tamper-response huls, en de behuizing van de stick is opgevuld met epoxy. Je kan de epoxy wel wegbikken/oplossen, maar daar beschadig je de chips mee (tamper response) waardoor de data ook verloren gaat.
Ok, dus de Ironkey heeft wel tamper response? Dan heeft @dycell niets te klagen.

Natuurlijk geeft het wel wat meer 'peace of mind' als je niet zomaar kan lopen rommelen met onderdelen, maar je moet er enigszins vanuit gaan dat het onmogelijk is om 100% security te hebben als je apparaat in handen is van je tegenpartij. Je kan het hooguit extreem moeilijk maken om een brute force aanval uit te voeren, maar een 'state level actor' met de expertise en middelen om dat te kraken gaat het wel kraken.
Daarom zou ik voor meer dan 1 encryptie laag gaan als data zo gevoelig is...
Nee, dat is mijn punt juist. Er is hier geen tamper protection.
Met heeft blijkbaar doelbewust gekozen om dit model niet fysiek te beveiligen.

Ironkey heeft veel betere modellen die wel het fysieke beveiliging aspect aanpakken.
Zie hier voorbeelden met epoxy beveiliging zoals @nst6ldr benoemd:
https://hardwear.io/nethe...lity-study-of-IronKey.pdf

[Reactie gewijzigd door dycell op 16 juni 2022 10:57]

Als alle gevoelige codes in een enkele chip zitten is er niet veel noodzaak om de rest van de onderdelen in epoxy te gieten. Er kan ook over nagedacht zijn en bepaald dat het niet nodig is dus vind jouw conclusie wat voorbarig.
Er kan ook over nagedacht zijn en bepaald dat het niet nodig is dus vind jouw conclusie wat voorbarig.
Klopt, ik pas het aan. Ik weet wel zeker dat er over nagedacht is en dat men doelbewust gekozen heeft om verder geen beveiliging te implementeren. Het product is immers door iemand ontworpen. Het is verder vrij zichtbaar als er daadwerkelijke fysieke maatregelen genomen worden, zie ook de PDF.
We wilden de drive aanvankelijk niet openmaken. Dat leek weinig nut te hebben omdat de pcb's van vrijwel alle Ironkey-producten in epoxy zijn gevat om hardwareaanvallen te voorkomen. Het bloed kruipt echter waar het niet gaan kan en we hebben de tamper-proof sticker toch maar verbroken. Het pcb blijkt niet in epoxy verzegeld en tot onze verbazing blijkt Kingston gewoon een retaildrive in de Ironkey te gebruiken.
Lijkt in dit geval geen sprake van te zijn, buiten de 'tamper-proof' sticker? :?
Jouw artikel trekt een conclusie op basis van een andere drive dan die uit dit artikel.
Dat klopt maar dat is niet hier het probleem is, het gaat niet om een model of manier van versleutelen. Het gaat er om dat er geen fysieke beveiliging is. Dat is gewoon een groot beveiligingsprobleem. Iets dat in de praktijk ook vaak genoeg aangetoond is. Bijvoorbeeld: nieuws: Tweaker kraakt eenvoudig beveiliging Padlock-stick

Het verwijderbaar zijn van de interne media zegt weinig over de veiligheid, hooguit dat men vertrouwt op de encryptie.
Dus het feit dat je gewoon de harde schijf uit deze 'superveilige' HDD case (want meer is het niet) kunt halen en daarmee volledig de auto wipe functionaliteit teniet doet en net zo vaak mag bruteforcen zonder gevolgen 'zegt weinig over de veiligheid'? :+

Mogelijk zit het encryptie algoritme wel in de SSD controller ingebouwd en is die wel ingegoten...
Alles is mogelijk. Maar daar gaat het artikel niet op in. Terwijl het claimt dat het superveilig is....

Ik ben het met je eens dat veel van deze 'secure' drives alles behalve dat zijn, maar deze drives hebben een echt security model (en niet alleen een keypad voor de toevallige passant) en zijn prima geschikt voor professioneel gebruik
Het probleem is dat ik daar in dit artikel nergens onderbouwing voor zie. Ik zie ook nergens pogingen om de beweringen van de fabrikant te valideren. Grappige is dat Tweakers het 15 jaar terug nog beter deed:
reviews: Biometrische beveiliging usb-sticks ook niet de oplossing

zijn prima geschikt voor professioneel gebruik tenzij je James Bond achtige scenario's voorziet.
ZDNet claimt anders. :P

Jouw titelsuggestie is dan ook redelijk kort door de bocht.
Die titel suggereer ik op basis van uitspraken in het artikel. Ik heb het niet verzonnen.

Maar uiteindelijk verwacht ik van een review dat men de claims van de fabrikant ter twijfel stel, onderzoek doet en daaruit conclusies trekt. Zeker bij een beveiligingsproduct.
Maar uiteindelijk verwacht ik van een review dat men de claims van de fabrikant ter twijfel stel, onderzoek doet en daaruit conclusies trekt. Zeker bij een beveiligingsproduct.
Los van het feit of het ding nu wel of niet veilig is heb je gewoon een probleem met de diepte van de review. Ben ik het helemaal mee eens en ik had meer verwacht van Tweakers dan dat ze alleen een standaard USB stick benchmarkje zouden draaien, juist voor dit product wat het duidelijk van z'n security feature moet hebben.

Maar dan nog: het hele concept van secured opslag is honderd keer beter dan gegevens laten slingeren op een onversleuteld stickje, door het nooit te gebruiken omdat er in theorie wel eens wat mis mee kan zijn wordt de veiligheid ook niet beter.
Ja, de reactie is tweevoudig. Een fabrikant die claimt dat het veilig is terwijl er geen echt bewijs voor wordt aangeleverd en een review die niet ingaat op de 'mogelijke' beveiligingsproblemen.

Mijn eerste reactie was enkel een onderbouwing van @IStealYourGun reactie: In het verleden is het al vaker gebleken dat dit soort extern hdd's makkelijk te kraken zijn.

het hele concept van secured opslag is honderd keer beter dan gegevens laten slingeren op een onversleuteld stickje, door het nooit te gebruiken omdat er in theorie wel eens wat mis mee kan zijn wordt de veiligheid ook niet beter.
Er is nog iets gevaarlijker dan een onversleuteld stickje: een vals gevoel van veiligheid.

Mijn mening over beveiliging is dat het volledig moet worden doorgevoerd. Je kan niet enkel een klein stuk goed doen (encryptie) en een ander belangrijk onderdeel (fysieke beveiliging) ongemoeid laten.
Ik kijk graag de Lockpicking Lawyer en die presenteert dit altijd leuk. Neem dit superveilige biometrische slot:
[1060] Opened in ONE Second: HFeng Fingerprint Lock
Of deze:
[1040] Fingerprint/RFID Lock Defeated With a Paperclip (Mengqi-Control)

Mensen die de sloten in de twee genoemde voorbeelden in gebruik hebben denken dat ze hartstikke veilig zijn. Terwijl je met een magneet of paperclip zo langs de beveiliging heen bent. Wie weet is deze superveilige-externe-ssd-met-touchscreen wel net zo veilig als een sticker 'deze USB stick is beveiligt met een virus!'... Ik kan het in ieder niet uit de review halen en zoals de bovenste reactie aangeeft hebben fabrikanten vaker false claims gedaan..
Ja, de reactie is tweevoudig. Een fabrikant die claimt dat het veilig is terwijl er geen echt bewijs voor wordt aangeleverd en een review die niet ingaat op de 'mogelijke' beveiligingsproblemen.
Het laat je in ieder geval wel afvragen wat de bedoelde markt is voor dit type apparaten als er geen officiële certificatie of controle voor bestaat dus waarschijnlijk ook geen wet die dit type beveiliging afdwingt. Dan houd je mensen die paranoia zijn of echt wat te verbergen hebben over als klant...
(en van die groep weer de mensen die niet verder denken dan 'code toetsenbordje dus veilig').
Mijn eerste reactie was enkel een onderbouwing van @IStealYourGun reactie: In het verleden is het al vaker gebleken dat dit soort extern hdd's makkelijk te kraken zijn.
Dat er slechte auto's gemaakt zijn zegt niet dat iedere nieuwe auto daarom slecht is.
het hele concept van secured opslag is honderd keer beter dan gegevens laten slingeren op een onversleuteld stickje, door het nooit te gebruiken omdat er in theorie wel eens wat mis mee kan zijn wordt de veiligheid ook niet beter.
Er is nog iets gevaarlijker dan een onversleuteld stickje: een vals gevoel van veiligheid.
Er bestaat ook nog zoiets als 'proportioneel beveiligen' en 'defense in depth'. Niet alle data hoeft tegen state-level hackers te zijn beveiligd en het lijkt me sterk als de huidige generatie van dit soort producten ondertussen niet wat lessen uit het verleden heeft geïntegreerd.
Mijn mening over beveiliging is dat het volledig moet worden doorgevoerd. Je kan niet enkel een klein stuk goed doen (encryptie) en een ander belangrijk onderdeel (fysieke beveiliging) ongemoeid laten.
Het feit dat een SSD uit zo'n doosje gehaald kan worden zegt niet dat er niet over nagedacht is. Misschien juist wel en is bepaald dat dat geen risico vormt. Het zou aardig zijn als Tweakers daar eens wat dieper op in zou gaan in dit soort reviews.
Ik kan het in ieder niet uit de review halen en zoals de bovenste reactie aangeeft hebben fabrikanten vaker false claims gedaan..
Het is jouw goed recht om sceptisch te zijn, maar dat voegt verder weinig toe aan de daadwerkelijke aanwezigheid van bepaalde eigenschappen van het gereviewde apparaat.
Fips 197 heeft enkel betrekking tot de gebruikte encryptie (aes). Het zegt weinig over hoe veilig die is toegepast. Daarvoor moet je eerder kijken richting fips 140-2 (als ik Wikipedia mag geloven).
FIPS 197 zegt niet veel, je kunt FIPS 197 gebruiken en de key in platte tekst naast de data zetten. Het is FIPS 140-2 dat belangrijk is voor deze toepassing, en die certificering heeft deze schijf niet.
https://www.simms.co.uk/t...the-levels-of-encryption/
Toch enkele red flags: meerdere users en data wissen na 15 pogingen.

In het verleden is het al vaker gebleken dat dit soort extern hdd's makkelijk te kraken zijn. En zelf heb ik ooit ook een een recovery gedaan voor iemand die een hardware encrypted extern hdd had. Enkel de ntfs index was toen geencrypteerd.
Dat data wissen is op zich geen red flag. Als iemand vooral voor gemak gaat en een wachtwoord van 6 tekens gebruikt en het diegene niet zoveel interesseert als de data kwijtraakt (omdat 't toch een mobiele kopie is bijvoorbeeld) dan is data wissen na 15 pogingen wel een prima oplossing. De encryptie kan nog zo goed in elkaar zitten, met een wachtwoord van 6 tekens is het alsnog eenvoudig toegang te krijgen tot de data door gewoon de combinaties af te gaan, als daar geen limiet op zit.
Het secure verwijderen van data is redelijk intensief, dus vermoedelijk zal enkel de sleutel worden verwijderd, maar dat zou berekenen dat de data nog intact is.
Ik mag hopen dat in zo'n device een 'grote' sleutel (512-768 bits) zit die met een password is afgeschermd. Dus dat password zelf wordt niet gebruikt voor encryptie.
Gooi je de sleutel weg heb je alleen nog maar encrypted data. Succes met het proberen van 2^768 mogelijkheden...
Inderdaad, alleen de sleutel zou dan weg worden gegooid. En het wachtwoord zelf zou idd op geen enkele manier in de encryptie zelf gebruikt moeten worden.
Nee, die sleutel is slechts 256 bits, maar dat is (meer dan) voldoende als het gaat om symmetrische versleuteling - zoals AES versleuteling.

Voor symmetrische versleuteling is de sleutellengte nagenoeg gelijk aan de sleutel-sterkte. Voor asymmetrische versleuteling heb je grotere sleutellengtes nodig voor een beetje beveiliging: 256 bits voor ECC met een sterkte van 128 bits en 3072 voor RSA met een sterkte van 128 bits. Als je het hebt over 768 bits versleuteling dan is er juist iets serieus mis.

Zie ook https://keylength.com/

[Reactie gewijzigd door uiltje op 21 juni 2022 12:10]

In het verleden is het al vaker gebleken dat dit soort extern hdd's makkelijk te kraken zijn. En zelf heb ik ooit ook een een recovery gedaan voor iemand die een hardware encrypted extern hdd had. Enkel de ntfs index was toen geencrypteerd.
Welke procedure hebt u daarvoor gevolgd/ software gebruikt?
Hdd uit de case gehaald en testdisk er op losgelaten. Zonder issues alle bestanden kunnen recoveren.
aha, denk dat dit bij deze andere koek is.
If someone were to remove the SSD from this device, they would find all data is obscured with FIPS 197 certified XTS AES 256-bit encryption.
https://www.tomshardware....ncrypted-ssd-touch-screen
Goede review

En nu weet ik gelijk weer wat meer

Alleen mijn grootste vraag die blijft is hoe verhoudt dit zich dan tegen een software oplossing Oals truecrypt/veracryp/luks

Bedenk je een een 13in een dozijn laptop met max 8gb ram en een dual of quadcore i3 of lager 10th gen ofzo waar je vervolgens iets als veracrypt op draait Dat zou toch vooral dé baseline moeten zijn. Toch?

Vooral binnen sommige bedrijven zou je dan wel toestemming moeten krijgen om zo’n applicatie te mogen draaien maar ik zie vanuit het bedrijf weinig redenen om zo’n applicatie niet te Whitelisten als je je personeel gebruik laten maken van externe schijven

[Reactie gewijzigd door i-chat op 15 juni 2022 06:20]

Alleen mijn grootste vraag die blijft is hoe verhoudt dit zich dan tegen een software oplossing Oals truecrypt/veracryp/luks
LUKS en Veracrypt zijn open source en hebben heel wat meer ogen op zich gehad dan een proprietary implementatie zoals deze.
Vooral binnen sommige bedrijven zou je dan wel toestemming moeten krijgen om zo’n applicatie te mogen draaien maar ik zie vanuit het bedrijf weinig redenen om zo’n applicatie niet te Whitelisten als je je personeel gebruik laten maken van externe schijven
In een bedrijfssetting wil je niet dat werknemers ad-hoc aan de slag gaan met encryptie, dat wil je juist forceren via een automatisch toegepaste IT policy.
[...hoe verhoudt dit zich tegen alternatieven... ]
LUKS en Veracrypt zijn open source en hebben heel wat meer ogen op zich gehad dan een proprietary implementatie zoals deze.
Ja dat weet ik, maar volgens mij begreep je m'n vraag verkeerd, als deze oplossing met zo'n chip kapot gaat mag je oneindig moeilijk gaan doen om je data terug te halen kennelijk kun je zo'n ding niet zomaar openschroeven en de disk erin vervangen. Dat komt er dus op neer dat je je drive naar de fabrikant moet sturen om de data te recoveren - heel meschien zal er een software tool zijn die het uitlezen mogelijk maakt - maar dat moeten we dan nog maar eens zien.

de tools die ik noemde zijn inderdaad opensource en (belangrijker nog) veel gebruikt wat enige mate van continuïteit impliceert en waar je dus op mag rekenen. Een ander voordeel van deze tools is dat ze bestaan voor de meeste platforms die een normale gebruiker zou overwegen (inclusief chromeOS) als je linux apps aanzet) en dus; dat je data van het ene naar het andere systeem kunt meenemen. Daar staat echter een performance penalty tegenover. Omdat je nu geen dedicated pupose chip maar de cpu inzet kost dat resources en heeft het impact .. bovendien zul je daarmee (op een laptop bijvoorbeeld) zien dat het decrypten flink of de accuduur zal inwerken. De vraag daarom is wat voor performance bieden beide opties, en hoeveel impact heeft het op het stroomverbruik en andere relevante pointers.
In een bedrijfssetting wil je niet dat werknemers ad-hoc aan de slag gaan met encryptie, dat wil je juist forceren via een automatisch toegepaste IT policy.
Ik ben het met je eens dat policy's in een bedrijf belangrijk zijn, maar in een maatschappij waarin BYOD en thuiswerken 'ineens' naar de voorgrond zijn gesprongen zie ik wel voordelen in het gebruik maken van bepaalde tools. Het is daarbij nog een soort van jammer dat er geen universeel ondersteund read-only-filesystem voor usb-sticks en ssds bestaat want anders kon je zo'n ssd gewoon partionioneren in een 1gb partitie voor de executables van je encryptie-software, en een. 999gb encrypted partitie voor de data.
-- maar zelfs zonder zo een readonly fs (die gebruikers niet kunnen opfocken- is het prima te kiezen voor zo'n oplossing. dat je mensen daarbij eerst instructie moet geven over de werking en het belang van versleuteling voor ze überhaubt data mee naar huis mogen nemen is evengoed een werkbare situatie als wanneer je alles alleen maar via policy-tools dichttimmert en dan erachter moet komen dat het 'te onhandig is' ik vraag me in deze dan direct af of er mogelijk heden zijn om het mounten van volumes te blokkeren en die policy dan via een app als true-crypt weer te 'overrullen.
De vraag daarom is wat voor performance bieden beide opties, en hoeveel impact heeft het op het stroomverbruik en andere relevante pointers.
Goede vraag en zou mooi zijn als Tweakers daar een keer wat verder induikt in een lekker lang artikel :) De performance is natuurlijk ook afhankelijk van de gebruikte hardware; ik pas zelf altijd full disk encryptie toe, mijn NVMe rent rondjes rond deze Ironkey.
Ik ben het met je eens dat policy's in een bedrijf belangrijk zijn, maar in een maatschappij waarin BYOD en thuiswerken 'ineens' naar de voorgrond zijn gesprongen zie ik wel voordelen in het gebruik maken van bepaalde tools.
Het thuiswerken kun je ondervangen met organisatie-supplied hardware, waarop men gewoon het interne IT beleid kan toepassen. Met BYOD wil je juist een isolatie hebben tussen de omgevingen en helemaal niet dat medewerkers zaken op externe dragers gaan opslaan die al dan niet prive gebruikt worden. Plus, wat is het nut van een USB drive voor gegevensoverdracht bij het thuiswerken?
ik vraag me in deze dan direct af of er mogelijk heden zijn om het mounten van volumes te blokkeren en die policy dan via een app als true-crypt weer te 'overrullen.
Zeker! Je kunt prima whitelisten op bepaalde zaken, het is wat dat betreft niet 'alles of niets' qua USB opslag. Dat zou je bijvoorbeeld op de vendor ID kunnen doen, om maar even wat te noemen.

(noot: Truecrypt is niet meer)
[...]
als deze oplossing met zo'n chip kapot gaat mag je oneindig moeilijk gaan doen om je data terug te halen kennelijk kun je zo'n ding niet zomaar openschroeven en de disk erin vervangen.
Natuurlijk niet, dat zou de beveiliging teniet doen. Daarom heb je ook altijd een backup op een andere veilige plek.
LUKS en Veracrypt zijn open source en hebben heel wat meer ogen op zich gehad dan een proprietary implementatie zoals deze.
Ik vind dit altijd een beetje een non-argument.

Ik weet niet of je zelf wel is hebt gekeken naar code die te maken heeft met welke vorm van versleuteling dan ook. Dat is per definitie gelijk 2.0.
Ik heb persoonlijjk meer vertrouwen in gesloten code die door professionele auditors is doorlopen dan een stuk open-source software waar 'de community' het maar moet doen.

Zou zijn zowel LUKS als VeraCrypt ook door professionele auditors doorlopen, dus in het concrete voorbeeld is het ook allemaal prima, maar open source betekend niet per definitie 'beter te vertrouwen' qua veiligheid.
De mooiste voorbeelden blijven toch nog altijd naar hoeveel echte oude beveiligingsfouten in libraries as OpenSSL gevonden worden. Van die kritieke fouten die jaren en jaren onopgemerkt zijn gebleven. (uiteraard niks ten nadele van de ontwikkelaars en de mensen die de moeite hebben genomen om het te bekijken, want ook OpenSSL is regelmatig door professionele auditors doorlopen en die hebben het ook allemaal gemist)
Preaching to the choir ;) Ik ben het daar volledig mee eens; open source is niet pertinent veiliger - dat hebben vulnerabilities als heartbleed en shellshock wel laten zien. Mijn opmerking sloeg in dit geval specifiek op Veracrypt en LUKS, waarvan ik weet dat die een of meerdere audits gehad hebben.

Due dilligence is altijd een ding. Maar als het gelijkwaardig is qua beveiligingsimplicaties heb ik persoonlijk wel een sterke voorkeur voor open source, open standaarden en open formaten :)
Alleen mijn grootste vraag die blijft is hoe verhoudt dit zich dan tegen een software oplossing Oals truecrypt/veracryp/luks
Of de standaard oplossing onder Windows, Bitlocker en onder Mac OS, Filevault
nadeel - als ik op werk dan een windows pc heb en thuis een mac gaat die oplossing niet werken. wil je dan later als werkgever over naar chromebooks - zit je met een nóg groter probleem - In-OS-implementaties zijn voor mij dan ook alleen maar aan te raden als je weet dat je die data nooit buiten het systeem zult gebruiken.... dus op een interne schrijf bijvoorbeeld...
Nee? Je kan toch gewoon met bootcamp die externe SSD met Windows starten?

Althans dat is hoe wij op het werk het doen, iedereen heeft gewoon een SSD met zijn complete besturingssysteem naar keuze op. Thuiswerken op een persoonlijk besturingssysteem brengt ook meer potentiële veiligheidsproblemen mee
Niet bij de M1-macs.
Het grote voordeel van dit soort oplossingen. Het werkt op elk systeem met een usb poort. Ongeacht het OS.
Bijkomend voordeel. Er kan geen copy van de data gemaakt worden voor een brute-force aanval.
Je moet de disk in handen hebben, en deze heeft een maximaal inlog pogingen voordat de data weg is.
Er vanuit gaande dat de hardware goed in elkaar zit.
Wat is nu werkelijk het voordeel tussen dit en een externe HDD beveiligen met bitlocker to go?
Met name dat je hem op meerdere systemen kan gebruiken die ook niet per se Windows hoeven te zijn. Ook hoef je niets te installeren op die systemen. Of de code in te voeren op het systeem zelf.

[Reactie gewijzigd door GekkePrutser op 15 juni 2022 09:16]

Inderdaad niet windows systemen heb je een punt, maar op windows systemen hoef je niets te installeren om een bitlocker drive te decrypten. Zelf op windows home kan je een bitlocker drive decrypen alleen geen nieuwe encrypten
Op een moderne windows wel ja, maar dat is ook niet altijd het geval :)
Vanaf windows 7 denk ik? Maar ik snap je punt als je bevoorbeeld de drive moet gebruiken met zowel windows, mac os en linux is het wel een voordeel ja :) Want als je dan weer iets als veracrypt wil gebruiken moet je inderdaad software installeren op al die systemen.
Op Linux kun je dislocker gebruiken om Bitlocker-volumes te gebruiken. Ik weet niet hoe goed de GUI-integratie daarmee is, deze zal wel niet zo goed zijn als die voor normale LUKS-volumes, maar technisch bestaat de mogelijkheid.

Omdat dislocker in user mode draait via FUSE werkt de tool ook op macOS en zelfs voor oude versies van Windows zou dit een optie kunnen zijn via WinFsp.
leuke info, bedankt :)
Inderdaad niet windows systemen heb je een punt, maar op windows systemen hoef je niets te installeren om een bitlocker drive te decrypten. Zelf op windows home kan je een bitlocker drive decrypen alleen geen nieuwe encrypten
Maar dat werkt niet zomaar voor een drive die je op verschillende Windows pc’s live wil aansluiten denk ik? Nooit geprobeerd maar dan zal je toch wel iets moeten gaan invullen
Er komt een pop up in Windows met de vraag om je wachtwoord in te vullen.
Is het hele concept achter bitlocker ToGo

[Reactie gewijzigd door maevian op 15 juni 2022 14:04]

Dit is cross platform en compatibel met de vele servers die geen Windows draaien. Daarnaast wil je ook dat dit kan gebruikt worden met telefoons verwacht ik, en ongeveer 70% van die draaien Linux (ongeveer de rest BSD trouwens)
Kon me moeilijk voorstellen dat iemand een USB SSD zou aansluiten aan een server of een mobiele telefoon, maar oké aan de comments te zien zijn er wel usecases :)
Wat ik mij afvraag en helaas niet lees in de review als je op een touchscreen een pincode steeds weer moet invullen krijg je afdrukken op het scherm hetgeen het raden best vergemakkelijkt zeker in combi met een keer op afstand meekijken. Hiervoor is een simpele oplossing dat de cijfers steeds in een ander patroon staan. Is dat hier ook het geval? Verder een produkt wat handig kan zijn.
Even naar de foto's kijken ;) (artikel en de banner)
Je hebt helemaal gelijk was mij in de foto niet opgevallen.
die optie is er wel, niet standaard ingeschakeld (en het is een touchscreen, dus even de mouw erover vegen voor de vingers :P)
In hoeverre is je data nog te recoveren als het touchscreen het begeeft?
Als je data belangrijk is heb je meer dan 1 kopie.
Kun je het wissen na 15 pogingen ook aanpassen? Lijkt me nogal lullig als een kind het ding in handen krijgt en je data oppeens weg is. Brute forcing stoppen bij 15 pogingen is ook een beetje hardcore, een redelijk wachtwoord van ~8 karakters zou je ook in 100 pogingen niet kunnen bruteforcen.
Jep, tussen 10 en 30
Some specifics about passcode and passphrase access provided by Kingston include the fact that there are multi-level password options. Specifically, you can set up admin and user passwords. It has an option to respond to brute-force attacks by crypto-erasing the drive "if the Admin and User passwords are entered incorrectly 15 times." Users can set this data destruction to kick in at their own choice of between 10 and 30 wrong password attempts.
Zit hier al een backdoor ingebouwd, of is het nog niet verplicht?

Veracrypt lijkt me een veel veiliger oplossing.
Dit apparaat is te nieuw voor FIPS 140-2 certificering is mijn gok, deze eindigde eind vorig jaar en aannames voor nieuwe certificeringen zijn praktisch al een tijdje gestopt bij mijn weten. Dit zal volgens de nieuwe FIPS 140-3 standaarden moeten en mogelijk voldoet het daar (nog) niet aan afhankelijk van het te halen level. De doorlooptijd is vrij lang om op de approved devices list te komen dus wie weet komen ze er nog mee.

Overigens heeft fisieke toegangsbeveiliging niet per se iets te maken met die FIPS certificering. De level 1 variant heeft daar geen noemenswaardige eisen voor en aangezien jullie het apparaat open konden maken geeft dat voor mij aan dat dat ook het hoogste niveau is dat ze mogelijk zouden willen halen, voor overheden zal level 3 gangbaar zijn en dan is dat een grote no-no.

De module staat ook niet op de pending list dus het lijkt er niet op dat ze die willen halen.

[Reactie gewijzigd door kaas-schaaf op 15 juni 2022 08:00]

Ik mis de tijd dat jullie @Sprite_tm dit soort dingen onder handen lieten nemen die de zwakke plekken vond :) Dat was super interessant.

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee