information-security___nl

Waarom is AxCrypt veilig?

AxCrypt is veilig omdat het ernaar streeft om alleen geaccepteerde praktijken en algoritmen te gebruiken en niet probeert om nieuwe versleutelingssalgoritmen of -methoden uit te vinden. Het is ook open source; Iedereen mag de broncode inspecteren, controleren op fouten, weglatingen of achterdeurtjes. Het wordt al meer dan 15 jaar gebruikt en geïnspecteerd op kwetsbaarheden en door meer dan 30 miljoen gebruikers geprobeerd, zonder bekende zwakke punten.

Hoe veilig is AxCrypt?

Deze vraag komt neer op effectieve lengtes van versleutelingssleutels. De gebruikte sleutellengte is 128 of 256 bits - uitputtend zoeken wordt momenteel in beide gevallen niet als een optie beschouwd en is in cryptografische termen rekenkundig onhaalbaar. Het probleem ligt bij de gebruikte wachtwoorden - dit is het zwakke punt. Hieronder leest u meer over waar u op moet letten bij het kiezen van een wachtwoord.

Wachtwoord overwegingen

AxCrypt gebruikt AES-128 of AES-256 in de Premium-versie - maar als je dat beveiligingsniveau wilt bereiken, moet je het 128 of 256 bits echt 'willekeurige' gegevens geven. Dit is erg moeilijk om te doen, maar de gemakkelijkste manier om dit zelfs maar te benaderen, is door de wachtwoordgenerator te gebruiken die is opgenomen in Premium.

Om daadwerkelijk 128 of 256 bits te krijgen, zult u in de praktijk dit wachtwoord in een tekstbestand moeten opslaan en dat tekstbestand vervolgens heel geheim moeten houden. Als je typisch Engels in een wachtwoord gebruikt, is 128 bits ongeveer gelijk aan 10 'willekeurig' woorden, en 256 bits dus twee keer zoveel. Gebruik geen zinvolle zinnen en absoluut geen bekende of zelfs obscure citaten! Door variaties op de naamval aan te brengen, evenals niet-alfabetische tekens, kunt u het aantal benodigde woorden verminderen. Het wordt niet aanbevolen om minder dan 5 woorden te gebruiken. Als u een volledig willekeurige selectie van hoofdletters en kleine letters en cijfers gebruikt, heeft u 22 tekens nodig om 128 bits beveiliging te bereiken, en dus 44 tekens voor 256 bits. (Het bovenstaande is een kleine vereenvoudiging van het probleem, maar het zou moeten werken.) Met de vernietigings- of wisfunctie van AxCrypt kunt u bestanden wissen op een manier die het onmogelijk maakt om de inhoud te herstellen met software voor het ongedaan maken van de verwijdering. Er zijn echter enkele kanttekeningen:

• De naam van het bestand, evenals de grootte, kunnen worden hersteld.

• Als het bestand is bekeken of bewerkt met een toepassing die tijdelijke kopieën van de inhoud maakt (zoals Microsoft Office), zijn die tijdelijke kopieën mogelijk nog steeds beschikbaar om de verwijdering ongedaan te maken op uw harde schijf.

Zie het gedeelte over lokale pc-beveiliging voor tips over hoe u uw beveiligingsmarge voor deze zaken kunt vergroten.

Lokale PC beveiliging

AxCrypt zal bijvoorbeeld niet uw lokale PC beschermen voor, bijvoorbeeld:

Gegevensblootstelling als gevolg van:

• Je applicaties behouden duidelijke tekst in geheugen, welke vervolgens in het wisselbestand wordt geplaatst.

• Je applicaties maken tijdelijke bestanden aan, welke niet goed worden gewist.

• Deep-reading van overschreven harde-schijfgegevens met aangepaste software en laboratoriumapparatuur.

Wachtwoord blootstelling als gevolg van:

• Ongepaste power-cycling van je computer en daaropvolgende cryptanalyse.

• Toetsenbord-sniffers, hetzij in hardware of software.

Niet gebruiken:

• Sterke wachtwoorden, ofwel met AxCrypt of uw login.

• Wachtwoord-beveiligde screensavers.

Account Sleutels

Een accountsleutel maakt de implementatie van verschillende nieuwe uitgebreide functies mogelijk, zoals het toestaan ​​van andere teamleden om beveiligde bestanden te openen met hun eigen wachtwoorden. In technische termen bestaat een AxCrypt Account-sleutel uit een openbaar sleutelpaar dat is samengesteld uit een openbaar (niet-geheim) en een privé (geheim) deel en enkele andere metagegevens.

De accountsleutel wordt ook altijd beveiligd met uw wachtwoord, hoewel een deel ervan niet geheim is en wordt gebruikt bij het beveiligen van bestanden voor u en uw team. Voor u is het voordeel dat u het wachtwoord voor alle bestanden in één handeling kunt wijzigen. Voor uw teamleden is het voordeel dat u en uw team elkaar kunnen toestaan ​​beveiligde bestanden te openen zonder wachtwoorden te delen door alleen het e-mailadres van het andere lid op te geven.

Iedereen kan uw e-mailadres gebruiken om u toe te staan om een beveiligd bestand te openen met uw inloggegevens. En u kunt iedereen met een e-mailadres toestaan om een bestand te openen dat beveiligd is door u. Dit alles wordt mogelijk gemaakt doordat het openbare deel van de accountsleutel beschikbaar is op onze server.

Algoritmes

De cryptologische primitieven zijn AES-128 of AES-256 voor bulkversleuteling, PBKDF2 met HMAC-512 voor sleutelafleiding, 4096-bits RSA voor de accountsleutel en HMAC-512 voor integriteit controle.

De algoritmes worden als veilig beschouwd door, voor zover wij weten, de US overheid en de Internet gemeenschap. Zie het documentenpakket en de bron code voor details.

Key Wrapping van het wachtwoord wordt gedaan met behulp van de NIST-specificatie voor AES Key Wrap. De sleutel die is afgeleid van het wachtwoord met PBKDF2-SHA512 wordt alleen gebruikt als sleutel voor het versleutelen van de sleutel.

Als brute-force tegenmaatregel wordt key-wrapping uitgevoerd met ten minste 5000 iteraties, waardoor de werkinspanning met ongeveer 12 bits wordt verhoogd. Het werkelijke aantal iteraties wordt dynamisch bepaald, een typische waarde is 25.000 tot 100.000, waarbij 14-17 bits effectieve sleutellengte worden toegevoegd. Hoe sneller de machine is waarop u AxCrypt installeert, hoe beter de beveiliging!

AxCrypt maakt gebruik van de Advanced Encryption Standard met 128-bit of 256-bit sleutels in Counter-modus met een 'random' IV voor data versleuteling.

Voor integriteitsverificatie gebruikt AxCrypt HMAC-SHA512, d.w.z. Hash Message Authentication Code met SHA-512 met 512-bit output.

De gebruikte pseudo-willekeurige nummergenerator (PRNG) is in de eerste plaats het geleverde besturingssysteem, in sommige gevallen met toegevoegde entropie.

Er kunnen echter fouten in onze implementatie zitten - daarom is het open source, dus u en onze collega's kunnen het bekijken en veilig houden. Dit moet niet worden opgevat als een laag vertrouwen in onze code - iedereen die u vertelt dat hun code foutloos is, is ofwel onervaren of liegt.

Is AxCrypt HIPAA-compatibel?

Er bestaat niet zoiets als HIPAA-compatibele software. Alleen organisaties en procedures kunnen HIPAA-compatibel zijn.

Het geschikte gebruik van versleuteling en andere Technische Beveiligingen zijn vastgelegd door de HIPAA Beveilingen Standaarden, 45 CFR 160,162 en 164. De relevante sectie is 164.312 Technische Beveiligingen. Er zijn geen aanbevelingen of vereisten gesteld met betrekking tot specifieke versleuteling technologieën. Het is specifiek benadrukt dat de wetgeving technologie-neutraal is. Het is aan het bedrijf om de positie en risico's te analyseren, en daarna de vereiste specificaties te implementeren.

Hoewel de standaard er op geen enkele manier naar verwijst, behalve in opmerkingen, specificeert het CMS Internet Security Policy, dat de huidige visie is van Centers for Medicare & Medicaid Services voor eigen gebruik, voor bepaalde gevallen enkele minimale technologieniveaus. AxCrypt voldoet aan deze vereisten voor verzending via internet - maar uw organisatie moet onafhankelijk beoordelen of dit voldoende is om hetzelfde niveau te gebruiken als de Centers for Medicare & Medicaid Services.

De onderdelen waar AxCrypt kan (en zou moeten) voldoen als (onderdeel van) een Technische Beveiliging zijn:

• Toegangscontrole/codering en decodering – AES-128/AES-256

• Integriteit/ Authenticatie -HMAC-SHA-512 Transmissie

• Beveiligings-/integriteitscontroles, Versleuteling AES-128/AES-256/HMAC-SHA-512

De HIPAA-beveiligingsstandaard staat het gebruik van versleutelen toe als basis voor toegangscontrole, dat wil zeggen om de privacy van gegevens in rust (opgeslagen op een harde schijf in plaats van bijvoorbeeld internet) te beschermen. AxCrypt zal ook hier voldoen aan de eisen van de meeste organisaties.