Då Windows 8 kom, oppgraderte eg maskin. Med 8.1 på plass, ville eg sikre data på ssden til maskina. Det baud på ein utfordring sidan maskina manglar TPM. Utan TPM må du gjere ei par ting djupt i Windows med Redigeringsprogram for lokal gruppepolicy. Dette programmet er skjult og framstår ikkje som program i menyar.

• Trykk Windows-tast
• Skriv gpedit.msc
• Trykk Enter/Lineskift

I venstre del av Programmet Redigeringsprogram for lokal gruppepolicy vil du sjå ein trestruktur du kan utvide. Du skal ned til greina Lokal datamaskin-policy -> Adminstrative maler  -> Windows-komponenter -> Bitlocker-stasjonskryptering -> Operativsystemstasjoner. Eg legg ved 5 bilete som viser innstillingane eg gjorde for å tilpassa Bitlocker mine personlege krav:

1. Du må aktivere/krysse av Tillat Bitlocker uten en kompatibel TPM… 
2. Eg tilrår aktivering Tillat utvidede PIN-koder for oppstart. Vanlegvis er BitLocker sett opp med tilsvarande krav til PIN som ein mobiltelefon (4 siffer). I mine auge er denne løysinga for svak. Med utvida PIN-kodar aktivert kan du bruke små, store bokstaver, symbol eller tal til oppstartspassordet. Sidan oppstartspassordet må leggast inn før norsk tastatur er lasta inn, hald deg til teikna a-z, A-Z og 0-9.
3. Eg vel å setje at passordet skal vere på minimum 8 teikn.
4. Denne slo eg på fordi prosessoren Core i3-2370M ikkje har maskinvareaksellerasjon av krypteringsalgoritmene.
5. Sidan maskina mi har SSD og det var begrensa med data når eg krypterte ho, valde eg å berre kryptere brukt plass. Sidan det jamnleg blir køyrt TRIM av SSDen, vil ledig plass bli nulla ut slik at eg ikkje ser det nødvendig å kryptere denne. Med tradisjonelle platelager må ein kryptere alt.

Som eg har vore innom i tidlegare innlegg, kan tryggleiken til filer lagra på nettet vere so som so. Eg viser til:

• Ver merksam på online backuptenester
• Crashplan – Online backup med det vesle ekstra
• Tryggleiken til tenester i skya
• Lit ikkje på nokon i skya og
• ikkje minst EncFS sikrar dine filer på nettet der eg har skissert korleis du kan opprette ein kryptert underkatalog på ei skyteneste.

For å vere heilt sikker på at ingen kan lese dine data, må du kryptere alle data som blir lasta opp. Sjølv om aviser hevdar at NSA knekker kryptering, har eg ikkje sett konkret dokumentasjon på det. Med utgongspunkt i Dropbox, vel eg likevel å skissere ei totalløysing med EncFS. Du vil fort forstå at ho er enkel å tilpasse alle skytenester som SkyDrive, GoogleDrive osv. Formålet er å ikkje gi ut nokon informasjon om di sikring av filene dine.

1. Det første du må gjere er å installere programvare i innlegget EncFS sikrar dine filer på nettet.
2. Sett standardinnstillingar slik som skissert i EncFS sikrar dine filer på nettet.

Når alt er installert og du har starta EncFS for Windows, vil det kome opp ein nøkkel i systemfeltet (system tray) nede til høgre i skjermbilete av Windows:

1. Høgreklikk på nøkkelen
2. Vel Open/Create
3. Opprett ei mappe under ditt brukarnamn med t.d. namnet Skya
4. Vel stasjon, i mitt eksempel brukar eg stasjon S,  som skal vere “redigeringskanalen”. Stasjonen gir tilgang “on-the-fly” til den dekryptert versjonen av filene.
5. Lag eit godt passord eller setning

Det som har skjedd no er at det er oppretta ei fil .encfs6.xlm i mappa Skya. Du skal aldri kopiere filer eller mapper over i mappa Skya. Alle mapper og filer som blir skrivne via den virtuelle stasjonen (stasjon S i mitt eksempel) i EncFS, blir kryptert etter innstillingane i .encfs6.xml og lagra i mappa Skya. Fila .encfs6.xml  inneheld ikkje passordet/setningen i klartekst, men i lys av udokumenterte påstandar i media, vel eg å fjerne informasjonen frå likninga. Utan fila eliminerer ein fleire variablar som gjer det umogleg å få tilgang til informasjonen i filene du lastar opp. Eg treng vel ikkje minne deg om at du må ta backup av .encfs6.xml? Utan fila får du ikkje tilgang til dine data. Ikkje eingong NSA eller høgare makter kan hjelpe deg.

1. Monter mappa til stasjon ved å klikke på nøkkelen system feltet og velje Mount
2. Opprett ei mappe Dropbox på stasjon S
3. Flytt alt frå den originale Dropbox-mappa til S:\Dropbox
4. Vent til Dropbox-appen slettar alle filer
5. Når Dropbox-appen er ferdig, avslutt Dropbox-appen
6. Når Dropbox-appen er avslutta, slett mappa Dropbox frå brukarmappa di i Windows, ikkje S:\Dropbox

Dropbox-appen har hardkoda Dropbox som mappenamn. Uansett kor du peikar han slenger han på Dropbox. Om du ser under mappa Skya vil du sjå det krypterte namnet til mappa S:\Dropbox. Her ser du korleis det ser ut hjå meg:

Det du må gjere er å lage ein link med namn Dropbox under brukarområdet ditt til det krypterte namnet til Dropbox-mappa under mappa Skya. Dette må gjerast frå kommandolina/Ledetekst i Windows:

1. Opne Ledetekst under Alle programmer\Tilbehør i Start-menyen
2. Skriv mklink /J Dropbox «C:\Users\<brukarnamnet ditt>\Skya\<Kryptert namn til Dropbox-katalogen>»
3. Sjekk at lenka fungerer frå Windows utforskar
4. Når alt fungerer, start Dropbox-appen
5. Opplasting av krypterte filer startar

Når det gjeld punkt 2, er det viktig at du bruker hermeteikn rundt stien som linken skal peike til. Årsaka er at det kan kome bindeteikn tilsvarande mellomrom frå krypteringa av mappenamnet. Utan hermeteikn kan linken bli feil.

Alt som du lagrar i S:\Dropbox\ bli lasta opp kryptert. Her ser du korleis det set ut hjå meg:

Det siste du bør gjere er å logge deg på http://www.dropbox.com og slå på visning av sletta filer og mapper og fjerne desse for godt.

I desse tider med Snowden som hevdar at etterretningstenster kan få tilgang til det meste av informasjon, har eg for moro skuld sett litt etter alternativ. Ikkje det at eg har så mykje interessant, men eg meinar at mine filer skal eg i utgongspunkt ha full kontroll. Inntil no har eg inngått visse kompromiss. Det viktigaste har eg sikra på best mogleg måte eller ikkje lagt på skytenester.

Eg har sett på ulike synkroniseringstenester som Tonido eller ei meir lokal teneste som  BiTtorrent Sync, Alt har sin pris eller sine ulemper. ownCloud virkar som eit betre alternativ Med Tonido må ein registrere konto. Kor er då krypteringsnøkkelen osv? BiTtorrent Sync fungerer greit innafor eige nettverk, men krev litt meir over internett. I tillegg vert ikkje filer lagra kryptert (på synkroniseringsserver). ownCloud virkar i så måte betre ved at ein mellom anna kryptering på serversida.

Til prøveoppsettet mitt brukar eg ein WAMP-server, komplett med Apache, MySQL og PHP er dette eit godt utgongspunkt. Eg justerte nokre rettar og passord på MySQL-serveren av personlege preferansar. Oppsettet av ownCloud gjekk rimeleg greitt. I første forsøk blinksa eg litt når det gjaldt kva for brukarnamn og passord relatert til MySQL. Eg trudde at ownCloud bad om å oppretta ein ny databasekonto, men det var root-kontoen (standard administrator) eg skulle legge inn. ownCloud-oppsettinga genrerer automatisk sin eigen brukarkonto til  MySQL.  I tillegg opplevde eg at eg vart låst ute av serveren når eg aktiverte kryptering av filer på server. Eg trur at det kan tilskrivast mine eksperiment. Når eg sette opp i andre forsøk, gjekk alt «meget bedre».

Med ownCloud oppe byrja arbeidet med å klargjere den for internett. Standard oppsett køyrer ownCloud over http utan kryptering. Dette er greitt nok over ditt eige private nettverk, men skal synkroniseringa skje via internett må ein implementere ein kryptert kanal, slik som nettbankane. Med ei linux-maskin fekk eg enkelt generert eit sertifikat som kunne brukast til å sikre kommunikasjonen:

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout server.key -out server.crt

Ettter at sertifikatet var på plass og kommunikasjonen mellom klientena og server var sikra mot sniffing, var tida komen for å sikra Apache-sereren best mogleg. Ein må sørge for å reudsere svakheiter og slå av ulike modular samt gjere nokre justeringar i oppsettet. Mellom anna vil du ikkje ha grensesnittet til WAMP-serveren ute på internett. Tenaren din må ikkje vere ein open invitasjon til tvilsomme sjeler å hente ut mest mogleg informasjon. Eit søk etter hardening Apache server løyste det meste. Det som gjenstod var ei lita justering av internettrouteren slik at ein obskur port vart opna for å motta og vidareformidla trafikken til rett maskin.

Totalt sett trur eg at eg har greidd å sikre min eigen tenar rimeleg godt. Det som gjenstår er å sjå om synkroniseringa vil fungere tilfredsstillande…

Telefonane våre har vorte meir og meir eit sentralt hjelpemiddel i det daglege liv. Vi tek bilete og video, utvekslar meldingar, er tilkopla sosiale medier, lastar ned e-post frå ulike kjelder med meir. Kort sagt mykje personlege og eventuelt data frå arbeidsgivar blir samla på einingen. Ved eit tap eller avhending utan eit visst forabeid, kan det få store konsekvensar. I Sverige har ein testa 50 telefonar som tidlegare var brukt av verksemder:

http://e24.no/it/fant-sensitiv-informasjon-paa-en-av-tre-mobiler/20330071

Telefonane var tilbakestilt til fabrikkinnstillingar, men det er ikkje nok. Det betyr berre at standard konfigurasjonsfiler er kopiert over dine og dine data er «sletta». Du kan tru at det er borte, men i realiteten har du berre rive ut innhaldslista av ei bok. Sider blir berre erstatta etter kvart som ein fyller på med nye data. Med dei rette verktøya er det ikkje noko hokus pokus å hente tilbake, bilete, videoar, e-post osv.

Kryptere telefon

Dei fleste er van med å setje ein pin-kode på telefonen for å låse den. Ein iPhone blir automatisk kryptert når du set pin-kode eller passord.  I Android 3+ må du aktivt velje å kryptere telefonen, der er det ingen automatikk at data blir kryptert når telefonen får sett skjermlås.

Bilete til venstre er henta frå Samsung Galaxy S2. Telefonen er kryptert. Imotsetning til iPhone krev Samsung S2 at ein brukar passord på minimum 6 teikn der eitt av dei er eit tal for krypteringa. Det same passordet som blir brukt på skjermlåsen. Ulempa er at ein må forhalde seg til eit fullstendig tastatur på skjermen, som gjer det vanskelegare å treffe teikna. Eg let diskusjonen om det er god nok tryggleik at den same koden for skjermlås er den som òg låser opp ein kryptert telefon. Det er ikkje er ofte ein slår av og på ein telefon. Eit lite brukt passord kan lett gå i gløymeboka.

Før du krypterer, kopier ut data på telefonen i tilfelle det skulle oppstå problem under krypteringa. For å få lov til å starte krypteringa av Samsung Galaxy S2, må telefonen først ladast opp til 100%. Ladaren må stå i under krypteringa og set av tid til det. Eg tilrår at du syter for at heile dataområdet blir kryptert, for å hindre at restar av gamle filfragment kan gjenfinnast.

Ikkje gløym SD-kortet

Samsung Galaxy S2 støttar minnekort, som må krypterast separat. Før du krypterer, kopier ut data som ligg på SD-kortet i tilfelle det skulle oppstå problem under krypteringa. Du må passe på å kryptere heile kortet. Eg ser ingen grunn til å utelate multimediafiler. Du vil vel ikkje at dine bilete og/eller videoar skal vere tilgjengeleg dersom telefonen går tapt. Alt etter kor stort minnekortet ditt er, vil det ta noko tid.

Oppsummering

Når telefonen er kryptert, vil gjenoppretting til fabrikkinnstillingar føre til at krypteringsnøkkelen forsvinn. Det er ikkje mogleg å køyre gjenoppretting sidan dine krypterte data berre framstår som tilfeldige data.

Med andre ord skal det ikkje vere mogleg å finne data i tilsvarande omfang som rapportert i artikkelen over.