Het lijkt te mooi om waar te zijn: een stukje hardware dat gelijk welke schijf encrypteert met een onkraakbare AES-256 sleutel, met nauwelijks verlies aan schrijf- en leesprestaties. Dat is nochtans wat de gepatenteerde [hiddn] Full Disk Encryption (FDE) technologie van het Noorse bedrijf HDD belooft. De [hiddn] FDE van HDD werkt helemaal in hardware op het ATA-protocolniveau die door alle moderne schijven wordt gebruikt. De encryptie functioneert daardoor volledig onafhankelijk van het hardwareplatform en het besturingssysteem. De data- en encryptiesleutelinterfaces zijn fysiek en logisch van elkaar gescheiden, zodat er geen kruisbestuiving mogelijk is tussen gebruikersdata en encryptiesleutelbeheer. De [hiddn] FDE ondersteunt niettemin geavanceerde sleutelbeheerhandelingen, zoals het beperken van de levensduur van een encryptiesleutel, het genereren van read- en write-only keys, het creëren v...

Het lijkt te mooi om waar te zijn: een stukje hardware dat gelijk welke schijf encrypteert met een onkraakbare AES-256 sleutel, met nauwelijks verlies aan schrijf- en leesprestaties. Dat is nochtans wat de gepatenteerde [hiddn] Full Disk Encryption (FDE) technologie van het Noorse bedrijf HDD belooft. De [hiddn] FDE van HDD werkt helemaal in hardware op het ATA-protocolniveau die door alle moderne schijven wordt gebruikt. De encryptie functioneert daardoor volledig onafhankelijk van het hardwareplatform en het besturingssysteem. De data- en encryptiesleutelinterfaces zijn fysiek en logisch van elkaar gescheiden, zodat er geen kruisbestuiving mogelijk is tussen gebruikersdata en encryptiesleutelbeheer. De [hiddn] FDE ondersteunt niettemin geavanceerde sleutelbeheerhandelingen, zoals het beperken van de levensduur van een encryptiesleutel, het genereren van read- en write-only keys, het creëren van tot 32 verschillende 256-bit AES-sleutels per gebruiker, het aanmaken van een eigen mbr (master boot record) op de schijf, het creëren van gesplitste sleutels en het toelaten van forensisch onderzoek indien vereist door de opdrachtgever. De encryptiesleutels worden steeds van de encryptiemodule gewist wanneer die zonder stroom wordt gezet. Sleutels kunnen niet onderschept worden omdat ze nergens worden bijgehouden wanneer de computer uitgeschakeld is. Het tweeweg-authenticatiemechanisme verhindert ook dat ongeautoriseerde gebruikers toegang krijgen tot data met behulp van valse sleuteltokens. Het is allemaal heel doordacht en het wekt dan ook geen verwondering dat [hiddn] zowel Common Criteria Level 4+ als FIPS 140-2 Level 3 certificaten kan voorleggen. Dit is werkelijk military grade encryptie. Tot zover de theorie. Hoe werk het in de praktijk? We testten dit uit met de [hiddn] Crypto Adapter (CA) bedoeld voor gewone geheugenstaafjes. De CA is een klein usb-kastje met minitoetsenbordje en usb-uitsparing op de bovenkant en een smartcardlezer op de voorkant. De CA wordt door de computer herkend als usb-hub en werkt dus zonder drivers. In de usb-uitsparing kunt u gelijk welke usb-stick steken. Nadat u uw smartcard en beveiligingssleutel hebt ingegeven, zal de computer de stick herkennen. De stick moet worden geformatteerd en is dan klaar voor gebruik. De gegevens zijn daarna alleen nog bruikbaar met behulp van een CA en uw smartcard. Probeert u de stick te gebruiken zonder CA dan zal dat niet lukken. Het besturingssysteem meldt dan dat de stick ongeformatteerd is. Een nietsvermoedende gebruiker weet zelfs niet dat er geëncrypteerde gegevens op staan. Met elke CA worden drie smartcards en een sleutelkaart meegeleverd. De 'zeroing card' is alleen nodig bij verlies van de 'user smartcard' en wordt samen met de 'backup smartcard' op een veilig plek bewaard. Met die eerste kaart kunt u nieuwe smartcards bestellen als de gebruiker zijn kaartje verliest. Het is aan te raden dit direct te doen, want de geëncrypteerde gegevens kunnen alleen gelezen worden met een van de twee gebruikers-smartcards. Bent u die allebei kwijt dan bent u ook uw gegevens kwijt. Bestelt u nieuwe kaarten, dient u de gegevens op de stick eerst op een gewone schijf te kopiëren en dan de stick opnieuw te formatteren om ze met de nieuwe sleutels te encrypteren. Grotere bedrijven kunnen zelf sleutels genereren en smartcards aanmaken met behulp van het [hiddn] Key Management System, een gespecialiseerd werkstation dat onder Windows 7 draait. De KMS werkt met alle producten van [hiddn] en dat zijn er heel wat, maar allemaal doen ze in essentie hetzelfde: transparant encrypteren van schijven. De CA heeft blijkens onze testen effectief weinig invloed op de lees- en schrijfprestaties. Lezen is tot 19 % trager met encryptie, maar schrijven is tot 7 % sneller. Dit laatste is te verklaren door de hardwarecache van de CA-module die de schrijfprestaties positief beïnvloedt. Hoe sneller de stick, hoe minder invloed de CA op de prestaties heeft. We hebben de CA met succes geprobeerd op verschillende pc's en laptops draaiend onder Windows XP, Windows 7, Ubuntu en Mac OS X 10.5.8. De [hiddn] Crypto Adapter is een eenvoudig te gebruiken, perfect werkend Full Disk Encryption systeem voor usb-geheugenkaartjes. Goedkoop is het echter niet... PRODUCT: [HIDDN] CRYPTO ADAPTER 1.4 PRODUCENT: High Density Devices hdd; www.hdd.no LEVERANCIER: Secury Products; www.securyproducts.nl ADVIESPRIJS: euro243; euro641 voor 3 CA's; euro1086 voor 5 CA's; euro2106 voor 10 CA's, KMS inbegrepen; KMS apart: euro750. Jozef Schildermans