Al jaren bestaat de mogelijkheid op de iMac een schijfkopie te maken via het schijfhulpprogramma. Deze kan je beveiligen met een wachtwoord.
Wie weet hoe de "veiligheid' is van zo'n .DMG met 256-bits AES?

Vraag in het kort dus:
Hoe veilig is een 256-bits encryptie?

Heel veilig.

(Wat denk je er zelf van?🤔)

Twee handen op één buik…

Tenzij je 'macsiem' als wachtwoord gaat gebruiken. Of je geboortedatum. Of P@$$w0rd. Of qwertyqwerty. Of hello123. Of ... 

Wie weet hoe de "veiligheid' is van zo'n .DMG met 256-bits AES??

"Grosso, Modo" is een DMG veilig. Maar ook DMG bestanden bestaan in allerlei verschillende soorten en maten. Feitelijk is een D(isk) (i)M(a)G(e) niets anders dan een zogeheten container bestand. Oftewel een "groot archief". Dit "archief" kan verschillende bestandssystemen bevatten, maar ook op verschillende manieren gecomprimeerd of versleuteld worden.

Het unieke aan een VHDX (Windows), VDI (VM Ware), DMG (Apple) is dat dergelijke bestanden de structuur van een schijf hebben, oftewel een bestandssysteem met directory, gekoppeld kunnen worden en gebruikt kunnen worden als een (virtuele) schijf. Een .TAR, .ZIP, .7Z, .GZ, .BZ2, .Z of andersoortig (gecomprimeerd) bestand kan overigens - al dan niet met een tussenweg - worden versleuteld. Ofwel dit betreffende formaat heeft ondersteuning ("native") voor een versleutingsmechanisme (bijvoorbeeld AES-128 of AES-256), of kan er gebruik worden gemaakt van de mogelijkheid gegevens eerst te versleutelen ("in transit") vlak voordat die worden weggeschreven in het archief.

Voorbeeld van dit laatste is het gebruik maken van de Terminal en het wegschrijven van bestanden in een .TAR archief door middel van een hulpprogramma

tar -czf - * | openssl enc -aes-256-cbc -md sha512 -pbkdf2 -iter 256000 -salt -out archief.tar.gz
(Hierboven gegeven voorbeeld: tar comprimeerd de inhoud en stuurt deze door naar het volgende commando (achter de |), dit is openssl, deze moet versleutelen (enc) met -aes-256 versleutelingsmechanisme, voorzien van een hash (sha512) met (pbkdf2) wachtwoord "bescherming" en nog wat commando opties om dit vervolgens weg te schrijven als een gecomprimeerd en versleuteld archief (archief.tar.gz)).

In dit geval is het TAR archief hierboven niet minder veiliging dan een DMG. Kortom, het versleutelingsmechanisme AES is (over het algemeen genomen, en voorlopig) goed genoeg.

Vraag is alleen voor hoe lang nog ... Immers, op een gegeven moment overstijgt de (beschikbare) computer rekenkracht het versleutelingsmechanisme. Zo is het (in het verleden) met verschillende (inmiddels verouderde en niet meer veilig zijnde) versleutelingsmechanismen vergaan.

Je kunt hierbij een stap verder gaan door bestanden voor te bereiden voor gebruik door deze te vullen met random data. Te versleutelen, vervolgens een volgende keer door zo'n "opvulling" te halen ... Te versleutelen ... Op te splitsen in kleinere delen (liefst random grootte) met daarbij (naast je wachtwoord) ook nog eens een instructie in welke volgorde de bestanden weer aan elkaar te rijgen ... Liefst natuurlijk los van elkaar bewaard ... Mogelijk 1 van de 2 zelfs in zijn geheel niet in digitale (en als het echt moet in volledig offline digitale) vorm.

Mocht je echt helemaal los willen gaan, dan kun je een script schrijven welk elk individueel bestand versleuteld met een ander wachtwoord, deze wachtwoorden in een centraal bestand wegschrijft. Deze versleutelde bestanden gaan in een DMG, TAR of andersoortige archief en krijgen dezelfde behandeling ...

Gegarandeerd dat het een flinke tijd duurt voordat men de hele inhoud onstleuteld krijgt, als dit al lukt in jou leven 🤪 .... Met een belangrijke voorwaarde: zowel het wachtwoord, instructie als het index-bestand met ALLE losse wachtwoorden van elk denkbaar bestand in dat (eveneens versleutelde) archief, dienen met het leven te worden verdedigd ...

... en ja, we kunnen nog een stukje verder gaan met hybride versleutelingen, waarbij (met wat slim programmeer werk) niet meer duidelijk is voor onderzoekers welk versleutelingsmechanisme precies gebruikt wordt, zeker als de data zelf met meerdere versleutelingsmechanismen worden versleuteld, in ook nog eens variabele blokken.

En - natuurlijk - zijn er meer varianten, ook in onzinnigheid ... Immers, stel, je hebt je hele levenswerk zwaar versleuteld in een ongekende vesting, maar onderstussen wel doodleuk al je bestanden (ook al is het maar 1x) ergens op iCloud, OneDrive, Google Drive of elders geplaatst, dan is de hele versleuteling eigenlijk een wassen neus. Immers, een digitale kopie (ook al beweren sommigen anders), is vereeuwigd in "tha cloud" ... Bij het wissen wordt veelal enkel de sleutel vernietigd, niet de feitelijke data.

Oftewel, het leven van een digitale archeoloog wordt in de toekomst meer een domein van (hogere) wiskunde 🙃🔐 ...

Vraag in het kort dus:
Hoe veilig is een 256-bits encryptie?

Gevolgd door:

"Grosso, Modo" is een DMG veilig. Maar ook DMG bestanden bestaan in allerlei verschillende soorten en maten. Feitelijk is een D(isk) (i)M(a)G(e) niets anders dan een zogeheten container bestand. Oftewel een "groot archief". Dit "archief" kan verschillende bestandssystemen bevatten, maar ook op verschillende manieren gecomprimeerd of versleuteld worden.

Het unieke aan een VHDX (Windows), VDI (VM Ware), DMG (Apple) is dat dergelijke bestanden de structuur van een schijf hebben, oftewel een bestandssysteem met directory, gekoppeld kunnen worden en gebruikt kunnen worden als een (virtuele) schijf. Een .TAR, .ZIP, .7Z, .GZ, .BZ2, .Z of andersoortig (gecomprimeerd) bestand kan overigens - al dan niet met een tussenweg - worden versleuteld. Ofwel dit betreffende formaat heeft ondersteuning ("native") voor een versleutingsmechanisme (bijvoorbeeld AES-128 of AES-256), of kan er gebruik worden gemaakt van de mogelijkheid gegevens eerst te versleutelen ("in transit") vlak voordat die worden weggeschreven in het archief.

Voorbeeld van dit laatste is het gebruik maken van de Terminal en het wegschrijven van bestanden in een .TAR archief door middel van een hulpprogramma

Code: [Selecteer]

tar -czf - * | openssl enc -aes-256-cbc -md sha512 -pbkdf2 -iter 256000 -salt -out archief.tar.gz
(Hierboven gegeven voorbeeld: tar comprimeerd de inhoud en stuurt deze door naar het volgende commando (achter de |), dit is openssl, deze moet versleutelen (enc) met -aes-256 versleutelingsmechanisme, voorzien van een hash (sha512) met (pbkdf2) wachtwoord "bescherming" en nog wat commando opties om dit vervolgens weg te schrijven als een gecomprimeerd en versleuteld archief (archief.tar.gz)).

In dit geval is het TAR archief hierboven niet minder veiliging dan een DMG. Kortom, het versleutelingsmechanisme AES is (over het algemeen genomen, en voorlopig) goed genoeg.

Vraag is alleen voor hoe lang nog ... Immers, op een gegeven moment overstijgt de (beschikbare) computer rekenkracht het versleutelingsmechanisme. Zo is het (in het verleden) met verschillende (inmiddels verouderde en niet meer veilig zijnde) versleutelingsmechanismen vergaan.

Je kunt hierbij een stap verder gaan door bestanden voor te bereiden voor gebruik door deze te vullen met random data. Te versleutelen, vervolgens een volgende keer door zo'n "opvulling" te halen ... Te versleutelen ... Op te splitsen in kleinere delen (liefst random grootte) met daarbij (naast je wachtwoord) ook nog eens een instructie in welke volgorde de bestanden weer aan elkaar te rijgen ... Liefst natuurlijk los van elkaar bewaard ... Mogelijk 1 van de 2 zelfs in zijn geheel niet in digitale (en als het echt moet in volledig offline digitale) vorm.

Mocht je echt helemaal los willen gaan, dan kun je een script schrijven welk elk individueel bestand versleuteld met een ander wachtwoord, deze wachtwoorden in een centraal bestand wegschrijft. Deze versleutelde bestanden gaan in een DMG, TAR of andersoortige archief en krijgen dezelfde behandeling ...

Gegarandeerd dat het een flinke tijd duurt voordat men de hele inhoud onstleuteld krijgt, als dit al lukt in jou leven 🤪 .... Met een belangrijke voorwaarde: zowel het wachtwoord, instructie als het index-bestand met ALLE losse wachtwoorden van elk denkbaar bestand in dat (eveneens versleutelde) archief, dienen met het leven te worden verdedigd ...

... en ja, we kunnen nog een stukje verder gaan met hybride versleutelingen, waarbij (met wat slim programmeer werk) niet meer duidelijk is voor onderzoekers welk versleutelingsmechanisme precies gebruikt wordt, zeker als de data zelf met meerdere versleutelingsmechanismen worden versleuteld, in ook nog eens variabele blokken.

En - natuurlijk - zijn er meer varianten, ook in onzinnigheid ... Immers, stel, je hebt je hele levenswerk zwaar versleuteld in een ongekende vesting, maar onderstussen wel doodleuk al je bestanden (ook al is het maar 1x) ergens op iCloud, OneDrive, Google Drive of elders geplaatst, dan is de hele versleuteling eigenlijk een wassen neus. Immers, een digitale kopie (ook al beweren sommigen anders), is vereeuwigd in "tha cloud" ... Bij het wissen wordt veelal enkel de sleutel vernietigd, niet de feitelijke data.

Oftewel, het leven van een digitale archeoloog wordt in de toekomst meer een domein van (hogere) wiskunde 🙃🔐 ...

Zoiets vind ik dus héél erg grappig!

   

Zoiets vind ik dus héél erg grappig!