Om te zorgen dat niet iedereen bij alle gegevens op jouw computer kan, is het belangrijk dat alle beveiligingslekken zijn dichtgetimmerd. Dit begint natuurlijk bij het vergrendelen van je computer met een veilig wachtwoord. Zo kan iemand die jouw computer heeft, niet zomaar inloggen en direct bij jouw gegevens. Maar iemand die een beetje handig is met computers laat zich hier niet door tegenhouden.
Een hacker, laten we haar Eve noemen, kan de harde schrijf uit je computer halen, en deze vervolgens aansluiten op haar eigen computer. Zo kan ze haar eigen computer gebruiken om de gegevens van je harde schrijf te halen, en hoeft ze dus niet in te kunnen loggen op jouw computer.
Om dit tegen te gaan kunnen moderne besturingssystemen je harde schrijf versleutelen. Dit werkt als volgt: de harde schrijf wordt opgedeeld in twee delen; één deel bevat je besturingssysteem, en het andere deel is versleuteld en bevat jouw gegevens. Het eerste wordt gelezen wanneer de computer wordt opgestart, en nadat je hebt ingelogd op de computer met je wachtwoord, wordt je wachtwoord gebruikt om de rest van de harde schrijf te kunnen ontsleutelen. Zo kan Eve, ook als ze jouw (computer met) harde schrijf heeft gestolen, nog steeds niet bij jouw gegevens. Eve weet immers jouw wachtwoord niet.
Natuurlijk is alleen dit niet genoeg om een volhardende hacker tegen te houden. Eve kan je harde schrijf ongemerkt stelen, de onversleutelde inhoud van je harde schrijf veranderen, en je harde schrijf dan stiekem weer terug in je computer zetten. Zo kan Eve een keylogger installeren op jouw computer, die alles wat jij intypt onbeveiligd opslaat. Nadat jij een keer hebt ingelogd op je geïnfecteerde computer kan Eve jouw harde schrijf opnieuw stelen, waardoor ze zowel je versleutelde gegevens als jouw wachtwoord heeft. Natuurlijk is het onopvallend stelen en terugplaatsen van een harde schijf erg moeilijk, maar het is wel belangrijk om hier tegen te kunnen beschermen. Gelukkig bestaat er een manier om je ook hier tegen te beschermen. Ik zal in grote lijnen uitleggen hoe deze techniek werkt.
Het onversleutelde deel van de harde schrijf wordt digitaal ondertekend door middel van asymmetrische cryptografie. De producent van het besturingssysteem heeft een publieke sleutel en een geheime sleutel. De publieke sleutel wordt op een niet-herschrijfbare chip in het moederbord gezet. De gegevens op deze chip worden in de fabriek er op gezet, en kunnen daarna nooit meer veranderd worden. De fabrikant van het besturingssysteem gebruikt de geheime sleutel voor het maken van een digitale handtekening voor het besturingssysteem. Deze digitale handtekening wordt samen met het besturingssysteem op het niet-versleutelde deel van de harde schijf gezet.
Wanneer de computer nu opstart, controleert de firmware van het moederbord of het niet-versleutelde deel van de harde schijf nog overeenkomt met de handtekening. Alleen als dit het geval is, gaat de computer door met het opstarten van het besturingssysteem. Hierna wordt weer jouw wachtwoord gebruikt om de rest van de harde schijf te versleutelen. Nu weet je zeker dat Eve niks heeft kunnen installeren op jouw computer. Tenzij Eve je moederbord vervangt, of de geheime encryptiesleutel wordt gelekt, of er fouten zijn gemaakt in de moederbordfirmware.