De crypto-geheimen van Robert M.

{jcomments on}

 

 

 

 

 

 

De hoofdverdachte in de Amsterdamse ontuchtzaak, Robert M., heeft de wachtwoorden aan de politie gegeven om toegang te krijgen tot zijn computer. Daarmee is het grootste deel van de gegevens op zijn computers en harde schijven toegankelijk. Maar nog niet alles. De vraag is: heeft Robert M. ook zijn derde wachtwoord gegeven dat toegang biedt tot het verborgen systeem?

 

Door Wim van de Pol

Hoeveel data nu nog steeds ge-encrypt is zegt het Openbaar Ministerie nu te onderzoeken.

Robert M. gebruikte de gratis open-source software Truecrypt.

Behalve dat Truecrypt zeer moeilijk te kraken is biedt het systeem voordelen tegen aanvallers die de beheerder onder dwang proberen zijn computer te laten de-crypten. Bijvoorbeeld in het geval van een gijzeling. En nu in de situatie van Robert M.: gijzeling en druk door de politie. 

Met Truecrypt is het mogelijk twee wachtwoorden te geven en een derde te verzwijgen. Zo kan een verborgen operating system buiten bereik van bijvoorbeeld de politie blijven. Dat systeem blijft verborgen, het bestaan is ook niet aantoonbaar. Op dat deel van de computer staan de echte geheimen.

De vraag is: heeft Robert M. zijn derde wachtwoord – dat toegang biedt tot dat geheime deel – ook gegeven aan de politie?

Als een systeem met Truecrypt versleuteld wordt dan moet er vóór het opstarten een eerste wachtwoord worden ingetoetst. Daarna volgt een wachtwoord om toegang te krijgen tot het versleutelde deel van de computer. Wie dit voldoende vindt zet zijn geheimen op deze manier achter slot en grendel.

Maar het kan nog beter: er kan ook een geheim volume zijn dat draait onder een verborgen operating system.

Dit verborgen systeem (bijvoorbeeld Windows 7 of OSX of Linux) is geïnstalleerd in een geheim Truecrypt-volume op de computer. Als het goed is geïnstalleerd kan niet meer worden vastgesteld dat dit systeem bestaat op de harde schijf. Het bestaat uit random data, ofwel ruis.

Maar om een volume te kunnen laden dat is versleuteld met Truecrypt moet er toch ook een niet versleuteld programma op de computer zijn gezet om toegang te bieden. Om de aanwezigheid van dit programma te “verklaren” aan de politie zou Robert M. nóg een operating systeem kunnen hebben geïnstalleerd, een zogenoemde decoy, een nepper die wel echt draait en misschien zelfs wel geheimen bevat. Maar niet de grote geheimen.

Deze decoy is niet verborgen maar kan wel zwaar versleuteld zijn.

Als M. zijn eerste (pre-opstart) wachtwoord heeft gegeven kan hij ook veilig zijn tweede wachtwoord geven, dat toegang geeft tot dit volume. Misschien heeft hij daarop wel kinderporno staan, maar niet het meest belastende materiaal. En als hij zijn verdere netwerk wil afschermen zet hij misschien op dat volume nepcontacten en andere valse sporen.

Misschien heeft Robert M. gewerkt volgens dit systeem en heeft hij het wachtwoord voor het derde systeem niet gegeven. Daarop staat dan het meest belastende kinderporno-materiaal en mogelijk zijn echte netwerk.

Het is aannemelijk dat de politie wel op de hoogte is van de mogelijkheden van de Truecrypt-software die M. gebruikte. Dat betekent dat er nog een deel van de computer van M. te kraken zal zijn. En gegeven de kracht van Truecrypt zal dat nog wel wat rekentijd gaan vergen.

Dat is mogelijk de achtergrond van de mededeling van het OM dat nog steeds een deel van de computer van M. niet toegankelijk is.

Zie Truecrypt. Voor meer over hacken en kraken: Airdemon.