A bit to lock
Wie van jullie gebruikt BitLocker en hoe zijn de ervaringen daarmee?
terugdraaien/stoppen lukt niet altijd.
op usb sticks niet altijd bruikbaar. sommige bedrijven kan de stick niet gelezen worden. vraag is dus spreek je over een desktop/laptop of los medium(usb/fw/...)
Jan
Recovery keys heb ik opgeslagen in mijn wachtwoord manager.
Gewijzigd op 03/12/2020 09:48:36 door Veur Heur
Vragen die ik heb:
1) Is het moeilijk om te installeren? Wordt je computer er (merkbaar) trager van?
2) Op welke schijven gebruik je het? Alleen op schijven met data/documenten, of ook op je systeemschijf?
3) Ik lees op een paar Nederlande websites dat het gesloten software is en dat er een backdoor in zou kunnen zitten waardoor Microsoft en regeringen mee zouden kunnen kijken. Lijkt me een fabeltje, maar toch benieuwd of jullie daar wel eens over gehoord hebben.
2) c, dat is ook mijn enige schijf
3) als dat zo is, stap ik meteen over naar Apple
Ik kan mij niet indenken dat er backdoor inzit, en vooral niet dat de regering mee kan kijken.
Iedereen kent wel het Echelon-project: https://nl.wikipedia.org/wiki/ECHELON . Of meer recent PRISM.
Het is ook een feit dat de NSA de randomisatie van de RDRAND-instructieset van Intel chips wilde beïnvloeden, om sneller encryptie te kunnen kraken: https://en.wikipedia.org/wiki/RDRAND . Linux heeft inmiddels patches voor /dev/random waardoor de veiligheid is verbeterd.
En met de nieuwste side channel attacks op hardware zijn er nog meer kwetsbaarheden, te misbruiken door anderen naast overheden.
BitLocker wordt wel gebruikt samen met TPM. Daarvan is dankzij Snowden bekend dat de CIA gegevens kon extraheren.
https://en.wikipedia.org/wiki/Trusted_Platform_Module#Criticism
Met de NSA en de CIA in het achterhoofd is het denkbaar dat ook Microsoft niet zal ontkomen aan wat haar regering van haar vraagt. Uiteraard zullen ze dat zoveel mogelijk ontkennen omdat veiligheid van klanten een groot goed is voor Microsoft.
Een alternatief zou kunnen zijn om niet langer Windows te gebruiken, maar over te stappen op Linux. Je moet je dan in een aantal dingen meer verdiepen, tegelijkertijd vergroot dat de keuzemogelijkheden. Zo is het aan te raden om bij aanschaf van een nieuwe PC te controleren of alle hardware wordt ondersteund.
Voor wie wil vertrouwen op BitLocker is het zaak om niet 128-bits encryptie te gebruiken, maar 256-bits.
Ik ben echter ook altijd huiverig voor de nadelen: Als je disk corrupt raakt, kun je wel eens veel meer kwijt zijn dan bij een normale "bad sector" (er nog even vanuit gaande dat je een _werkende_ recovery key hebt). Of de rest van je PC faalt, waardoor je niet meer met "eigen" TPM kunt werken (en weer "extra werk" hebt om het weer werkend te krijgen). Nou heb ik al heel wat meer bad sectors gehad, of anderzijds falende hardware, dan gestolen apparatuur.
Zelf kies ik dus voor het "gemak" dat ik bij een falende disk in in ieder geval nog bij de resterende data kan, en/of de disk gewoon in een andere PC kan hangen, en deze alsnog zonder problemen uitlezen. Maw: geen full-disk encryptie. Enkel op file/directory niveau "indien nodig" (dus: vakantiefoto's niet, bank gegevens wel).
Scheelt ook wel dat ik altijd "remote" werk, en dus nooit met de fysieke disk loop te slepen (die staat gewoon ergens ver weg gestopt; dan zijn ze er al lang met de TV vandoor).
Met een eigen NAS kan je een eigen private cloud maken voor mobiel gebruik, het enige probleem is dan nog het scenario van brand en backups. Daarvoor kan je gebruik maken van meerdere locaties, of betaalde diensten.
Zo'n dienst kan dan beter niet in Amerika zitten, vanwege de geklapte privacy deals met de EU:
- https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacy-shield-voor-doorgifte-naar-vs-ongeldig-verklaard
- https://www.justitia.nl/privacy/safe-harbor
Niet fijn als je in een situatie zit waarin je je moet kunnen verantwoorden voor de veiligheid van gegevensopslag.
- Ariën - op 03/12/2020 14:24:25:
Op welke Neerlandse sites las je dat?
Ik kan mij niet indenken dat er backdoor inzit, en vooral niet dat de regering mee kan kijken.
Ik kan mij niet indenken dat er backdoor inzit, en vooral niet dat de regering mee kan kijken.
https://computertotaal.nl/artikelen/pc/de-ingebouwde-encryptietool-van-windows-10-gebruiken/
Lees kopje "Is BitLocker veilig te gebruiken?".
Zonder BitLocker (of andere disk-level crypto) heeft (potentieel) de hele wereld toegang tot je systeem/data. Met BitLocker heeft _misschien_ de CIA/NSA/Andere 3-letter organisatie toegang tot je systeem/data. Welke is beter?
Als je het echt niet vertrouwd kun je je netwerk monitoren om te zien of er actief data gekopieerd word, iets wat mij zeer onwaarschijnlijk lijkt.
In alle software en hardware, opensource of niet, zitten kwetsbaarheden die misbruikt kunnen worden. Welke dat zijn weet je niet tot het openbaar gemaakt word.
100% veilig is een illusie, choose your poison.
Wil je wat meer zekerheid van veiligheid en betrouwbaarheid dan zou ik zoals Ad Fundum aangeeft een eigen NAS met een RAID opstelling en encryptie gebruiken, dan heb je redundancy én security in eigen beheer.
Edit: Om bij de originele vraag te blijven:
Ik gebruik privé geen BitLocker, op mijn zakelijke machine draait Linux met TrueCrypt.
Mijn privé laptop bevat buiten een 4096-bit RSA SSH key geen data, die is puur om remote te kunnen werken op mijn desktop of servers, allemaal via een jumpstation achter een VPN.
Om toch wat zekerheid van data-integriteit te hebben maak ik natuurlijk backups:
Zakelijk is backup niet interessant omdat het alleen een werkplek is. Alles zit in Git.
Privé gebruik ik een dedicated RAID5 array in mijn homelab servers (2x Dell Poweredge 2U rackserver) die tussen de 2 machines gemirrored word en in zijn eigen VLAN staat.
Hier sta ik geen internet toegang op toe, voor updates word een lokale package-cache gebruikt die met 1 poot in het backup-VLAN word gezet.
Gewijzigd op 04/12/2020 12:50:59 door Thom nvt
>> Welke is beter?
Ik snap je punt.
>> Als je het echt niet vertrouwd kun je je netwerk monitoren om te zien of er actief data gekopieerd word, iets wat mij zeer onwaarschijnlijk lijkt.
Dat is (denk ik) niet het punt. Ik denk dat ze bedoelen dat als je fysiek de schijf in handen krijgt wellicht sommige organisaties de data zouden kunnen uitlezen. Jij hebt het over actief data kopiëren via netwerk. Als dat het geval was, dan zou dat natuurlijk met een normale (niet-ge-envrypte schijf) ook al kunnen. Ik denk dus dat het over het fysieke stukje gaat. Als je ge-encrypte schijf gejat wordt, kan niemand normaliter bij je data. Behalve dan misschien een paar 3-letter-organisaties.
Er zijn er veel meer van drie letters: KGB, FSB, MIT, MvS, BfV, FBI, MI5 en MI6, BND, SVR, FRA, DIA, GRU, DRM...
https://nl.wikipedia.org/wiki/Geheime_dienst
Het is dus vooral ook niet alleen 'onze' regering, of die van 'bevriende westerse landen' (al lijkt het minder te worden met Trump / Brexit) die je data graag willen kunnen controleren. Ik zou er maar van uit gaan dat ook andere landen dat graag willen en dat ook proberen.