BITCOIN ZORGT VOOR STORMLOOP OP GRAFISCHE KAARTEN www.ct.nl
Microsoft Surface Duo met Android
Windows-toolbox Meer dan 100 gratis tools van Microsoft GETEST
Windows-toolbox met gratis Microsoft-tools • High-end laptops • Compacte workstations • 16:10-Kantoordisplays • Virtualisatie onder Linux
5
mei 2021
Kantoordisplays 16:10 All-in-one inkjetprinters Compacte workstations Asrock mini-ITX-serverboard Lancom XS-5110F switch
Wikipedia bestaat 20 jaar Netwerkbekabeling aanleggen Spotify-playlists beheren Virtualisatie onder Linux Fotobeheer met gThumb
• Versleuteld mailen en bellen • Messengers zonder datalek • Zo werkt cryptografie
HIGH-END LAPTOPS Met veel rekenkracht, een laag gewicht, lange accuduur en 16:10-displayformaat
AP
januari april mei 2021 2020 2020
VEILIG COMMUNICEREN
€6,99
Thema’s indows-toolbox W 36 Gratis systeemutility’s 38 Sysinternals Suite 44 PowerToys 46 Tools voor de commandline High-end laptops 50 Krachtige premium-laptops met lange accuduur
36
WINDOWS-TOOLBOX
Systeemtools maken het makkelijker om met Windows te werken. Ze helpen onder meer bij het opsporen en oplossen van problemen. Microsoft biedt zelf al veel gratis tools.
Veilig communiceren 60 Veilig communiceren is een grondrecht 62 Veiliger e-mailen 64 Instant-messages zonder datalekken 66 Versleuteld (video)bellen 68 Zo werkt cryptografie
Nieuws 6 Algemeen 8 Hardware 10 Cryptomining en de afgeremde GeForce RTX 3060 12 Windows 10 versie 21H1 14 Mobiel 16 Processors 17 Wetenschap 32 Lifestyle 34 Surftips
Software
50
HIGH-END LAPTOPS
Aan de hand van acht premium-laptops laten we zien dat een laag gewicht, zeer lange accuduur of groter schermformaat interessanter kunnen zijn dan pure cpu-prestaties.
24 WakaTime: tijdschrijven voor developers 24 Speedtest CLI: commandline speedtest.net 24 Glances: resourcemonitor voor terminal en browser 25 DietPi: minimale distributie voor Raspberry Pi 33 Apps 35 Game: Valheim 102 Playlists voor Spotify maken, beheren, converteren
Hardware 20 ViewSonic TD1655 portable touchscreen-monitor 20 JBL Reflect Mini NC wireless sportoordopjes
4 www.ct.nl
Inhoud
5/2021
60 VEILIG COMMUNICEREN
Aanvallen op het recht om veilig te communiceren komen niet alleen uit de criminele hoek. Iedereen kan echter veel doen om veilig te e-mailen, chatten en bellen – vaak zonder verlies van comfort.
21 21 21 22 22 26 27 28 29 30 31 78 92 106
Asus ROG Keris Wireless gamingmuis Rolfstone Focus noisecancelling headphone Cat S62 Pro: rugged smartphone met warmtesensor Iiyama ProLite XUB2796HSU kantoormonitor Epos Adapt 165T USB II headset voor onderweg Microsoft Surface Duo Android-smartphone Intel NUC 11 Pro mini-pc-barebone Nieuwe Samsung Galaxy S21, S21+ en Ultra OnePlus 9 Android-smartphone Asus ZenBook Duo UX482 dualscreen-laptop Lancom Systems XS-5110F managed switch Betaalbare kantoormonitoren getest Goedkope all-in-one inkjetprinters voor thuis Compacte professionele workstations
Achtergrond 72 76 84 90 132
Wikipedia bestaat 20 jaar Interview met Jimmy Wales over Wikipedia Bekabeling voor thuis: van noodoplossing tot profi SPE: internet via twee draden Netwerk met virtuele machines onder Linux
Praktijk 100 110 114 118 126 134 139 140
FAQ: De optimale pc 2021 Windows 10 uitproberen Drivers c’t-rescue-systeem uitbreiden Wat te doen als DISM dwarsligt Desktopvirtualisatie onder Linux gThumb: beeldbewerking onder Linux Detox: Linux-tool voor hernoemen van bestanden Tips en trucs
uitgave 5/2021
Vaste rubrieken 3 4 145 146
Voorwoord Inhoud Colofon Volgend nummer
Winactie Maak kans op een SONY XPERIA 5 II smartphone (t.w.v. € 770) Kijk snel op pagina 8!
Zakelijk uitgelicht 30 Asus ZenBook Duo UX482 31 Lancom System XS-5110F managed switch 106 Compacte professionele workstations 132 Netwerk met virtuele machines onder Linux
Abonnement afsluiten? Kijk voor actuele aanbiedingen op op www.ct.nl/abo 5
MICROSOFTS TOOLBOX VOOR WINDOWS
Meer dan 100 gratis systeemutility’s van Microsoft voor Windows
Microsofts toolbox De Sysinternals Suite Tools voor de desktop Voor beheerders en ontwikkelaars 36
Illustratie Andreas Martini
ALLES OVER DIT ONDERWERP 37 38 44 46 www.ct.nl
Praktijk / Windows-toolbox: gratis tools van Microsoft
Systeemhulpprogramma’s maken het voor gebruikers, beheerders en ontwikkelaars gemakkelijker om met Windows te werken. Ze helpen bij het opsporen en oplossen van problemen, en maken sommige dingen überhaupt pas mogelijk. Microsoft heeft zelf bijzonder veel nuttige programma’s die je gratis kunt downloaden. Axel Vahldiek en Noud van Kruysbergen
D
e werknemers van Microsoft produceren Win dows niet alleen, maar werken er zelf ook mee. Daarbij komen ze niet alleen steeds weer met ideeën voor nuttige systeemhulpmiddelen, maar – zo als het geval altijd is wanneer deskundigen hun eigen product gebruiken – voeren die ook uit. Hoewel Micro soft niet alles wat uit dat proces voortkomt later in Windows integreert, kun je veel ervan gratis downloa den. In dit nummer wijden we verschillende artikelen aan die tools. In een van de artikelen noemen we systeemhulp programma’s die het leven met Windows makkelijker maken, waaronder bijvoorbeeld de nieuwste editie van de populaire PowerToys. Daarmee kun je toet sen en toetsencombinaties opnieuw toewijzen, ven sters flexibeler over het bureaublad verdelen dan met de on-board hulpmiddelen mogelijk is, en krijg je een startmenu zonder tegels. Liefhebbers van de tekstconsole komen aan hun trekken in een artikel erna. Daarbij introduceren we hulpprogramma’s die het leven makkelijker maken voor gebruikers van Opdrachtprompt en PowerShell. Scriptprogrammeurs vinden ook wat ze zoeken bij Mi crosoft – Visual Studio Code is een van de meest popu laire editors voor dat doel. Maar laten we beginnen het eerstvolgende artikel, dat een introductie geeft van wat waarschijnlijk Micro softs grootste verzameling systeemgereedschappen is: de Sysinternals Suite. Die bevat een aantal klassie kers: Autoruns toont alle programma’s die Windows opstart bij het booten, Process Explorer is een krach tige taakbeheerder en Process Monitor logt alle (!) toe gangen tot bestanden, mappen en het register. Maar in de suite zitten nog meer dan 70 andere hulpmiddelen. Het artikel belicht de complete collectie en geeft tips en trucs voor de meest spannende tools.
Windows. Aangezien de voor hun onderzoek benodig de tools toen nog niet bestonden, hebben de auteurs vele daarvan maar zelf ontwikkeld. Ze stelden die ook ter beschikking aan hun lezers, zodat die de beschrij vingen konden volgen. Sinds 1996 kunnen veel van die tools gratis wor den gedownload van de website sysinternals.com. Die werd gerund door Winternals, een bedrijf opgericht door Russinovich en Bryce Cogswell. Ze verdienden hun geld met diagnostische software. In 2005 trad Russinovich opnieuw in de openbaar heid: met behulp van zijn tools bracht hij aan het licht dat Sony BMG zijn cd’s leverde met afspeelsoftware die de XCP-kopieerbeveiligingssoftware installeerde zonder enige hint of navraag. De kopieerbeveiliging bevatte een component die bepaalde bestanden, mappen, processen en registersleutels verborg op een manier die vergelijkbaar is met een rootkit. Malware zou daar ook misbruik van hebben kunnen maken om zichzelf te verbergen. Voor Sony BMG was de ontdek king op dat moment een PR-ramp.
OVERNAME
In 2006 heeft Microsoft Winternals overgenomen. Rus sinovich trad daarbij ook in dienst. Hij is nu CTO bij Mi crosoft en verantwoordelijk voor de eigen cloud van het bedrijf, Azure. Omdat hij zijn eigen tools als onder deel van zijn werk blijft gebruiken, gebeurt het af en toe nog steeds dat hij daar iets nieuws voor bedenkt. Daarom zijn de Sysinternals-tools er niet alleen nog steeds, maar worden ze door hem ook nog steeds on derhouden. Zelfs bugs worden gerepareerd. Je kunt de tools nu dan ook rechtstreeks bij Microsoft down loaden. Nieuwsgierig geworden naar welke tools Microsoft vandaag de dag voor je in petto heeft? Begin dan nu met het lezen van de volgende artikelen. Veel plezier!
SYSINTERNALS
Hoe is die Sysinternals-collectie eigenlijk tot stand ge komen? Sysinternals is onlosmakelijk verbonden met de naam Mark Russinovich. In 1995 werd hij bekend door het debunken van de pseudo-RAM-verdubbelaar SoftRAM. Russinovich heeft, samen met co-auteurs als Aaron Margosis, David Solomon, en Alex Uines cu, verschillende technische boeken over Windows geschreven. De bekendste is Windows Internals, dat een zeer diep inzicht geeft in de interne systemen van
uitgave 5/2021
Met behulp van zelfgeschreven tools ontdekte Mark Russinovich in 2005 dat Sony een speler op muziek-cd’s meeleverde die op de achtergrond een rootkit installeerde. De tools die hij gebruikte om dat te ontdekken, kunnen nu gratis worden gedownload bij Microsoft.
37
NIETS TE VERBERGEN?
Vertrouwelijk communiceren: een fundamenteel recht Het recht op informationele zelfbeschikking omvat ook vertrouwelijke communicatie. Aanvallen op dat grondrecht komen van oudsher niet alleen uit de criminele hoek, maar ook vanuit overheden – ook van overheden die zich graag als liberale democratieën bestempelen. Iedereen kan veel doen om vertrouwelijk te e-mailen, chatten en bellen. Vaak zonder verlies van comfort.
ALLES OVER DIT ONDERWERP
60
60 62 64 66 68
Illustratie Albert Hulm
Vertrouwelijk communiceren: een fundamenteel recht E-mails: een oud medium zo goed mogelijk beveiligen Versleutelende messengers: waar zitten de verschillen? Onafgeluisterd telefoneren van vaste lijn tot videobellen Hoe moderne cryptografie werkt
www.ct.nl
Achtergrond / Vertrouwelijk communiceren
Jan Mahn en Daniel Dupré
W
e leven in een vrij land – dat is al jaren de con clusie van politicologen van de onafhanke lijke onderzoeksorganisatie Freedom House. Elk jaar beoordelen zij de vrijheden in alle landen op de wereld. Voor elk land publiceren ze een rapport en kennen ze punten toe in 25 categorieën (zie de link rechtsboven op deze pagina). Het rapport omvat din gen als verkiezingen, persvrijheid, vrijheid om te demon streren en vrijheid op het internet. Met 98 van de 100 mogelijke punten scoort Nederland verhoudingsgewijs goed, net als België met 96 punten. In categorie D4 richten de rapporten zich op de vrij heid van meningsuiting in een land zonder te hoeven vrezen voor toezicht of represailles. In België is die vrij heid in de grondwet verankerd. In Nederland ook, met uitzondering van het aanzetten tot haat of discriminatie. Bovendien vermeldt artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens het recht op eerbiediging van het privéleven en op bescherming van de correspondentie. Het is een fundamenteel recht om vertrouwelijk met anderen te communiceren – ook als de overdracht via een elektronisch medium verloopt. Vertrouwelijke communicatie is niet alleen van be lang voor de beroepsgroepen die standaard worden ge noemd als het gaat om versleutelde communicatie: voor journalisten, klokkenluiders en dissidenten in repres sieve staten is de vertrouwelijkheid natuurlijk essentieel, maar iedereen moet van die grondwettelijke rechten ge bruik kunnen maken. Ook als gewone burger heb je veel te verliezen als je niet uit kunt gaan van de vertrouwelijk heid van wat je schrijft.
LASTIG OM AAN TE VALLEN
Het gevaar om afgeluisterd te worden door overheids diensten lijkt in Europa niet zo groot. Toch zijn er over heidsapparaten die de communicatie graag zouden inzien om criminelen te betrappen. Daarbij vormt endto-end-encryptie een groot obstakel. Die zorgt ervoor dat alleen de partijen met een sleutel het gesprek kun nen volgen. De data die onderweg afgevangen zou kunnen worden is een versleutelde databrij. End-toend-encryptie beschermt niet alleen tegen individuele bewaking, maar beschermt bovenal tegen een massale bewaking van hele samenlevingen. Internet- en telefonieproviders zijn verplicht om hun netwerken zo in te richten dat ze kunnen worden af getapt. De Nederlandse inlichtingendienst AIVD zou bij voorbeeld graag zien dat dit ook bij chatdiensten moge lijk was. Dergelijke plannen stuiten echter op politieke en maatschappelijke weerstand (zie de link). De geheime diensten van onder meer de VS en Groot-Brittannië hebben wereldwijde bewakingsyste men opgezet om data af te vangen en te analyseren. Maar zelfs de GCHQ en NSA vangen bot bij berichten die end-to-end gecodeerd zijn. Dat komt omdat end-to-endencryptie wordt beschermd door de enige wetten die in lichtingendiensten niet kunnen buigen en politici niet kunnen ondermijnen met regelgeving: de wetten van de wiskunde. Waarom end-to-end-encryptie veilig is en wat
uitgave 5/2021
termen als self-healing en deniability inhouden, lees je in het laatste artikel van deze reeks. Hoe de producenten van messengers end-to-end-encryptie implementeren en welke gevolgen dat heeft voor het gebruiksgemak, lees je in het artikel op pagina 64.
ZWAAR GESCHUT
Ook al willen sommige autoriteiten toegang krijgen tot versleutelde communicatie, hoe dat er technisch uit moet zien is compleet onduidelijk. De enige manier om dat te laten werken, is door mazen in de software in te bouwen die de end-to-end-encryptie soms uitschake len. Een wiskundige of informatietechnologische manier om encryptie maar een klein beetje te breken bestaat niet. En zou er een technische mogelijkheid gevonden worden, dan zou dat vooral gevolgen hebben voor de meerderheid van de burgers, wier grondrechten worden aangetast. Criminelen zullen dan snel andere kanalen vinden – zie de ontwikkelingen rondom de SKY ECC-app. Bovendien is het met dergelijke achterdeurtjes niet alleen mogelijk om op bevel van een rechter verdachten gericht te controleren. Massasurveillance, wat Europa in de VS altijd scherp bekritiseerd heeft, zou dan ook niet langer een technisch probleem zijn. De geschiedenis leert echter dat achterdeurtjes op lange termijn nooit al leen tot een kleine kring beperkt zijn gebleven. Een van de grootste blunders waren de achterdeurtjes die fabri kant Juniper op last van de NSA in zijn apparatuur heeft ingebouwd, want die werden al snel ook door de Chine se inlichtingendienst uitgebuit. Dergelijke wettelijk verplichte achterdeurtjes zijn bovendien tegenstrijdig met de ideologie van andere regelgeving: bedrijven worden door de AVG momen teel gedwongen persoonsgegevens uitsluitend in Euro pa te verwerken en niet in de VS. Europa heeft zich al tijd kunnen beroepen op morele superioriteit. Een eigen achterdeurwet zou daar een einde aan maken.
www.ct.nl/softlink/
2105060
ANDERE MANIEREN
E-mail is daarbij een verhaal apart. Omdat dat decen traal werkt, kan een aanbieder niet gedwongen worden om achterdeurtjes te hebben. E-mail wordt wel al tien tallen jaren onversleuteld verzonden, omdat end-toend-encryptie geen onderdeel is van de protocollen en implementatie gepaard gaat met een verlies aan gemak. In het volgende artikel lees je wat daar mogelijk is en hoe je vertrouwelijke e-mails kunt versturen. Vertrouwelijkheid is niet alleen wenselijk bij het ge schreven woord. Telefoongesprekken zijn al vele decen nia het doelwit van afluisteraars. Wat je daar wel of niet aan kunt doen, lees je op pagina 66. Niet alleen de inhoud van berichten is van belang voor allerlei soorten afluisteraars, maar ook wie met wie communiceert, en wanneer en met welk apparaat. Met dergelijke metadata kun je veel te weten komen over mensen, netwerken en relaties – als je er maar genoeg van hebt. De volgende artikelen gaan dus niet alleen over de versleuteling van inhoud, maar ook over de be scherming en het vermijden van metadata. Het recht op privécorrespondentie is immers niet beperkt tot de in houd van gesprekken alleen.
61
E2EE-MAIL
E-mails zo goed mogelijk beveiligen
Sylvester Tremmel en Alieke van Sommeren
I
n het tijdperk dat e-mail voor het eerst opkwam, was het voornamelijk belangrijk om computernet werken goed te beveiligen tegen nucleaire aan vallen. Sindsdien is de situatie wel aardig veran derd. De bedreigingen zijn op dit moment malware en industriële spionage geworden. Die dreigingen heeft het medium helaas nauwelijks kunnen bij benen. E-mails worden niet standaard versleuteld of geauthenticeerd en ook de meer geavanceerde cryptografische functies zijn meestal in geen velden of wegen te bekennen.
ONDERWEG OP SLOT
E-mails zijn op het gebied van transportversleuteling nog goed met de tijd meegegaan. Tegenwoordig is het gebruikelijk om mails alleen versleuteld te ver zenden en op te halen, ongeacht of dat via IMAP of POP3 gebeurt. Dat gebeurt door de mailclient die een versleutelde verbinding tot stand brengt (TLS) of door een normaal tot stand gebrachte verbinding te versleutelen (STARTTLS). Vrijwel alle clients en mail servers kunnen wel met beide methodes overweg, je hoeft er alleen maar voor te zorgen dat je e-mail programma TLS of STARTTLS gebruikt bij de server instellingen. Op die manier valt dan te voorkomen dat de dienstverleners van wifidiensten of andere gasten in een openbare hotspot je berichten kunnen lezen. Het wordt lastig als het gaat om het sturen van e-mails. TLS en STARTTLS worden ook hier veel ge bruikt, maar de op die manier gestarte versleuteling reikt natuurlijk niet verder dan je eigen mailprovider. Van daaruit moet de e-mail verder naar de provider van de geadresseerde, en die overdacht kan onver sleuteld zijn, want het is afhankelijk van of de be trokken mailservers aangeven dat zij versleuteling ondersteunen. Aanvallers die zich tussen zender en ontvanger wurmen (Man-in-the-Middle, MITM) kun nen die informatie zelfs manipuleren en zo een on versleutelde verbinding afdwingen, zelfs als TLS be schikbaar is.
Illustratie Albert Hulm
Iedereen heeft wel eens gehoord dat e-mail eigenlijk helemaal geen veilige manier van communiceren is. Maar e-mail wordt nog steeds fanatiek gebruikt en de situatie is niet zo slecht als je denkt: de belangrijkste veiligheidsmaatregelen zijn achteraf aan te brengen.
Als eindgebruiker valt daar niet veel aan te doen. Er zijn opties om dergelijke aanvallen te voorkomen (bijvoorbeeld via DANE of de MTA-STS-standaard), maar die worden nog niet universeel ondersteund. Uiteindelijk hangt het van de betrokken e-mail providers af of encryptie tijdens het transport ge bruikt wordt. Sommige mailproviders (bijvoorbeeld mailbox.org) bieden de mogelijkheid om helemaal geen e-mails te verzenden als zij geen transport versleuteling tot stand kunnen brengen. Die op tie (als je provider die biedt) zit in de webmail of je accountbeheer. Maar zelfs met end-to-end-transportencryptie worden e-mails geen absoluut veilig medium. Ener zijds kunnen alle betrokken mailproviders de berich ten nog steeds lezen. De encryptie bestaat alleen tussen hen om afluisteraars onderweg op de lijn te voorkomen. De provider-systemen zien de e-mails in platte tekst. Als het om interne bedrijfsmails gaat en de eigen mailserver de enige betrokken provider is, dan kan die situatie aanvaardbaar zijn – maar erg wenselijk is het niet. Misschien verlaten de mails de bedrijfsserver op een bepaald moment, bijvoor beeld als het bedrijf besluit een back-up in de cloud te parkeren. Zo is er ook nog het punt van helemaal geen au thenticatie, zelfs niet bij tijdens transport versleu telde mails: een mail van directeur@example.com hoeft in geen geval echt afkomstig te zijn van het account van die directeur en de servers voor het do mein example.com – een van de redenen waarom spam zo wijdverbreid is. Met SPF, DKIM, en DMARC zijn er weer verschillende opties beschikbaar die de situatie verbeteren. Zij worden echter (net als DANE en MTA-STS) slechts langzaam populair en zijn niet iets waar je als eindgebruiker de controle over hebt.
ALTIJD EEN SLOT EROP
De problemen zijn aan te pakken door end-to-endencryptie (E2EE) te gebruiken. Dan kan niemand on derweg meelezen, zelfs de mailprovider niet. Met de gangbare E2EE-methoden kunnen berichten ook worden geauthenticeerd door ze door de afzender
62 www.ct.nl
Achtergrond / Veilig communiceren: e-mail
digitaal te laten ondertekenen. Twee varianten van E2EE zijn momenteel gangbaar in de e-mailwereld: S/MIME en OpenPGP. Maar echt veel gebruikt wor den die opties helaas niet. Net als e-mail zelf zijn S/MIME en (Open)PGP vrij oud en hebben ze te maken met ouderdomsver schijnselen. Sommige ontwerpbeslissingen zouden tegenwoordig niet meer worden genomen en meer geavanceerde functies zoals Perfect Forward Secre cy of post-compromise security (zie het laatste ar tikel in deze reeks) zijn daarmee niet te realiseren. Maar dat mag je er niet van weerhouden S/MIME of OpenPGP te gebruiken. Die systemen gebruiken is altijd nog beter dan e-mails zonder E2EE. S/MIME wordt voornamelijk gebruikt in zakelijke omgevingen. Om het te gebruiken heb je een be taald certificaat nodig. De meeste e-mailclients on dersteunen S/MIME out-of-the-box. PGP is gratis en wordt meer ingezet in de privésfeer. Sommige clients hebben dat ook ingebouwd, en er zijn plug-ins voor diverse clients (waaronder Outlook). Met Mailvelope is er zelfs een browser-add-on die OpenPGP geschikt maakt voor webmailers. Die wordt ondersteund door populaire mailproviders zoals Gmail, Outlook. com en Mailbox.org.
MAKKELIJK IS ANDERS
Van OpenPGP wordt gezegd (helaas om goede re denen) dat het ingewikkeld en omslachtig is in het gebruik. De verschillende implementaties proberen die complexiteit op diverse manieren te verbergen of toegankelijk te maken. Met de Thunderbird-mail client wordt het allemaal een stuk eenvoudiger. Daar zit OpenPGP sinds versie 78 al ingebouwd. Gebruikers van de al langere tijd beschikbare plugin Enigmail zijn nogal kritisch over de nieuwe imple mentatie, maar vooral voor PGP-newbees is de mail client een goede keuze. Je krijgt alles wat je nodig hebt uit één bron, je kunt niet te veel fout doen, en in geval van problemen heb je de kennis van de grote community om op terug te vallen. Een inleiding tot de PGP-functies van Thunderbird staat in [1]. Je hoeft niet volledig op Thunderbird over te stappen alleen omdat je af en toe mails wilt ver sleutelen (en niet overweg kunt met de PGP-onder steuning van je eigen client). E-mail is gebaseerd op open standaarden en niets weerhoudt je ervan om twee of meer clients parallel te gebruiken als je IMAP gebruikt. Zelfs propriëtaire systemen zoals Exchan ge van Microsoft bieden IMAP- en SMTP-interfaces waarmee Thunderbird er als tweede client naast kan worden gebruikt.
SLEUTELBEHEER
Geen enkele client kan echter sommige van Open PGP’s problemen, zoals sleutelbeheer, verhullen. Je moet je privé-PGP-sleutel goed bewaken: als die in verkeerde handen valt, kan iedereen e-mails na mens jou ondertekenen en huidige en eerdere com municatie ontcijferen. Bescherm je sleutel daarom met een degelijk wachtwoord (Thunderbird regelt
uitgave 5/2021
dat via het hoofdwachtwoord) en laat niet zomaar iedereen toegang krijgen tot je mailclient. Je moet ook de private-key beschermen tegen verlies om oude berichten te kunnen lezen. Dat is ook belangrijk voor berichten die moeten worden gearchiveerd. Het is het beste om de private-key te exporteren naar een veilige back-up. Je openbare PGP-key moet aan de andere kant juist worden uit gedeeld alsof het snoep is zodat mensen versleuteld en wel contact met je kunnen opnemen. In het ide ale geval kan niemand vervalste sleutels in je naam publiceren en zo je digitale gesprekspartners mislei den. Het concept dat OpenPGP voor dat doel biedt, Web-of-Trust genaamd, vertoont echter ernstige ge breken. Een gebruikelijke noodoplossing is de server keys.openpgp.org. Voor sleutels die daar worden ge publiceerd, wordt er echter alleen op toegezien dat het e-mailadres correct is. Sommige clients (waar onder Thunderbird) kunnen rechtstreeks zoeken via keys.openpgp. org als er lokaal geen matchende sleutel beschikbaar is. Er zijn projecten zoals Pretty Easy Privacy (pEp), Autocrypt of Web Key Directories (WKD) die de Open PGP-versleuteling en vooral het problematische sleutelbeheer verder willen vereenvoudigen. Op dit ogenblik is de ondersteuning in clients echter zo be perkt dat zij niet algemeen kunnen worden gebruikt. Thunderbird ondersteunt in ieder geval WKD en delen van de Autocrypt-specificatie.
METADATA
Een ander probleem van e-mails kan ook niet door de E2EE-oplossingen worden opgelost: er wordt een massa aan metadata bij gebruikt. Absurd genoeg is zelfs het onderwerp van een e-mail technisch gezien metadata en wordt het daarom meestal niet versleu teld. Dat is gelukkig langzaam aan het veranderen. Mailclients als Thunderbird versleutelen ook het on derwerp. Dat betekent echter dat clients die Open PGP ondersteunen maar niet het versleutelen van het onderwerp altijd ‘...’ als onderwerp zullen weer geven. Echte metadata, zoals de geadresseerden en ver zend- of ontvangsttijdstippen, kunnen niet worden versleuteld voor e-mails aangezien die vereist zijn voor de aflevering of tijdens het proces gegenereerd worden. Om dat te veranderen zou een nieuw proto col moeten worden ingevoerd, waar normale e-mail clients en -servers niet compatibel mee zouden zijn. Dus zelfs met E2EE weten alle betrokken mailservers wie met wie communiceert en wanneer (en met de gangbare end-to-end transportversleuteling ook al leen die). Niet alles kan achteraf worden ingepast in een 50 jaar oud protocol. Als je meer wilt, of gewoon zo weinig mogelijk met encryptie te maken wilt heb ben, moet je voor je communicatie overschakelen op messengers (zie het volgende artikel). Literatuur [1] Sylvester Tremmel en Noud van Kruysbergen, OpenPGP-ondersteuning in Thunderbird 78, c’t 1-2/2021, p.134
63
ALLES BEDRAAD
Netwerkbekabeling: van noodoplossing tot professioneel en duurzaam Ondanks de vele alternatieven biedt de vertrouwde netwerkkabel nog steeds de beste snelheid voor je netwerk thuis, zelfs als je je apparaten hoofdzakelijk via wifi gebruikt. Wij laten zien dat bekabeling niet ingewikkeld of duur hoeft te zijn en dat zelfs een oude telefoonkabel je wifi nog kan verbeteren. Andrijan Möcker en Alieke van Sommeren
A
ls je bloeddruk tot ongezonde waarden stijgt omdat de film niet laadt, het kopiëren naar je NAS lamlendig traag is, je videogesprek voor namelijk uit blokjesbeeld bestaat en de radiostream voortdurend hapert, ligt dat meestal niet aan je internetverbinding maar aan je wifi. De ontwikkelin gen van de afgelopen 20 jaar hebben er niet alleen toe geleid dat er steeds meer bandbreedte nodig is, maar
ook dat steeds meer apparaten het beschikbare wifi spectrum op 2,4 en 5 GHz in beslag nemen. De oplossing: wanneer een fikse bandbreedte ver eist is, moeten de data via de kortst mogelijke route door de lucht worden getransporteerd vanaf je beka belde netwerk (LAN), bijvoorbeeld door middel van slim geplaatste wifi-accesspoints. Veel repeaters met een netwerkaansluiting bie den ook een accesspointmodus en kunnen dan op een ander kanaal worden ingesteld. De totale capaciteit van je wifinetwerk neemt daarbij toe. Apparaten op een vaste plek kun je het beste via een kabel in je net werk opnemen. Maar als je er nu aan denkt om kant-en-klare kabels met pluggen en al door grote gaten in de muur te duwen of ze op een onhandige manier door kabel goten te trekken, dan kun je beter even gaan zitten om de basisprincipes door te nemen. Goede netwerk bekabeling voor thuis is geen tovenarij, er zijn veel op ties beschikbaar en met een beetje moeite bespaar je jezelf tientallen jaren gedoe en energiekosten.
ONDERDELEN & TOOLS
Niets werkt zonder stekkers en poorten. De US Registe red Jack 45, kortweg RJ45, is wereldwijd ingeburgerd. Meestal wordt deze bedoeld als er over LAN-aanslui ting of LAN-kabels wordt gepraat. Hoewel er andere soorten stekkers en poorten bestaan, zijn die niet rele vant voor thuis. Het belangrijkste onderdeel van een stabiel bedraad netwerk is de netwerkdoos. Wanneer een route permanent is aangelegd op zo’n manier dat
84 www.ct.nl
Achtergrond / Bedraad thuisnetwerk
de kabel niet zomaar kan worden vervangen omdat hij bijvoorbeeld in de muur zit, moet aan het eind (en soms ook aan het begin) een netwerkdoos worden geplaatst. De afzonderlijke draden van de kabel in de behui zing zitten op een klempunt dat naar de RJ45-aanslui ting of -aansluitingen leidt. De kabel wordt dus aan veel minder mechanische spanning blootgesteld dan wanneer hij met een stekker uit de muur komt. Een beetje kabelspeling in de muur of in de net werkdoos zorgt ervoor dat het vervangen van een de fecte netwerkdoos geen probleem is en dat de instal latie dus duurzaam is. Netwerkdozen zijn goed verkrijgbaar, variërend van elektronicashops tot standaard pc-webshops. Ver sies met één tot drie poorten als inbouw- of opbouw optie zijn gebruikelijk. Voor een doos met een enkele poort ben je maar een paar euro kwijt. Voor het verbinden van de draden van netwerk kabels is geen speciale kennis van elektrotechniek ver eist. De meeste componenten maken gebruik van de quasi-standaard LSA (Duitse term voor voor soldeer-, schroef- en stripvrije technologie). De draden worden met de hand op de connectors geplaatst en vervolgens naar binnen gedrukt met de LSA-tool, die tegelijkertijd de overtollige lengte af knipt. Zodra de LSA-tool de draadisolatie goed heeft doorgesneden, is de elektrische verbinding tot stand gebracht. Omdat dat soms mislukt, hebben veel LSA-tangen een haak in de zijkant zitten die je eruit kan trekken om de draad uit de connector te halen zonder hem door te knippen. Op die manier kun je de draad er weer opnieuw indrukken. In toenemende mate zijn er ook onderdelen te vinden waarbij de aandruktool al zit inbegrepen of waarbij de draden via geleiders in positie worden gebracht en op de connector worden geperst wanneer die wordt dichtgemaakt, bijvoor beeld LSA keystone-modules, een gestandaardiseerd formaat voor het koppelen van inserts met RJ45- en andere connectornormen. Die zijn momenteel ech ter nog iets duurder dan een klassieke LSA-tool. In ie der geval helpt het om een kniptang bij de hand te
Installatiekabel (links) is aanzienlijk dikker en beter geïsoleerd dan patchkabel (rechts) en zijn de beste keuze voor installaties met een lange levensduur. Patchkabels mogen alleen permanent worden geïnstalleerd als het echt niet anders kan.
uitgave 5/2021
Simpele netwerkdozen die je (vrijwel) zonder gereedschap in gebruik kunt nemen (zoals deze met een aandruktool) zijn al voor een paar euro te krijgen.
ebben om de draden op de optimale lengte te knip h pen. Voor het strippen oftewel het verwijderen van de isolatie, kan als je echt niets anders hebt een stanley mes worden gebruikt. Verstandiger is om een striptang te gebruiken. Die heb je zelfs in versies met instellingsopties voor de striplengte voor de draad. Alle genoemde gereedschappen zijn los verkrijgbaar voor een paar euro of in netwerkkits vanaf ongeveer 25 euro. Zodra er meer dan vier kabelroutes zijn, oftewel twee dubbele netwerkdozen naast je router niet meer voldoende zijn, is het tijd om aan een patchpanel te gaan denken. Voor de leek lijkt een patchpanel op het eerste gezicht op een switch, maar een patchpanel wordt alleen gebruikt voor het passief doorsluizen van netwerkkabels naar RJ45-poorten, die via korte kabels worden verbonden met een switch. Behalve voor keystone-modules wordt ook daar bij de LSA-techniek gebruikt. Kleinere patchpanels met maximaal 12 poorten zijn verkrijgbaar als losse desktopversies of in een versie voor wandmontage vanaf zo’n 20 euro. Grotere panels met 24 poorten zijn meestal in 19-inch formaat voor in rails in rackkasten en kosten tussen 30 en 60 euro. Het 19-inch formaat is min of meer de standaard voor racks en netwerkapparatuur en bijbehorende accessoires vanaf een bepaalde installatiegrootte, maar bijvoorbeeld ook voor apparatuur in de muziek wereld. De panelen hangen tussen twee geperforeer de rails met een tussenruimte van 19 inches, waarin gewoonlijk kooimoeren worden gestoken om de ap paratuur mee vast te kunnen schroeven. Racks zijn beschikbaar in verschillende forma ten en afmetingen. Voor kleine thuisinstallaties kun je open of gesloten rackkasten (met deuren) voor aan de muur gebruiken. De eerste zijn al verkrijgbaar vanaf 15 euro met ruimte voor twee units, bijvoorbeeld een patchpanel en een switch. Aan de wand gemonteerde kasten kosten een paar tientjes meer. Soms worden de bevestigingsmaterialen voor in de kast meegeleverd, soms moet je ze apart bestellen. We hebben een aan tal van de genoemde onderdelen en gereedschappen opgesomd bij de link aan het eind van dit artikel.
85