Wanneer een USB stick of disk verloren raakt, kan een vinder de gegevens op deze USB apparaten bekijken. Op die manier is er al een aantal keer melding gemaakt van gevoelige datalekken. Een vergeten USB stick in een trein bevatte bijvoorbeeld gegevens van criminelen die later via de media werden verspreid.

Een password voor een Excel bestand of een Word document vormt wel een beetje een blokkade, maar is geen serieuze belemmering voor een hacker. Er is gratis software in omloop waarmee dergelijke passwords eenvoudig kunnen worden omzeilt. Zelfs de inlogcodes van Windows zelf kunnen op die manier vaak eenvoudig worden gewijzigd.

Het principe van versleuteling

Versleuteling (encryptie) is een goede methode om data te beschermen. Het principe van versleuteling is eenvoudig: met behulp van een digitale sleutel  wordt alles wat op de schijf wordt opgeslagen er in andere tekens op geplaatst. Hierdoor is het onleesbaar geworden. Wil men de oorspronkelijke data terug krijgen, dan is de sleutel nodig om de onleesbare gegevens op de harddisk terug te vertalen naar wat het oorspronkelijk was. Je hebt dus dezelfde sleutel nodig voor de versleuteling als voor de “ontsleuteling”. Verlies je de sleutel, dan zul je nooit meer bij de versleutelde data kunnen komen.

Een sleutel kan alleen in jouw bezit zijn, maar kun je in sommige gevallen ook aan een ander geven. Hierdoor kun je bijvoorbeeld versleutelde bestanden over het internet versturen, die alleen maar te gebruiken zijn door mensen die de sleutel hebben ontvangen. Op die manier kunnen ook versleutelde mailberichten worden verstuurd. Software zoals Microsoft Outlook is voorbereid op het gebruik van dergelijke sleutels. Als gebruiker merk je er dus niet zoveel van. Je importeert de sleutel in Outlook, en vanaf dat moment worden versleutelde berichten automatisch vertaald naar leesbare berichten.

Microsoft BitLocker 

In een aantal versies van Windows bevindt zich ook een onderdeel om data te kunnen versleutelen. Dit is een functie die BitLocker heet. Microsoft BitLocker versleuteld een opslagmedium zoals een USB stick of de harddisk van een laptop. Alles op die harddisk wordt dus versleuteld. Wordt een met BitLocker beveiligde USB stick gevonden, dan kan niemand daar wat mee. Om de versleuteling teniet te doen, moet de USB stick worden geplaatst in de computer waarop de sleutel is geplaatst om de versleutelde harddisk te ‘openen’.

Op de desbetreffende computer is het alleen mogelijk de data te benaderen als de gebruiker is ingelogd als de juiste gebruiker. Zodra Bitlocker iets verdachts detecteert tijdens het opstarten, zoals een onverwachte aanpassing van het password, dan sluit hij de computer hermetisch af en is het alleen nog mogelijk om door te gaan via een apart Bitlocker herstelwachtwoord. Is dit wachtwoord niet meer bekend, dan kunnen de bestanden op de harddisk dus niet meer worden gebruikt.

BitLocker kent daarnaast een aantal extra instellingen die gebruikt kunnen worden om het systeem nog veiliger te maken. Met BitLocker is het bijvoorbeeld mogelijk om  de sleutel op een usb stick te plaatsen. Alleen wanneer de usb stick in de pc zit, kan de harddisk worden gebruikt.

BitLocker werkt standaard alleen op een computer zoals een laptop waar een TMP chip in is verwerkt. Trusted Plaform Modules (TPM’s) zijn kleine chips die men vooral in zakelijke apparatuur zal aantreffen. Een TMP chip zit op het moederbord en in deze chip wordt de beveiligingssleutel van BitLocker opgeslagen. De TMP is bijzonder moeilijk te hacken en wordt al tijdens het opstarten van de laptop gebruikt om te controleren of alles wel echt verloopt zoals verwacht mag worden qua beveiligingsproces. Bevat een machine geen TMP chip, dan kan BitLocker soms nog steeds worden gebruikt, maar dan wordt de sleutel elders opgeslagen, bijvoorbeeld op een USB stick. Ook kan met andere encryptie software alsnog iets soortgelijks zonder TMP worden gerealiseerd. Denk hierbij aan producten zoals TrueCrypt en DiskCryptor.

Encryptie standaard inschakelen?

Hoewel een groot aantal experts aangeeft dat het gebruik van encryptie zakelijk gezien als vereist zou moeten worden beschouwd, kan deze visie natuurlijk ook heel goed opgaan voor privé laptops. Op iedere laptop kan immers gevoelige data staan, zoals inlogcodes of foto’s die men niet graag aan derden zou willen laten zien. Dus waarom staat encryptie niet al standaard ingeschakeld? Het antwoord daarop is eenvoudig: encryptie kent namelijk ook nadelen. Het verlies van de sleutel kan bijvoorbeeld catastrofale gevolgen hebben voor het niet meer kunnen benaderen van de data. En het versleutelproces, twee kanten op, kan computers merkbaar trager maken. Dat is de reden waarom het een keuze is, en niet standaard in wordt geschakeld.