Exoskeletten: voorkom lichamelijke overbelasting

janu

ari 2020

4april2020

Samsung SSD T7met vingerafdrukscanner

www.ct.nl

GE

TE

ST

Snelle ssd’s vanaf 2 TB

Aruba Instant On mesh

Sonos Move netwerkspeler

Ryzen 3000-moederborden

Nvidia Shield TV Pro

OpenDingux-gameboy

Startmenu van Windows

Adblockers: de volgende ronde

Opensource-licenties

De toekomst van Docker

Windows Management Console

RISC-V-board Longan Nano

april 2020

LAPTOP-KOOPADVIES

Van klein en licht tot groot en krachtig

Windows, MacBook, Chromebook of iPad Pro?

FIDO2-stick vs. wachtwoordenTest 15 sticks vanaf 20 euro met USB-C, NFC en vingerafdrukken

Contraspionage in het netwerkLuister je eigen (slimme) LAN- en wifi-apparaten af met c’t-Raspion

AP

€ 6,99

Laptop-koopadvies • FIDO2-sticks • Ssd’s vanaf 2 TB • Contraspionage met c’t-Raspion • Opensource businessm

odellen • Window

s Startmenu

april 2020

SAFARI IN AFRIKA?

Tanzania

Kenia

Madagaskar

Oeganda

Rwanda

Zimbabwe

Namibië

Botswana

Zambia

Mozambique

Seychellen

Mauritius

Zuid-Afrika

Op jambo.nl en in onze brochure vindt u ruim 100 uitgekiende reizen of

bel met onze Afrika specialisten op 020-2012740 voor een reis op maat.

De mogelijkheden zijn eindeloos, privé reizen geheel conform uw wensen!

Al sinds 1979 dé Afrika specialist

JaarpassievoorAfrika

40

Voorwoord

Confl ict-grondstoffen: indicator voor armoede

Volgens Amnesty International zijn conflictgrondstof-

fen de grondstoft en waarvan de handel en verkoop

bijdragen aan gewapende conflicten. Het gaat daar-

bij bijvoorbeeld om goud, kobalt, koper, tantalium

(coltan), wolfraam en tin. Elk van die grondstoft en

wordt gedolven in Congo – en niet zo'n beetje ook.

Meer dan de helff van de wereldwijd gedolven kobalt

komt uit de Democratische Republiek Congo, en de

coltan-voorraad daar wordt door sommige partijen

geschat op meer dan 60 procent van de mondiale re-

serves. Dat land is letterlijk steenrijk.

In veel andere opzichten is Congo echter straatarm.

Keer op keer vinden er massale mensenrechten-

schendingen plaats bij de winning van de genoem-

de grondstoft en, en de bloedige winsten worden

gebruikt om gewapende conflicten te financieren.

Amerikaanse bedrijven zijn onderworpen aan wet-

telijke documentatieverplichtingen bij de verwer-

king van goud, tantalium, wolfraam en tin, expliciet

omdat die in Congo onder onmenselijke omstandig-

heden ontgonnen worden.

Congo is niet het enige land dat ondanks zijn rijk-

dom aan grondstoft en grote economische of sociale

problemen heeff . Het is niet altijd een zegen als een

dergelijk land veel van die resources heeff , en dat

geldt ook voor andere grondstoft en – zoals olie. De

oorzaak en het gevolg daarvan, en hoe dat van land

tot land verschilt, is controversieel. Het probleem is

in ieder geval complex.

En daardoor is het ook niet meteen duidelijk hoe we

daar mee om moeten gaan. Speciale regelgeving en

controle-eisen lijken daar vanuit onze kant een posi-

tief eft ect op te hebben, maar kunnen in de praktijk

ook averechtse bijwerkingen hebben: de legale en

wel humane mijnen en hun afnemers moeten dan

allerlei extra moeite doen om vooral aan te tonen

dat ze legaal en humaan zijn, en dat kan een moord-

dadige zwarte marktuitbuiting zelfs doen toenemen.

Hoe slechter de omstandigheden in een land politiek

gezien zijn, des te moeilijker het is om aan de docu-

mentatie- en controle-eisen te voldoen. Het is niet

alleen absurd, maar zeker ook pervers dat klanten en

bedrijven in rechtsstaten van die situatie kunnen pro-

fiteren.

Mede ook doordat zogenaamd schone bedrijven ge-

woon gebruik maken van de goedkope grondstoft en

uit de bloedmijnen. En als ze dat niet doen, komen

die middelen terecht in allerlei goedkope produc-

ten van no-name fabrikanten. Die betalen dan wel

minder, waardoor de druk op de mishandelde werk-

nemers alleen maar toeneemt.

De situatie is lastig, maar consumenten als jij en ik

zouden wat meer moeten nadenken over waarom

een nieuw gadget zo goedkoop kan zijn. Zelfs als de

kleine beetjes goud en tantalium die daarin zitten

niet meteen zichtbaar zijn.

Veel plezier

Noud van Kruysbergen

uitgave 4/2020 3

Thema's

Wat voor laptop gaat het worden

58 Koopadvies voor laptops

66 Tablet of Chromebook als laptop-vervanger

FIDO2-stick versus wachtwoorden

38 FIDO2-sticks getest

44 FIDO2-sticks instellen en gebruiken

48 PGP-sleutels op crypto-sticks opslaan

51 FIDO2 FAQ

Contraspionage binnen het netwerk

86 Hulp bij zelfhulp

88 Werken met c't-Raspion

92 c't-Raspion installeren

94 IP-camera bewaken

96 Wifi-stopcontact monitoren met Wireshark

98 c't-Raspion en je smart-tv

100 Hoe werkt c't-Raspion

Nieuws

6 Algemeen

8 Hardware

10 Streamingdiensten

12 Development

& security

14 Mobiel

16 Apple

17 Linux

18 Processors

19 Wetenschap

34 Lifestyle

37 Sur� ips

Software

28 scrcpy: remote display voor Android

28 GNU Rush 2.1: shell configureren

29 ff f2 2.1 snelle bestandsmanager

29 Calibre 4.8 e-bookbeheer

29 BabelMap lettertabellen voor Windows

35 Apps

36 Games: Lightmatter, the Blind Prophet

106 Browsers en adblockers versus de reclame-industrie

118 Opensource als businessmodel

124 Verschillen tussen opensource licenties

126 Gratis synthesizer-modules

128 Opensource tekenprogramma Krita

130 Geld verdienen met LibreOff ice

FIDO2-STICKS VS WACHTWOORDENMet een FIDO2-stick bescherm je je accounts.

Met sommige sticks kun je ook je e-mail ver-

sleutelen. We hebben enkele gangbare model-

len getest, leggen uit hoe je ze instelt en beant-

woorden de meest gestelde vragen.

LAPTOP-KOOPADVIESProcessors met twee tot acht cores, Wi-Fi 6: er

is veel veranderd in laptopland. We gaan in op

de huidige stand van zaken en geven alle infor-

matie die je nodig hebt om de juiste laptop te

vinden. En misschien is een tablet of Chrome-

book wel een prima vervanger voor een laptop.

38

58

4 www.ct.nl

Hardware

22 MSI Optix MAG272CQR 27-inch curved monitor

24 Samsung Portable SSD T7 Touch

24 Aruba Instant On-accesspoints

24 RG350 spelcomputer met OpenDingux

25 WD Red SA500 cache-ssd

25 Lenovo Yoga Smart Tab

25 Eizo FlexScan EV2460-WT 24"-monitor

26 WD Black P50 Game Drive externe ssd

26 Dygma Raise ergonomisch toetsenbord

26 Seagate Firecuda 520 PCIe 4.0-ssd

30 MSI GT76 Titan DT 9SG gaming-laptop

31 Sonos Move draadloze netwerkspeler

32 Nvidia Shield Pro mediaplayer

70 Ssd-koopadvies

73 Test van 14 ssd's vanaf 2 TB

112 Moederborden voor Ryzen Threadripper 3000

Achtergrond

54 Exoskeletten: spieren voor je spieren

85 Power-over-Ethernet-adapters

102 Zon stevent af op nieuwe piekactiviteit

109 De toekomst van Docker

Praktijk

80 Blender workshop deel 3

132 Tips voor startmenu van Windows

136 Windows Management Console

138 Longan Nano RISC-V microcontroller programmeren

142 Tips en trucs

Vaste rubrieken

3 Voorwoord

4 Inhoud

145 Colofon

146 Volgend nummer

Inhoud 4/2020

Zakelijk uitgelicht

28 GNU Rush 2.1 shell

24 Aruba Instant On AP's

25 WD Red SA500 cache-ssd

85 Power-over-Ethernet-

adapters

118 Opensource als

businessmodel

118 Windows Management

Console

Abonnement afsluiten?

Kijk voor actuele

aanbiedingen op lees.ct.nl

CONTRASPIONAGE BINNEN NETWERK

Alles is tegenwoordig voortdurend online en dat is een

reden om kritisch te zijn. We laten zien waarom je ap-

paraten niet blindelings moet vertrouwen en hoe je tot

op de bodem kunt uitzoeken wat ze precies doen. Het

project c't-Raspion helpt je daarbij.

86

uitgave 4/2020 5

Maar liefst 57 procent van de Nederlanders van 13 jaar

en ouder gee� aan dat ze vinden dat ze te veel naar

een beeldscherm kijken. Dat is een van de resultaten

van het jaarlijkseonderzoek naar trends in digitale me-

dia van GfK. Het onderzoek gaat in op hoe digitale me-

dia, sites en mobiele apparaten zoals smartphones en

tablets gebruikt worden. Het zal geen verrassing zijn

dat het bezit van smartphones blij� groeien. Eind vo-

rig jaar hadden ongeveer 13 miljoen Nederlanders een

smartphone, o� ewel 93 procent van alle Nederlan-

ders. Het bezit van tablet is aan het stabiliseren en ligt

op 9,9 miljoen bezitters (71 procent).

Naast de 57 procent die zichzelf te veel naar een

scherm vinden turen, is 41 procent bewust bezig om de

schermtijd terug te dringen. Een kwart maakt zich nog-

al zorgen over de impact van dat beeldschermkijken

voor de gezondheid. De lee� ijdsgroep die het meest

denkt dat ze te veel tijd achter een scherm doorbren-

gen en zich daar het meest druk over maken, ligt tus-

sen de 18 en 34 jaar.

Diezelfde doelgroep (met daarbij de hoger opgeleiden)

is ook de groep die het meeste adblockers inzet. Bijna

30 procent van de Nederlanders gebruikt zo’n adbloc-

ker, en het algemene gebruik daarvan neemt toe. Maar

op mobiele apparaten stabiliseert de groei. Magazine-

inhoud digitaal lezen gebeurt nog steeds het meeste op

de desktop of laptop (23 procent), op de voet gevolgd

door smartphones (18 procent) en tablets (15 procent).

Gemiddeld lezen we 96 minuten per week in tijdschrif-

ten: 55 minuten van papier en 41 minuten digitaal.

De meest populaire activiteit: internetten, gevolgd

door e-mailen en op plek 3 (jawel) bellen. Chatten

staat op 4, sociale media en foto’s bekijken of maken

op de plekken 5 en 6. Van de ondervraagden kent 68

procent een virtuele assistent, en 24 procent hee� er

wel eens eentje gebruikt. Het bezit van zo’n digitaal

hulpje is toegenomen van 8 procent in 2018 naar 14

procent in 2019. Google Home is de grootste. De meest

populaire taak voor zo’n assistent? Muziek (online en

radio) en het nieuws.

De Consumentenbond wil het iedereen makkelijker

maken om te kiezen voor bedrijven die je privacy se-

rieus nemen. Als je zelf door de privacyvoorwaarden

moet lezen en die volledig wilt begrijpen, ben je wel

even bezig – als je ze al kunt vinden – en vaak zijn ze

lastig leesbaar geformuleerd. De Consumentenbond

hee� daarom besloten je het uitzoekwerk uit handen

te nemen. De Consumentenbond beschrij� netjes wat

ze allemaal testen. De privacyvoorwaarden moeten

voldoen aan de regels van de AVG, en er wordt nage-

gaan of je een melding krijgt dat advertentiecookies

worden geplaatst – en kun je de site verlaten voordat

de cookies geparkeerd worden? Voor het testen wordt

een gebruikersaccount aangemaakt om te kijken wel-

ke persoonsgegevens er worden verzameld. Verder

is er de taal en vindbaarheid: is de privacyverklaring

goed te vinden en wordt gecheckt of de voorwaarden

wel betrekking hebben op de dienst. Inhoudelijk moet

de verklaring melden welke gegeven verwerkt worden,

voor welk doel en met daarbij de bewaartermijn. Een

andere controle is of er niet onnodig gegevens worden

gedeeld met derden. Er wordt gewerkt met een maxi-

male score (groen) en voor elk issue dat wordt gevon-

den, worden punten afgetrokken.

De Privacymeter is op drogisterij-sites losgela-

ten, en een eerdere test van dating-apps is ook in de

Privacy meter opgenomen. Later moeten daar meer

websites en ook apps bijkomen. De Consumenten-

bond gaat elke twee maanden een andere branche

doorlichten. De betrokken sites krijgen de aanbeve-

lingen toegestuurd en worden dan weer hertest. Bij de

eerste test kwamen 7 van de 15 websites met goede

privacyscores naar voren, en na de hertest waren dat

er 12. De aanbevelingen worden ook gedeeld met de

Autoriteit Persoonsgegevens, en daarbij wordt aange-

drongen op een strengere handhaving.

In de cijfers van Googles moederbedrijf Alphabet over

kwartaal vier van 2019 en het gehele fiscale jaar wer-

den voor het eerst ook de resultaten van YouTube en

de cloud opgenomen. Het vermoeden is dat die los

worden vermeld omdat ze het bijzonder goed hebben

gedaan.

YouTube zorgde namelijk voor een zeer nette net-

to reclame-omzet van 15 miljard, 36 procent meer dan

het jaar ervoor. De clouddiensten schoten ook met

een flink percentage omhoog (53 procent) en lever-

den een omzet van 9 miljard dollar op. De toename

van deze tak wordt mede veroorzaakt door de flinke

focus die Google daarop hee� gezet met betrekking tot

Enterprise- klanten.

De gans met de gouden eieren blij� echter de

good-old Google-zoekmachine met 98 miljard dollar.

Ter vergelijking: de totale omzet bedroeg 162 miljard.

Wel is te zien dat de groei daarbij wat begint af te rem-

men. De totale nettowinst lag bijna vier miljard hoger

dan in 2018 en kwam uit op 34 miljard dollar.

Nederlanders vastgeplakt aan beeldscherm

Privacymeter van Consumenten-bond

Cloud en YouTube zorgen voor leuke inkomsten

Nieuws / Algemeen

6 www.ct.nl

SANS Amsterdam

FOR610

Reverse-Engineering Malware: Malware Analysis Tools and

Techniques

FOR572

Advanced Network Forensics: Threat Hunting, Analysis,

and Incident Response

FOR 526

Advanced Memory Forensics & Threat

Detection

FOR508

Advanced Incident Response, Threat

Hunting, and Digital Forensics

FOR500

Windows Forensic Analysis

SEC599

Defeating Advanced Adversaries - Purple Team Tactics & Kill

Chain Defenses

SEC580

Metasploit Kung Fu for Enterprise

Pen Testing

SEC560

Network Penetration Testing and Ethical

Hacking

Book your place today atwww.sans.org/amsterdam-may-2020

“Everything learned can be directly applied in my work which is great! The practical stories shared by the instructor are really eye-opening and informative.” – VINCENT RUERS, MOD, SANS AMSTERDAM

1 1 - 1 6 M AY 2 0 2 0

SEC545

Cloud Security Architecture and

Operations

SEC542

Web App Penetration Testing and Ethical

Hacking

SEC511Continuous

Monitoring and Security Operations

SEC504Hacker Tools,

Techniques, Exploits, and Incident

Handling

SEC503

Intrusion Detection In-Depth

SEC487Open-Source

Intelligence (OSINT) Gathering and

Analysis

SEC401

Security Essentials Bootcamp Style

SEC546

IPv6 Essentials

DEV522

Defending Web Applications Security

Essentials

+44 203 384 3470 www.sans.org/emea emea@sans.org @sansemea

Experience world renowned Cyber Security training in Amsterdam

In april verschijnt de HardROCK64 van Pine64, een

concurrent voor de Raspberry Pi. Deze singleboard-

pc is compact en hee� GPIO-pinnen, SPI-flash,

een eMMC-slot, CSI- en DSI-connector, infrarood-

ontvanger en digitale video-out. Er zijn twee USB 3.0-

en twee USB 2.0-poorten en een microSD-slot. Naast

de Gigabit-netwerkpoort en wifi-ac is er Bluetooth 5.0.

Lancom brengt twee krachtige Wi-FI 6-accesspoints

op de markt, die de naam LX-6400 en LX-6402 hebben

gekregen. De beide accesspoints hebben twee IEEE

802.11ax-zendmodules voor simultaan dualband en

4x4 multi-user MIMO (MU- MIMO) om grote aantallen

clients aan te kunnen. Dankzij de 802.11ax-standaard

is een totale bruto doorvoersnelheid van 3550 Mbit/s

mogelijk.

Het verschil tussen de LX-6400 en LX-6402 zit

voornamelijk in het ontwerp van de antennes. De LX-

6400 hee� 180-graden-antennes die onzichtbaar in

de behuizing zitten bewerkt, de LX-60402 hee� vier

zichtbare ominidirectionele antennes. Die antennes

zijn te vervangen door sectorantennes. De twee

accesspoints hebben een 2,5-Gbit/s-PoE-poort (IEEE

802.3at tot 30 watt) en een Gigabit-netwerkpoort.

Pi-concurrent HardROCK64

Wi-Fi 6-AP’s van Lancom

Nieuws / Hardware

De cpu is een Rockchip RK3399-hexacore met twee

ARM Cortex-A72-cores en 4 Cortex-A53’s. De gpu is een

ARM Mali-T860 MP4. De voeding is 5V, maar zorg voor

een goede koeling. Pine64 gaat verschillende koel-

opties bieden, die matchen bij het doel waarvoor je

de kleine pc inzet. Je hebt de keuze uit 1, 2, of 4 GB

geheugen, net als bij de Raspberry Pi 4. De prijzen zijn

respectievelijk 35, 45 en 55 dollar.

Het bordje is de goedkopere en ook iets minder

fancy opvolger van de RockPro64, maar wel met een

vergelijkbaar design. Er is geen PCIe en geen USB-C-

ondersteuning.

De HardROCK64 draait alle RockPro64 OS-

images met geen of slechts minimale aanpassingen,

en de meeste versies van Pinebook Pro OS met een

eenvoudige tweak. Ubuntu MATE was een populaire

besturingssysteem-keuze voor de voorganger en zal

dat voor dit bordje waarschijnlijk ook zijn.

De veiligheid is helemaal up-to-date met WPA3-

Personal en IEEE 802.1x (WPA3-Enterprise), maar

de WPA2-versies zijn ook nog te configureren. De

twee apparaten ondersteunen multi-SSID en VLAN’s.

De stroomvoorziening is te regelen via PoE of een

normale adapter.

De adapters zijn via een webinterface te beheren

of centraal in te regelen via de cloud met de Lancom

Management Ckoud (LMC). Vanaf april wordt beheer

via een wificontroller mogelijk. De beide accesspoints

krijgen een prijskaartje van ongeveer 850 euro.

Google Glass Enterprise Edition 2

Op die manier wordt eff iciënter gewerkt en worden

trainingskosten aanzienlijk verminderd. Die branche is

ook gebaat bij de optie voor een veiligheidsmontuur-

en -glas. Ook artsen kunnen tijd besparen op het

tijdrovende papierwerk door dit te laten uitwerken

door Glass, en direct tijdens en na een consult te

dicteren. Dan blij� er meer tijd over voor de patiënt.

De Google Glass Enterprise Edition 2 hee� een

aantal verbeteringen gekregen, zoals een flinkere

accu, snellere SoC (Qualcomm Snapdragon XR1-

platform), verbeterd comfort en opladen via USB-C.

De camera is krachtiger en biedt de mogelijkheid voor

samenwerken via videostreaming. De nieuwe bril

hee� een langere accuduur, meer performance en

geavanceerde machine-learning-opties.

De veiligheidsversies van de bril worden gemaakt

in samenwerking met Smith Optics. Het is volgens

Google ook makkelijker geworden om so� ware te

ontwikkelen voor de Enterprise Edition 2. De basis

is Android, waardoor bestaande services en API’s

kunnen worden gebruikt. De bril hee� ondersteuning

Android Enterprise Mobile Device Management.

De originele Google Glass werd niet bepaald succes vol.

Google besloot het product aan de kant te schuiven.

De interesse in AR is echter weer in opmars, dus Google

gaf de Glass nog een aangepaste tweede kans. Het

gaat om een kleinere doelgroep dit keer: de Enterprise

Edition 2 is gericht op een zakelijk(er) publiek. Denk

aan monteurs die werken aan voertuigen en direct

via een stream een expert kunnen laten meekijken

of een reparatiehandleiding erbij kunnen pakken.

8 www.ct.nl

De USB Armory van F-Secure is een mini-pc van het

formaat van een flinke usb-stick, bedoeld voor taken

waar extra beveiliging bij komt kijken, zoals opslag

met automatische encryptie, zelfvernietigende data,

hardware-security-module, usb-firewall, hardware-

wallet voor cryptovaluta en meer. De USB Armory is

nu bijgewerkt naar versie 2. Z’n performance wordt

Zhaoxin uit Shanghai brengt zijn KX-6000-serie

cpu’s op de (eigen) markt. De cpu’s werden in 2018

geïntroduceerd, maar de meer high-end modellen

KX-U6780A en KX-U6880A komen pas dit kwartaal

uit. Zhaoxin is een joint-venture bestaande uit Via

Technologies en de Chinese overheid. Op het moment

dat je dit leest moeten de nieuwste cpu’s verkrijgbaar

zijn via onder meer de grote Chinese online webshop

Taobao, maar of en wanneer ze buiten China ver-

krijgbaar worden is niet bekend.

De KaiXian KX-U6780A is gebaseerd op LuJiaZu-

microarchitectuur. De TDP ligt op 70 watt en hij hee�

acht cores en acht threads met een kloksnelheid van

2,7 GHz. De processor hee� 8 MB L2-cache, maar geen

L3-cache. De KX-U6780A wordt geleverd in BGA-versie,

maar gelukkig is er een C1888 mini-ITX moederbord

ontwikkeld door Cjoyin Electronica. In die combinatie

wordt NVMe ondersteund en heb je twee DDR4 SO-

DIMM- slots om te vullen (maximaal DDR4 3200).

mSATA en SATA zijn ook beschikbaar. De bundel van

cpu met moederbord komt in China uit op ongeveer

620 dollar. De performance ligt volgens de eerste

tests nog onder die van de quadcore Intel Core i5-

2550U uit 2012. Intel en AMD zullen daar niet bepaald

Voor mensen met een kleinere computerkast en/

of geen behoe� e aan veel herrie maar wel een leuke

performance, hee� Palit een mooie optie met de Palit

GeForce GTX 1650 KalmX grafische kaart. Deze volledig

passief gekoelde kaart hee� geen hoge Thermal

Design Power, zoals de meeste GTX 1650’s en kan alle

benodigde energie (maximaal 75

watt) uit het PCIe-slot halen. De

kloksnelheid ligt op 1485 MHz, de

boostsnelheid ligt op 1665 MHz,

de standaardwaarden vanuit

Nvidia (referentiemodel).

De koeler bestaat uit twee

heat pipes met een nikkelcoating

die de warmte wegtrekken van

de koperen basis richting een

flinke hoeveelheid koelvinnen.

Het koellichaam bedekt ook de

VRM en het geheugen, dus die

USB Armory MkII

Chinese Zhaoxin-cpu verkrijgbaar

Palit GTX 1650 passief gekoeld

Zie pag

11, 13, en 147worden netjes meegekoeld.

Wel is het slim om er geen

andere warmteproducerende of

airflow-blokkerende hardware dichtbij

in de buurt te stoppen. Het koellichaam

hee� een nette koelperformance maar op

boostsnelheid draaien zal de kaart niet lang

volhouden. Maar als je complete stilte zoekt, is dat

geen groot off er om te maken.

Hoe flink hij zijn best kan doen, hangt ook af van

de kast die je gebruikt, de airflow en op welke manier

je de kaart in de kast gemonteerd hebt. Ondanks z’n

koelblok neemt de kaart maar een dualslot in beslag.

hij is 178 bij 138 bij 38 millimeter groot. De kaart hee�

4GB GDDR5 werkgeheugen. Je monitor(en) aansluiten

kan via twee DisplayPort 1.4a-aansluitingen of een

HDMI 2.0-poort. Over de prijs en wanneer de kaart in

de winkels ligt was op het moment van schrijven nog

niets bekend.

geregeld door een NXP i.MX6ULZ. Daar zit een ARM

Cortex A7-core in gestopt, met geïntegreerd power-

management, TRNG, een AES-encryptie-engine en

secure-boot en nog meer. Vanilla Linux-kernels en

Linux-distributies worden ondersteund.

De stick hee� 512 MB aan DDR3-geheugen en 16

GB eMMC plus een microSD-slot. Hij hee� twee USB-

C-poorten gekregen in plaats van de twee stuks USB

type A bij de vorige variant. Via de tweede vrouwelijke

aansluiting sluit je uitbreidingen aan of maak je

verbinding met een host. Wil je meer GPIO-pinnen,

dan is er het Debug Board als optie. De USB Armory

MkII is te koop voor zo’n 120 euro.

wakker van liggen, maar wie weet wat de Chinezen

de komende jaren nog aan performance tevoorschijn

kunnen toveren.

De grafische chip wordt zeer waarschijnlijk

door S3 gemaakt en is compatibel met DirectX 11.1.

De cpu wordt gebakken volgens TSMC’s 16nm-

proces, moderne instructiesets als SSE 4.2 en AVX en

virtualisatietechnieken en encryptie zijn aanwezig.

Voor 2021 staat de 7nm KX-7000-reeks op de planning,

met ondersteuning voor DDR 5 en PCIe-4.0 en

snelheden van boven de 3,5 GHz.

uitgave 4/2020 9

Nieuws / Videostreaming

GOLDRUSH

Concurrerende streamingdiensten

Nico Jurran en Noud van Kruysbergen

Netflix krijgt met Apple TV+ en Disney+

steeds meer concurrentie. Dat leidt

in theorie tot een toenemende kwa­

liteit en dalende prijzen, maar de stroom

aan streamingdiensten heeft in de praktijk

een groot nadeel: het aanbod raakt

daarbij steeds meer versnipperd. Wil ik de

nieuwste tv­programma’s en films kijken,

dan zou ik tientallen abonnementen moe­

ten afsluiten – en daarmee dus aanzienlijk

meer betalen dan vandaag. Tot nu toe had

Netflix de naam om voor een flatrate­tarief

alle belangrijke films en series te brengen,

maar nu Disney daar zijn content weghaalt

en zelf gaat aanbieden, wordt het een

ander verhaal.

Disney lijkt zich te richten op pro­

gramma’s rond zijn grote merken. De be­

kendste voorbeelden zijn de exclusief

voor Disney+ geproduceerde Star­Wars­

serie The Mandalorian en de Marvel­

bewerkingen. Apple TV+ werkt met ver­

schillende genres, maar probeert de

massa aan te spreken met producties met

beroemde acteurs. In Nederland probeert

Pathé Thuis sinds kort een graantje mee

te pikken. Ook bij sportuitzendingen is

het inmiddels duidelijk dat het streamen

daarvan een winstmodel kan zijn en niet

alleen een bijproduct.

Die ontwikkelingen kunnen voor de

diensten echter ook negatief uitwerken.

Klanten hebben waarschijnlijk niet zo’n

behoefte aan het meespelen van die

(machts)spelletjes, en het is de vraag of

Hollywood er goed aan doet om Netlix de

rug toe te keren. Kijkers gaan dan shoppen:

eerst inventariseren welke films en series

ze bij een aanbieder willen kijken, dan even

een abonnementje nemen, alles kijken en

abonnement weer opzeggen.

En er is nog een andere trend, die het

businessmodel in gevaar kan brengen: het

delen van familie­accounts met mensen die

feitelijk niet tot het gezin behoren. Dat mag

van de diensten op dit moment officieel al

niet, en zij zullen waarschijnlijk meer tech­

nische en juridische maatregelen gaan

nemen om daar een einde aan te maken.

Series hebben dan de voorkeur, omdat je

kijkers daarmee langer aan je bindt. Apple

TV+ en Disney+ brengen nieuwe afleverin­

gen dan ook op gezette tijden uit, zodat je

niet kunt binge­watchen. Op die manier

hopen ze het beperkte aanbod aan con­

tent te compenseren. En Disney maakt de

dynamische HDR­versies in Dolby Vision al­

leen toegankelijk via zijn streamingdienst,

op de UHD Blu­rays is alleen een statisch

HDR­beeld te zien.

Daarnaast speelt een rol dat kijkers

op verschillende momenten en met

verschillende apparaten willen kijken: met

een smartphone met een minder snelle

internetverbinding in de trein of met alle

toeters en bellen in de thuisbioscoop. Geen

enkele dienst kan zich het veroorloven om

alleen nog maar op geïsoleerde apparaten

vertegenwoordigd te zijn – daar kwam zelfs

Apple TV+ niet onderuit. Consumenten

pikken het ook niet als hun smart­tv geen

apps heeft voor populaire diensten als

Netflix en Videoland. En met elke nieuwe

dienst neemt de druk aan beide kanten toe.

Op dit moment kan niemand zeggen welke

dienst uiteindelijk met welke strategie

succes zal hebben. Het is denkbaar dat dit

uiteindelijk alleen wordt bepaald door de

vraag of bepaalde diensten over genoeg

geld kunnen blijven beschikken.

Door de versplintering van het aanbod zul­

len er waarschijnlijk ook meer illegale ko­

pieën komen. En dat leek net minder te

worden door het ‘all you can watch’ van

Netflix.

De tactiek van de diensten is op zich vrij

eenvoudig: ze willen dat je je abonneert

en daarna natuurlijk niet opzegt. Daarom

moeten ze je telkens wat nieuws bieden,

wat ook nog bij je past. Algoritmes zullen

dus belangrijker worden. Bovendien is

exclusiviteit het nieuwe toverwoord. Netflix

maakt dat waar met zijn ‘Originals’, die

zelfs na jaren nog nergens anders te zien

zijn. In 2019 werden 371 eigen producties

uitgebracht, een stijging van bijna 55

procent ten opzichte van het voorgaande

jaar. Dat overtreft de gehele Amerikaanse

televisie­industrie van voor het jaar 2006.

Dat aantal zal zonder meer hoger worden –

en daarmee de kosten voor Netflix.

Als Disney’s concurrenten proberen

de strijd aan te gaan tegen series als Star

Wars en Marvel, dan speelt dat in de kaart

van de rechthebbenden. CBS heeft onlangs

de internationale streamingrechten op

de Star­Trek­spin­off Picard aan Amazon

verkocht, na eerst voor Star Trek: Discovery

een vergelijkbare deal met Netflix gemaakt

te hebben. Met een licentie krijg je de

fanbase er natuurlijk ‘gratis’ bij.

Steeds meer videostreamingdiensten strijden om de kijkers. Er gaat steeds meer geld naar exclusieve series en films. Die trend heeft voor het publiek echter ook nadelen.

Disney produceerde de Star-Wars-serie The Mandalorian exclusief voor zijn streamingservice en leverde daarmee fanservice op hoog niveau. Een serie over Obi-Wan Kenobi volgt.

10 www.ct.nl

Learn more at www.supermicro.com/storage© Super Micro Computer, Inc. Specifications subject to change without notice.

Intel, the Intel logo, Xeon, and Xeon Inside are trademarks or registered trademarks of Intel Corporation in the U.S. and/or other countries.All other brands and names are the property of their respective owners.

Maximum Efficiency

High capacity 1U-4U form factors. Leading the industry

with up to 50% greater density. Highest rated - 95%

efficient Platinum power supplies

Maximum Performance and Expandability

All NVMe support with storage servers and direct attach

storage platforms delivering up to 20 GB/s throughput

Mission Critical Reliability

Capable of fully redundant and fault-tolerant operation

with hot swappable drive bays, power supplies, fans and

redundant server boards with remote management.2U 24 NVMe

2U 12 Bay 3.5”

2U 48 NVMe

1U 12 Bay 3.5”

4U 90 Bay

4U 24 Bay 3.5”

Over 50 Software Defined Storage Optimized Products to Choose From

60/90-Bay 4U Storage Servers and Enclosures with up to 9 Petabytes per 42U Rack

SC946ED-R2KJBOD (JBOD Enclosure)

SSG-6048R-E1CR90L (Server)

90-Bay

SC946SE2C/1C-R1K66JBOD (JBOD Enclosure)

SSG-6048R-E1CR60N/L (Server)

60-Bay

03

_Q

3_

SM

_U

SP

_0

70

61

6_

Ma

ste

rFile

_S

toa

ge

_P

g6

SMBE Belgium

+32 495 533 245

www.smbe.be

sales@smbe.be

TWP Computer

+31 20 638 9057

www.twp.nl

info@twp.nl

NCS International

+31 544 47 0000

www.ncs.nl

info@ncs.nl

Server Storage Solution

+32 9 261 5310

www.s3s.be

sales@s3s.be

Intel Inside®. Powerful Productivity Outside.

Cambridge Analytica en het moederbedrijf SCL Group

zijn na het schandaal rond gegevensbescherming

en kiezersmanipulatie failliet, maar er bestaan nog

steeds verwante bedrijven. Dat doet de vraag doet rij-

zen in hoeverre de controversiële methoden om kie-

zers te beïnvloeden nog steeds in gebruik zijn. Hoe

wijd verbreid die invloed was, wordt nu iets duidelijker:

het Twitter-account @HindsightFiles publiceert inter-

ne documenten van de SCL Group.

Volgens de Britse krant The Guardian komen die

van Brittany Bretagne Kaiser, voormalig Director of

Business Development bij SCL. In totaal zou het archief

ten minste 65 landen bestrijken. Er waren half janua-

ri bijna 200 bestanden beschikbaar in vijf dossiers,

die betrekking hadden op Brazilië, Ghana, Iran, Kenia,

Maleisië en op John Bolton, voormalig nationaal vei-

ligheidsadviseur van Trump. De SCL Group bleek tus-

sen 2016 en 2019 geïnteresseerd te zijn in verkiezingen

in ten minste 55 landen wereldwijd.

De documenten bevestigen de verklaringen van

Kaiser dat het Cambridge-Analytica-schandaal slechts

het topje van de ijsberg is. De aff aire maakte deel uit

De bijzonder compacte Linux-versie OpenWrt voor

wifi- routers en embedded-apparaten komt met een

nieuwe grote release. OpenWrt 19.07 is de tweede gro-

te update nadat de fork LEDE en het moederproject

OpenWrt herenigd zijn. Voor de Linux-kernel wordt voor

alle varianten nu versie 4.14 gebruikt. De nieuwe build-

target ath79 voor Qualcomm/Atheros-apparaten zal de

branch ar71xx vervangen vanaf de volgende OpenWrt-

versie.

OpenWrt 19.07 is voor het eerst geschikt voor de

verbeterde wificodering WPA3. De module hee� met

zijn afhankelijkheden echter veel opslagruimte nodig

en zal niet draaien op routers met minder dan 8 MB

flashgeheugen. Als je WPA3 wilt testen op geschikte

hardware, installeer dan hostapd-openssl met de pak-

ketmanager. Versie 19.07 zal de laatste versie zijn voor

routers met weinig geheugen (32 MB RAM, 4 MB flash-

Nieuwe documenten in Cambridge-Analytica-schandaal

OpenWrt vernieuwd

Nieuws / Security

van een veel grotere, wereldwijde operatie om de be-

volking te manipuleren en te beïnvloeden. Het is nog

maar de vraag wat er later dit jaar bij de Amerikaan-

se verkiezingen zal gaan gebeuren. Daar kan de vrijge-

komen informatie wellicht bij helpen.

opslag). Op dergelijke systemen past het al alleen zon-

der het webfront-end LuCI.

De browserinterface verschui� het dynamisch ge-

nereren van de LUA-pagina’s van de routerprocessor

naar JavaScript in de browser, voor een snellere weer-

gave. Maar die implementatie is nog niet voltooid.

Amerikaanse politie gebruikt gezichts-herkennings-software

teerd, dus hij stond niet in onze databases”, zei een

off icier. Vanuit het oogpunt van gegevensbescher-

ming is Clearview een taboebreker. Het kan ertoe lei-

den dat mensen niet meer naar demonstraties gaan,

omdat ze moeten vrezen dat ze worden geïdentifi-

ceerd.

Clearview maakt volgens de New York Times ge-

bruik van een neuraal netwerk dat vergelijkbaar is

met dat van andere gezichtsherkenningssystemen.

Die zetten foto’s om in vectoren die de geo metrie van

het gezicht beschrijven, zoals de afstand tussen de

ogen. De vectoren van foto’s van dezelfde persoon

komen in de vectorruimte dicht bij elkaar te staan.

Als je een foto aan de so� ware meegee� , krijg je

foto’s van mensen die er vergelijkbaar uitzien, waar-

schijnlijk samen met de bijbehorende namen uit

online-profielen.

In de VS gebruiken politieagenten controversiële ge-

zichtsherkenningsso� ware om te zoeken naar ver-

dachten. Clearview vergelijkt foto’s met de meer dan

drie miljard foto’s die publiekelijk beschikbaar zijn op

internet. Meer dan 600 instanties in de VS gebruiken

die so� ware al. Vooral het integreren van foto’s van

onschuldige mensen in het systeem roept vragen op.

Volgens de New York Times hee� Clearview de

beelden automatisch van internet gedownload, ook

van platforms als Facebook die dat verbieden. Ieder-

een met een foto op internet kan dus in beeld komen.

Andere bekende gezichtsherkennings systemen zoe-

ken alleen in databases met foto’s van mensen die al

bekend zijn bij de politie, zoals van INPOL.

Zo vond de politie van Indiana een verdachte op

basis van een smartphonevideo op internet. “Hij had

geen rijbewijs en was als volwassene niet gearres-

OpenWrt 19.07 hee� als grootste vernieuwing WPA3.

SCL was in tientallen verkiezingen wereldwijd geïnteresseerd.

12 www.ct.nl

TM

Intel Inside®. Powerful Productivity Outside.

Desktop Solutions

SMBE Belgium

+32 495 533 245

www.smbe.be

sales@smbe.be

TWP Computer

+31 20 638 9057

www.twp.nl

info@twp.nl

NCS International

+31 544 47 0000

www.ncs.nl

info@ncs.nl

Server Storage Solution

+32 9 261 5310

www.s3s.be

sales@s3s.be

C7Z270-CGC7Z270-PG C7Z270-CG-L C7H270-CG-ML

Samsung volgt de Galaxy S10-reeks niet op met een

S11, maar slaat meteen een hele serie nummers over

en komt met de Galaxy S20. De nieuwe topsmartphone

van Samsung is er in drie uitvoeringen: naast de

gewone S20 is er ook een S20+ en een S20 Ultra.

Een budgetmodel zoals bij de S10-reeks in de vorm

van de S10e of de later verschenen S10 Lite zit er bij

de lancering van de S20 (nog) niet tussen. Voor de

‘gewone’ S20 ben je minimaal 900 euro kwijt, de

S20+ en S20 Ultra beginnen bij 1100 en 1350 euro.

Alle modellen hebben de snelle Snapdragon 865

met standaard 8 GB RAM (12 GB bij de Ultra) en 128

GB opslag (uitbreidbaar via microSD). Er zijn ook

duurdere versies die 5G ondersteunen (met meer RAM

en opslagruimte).

Het meest zichtbare verschil tussen de modellen

is het formaat van het toestel en het scherm. De

S20 is 151,7 × 69,1 × 7,9 mm groot, met een scherm

van 6,2 inch. De Ultra hee� een 6,9-inch scherm en

buitenmaten van 166,9 × 76 × 8,8 mm en de S20+ zit

daar tussenin met een 6,7-inch scherm en 161,9 × 73,7

× 7,8 mm. De schermresolutie van 3200 × 1440 pixels is

bij allemaal hetzelfde. Het gaatje voor de frontcamera

zit net als bij de Note 10 in het midden van het scherm.

Standaard is de verversingsfrequentie van het scherm

60 Hz, maar 120 Hz kan worden ingesteld.

Ten opzichte van de S10-reeks zijn de camera’s

flink gewijzigd. De hoofdcamera bij de S20 en S20+ is

12 megapixel zoals bij de S10, en er is een 12 megapixel

groothoekcamera, maar de telecamera is 64 megapixel

in plaats van 12. Daarmee is 3× zoom mogelijk (en 30×

digitaal). De Ultra krijgt bovendien een 108-megapixel

Samsung van 10 naar 20

Nieuws / Mobiel

hoofdcamera (en een ToF-camera) en biedt tot 100×

‘Space Zoom’ (optisch en digitaal van meerdere lenzen

gecombineerd). Megapixels zeggen zeker niet alles, de

beeldsensor hee� ook grotere pixels om meer licht op

te vangen. Filmen kan in 8K. De meeste mensen zullen

in de praktijk nog geen beeldscherm hebben dat deze

resolutie kan weergeven, maar je filmpjes zijn dan wel

op de toekomst voorbereid.

De S20-reeks hee� verder flinke accu’s (4000,

4500 en 5000 mAh), maar wat dat betekent voor

de accuduur moet nog in de praktijk blijken. De

vingerafdrukscanner zit onder het scherm. Een

hoofdtelefoonaansluiting ontbreekt. Als accessoire

zijn wel de draadloze Galaxy Buds+ bluetooth-oortjes

beschikbaar. Bluetooth 5.0, Wi-Fi 6, gps (inclusief

Galileo) NFC enzovoort zijn allemaal aanwezig.

Samsung legt zelf vooral de nadruk op de nieuwe

camera’s en noemt het ‘de grootste verbetering sinds

de Galaxy S7’. Qua volgnummer loopt Samsung met

de S20 in elk geval weer voorop.

Galaxy Z Flip klaptelefoon

bij 167,3 mm groot, vergelijkbaar met de nieuwe

S20 Ultra, die een iets groter 6,9-inch scherm biedt.

Dichtgeklapt is het toestel echter maar 73,6 bij 87,4

mm groot, met een dikte tussen de 15,4 en 17,3 mm

bij het scharnier.

Het amoledscherm hee� een iets lagere reso lutie

dan sommige gewone toestellen met dit scherm-

formaat (2636 × 1080), maar dat levert nog steeds een

pixeldichtheid op van 425 ppi. Belangrijker is de vraag

hoe het scherm zicht houdt bij veelvuldig dicht- en

openvouwen. Volgens Samsung zou je het meer dan

200.000 keer open en dicht kunnen klappen. Samsung

hee� met Google samengewerkt om het Android-

besturingssysteem (standaard staat er Android 10

op) aan te passen voor dit speciale formaat. Als de

smartphone half opengeklapt is, dan splitst het

beeld zich automatisch in twee afzonderlijke (4-inch)

schermen.

Andere specificaties van het toestel zijn een

octacore-processor, 8 GB RAM en 256 GB opslagruimte,

dubbele 12-megapixelcamera (normaal en groothoek)

en een 3500mAh-accu. De vingerafdrukscanner zit aan

de zijkant. Een hoofdtelefoonaansluiting ontbreekt.

Opvallend is dat de prijs een stuk lager is dan die van

de Galaxy Fold. Laag is in dit geval wel relatief, de

Galaxy Z Flip hee� een adviesprijs van 1500 euro.

Behalve de S20-reeks, hee� Samsung ook de Galaxy

Z Flip geïntroduceerd. Net als de eerdere Galaxy

Fold is dat een telefoon met een opvouwbaar dis-

play. De smartphone is vormgegeven als de oude

bekende klaptelefoon: je kunt het toestel halverwege

omklappen en dichtvouwen. Het 6,7-inch scherm is

dan niet meer zichtbaar, maar op het coverdisplay van

1,1 inch worden dingen als oproepen en notificaties

getoond. Uitgeklapt is het toestel 7 mm dik en 73,6

14 www.ct.nl

024 - 356 56 77bel voor advies op maat

Info@cadcollege.nlstel uw vraag per email

TEC CADCollegeKerkenbos 1018 B 6546 BA Nijmegen

Cursussen &

HBO-opleidingen

TEC, het CAD College, is dé opleider tot CAD-specialist. Welk instapniveau u ook heeft, bij TEC leert u op een plezierige manier om te gaan met CAD. Naast het geven van kwalitatief hoogstaande cursussen, is het veelzijdige instituut uitgever van het standaard studieboek over CAD-tekenen en biedt haar website goede online support.

Studeren in een klein groepje

Officieel Certificaat Autodesk

Ruime doorgroeimogelijkheden

TEC CADCollegedé opleider in CAD

Mrt Apr Mei

Auto

CA

D

Basis2, 3,

9, 10

6, 7,

14, 15

4, 8,

11, 12

Update 30, 31

Gevorderd18, 19,

25, 26

14, 15,

20, 21

VB.NET Basis2,3,

5,6

AutoCAD 3D18, 19,

25, 26

Invento

r

Basis4, 5,

11, 12

1, 2,

8, 9

6, 7,

13, 14

Update 27, 28

Gevorderd16, 17,

23, 24

16, 17,

22, 23

Expert16, 17,

23, 24

iLogic2, 3,

9, 10

F Fusion 36016, 17

22, 23

Revit

Basis4, 5,

11, 12

1, 2,

8, 9

6, 7,

13, 14

Gevorderd18, 19,

25, 26

Installatie6, 7,

14, 15

Expert18, 19,

25, 26

Revit aanpassen2, 3,

11, 12

3d

s M

ax Basis

7, 8,

11, 12

Gevorderd19,20,

25,26,27

Renderen met

3ds Max30,31

www.CADCollege.nl/data

BEST

ATC OF

BENELUX

3x

AWARD

WINNER

Nieuws / Apple

iOS 13.4 is (binnenkort) beschikbaar. De bètaversie

gee� al een goed beeld van de veranderingen in die

update. Naar verwachting is 13.4 de laatste kleine

update voordat de overgang naar iOS 14 komt.

Toch zijn er naast de gebruikelijke bugfixes genoeg

kleine verbeteringen. Interessant is bijvoorbeeld dat

de beloofde deelfunctie voor mappen in iCloud nu

eindelijk lijkt te komen. Die zat oorspronkelijk in de

Beta voor iOS 13, maar werd daarna uitgesteld tot

de herfst en daarnana het voorjaar van 2020. Met die

deelfunctie kunnen gebruikers specifieke mappen in

Apples clouddienst vrijgeven zodat anderen daarin

kunnen lezen, wijzigen of schrijven. In de release-

notes voor iOS 13.4 wordt de functie nog niet vermeld.

Apple is door de Franse mededingingsautoriteit een

boete opgelegd voor het trager maken van oudere

iPhones. Volgens de toezichthouder werden klanten

daardoor gestimuleerd een nieuwe iPhone te kopen.

De toezichthouder stelde daar een onderzoek naar

in na een klacht van een advocatengroep. Het gaat

om de code die enkele jaren terug in iOS 10.2.1 werd

ingevoerd om de prestaties van de CPU in te perken en

de batterijduur te verlengen. Bij iOS 11.2 kwam deze

code ook op de iPhone 7 te staan.

De boete wordt opgelegd omdat Apple de

bezitters van de getroff en iPhones niet informeerde

over de prestatieverslechtering. Volgens Apple was

de maatregel nodig om uitval van apparaten te

voorkomen. Het bedrijf verlaagde eerder al de kosten

om de batterij te vervangen en sinds iOS 11.3 kan een

gebruiker de betreff ende instellingen zelf wijzigen.

Van het bedrag van de boete zal Apple overigens niet

wakker liggen: het moet 25 miljoen euro betalen.

Apple hee� het einde aangekondigd van kernel-

extensies in macOS. Het besturingssysteem gaat

gebruikers waarschuwen als dergelijke uitbreidingen

voor de kernel (kexts) worden gebruikt en adviseert

ze contact op te nemen met de ontwikkelaars. Apple

ging op soortgelijke wijze te werk bij het stopzetten

van de ondersteuning voor 32-bit so� ware in macOS.

Kernelextensies hebben verregaand toegang tot het

systeem en worden bijvoorbeeld gebruikt in so� ware

voor virtuale machines (VirtualBox).

Kleine update met iOS 13.4

Snelheids-boete

Einde aan extensies

Andere veranderingen zijn echter ook interessant,

zoals de betere ondersteuning voor externe toetsen-

borden. Die maakt het voor ontwikkelaars makkelijker

om zo’n toetsenbord als input voor hun app te onder-

steunen en ook het aansturen van het besturings-

systeem via het toetsenbord moet beter werken.

Verder wordt de status van (verbroken) VPN-verbin-

dingen beter gesignaleerd, werken navigatie-apps van

derden beter in CarPlay en wordt de knopindeling van

de Mail-app (wederom) gewijzigd. In iOS 13 kwam de

verwijderknop op de plaats die de antwoordknop had

in iOS 12, wat hee� geleid tot veel per ongeluk verwij-

derde berichten.

Alleen al in het laatste kwartaal van 2019 boekte Apple

een omzet van 91,8 miljard dollar, onder meer door de

goede iPhone-verkopen.

Al vanaf macOS 10.13 worden de kernel-extensies

van derden standaard geblokkeerd en kan een

gebruiker die pas installeren na het aanpassen van de

systeeminstellingen. Bovendien moeten ze digitaal

ondertekend zijn, en sinds ruim een jaar is ook authen-

ticatie door Apple vereist. Vanaf macOS Catalina

10.15.4 komen daar dus waarschuwingen bij. In een

toekomstige versie van macOS zullen kernelextensies

helemaal niet meer werken. Of dat al bij macOS 10.16

(gepland voor komend najaar) het geval is, is nog niet

bekend.

Een alternatief voor kernelextensies moeten de

nieuwe ‘System Extensions’ zijn. Die hebben minder

rechten en draaien in de userspace in plaats van in de

kernelspace. Dat is een van de maatregelen waarmee

Apple het platform wil moderniseren en waarmee

volgens het bedrijf ook de veiligheid en betrouwbaarheid

moet worden verhoogd. Met DriverKit en Endpoint

Security biedt Apple nog andere frameworks voor

ontwikkelaars, waarmee stuurprogramma’s en beveili-

gings so� ware ontwikkeld kunnen worden. Die draaien

ook in de userspace, maar krijgen extra rechten om hun

werk te kunnen doen.Bron

Ap

ple

16 www.ct.nl

Nieuws / Linux

CoreOS, de container-gebaseerde Linux-distributie die

Red Hat in 2018 heeft gekocht, heeft zijn eigen einde

aangekondigd. Na 26 mei zullen er geen updates meer

verschijnen. Gebruikers die het besturingssysteem na

eind mei 2020 nog willen gebruiken, zullen het zonder

updates, patches en security fixes moeten stellen.

In de End-of-Life-aankondiging wordt Fedora Core-

OS als officiële opvolger genoemd. Die versie is echter

nog niet geschikt voor alle inzetgebieden. Zo werken bij-

voorbeeld de native support voor Azure, Vagrant en rkt

nog niet. Bovendien waarschuwen de ontwikkelaars dat

er maximaal ‘best-effort’-stabiliteit haalbaar is. Heb je

hogere eisen, dan kan de CoreOS-fork Flatcar Container

Linux of RHEL CoreOS in Red Hat Openshift gebruiken.

In de aankondigingen adviseren de CoreOS-ontwik-

kelaars dat gebruikers zo snel mogelijk overstappen op

In de nieuwe versie 2.3.0 van Cryptsetup, de standaard

Linux-tool voor schijfversleuteling, is ondersteuning

voor Microsoft BitLocker voor Windows geïntrodu-

ceerd. Daarmee is het nu mogelijk om in combinatie

met een bestandssysteemdriver voor bijvoorbeeld

VFAT, exFAT of NTFS om met standaard middelen ver-

sleutelde Windows-schijven onder Linux te mounten.

Tot nu toe kon dat alleen met de nodige workarounds

of met software van derden.

De BitLocker-ondersteuning is vooralsnog expe-

rimenteel en beperkt in functionaliteit. Volgens het

ontwikkelingsteam kunnen er vooral bij het lezen van

metadata foutmeldingen optreden. Het team roept

dan ook de community op mee te helpen middels

tests en het doorgeven van foutmeldingen.

Momenteel ondersteunt Cryptsetup alleen het be-

naderen van bestaande partities of volumes via wacht-

woorden of herstelfrasen. Dat terwijl het compatibel is

met zowel BitLocker als BitLocker To Go. Cryptsetup

kan (nog) geen nieuwe BitLocker- apparaten aan-

maken. Ook kun je geen andere beveiligingssleutels

Het team achter elementary OS wil de back-end van

hun AppCenter vernieuwen. Ook gebruikers van ande-

re distributies zouden hiervan moeten profiteren. Het

plan is om het team naar Denver te halen en een week

lang te werken aan de nieuwe versie. De voornaamste

wijzigingen omvatten de overstap naar Flatpak en een

nieuw dashboard voor ontwikkelaars. Gebruikers van

CoreOS stopt

Cryptsetup ondersteunt BitLocker

Elementary OS crowdfunding voor nieuwe app-store

een ander besturingssysteem. Op 26 mei zullen de laat-

ste updates verschijnen, en na 1 september zullen alle

CoreOS-resources verdwijnen of niet meer worden ge-

updatet.

CoreOS stamde origineel van Gentoo Linux af. De

eerste stabiele versie verscheen in 2014. Red Hat nam

begin 2018 het bedrijf over om zijn eigen container- en

kubernetes-strategie te versterken. Begin 2020 ver-

scheen de eerste stabiele versie van Fedora CoreOS.

zoals TPM en smartcards gebruiken. Wat TPM betreft

vrezen de ontwikkelaars dat dit ook in de toekomst

niet beschikbaar zal zijn, omdat het principe achter

het systeem dit verhindert.

Tot nu toe kunnen alle metadata van de geco-

deerde apparaten alleen worden gelezen. Wijzigin-

gen (bijvoorbeeld van key-protectors) kunnen niet

worden aangebracht. Met uitzondering van oude ge-

gevensdragers, die bijvoorbeeld onder Windows Vista

zijn gemaakt, zou Cryptsetup in principe alle formaat-

varianten moeten ondersteunen en zonder proble-

men mounten.

De bestandssystemen zelf kunnen nadat Crypt-

setup ze ontsleuteld heeft gelezen en geschreven

worden. Het is tenslotte niet langer de BitLocker-

implementatie van Cryptsetup die hiervoor verant-

woordelijk is, maar het onderliggende bestands-

systeem. De bijbehorende drivers voor VFAT, exFAT of

NTFS zorgen dan voor de nodige compatibiliteit, net

zoals dat het geval zou zijn op een gegevensdrager die

niet versleuteld is.

andere Linux-distributies moeten ook software van

het AppCenter kunnen kopen. Gebruikers kunnen voor

de apps betalen, waarbij ze zelf de prijs bepalen.

Daar is onder opensourceontwikkelaars al langer

discussie over. Op de laatste Linux App-Summit in Bar-

celona werd een betalingssysteem voor Flathub aan-

gekondigd. Dat zou vergelijkbaar met het betaalmodel

van elementary OS op basis van een zelf te kiezen be-

drag moeten werken.

Het AppCenter vormt het centrale element van

elementary OS, een distributie die vooral gericht is

op beginners. Het AppCenter bevat alleen apps die

na een evaluatie voldoen aan de ontwerpspecificaties

van elementary. Daarmee willen de ontwikkelaars een

uniforme en dus eenvoudigere werking garanderen.

Naast de ontwikkelaars van elementary OS zelf,

zullen ook ontwikkelaars van de Linux-distributie

Endless en van Flathub en Gnome deelnemen aan de

sprint.bron

ele

me

nta

ry.i

o

uitgave 4/2020 17

Nieuws / Processors

DE BESTE BASISTECHNOLOGIE

Kwantumcomputer met lagere foutpercentage

Arne Grävemeyer en Daniel Dupré

Kwantumcomputers rekenen met

zogenaamde qubits (kwantumbits)

die kunnen schakelen tussen twee

kwantum toestanden. Bovenal kunnen qubits

ook beide toestanden tegelijk aannemen. In

de zogenaamde superpositie zijn twee toe-

standen overlappend aanwezig. De afgelopen

jaren zijn Google en IBM al regelmatig in het

nieuws geweest met qubits in de vorm van

supergeleidende lussen op halfgeleiderchips.

Het is hun kwantumcomputers gelukt om met

maximaal 72 qubits te rekenen. Dat lukt ech-

ter alleen bij temperaturen die het absolute

nulpunt (-273,15 graden Celsius) benaderen,

en dan ook alleen maar gedurende een fractie

van een seconde.

Qubits in de vorm van ionen in ionen vallen

hebben een decoherentietijd van enkele mi-

nuten, zo lang kunnen ze een super positie

vasthouden – maar dan wel bij kamertempe-

ratuur. Christian Ospelkaus en zijn team zijn

aan het sleutelen aan een complete reken-

eenheid van dergelijke qubits. Rond de jaar-

wisseling publiceerde dat team aan de Leibniz

University in Hannover en de labo ratoria van

de PTB in Braunschweig over hun doorbraak:

het was ze gelukt het fouten percentage bij het

combineren van twee qubits met een factor

100 te verbeteren tot tegen de 10-3. Ze maken

nu dus nog maar één fout per 1000 opera-

ties. Hun doel is om dat percentage met nog

minstens een orde van grootte te verbeteren.

Ospelkaus hoopt dat dit binnen twee jaar gaat

lukken.

MICROGOLFTECHNIEK

De wetenschappers gebruiken beryllium-

ionen als qubits. Ze maken hun ionenval-

len met zelfgemaakte microchips. Die creë-

ren elektrische velden die een paar micro-

meter boven de chip potentiële putten gene-

reren. De onderzoekers spreken hierbij van

“chip-achtige oppervlaktevallen”. Strikt ge-

nomen bevinden de ionen-qubits zich buiten

de chiparchitectuur. In de testopstelling werd

van de kwantumprocessor zijn dan nog een

rekenregister, waarin de microgolfgestuurde

rekenoperaties worden uitgevoerd, en een re-

gister voor het uitlezen van het resultaat. De

registers worden dan verbonden via een scha-

kelaar soort wissel, zodat er een soort trein-

station van wissels ontstaat voor individuele

qubits. Deze aanpak kan in de toekomst wor-

den uitgebreid door veel registers te koppelen

met extra wissels om een groter “station” te

vormen, aldus Ospelkaus. De onderzoekers

kunnen in de cleanroom in Braunschweig

binnen drie tot vier weken nieuwe chips voor

hun experimenten produceren met behulp

van een gepatenteerd proces dat ze zelf heb-

ben ontwikkeld. Dat uitgangspunt kan vol-

gens Ospelkaus dan in toekomst worden uit-

gebreid door veel registers via nog meer wis-

sels tot een groot ‘treinstation’ te koppelen. In

hun cleanroom kunnen de wetenschappers in

minder dan vier weken nieuwe chips voor hun

onderzoek fabriceren volgens een eigen gepa-

tenteerd procedé.

Ospelkaus noemt het onderling koppelen

van qubits in netwerken als het grote voor-

deel van zijn ionenvallen. Terwijl de qubits

in de super geleidende lussen van Google en

IBM primair met hun directe buren communi-

ceren, zijn ionenvallen veel flexibeler. “In

principe kunnen we individuele qubits ver-

plaatsen en elke qubit naar wens aan elke

andere qubit koppelen.” Bovendien hebben

ionen-qubits aantoonbaar het laagste fout-

percentage bij rekenoperaties. Tegelijkertijd

blijft de opgeslagen kwantuminformatie zeer

lang stabiel – bij temperaturen van een paar

Kelvin boven het absolute nulpunt zelfs jaren-

lang. Voor Ospelkaus is de race om de beste

basistechnologie voor de kwantumcomputer

van de toekomst dus open.

de chip omgeven door een vacuüm, zodat de

ionen-qubits niet worden verstoord door bot-

singen met andere atomen.

Een bijzonder kenmerk van de gebruikte

microchips zijn de brede geleiderlussen die

microgolfsignalen naar de elektroden dragen

en daar magnetische velden genereren. Als

twee ionen-qubits zich in dezelfde potenti-

ele put bevinden, kunnen met de microgolf-

pulsen verschillende rekenoperaties worden

aangestuurd. De ionenval wordt zo een zoge-

naamde kwantumpoort.

“Het mooie aan de microgolftechnologie

is dat deze al op grote schaal wordt gebruikt

en gemakkelijk te regelen is”, zegt Ospelkaus.

Andere onderzoekers gebruiken zeer nauw-

keurig gestuurde laserstralen voor kwantum-

poorten, wat een complex proces is. De micro-

golftechnologie daarentegen kan relatief een-

voudig in kwantumcomputers worden geïnte-

greerd. Met deze aanpak was het mogelijk om

de foutenpercentages aanzienlijk te verbete-

ren door de vorm van de microgolfpulsen te

veranderen.

Voor een volwaardige kwantumcomputer

is er een set van een- en twee-qubit-poorten

nodig, waaruit elke gewenste rekenkundige

bewerking kan worden samengesteld. Ospel-

kaus hoopt dat het lukt om binnen twee jaar

tijd het aantal qubitfouten aanzienlijk te redu-

ceren en om alle vereiste kwantumpoorten te

construeren.

20 QUBITS PER VAL

Om dit te realiseren, moeten de onderzoekers

de vereiste functies over verschillende po-

tentiële putten verdelen en de ionen- qubits

naar behoefte tussen deze verschuiven. In het

labo ratorium is aangetoond dat elke ionen-

val enkele ionen-qubits herbergt zonder

dat ze elkaar beïnvloeden. Een eenvoudige

kwantum processor zou twee van zulke vallen

als geheugenregister kunnen gebruiken, die

telkens tot 20 qubits kunnen bevatten. In de

geheugenregisters structureren de ionen zich

in een rij als parels aan een snoer. Die vormen

een Coulomb- kristal. Verdere componenten

Duitse onderzoekers ontwikkelen een kwantumcomputer met microgolfgestuurde ionenvallen en zijn er inmiddels in geslaagd om krachtige en efficiënte computeroperaties aan te tonen.

In een eigen cleanroom worden experimentele microchips voor het onderzoek naar quantum-computers ontwikkeld.

18 www.ct.nl

Nieuws / Wetenschap

bron

Air

bu

s

Showa Denko (SDK) heeft een technologie ontwikkeld

om platters te produceren die ge schikt zijn om data

op te slaan op basis van Heat Assis ted Magnetic Recor­

ding (HAMR). De nieuwe magneetplaten worden voor­

zien van een laag met een ijzer/platinum­legering, een

sterk magnetisch materiaal met een hoge corrosie­

bestendigheid. De kristallen in deze laag hebben een

zeer kleine korrelgrootte, en door de structuur van de

kristalkorrels te optimaliseren, is het gelukt om hun

oppervlaktedichtheid te maximaliseren.

Ze zijn goed bestendig tegen de hoge temperaturen

die gepaard gaan met het schrijven via de HAMR­tech­

De Marsrover Rosalind Franklin (vernoemd naar de

weten schapster die een essentiële bijdrage leverde aan

het doorgronden van de moleculaire structuren van

DNA en RNA) verplaatst zich vooralsnog op de aarde. De

rover heeft zojuist een omgevingstest ondergaan in de

Airbus­faciliteit in Toulouse.

De ExoMars­missie is een samenwerkingsproject

van de Europese Ruimtevaartorganisatie Esa en de

Rus sische tegenhanger, Roscosmos. Het eerste deel

onderzoekt de ExoMars Trace Gas Orbiter de invloeden

van de seizoenen op Mars. In het tweede deel, waarbij

Het verzamelen van whisky’s kan een slimme investering

zijn. Er gaan dan ook stevige bedragen om in de handel

van zeldzame flessen. En waar veel geld gemoeid is, volgt

ook de criminaliteit. Er zijn al gevallen bekend waarbij

een zeldzame whisky van zo’n eeuw oud na aankoop

bleek te zijn vervalst en in werkelijkheid tien jaar geleden

gedestilleerd werd. Het was tot nu toe relatief eenvoudig

de herkomst van een whisky te bepalen, maar de leeftijd

was lastiger. Een nieuwe methode ontwikkeld door de

University of Glasgow brengt daar nu verandering in,

zo meldt NewScientist. De onderzoekers gebruiken de

radioactieve iso toop koolstof­14 (14C). Gedurende de

tests met nucleaire wapens vanaf de jaren vijftig, is er

veel van deze instabiele isotoop in de atmosfeer terecht

gekomen. Koolstof­14 is na het vrijkomen in de lucht met

een bekende snelheid aan het vervallen tot stikstof­14,

waardoor dat een goede tijdsaanduiding kan opleveren.

Koolstof­14 wordt door alles wat leeft opgenomen,

zowel fauna als flora. Dat betekent dat die isotoop ook

80TB-schijven door nieuwe platters

Volgende etappe Europa’s Marsrover

Echtheid van whisky bepalen dankzij wapen-wedloop

nologie. Dat kan resulteren in harde schijven met 80

terabyte. SDK heeft nog geen concrete uitspraken ge­

daan over daadwerkelijke capaciteiten, maar een in­

dicatie gegeven via de opnamedichtheid van het ma­

teriaal. Die dichtheid bij conventionele magnetische

schijven van dit moment is ongeveer 1,14 TB/inch2. Op

HAMR gebaseerde HD­ media zou in toekomst een op­

namedichtheid van 5­6 TB/inch2 kunnen halen. Als dat

omgerekend wordt naar hetzelfde aantal schijven dat

momenteel wordt gebruikt, zou een 3,5­inch HDD naar

schatting dan een opslagcapaciteit van ongeveer 70­80

TB kunnen bereiken.

de rover naar het oppervlakte van de planeet zal

afdalen, staat de zoektocht naar tekenen van leven

centraal.

De Rosalind Franklin werd gedurende 18 maanden

in het Verenigd Koninkrijk geassembleerd. Daarna heeft

Airbus het voertuig naar Toulouse verscheept om het in

een thermische vacuümkamer te zetten. Die ruimte kan

de omstandigheden simuleren waar de rover aan zal

worden blootgesteld gedurende zijn reis door de ruimte

en op de oppervlakte van Mars.

De rover heeft de extreme hitte, kou en het vacuüm

waar hij aan werd blootgesteld daarbij met goed gevolg

doorstaan. Na die tests werd hij weer op reis gestuurd,

dit keer naar een faciliteit van Thales Alenia Space in

Cannes aan de Franse Riviera. Daar wordt de rover

ingebouwd in het ‘entry, descent and landing’­systeem

(EDL), dat hem veilig op de oppervlakte van de planeet

moet brengen.

Ondertussen is de ESA nog druk bezig de parachutes

te testen die de Rosalind Franklin moeten vertragen

tijdens de EDL­fase. Die hebben bij eerdere tests voor

problemen gezorgd, waarbij ze scheurden. Als de

laatste test goed worden doorstaan, zal het geheel

naar Kazachstan worden verplaatst, van waar hij onze

planeet uiteindelijk zal verlaten.

aanwezig is in de gerst waar whisky van wordt gemaakt.

Door het verval van koolstof­14 in de whisky te meten,

kan worden bepaald uit welk jaar hij komt

De methode was al langer bekend, maar nog niet

erg nauwkeurig. Er waren meerdere milliliters nodig om

een whisky te dateren. Bij een fles die enkele duizenden

euro’s of meer kost, is dat een kostbare hoeveelheid.

De onderzoekers hebben de koolstofdatering geijkt

aan de hand van 231 single­malts met bekende leeftijd.

Daarbij bleek dat de koolstofdatering er bijna altijd een

jaar naast zit. Dat komt waarschijnlijk omdat er tijd zit

tussen het oogsten van de gerst en het destillatieproces.

Daar zit dus vaak ongeveer een jaar tussen.

Voor de nieuwe methode is veel minder whisky

nodig, één milliliter is al genoeg. Daardoor is hij beter toe

te passen. Wel moet er redelijk diep in de buidel worden

getast: een test zal ruim 350 euro kosten. De methode

is daarnaast ook geschikt om andere dranken zoals

cognac of rum te dateren.

De thermische vacuümkamer in Toulouse simuleert de

omstandigheden gedurende een Mars-missie

uitgave 4/2020 19

Wil je buiten jouw gebaande IT-paden gaan?

ABONNEER JE NU VIA

OF BEL NAAR +31 (0)85 2250 505LEES.CT.NL

Deze acti e is geldig t/m 14 april 2020 of zo lang de voorraad strekt. Je abonneert tot wederopzegging en voor ten minste de acti eperiode van

10 nummers. Na de acti eperiode wordt het abonnement automati sch verlengd tegen het dan geldende standaardtarief. Opzeggen is heel eenvoudig en kan

via onze klantenservice.

ONTVANG 10X C’T

VAN € 69,90 VOOR

€ 50,-

De nieuwste uitgave

altijd als eerste in huis en

toegang tot de digitale

uitgaves.

Bespaar op de winkelprijs.

MSI Optix MAG272CQR

Volledig en kromNu 27 inch en 1440p zo'n een beetje de standaard aan het worden is, groeit het aantal goed uitgeruste gamingschermen lekker

mee. De MSI Optix MAG272CQR is daar een voorbeeld van.

Alieke van Sommeren

panel 27 inch, VA, 165 Hz, 2560 × 1440, 1 ms MPRTextra FreeSync (48 - 165 Hz), headsethouder, VESA-mount

compatible, 2 × USB 3.2 Gen1, USB 3.2 Gen1 type B, headset-aansluiting, Kensington-lock

video-in DisplayPort 1.2a, 2 × HDMI 2.0b, USB-C (DisplayPort)energieverbruik 61 W

nl.msi.com € 450

Via een gat in het staande deel van de

voet kun je de kabels wat minder opval-

lend naar hun plek geleiden. De dunne

randen links, rechts en boven, de strak

vormgegeven grippy voet en het subtiele

MSI- logo aan de voorkant bieden een voor

een gaming- accessoire zeer ingetogen

look, die prima bevalt. Het scherm biedt

als leuke handige gimmick een kleine uit-

schuifbare houder om je headset aan op te

hangen.

De powerknop is de enige losse knop

voorop, de overige bediening gebeurt via

een joystick rechtsonder achterop het

scherm. Dat werkt erg prettig, je kunt dan

bijvoorbeeld met een enkele beweging van

de joysytick meteen bij de inputselectie

uitkomen of bij de verschillende gaming-

presets. Als je de joystick indrukt, krijg je

het gehele menu te zien om te doorlopen,

en dat is best wat: van verschillende

gaming-modi en kleurpresets tot het

inschakelen van anti-motion-blur en het

instellen van een richthulp bij games. Bij

specifieke functies staat handig vermeld

wat de impact is op andere opties.

Het VA-panel zit qua kleurweergave

tussen een TN- en IPS-panel in, en dat is

voor gaming-toepassingen en wat taken

daar rondom helemaal prima. Hij haalt

100 procent van de sRGB-dekking en 90

procent van DCI-P3. De FreeSync-range is

lekker ruim (vanaf 48 Hz). Voor een prijs van

zo’n 450 euro biedt de Optix MAG272CQR

gamers een erg mooi totaalpakket.

Een 27-inch gamingscherm met

1440p-resolutie en voldoende snelle

refreshrate is heel prettig om mee te

werken. Je hebt daar wel een flinke grafi-

sche kaart voor nodig, maar dat hoe� niet

het duurste topmodel van de serie te zijn.

Heb je even geen tijd en zin om te gamen,

dan heb je aslnog lekker veel werkruimte

voor andere dingen.

MSI hee� de Optix MAG272CQR een

duidelijke kromming (1500R) gegeven,

maar de kleuren en de weergave in de

hoeken hebben dat bij een 27”-scherm ei-

genlijk niet echt nodig. Die kromming is

dan ook meer bedoeld voor het verster-

ken van het gevoel van immersie bij ga-

ming. MSI vermeldt een MPRT (Moving Pic-

ture Response Time) van 1 milliseconde.

De video-inputs zijn ruim vertegenwoor-

dig met een DisplayPort-aansluiting, twee

HDMI- poorten en een USB-C-ingang (met

DisplayPort-signaal). Via DisplayPort haal

je de volle 165 Hz, via HDMI is het maxi-

maal haalbare 144 Hz.

De monitor voelt en oogt degelijk

als je hem uit de doos haalt. Het matte

scherm hee� aan de achterkant een kleine

strook die met RGB verlichte is en die je

via so� ware mee kunt laten kleuren met

de rest van je RGB-hardware. Een deel van

de achterkant hee� een brushed look, en

het onderste deel is normaal matzwart. Er

worden vier afstandsbusjes meegeleverd

om het scherm met een optionele

wallmount-kit ook direct aan de muur te

kunnen schroeven. Dat is wel een goede

manier om de RGB-gloed nog een beetje

van via de muur te laten reflecteren.

22 www.ct.nl

processor, RAM JZ4770 1GHz / 512 MB opslag 16 GB microSD

scherm 3,5-inch IPS (320 × 240)meegeleverd usb-kabel, handleiding

retrogame300.com vanaf € 70

wifi Wi-Fi 4, Wi-Fi 5 (dualband)

bedieningselementen reset, 3 statusleds aansluiting 1 × RJ45 / 4 × RJ45 (gigabit)

arubainstanton.com vanaf € 100

model MU-PC1T0K energieverbruik 0,5 W (idle), 3,5 W

aansluiting USB-C meegeleverd 2 usb-kabels (type A

naar C, C naar C), handleiding

samsung.nl vanaf € 145 (500 GB)

RG350

Portable power

Aruba Instant-On

Snel wifi regelen

Samsung T7 Touch

Veilig draagbaar

De RG350 is een Chinese draagbare com-

puter met OpenDingux, een Linux-distri-

butie die vooral is gespecialiseerd in retro-

games en homebrew-spelletjes. De RG350

is in een aantal uitvoeringen beschikbaar,

van neutraal zwart tot een opvallende,

doorzichtige versie, met knoppen, sticks en

twee microSD-slots. Er zit zelfs een hdmi-

uitgang op, maar die werkt nog niet met de

huidige firmware.

De interne geheugenkaart met de firm-

ware zit onder de accu. De RG350 wordt

geleverd met opensource spelletjes, emu-

lators en programma’s. De versie die we via

Amazon kregen werd geleverd met een los-

se geheugen kaart die gevuld was met re-

trogames. De RG350 kan veel games spelen

uit het 16-bit tijdperk en eerder. Voor latere

games is hij niet altijd krachtig genoeg.

Bestanden zet je op de externe geheu-

genkaart vanaf je pc of via � p. Nieuwe pro-

gramma's kun je op die manier ook instal-

leren, maar dan moet je opletten dat je ze

wel in de juiste map zet. Het updaten van

de firmware is omslachtig.

Met een beetje moeite is het zelfs moge-

lijk om via wifi Quake 2 te spelen met vrien-

den. De interface is niet altijd duidelijk en

soms moet je in de online forums duiken

om erachter te komen waarom iets niet

werkt. Dat neemt niet weg dat de RG350

ontzettend leuk is om mee te ‘spelen’.

Met de Instant-On-accesspoints regel je in-

derdaad op een makkelijke manier een

draadloos netwerk met meerdere ge-

scheiden netwerken. Het nadeel is wel dat

het configureren alleen maar kan via de

Aruba-clouddienst over een al werkende

internetverbinding.

De accesspoints worden gevoed via PoE.

Een adapter daarvoor is tegen meerprijs be-

schikbaar, behalve voor de AP17 Outdoor.

Alle AP’s zenden zowel op de 2,4GHz- als de

5GHz-band. De AP11D en AP17 halen maxi-

maal 867 Mbit/s, de AP12 1300 Mbit/s en de

AP15 1733 Mbit/s. Ze verbruiken 5 tot 6 watt.

De meeste AP’s hebben één netwerk-

poort, de A11D hee� er vier. Meerdere

Instant-On-AP’s zijn via wifi aan elkaar te

knopen tot een meshnetwerk, mits een van

de apparaten verbinding hee� met internet.

Het instellen van extra netwerken is

zo geregeld. In de app voeg je een nieuw

netwerk toe en stel je een naam in. De authen -

ticatie gebeurt via een instelbare portal.

Bedrijven kunnen voor authenticatie om-

schakelen van WPA-PSK naar WPA-Enter-

prise (IEEE 802.x/Radius). De accesspoints

gebruiken DFS om de 5GHz-kanalen vanaf

52 te kunnen gebruiken. Voor ‘gewoon inter-

net’ voldoen de Instant-On-AP’s prima. Als je

in routermode IPv6 wilt, moet je (voorlopig)

nog even een andere set zoeken. Dat staat

bij Aruba wel op de roadmap.

De Portable SSD T7 Touch van Samsung is

de opvolger van de T5. Hij biedt ten opzichte

van zijn voorganger meer snelheid en bevat

een handige vingerafdrukscanner.

De matzwarte ssd weegt slechts 58 gram

en verdwijnt dankzij het formaat van een iet-

wat dikke bankpas makkelijk in een broek-

zak of in je tas.

We haalden ongeveer 1 GB/s bij het le-

zen en schrijven. Dat is mogelijk door USB

3.2 Gen 2 en is meteen het maximum van

die interface (10 Gbit/s). Bij random-access

haalt de Samsung SSD T7 Touch tegen de

40.000 IOPS.

Toen we hem op een snelle Android-

smartphone (Galaxy S10e) aansloten, haal-

den we met de benchmarktool Androbench

en de T7 Touch ongeveer 170 MB/s bij het le-

zen en schrijven.

De T7 Touch versleutelt in principe alle

data met AES-256. Om dat in te stellen, heb

je so� ware nodig die voor Android, macOS

en Windows beschikbaar is. Met de so� ware

stel je ook wachtwoorden in voor het ont-

grendelen plus je vingerafdrukken.

Je vingerafdruk gebruiken is erg prak-

tisch, omdat je de ssd aan welk apparaat

dan ook makkelijk kunt ontgrendelen door

je vinger even op de scanner te leggen.

De ssd is niet gecertificeerd, dus als je

zeer gevoelige data wilt opslaan kun je beter

naar een alternatief kijken.

Krijg je maar niet genoeg van oude

spelcomputers en homebrew-games?

Dan is de RG350betaalbare alleskunner

je op het lijf geschreven.

Aruba wil met de Instant-On-Access-

Points supersimpel wifi bieden. Start

de app, zoek het accesspoint, tik een

paar keer voor de instellingen en klaar.

De snelle externe SSD T7 van Samsung

ontgrendel je met je vingerafdruk. Hij

is te gebruiken onder Android, Linux,

macOS en Windows.

24 www.ct.nl

display 23,6-inch full-hd IPSaansluitingen HDMI, DisplayPort, DVI,

D-Sub, usb-hub, audiomeegeleverd kabels, korte handleiding

eizo.nl € 310

display 10,1 inch, 1920 × 1080 CPU, flash Snapdragon 439, 4 GB RAM / 64 GB eMMC

aansluitingen USB-C, microSD, audio

lenovo.com € 275

fabrikant Western Digital model WDS500G1R0A

afmetingen 100 × 70 × 7 mm garantie 5 jaar

wdc.com € 80

Eizo FlexScan EV2460-WT

Wit voetje

Lenovo Yoga Smart Tab

Slim scherm

Western Digital Red SA500

NAS-versneller

Voor iets meer dan 300 euro haal je met de

EV2460 een 23,8-inch full-hd-scherm in huis,

maar die zijn er ook al voor 100 euro. De Eizo

moet dus meer bieden naast de goede naam

en de vijf jaar fabrieksgarantie.

Specifiek voor het WT-model is de witte

kleur. Zeker in een (kantoor)omgeving waar

je tegen de achterkant aankijkt, kan dat

beter in het interieur passen. Het plastic

oogt misschien niet luxe, maar zorgt voor

een laag gewicht (3,8 kg zonder voet) en de

verstelmogelijkheden op de voet zijn uit-

stekend (140 mm in hoogte, 180° draaibaar

naar portretstand, 35° naar achteren en 5°

naar voren).

De EV2460 is erg compleet qua aanslui-

tingen, met DisplayPort (HDCP 1.3), HDMI

(HDCP 1.4), DVI-D (HDCP 1.4) én D-Sub. De

speakers onder in de schermrand geven ge-

luid weer dat via HDMI, Display Port of van de

audio-ingang binnenkomt – of je gebruikt

de hoofdtelefoon aansluiting. Het scherm

hee� ook een usb-hub met 4 × USB 3.1

Type-A-poorten.

Het stand-byverbruik is erg laag en een

ingebouwde lichtsensor kan de helderheid

automatisch aanpassen aan het omge-

vingslicht. Paper Mode filtert blauw licht en

biedt nog meer kijkcomfort. Dat en andere

extra’s, zoals so� ware om gebruikersinstel-

lingen bij te houden, maakt de prijs zeker

redelijk.

Wat direct aan de Smart Tab opvalt, is de

dikke ‘buis’ onderaan waarin aan weerszij-

den de JBL luidsprekers zitten. Het geluid is

daadwerkelijk beter dan van de meeste ta-

blets en kan flink hard. De verdikking is ook

handig vastpakken in portretmodus, maar

de volume en stand-byknop zitten dan on-

deraan als je dat met links doet. De onderste

knop voor stand-by vonden we niet intuïtief

in landschaps modus. Erg handig is wel de

uitklapbare standaard waarmee je de tablet

rechtop zet of ophangt.

Bij het uitklappen van de standaard kun

je automatisch de ‘ambient modus’ van

Google Assistent laten starten. Die toont

(met wat instelwerk) allerlei informatie op

het scherm en de tablet fungeert dan als

een smart display dat met drie ingebouwde

microfoons reageert op stemcommando’s.

Dat werkt tot op zekere hoogte, maar een

echt smart display werkt beter.

Als tablet behoort de Smart Tab tot de

midden klasse en voldoet hij prima voor me-

dia en casual-games, maar niet voor zwaar-

dere games. De accuduur is redelijk, het

IPS-scherm oogt binnen prima en voldoet

voor buiten in de schaduw. De opslagruimte

is met 64 GB behoorlijk en kan via microSD

worden uitgebreid. Al met al een interes-

sante tablet met een handige vorm voor

mediaconsumptie, maar het smart-gedeel-

te vraagt (van Google) nog wat werk.

De Red SA500 is verkrijgbaar als 2,5”-schijf

met maximaal 4 TB opslag. Daarnaast is er

ook een M.2-2280-model verkrijgbaar van

maximaal 2 TB. Beide hebben een SATA-

interface. WD hee� de SA500 vooral in de

markt gezet als ssd-cache voor de bestan-

den op NAS-schijven, en niet zozeer om te

gebruiken als opslagschijf. Je zou hem ove-

rigens best als zodanig kunnen gebruiken,

aangezien hij ontworpen is voor continu ge-

bruik.

Het testmodel was een Red SA500 met

een capaciteit van 500 GB. Die haalde bij

het lezen maximaal 560 MB/s. Als cache is

het schrijven belangrijker, en de maximale

snelheid van 540 MB/s zakte al na enkele

seconden in naar 300 MB/s.

Als de NAS energiebesparing via Link

Power Management ondersteunt, verbruikt

de SA500 idle ongeveer 0,1 watt, anders is

het 0,4 watt. Tijdens gebruik is de ssd met

bijna 2 watt behoorlijk zuinig. WD biedt 5

jaar garantie op de drive, of maximaal 350

TB geschreven data, wat neerkomt op 500

GB per dag.

Gebruikers die een doorsnee Gigabit-

netwerk hebben, zullen met de ssd in hun

NAS weinig snelheidswinst ervaren in ver-

gelijking met een NAS zonder deze versnel-

ler. Als je een sneller netwerk hebt, dan zou

het gebruik van een SA500 wel interessant

kunnen zijn.

De FlexScan EV2460-WT wijkt af van

veel andere Eizo-monitors: hij is rela-

tief goedkoop én hij is wit. Maar er zijn

ook veel vertrouwde kenmerken.

De Smart Tab is een tablet met een

afwijkend design. Dankzij Google

Assistent ‘ambient mode’ kan hij

ook als smart display dienen.

Harde schijven zijn traag. De Western

Digital Red SA500 NAS-ssd zet je in

als cache en moet op die manier je

netwerkopslag vlotter maken.

Review / Hardware

uitgave 4/2020 25

fabrikant Seagatemodel ZP1000GM30002

ssd-formaat M.2 80 mmhoogte 3,6 mm

seagate.com € 250

aansluiting USB-C, via Y-splitter naar USB type A

meegeleverd case, 2 × USB-C-kabel, Y-splitter, USB-C naar type A-kabel, steunen, keycap, switchpuller

dygma.com vanaf 266 dollar

fabrikant Western Digitalmodel WDBA3S0010BBK-WESN

afmetingen 11,8 × 6,2 × 1,4 cm gewicht 114 gram

wdc.com € 290

Seagate Firecuda 520

Snel, heet, duur

Dygma Raise

Ergo-gamen

WD Black P50 Game Drive

Ssd met USB 3.2

Een Phison-controller PS5016-E16, 1 TB 3D-

TLC-flashgeheugen van Toshiba en 1 GB

DRAM, en klaar is weer een PCIe 4.0-ssd. Dat

geldt echter niet voor de Seagate Firecuda

520, maar wel voor alle ssd’s met die nieuwe

snelle interface, zoals Corsair, Gigabyte en

Patriot die leveren.

Omdat de Firecuda 520 echter geen

koellichaam hee� , wordt de schijf bij een

continue belasting flink heet, waardoor de

ssd-controller na verloop van tijd de snel-

heid afremt.

Dat valt met name op tijdens het schrij-

ven: vergelijkbare ssd’s met koellichaam

kunnen een schrijfsnelheid van 4,3 GB/s lan-

ger dan een minuut vasthouden, maar bij

de Firecuda 520 zakt die naar 3,75 GB/s. Bij

benaderingen van random adressen haalt

de ssd 360.000 IOPS, slechts de hel� ten op-

zichte van de concurrenten.

Bij het lezen zit de Firecuda met 5 GB/s

en meer dan 770.000 IOPS dicht bij de ande-

re modellen. De lagere schrijfprestaties zul

je in het dagelijkse leven nauwelijks merken.

Maar wat de meeste mensen zal afschrikken,

is de relatief hoge prijs die je betaalt vergele-

ken met de andere modellen. Die koop je al

voor zo’n 220 euro of minder, terwijl je voor

de Firecuda minstens 250 euro moet neer-

tellen.

Het Raise-toetsenbord is ontworpen voor

comfortabeler gamen. Het splitsbare toet-

senbord hee� verwisselbare switches (hot-

swap) en biedt uitvoerige instellingen via de

so� ware. Je kunt kiezen uit kleuren voor de

behuizing, lay-out, Cherry-MX-switches en

Kailh-Speed-switches.

De polssteunen zijn afneembaar en af-

wasbaar. De RGB-verlichting verlicht de key-

caps en een dunne rand onderaan beide

delen. Het mechaniek om de Raise in twee

stukken te delen is degelijk en makkelijk in

gebruik. De beide delen zitten met USB-C-

kabels op een Y-splitter.

Met alleen het linkerdeel en je muis er

vlak naast zitten je schouders in een veel

meer ontspannen houding. De gebroken

spatiebalk en de keuze voor verschillende

hoogte toetsen laten je vingers de toetsen

op een natuurlijke manier vinden. De cursor-

toetsen en het nummerblok zitten stan-

daard verstopt onder de tweede ‘laag’, die je

bereikt via een (zelf gekozen) toets.

De Dygma Raise is op een zeer specifieke

doelgroep gericht en blinkt uit in de vele ma-

nieren om hem naar je eigen hand te zetten.

Hij is wel minder geschikt voor je als je flin-

ke handen hebt. De prijs is fors, maar voor

dat geld krijg je wel veel kwaliteit en opties

naast het meer ergonomisch gamen.

Ondanks de verwarrende benamingen die

usb-standaarden de laatste jaren hebben,

staat één ding vast: een nieuwe usb-versie

is altijd sneller dan de oude. We kregen de

mogelijkheid de 1TB-versie van de WD Black

P50 Game Drive te testen, de eerste ssd met

de nieuwe USB 3.2 Gen 2x2-interface met 20

Gbit/s.

De P50 is niet bepaald onopvallend: een

dikke zwartmetalen behuizing met koel-

ribben en ontluchtingsgaten, 12 × 6 centi-

meter groot en 114 gram zwaar. Over wat

er binnenin zit gee� de usb-controller geen

informatie. Toen we hem openschroefden

troff en we alleen een in zwarte folie vast-

gesoldeerde M.2-ssd aan. Vermoedelijk gaat

het om een snelle PCIe-ssd.

De datasnelheden passen daar ook bij:

sequentieel leest en schrij� de schijf de data

met meer dan 2 GB/s via de usb-poort. Bij

het benaderen van random verdeelde data

haalt de P50 meer dan 50.000 IOPS. De schijf

houdt zijn hoge schrijfsnelheid wel een lan-

ge tijd vol.

Het grootste mankement aan de Black

P50 is dat de schijf wel op een geschikt ap-

paraat aangesloten moet zijn om die snel-

heid te halen. Als je geen pc hebt die de stan-

daard ondersteunt, haal je de snelheid niet

en heb je meer aan een goedkopere ssd.

De Firecuda 520 van Seagate hee�

dezelfde onderdelen als alle andere

PCIe 4.0-ssd's, maar dan wel zonder

koellichaam.

Ex-e-sporters wilden een ‘perfect’

ergonomisch gaming-toetsenbord

bouwen: compact, splitsbaar, en naar

eigen (switch)smaak aan te passen.

Met een externe ssd kun je lekker snel

back-uppen. De WD Black P50 Game

Drive kan dat met een supersnelle

usb-poort wel heel snel.

Review / Hardware

26 www.ct.nl

Wil je buiten jouw gebaande IT-paden gaan?

Deze acti e is geldig t/m 31 maart 2020. Je abonneert tot wederopzegging en voor ten minste de acti eperiode van 3 nummers.

Na de acti eperiode wordt het abonnement automati sch verlengd tegen het dan geldende standaardtarief. Opzeggen is heel eenvoudig en kan via onze klantenservice.

ABONNEER JE NU VIA

OF BEL NAAR +31 (0)85 2250 505LEES.CT.NL

ONTVANG 3X C’T VOOR

€ 20,-

De allernieuwste uitgave

automatisch op je deurmat

Makkelijk opzegbaar

producent Sergey Poznyakoff systeemeisen Linux

puszcza.gnu.org.ua gratis

ontwikkelaar Genymobileplatform Android c.q.

Linux/macOS/Windows licentie Apache License 2.0

genymobile.com gratis

GNU Rush 2.1

Grenzen stellen

scrcpy

Bzndr hndg

De doel van de Restricted User Shell (Rush)

is primair om de toegang tot bronnen van

een server te regelen, bijvoorbeeld tot een

Git-repository of tot externe bronnen die

door een client via scp of rsync worden

aangeroepen. Daarvoor controleert Rush

voordat er een commando wordt uitgevoerd

of een van de gedefinieerde regels daarop

van toepassing is. Bij het formuleren van die

regels kun je als beheerder reguliere expres-

sies gebruiken om complexe commando's te

onderscheppen. Rush kan de commando’s

dan vervolgens aanpassen om er zeker van

te zijn dat bij het aanroepen van scp bijvoor-

beeld ook daadwerkelijk /bin/scp start.

Rush kan ook programma’s van te vo-

ren starten en op die manier bijvoorbeeld

een chroot-omgeving opbouwen. Dat is met

name interessant voor programma’s zoals

scp, waarmee anders systeembestanden ge-

kopieerd zouden kunnen worden. Rush kan

bovendien de toegang tot systeembronnen

begrenzen en bijvoorbeeld het gebruik van

de opslagruimte beperken.

De meegeleverde tool rushwho toont

alle gebruikers die Rush op dat moment

gebruiken. De andere tool rushlast toont

alle commando’s die tot dan toe uitgevoerd

zijn. Rush kan commando’s uitvoeren die

als para meter worden opgegeven. Ook kan

het als login-shell fungeren of een nieuwe

shell-instance in een interactieve modus

starten.

Met scrcpy (screen copy) kun je de scherm-

inhoud van een smartphone die via usb met

de pc is verbonden in een eenvoudig ven-

ster weergeven. Daarvoor hoef je niets op

de smartphone te installeren. Dat is moge-

lijk dankzij de Android Debug Bridge (ADB).

Je moet op de Android-smartphone dan

wel de usb-foutopsporing activeren bij de

ontwikkelaarsopties. Telkens wanneer er

verbinding wordt gemaakt, zet scrcpy auto-

matisch een kleine server-applicatie via

adb op de smartphone waar de verbinding

over loopt. Indien nodig kan de ADB ook via

TCP/IP communiceren. Dan kun je de usb-

kabel verwijderen. Meer informatie staat op

github.com/Genymobile/scrcpy.

De weergave is interactief. De telefoon

reageert op muisklikken in het weergave-

venster en met het toetsenbord van de

computer kun je teksten direct op het toe-

stel invoeren. Er zijn sneltoetsen voor veel-

gebruikte handelingen, zoals het bedienen

van de volumeknoppen en het schakelen

naar het startscherm. Ctrl+C in het venster

kopieert het klembord van de telefoon naar

het klembord van de computer, Ctrl+V plakt

het klembord van de computer op de tele-

foon.

Dat alleen al maakt scrcpy een bijzon-

der handig tooltje. Je kunt daarmee bij-

voorbeeld lange chatberichten typen op je

computer, ook als de chat-app geen pc-ver-

sie heeft . De tool is ook erg handig voor

Met GNU Rush kun je op een Linux-

systeem de mogelijkheden van de shell

doelgericht inperken en bepalen wie

welke commando’s mag uitvoeren.

Met de kleine commandline-tool scrcpy kun je het display van een Android-

telefoon op je computerscherm laten zien. Daar kun je de smartphone

vervolgens dan ook mee bedienen. Daar zijn allerlei verschillende

toepassingsgebieden voor te bedenken.

presentaties waarbij interactie met een

mobiele telefoon van belang is.

De tool beschikt ook over een rudimen-

taire bestandsuitwisseling: als je een be-

stand naar het venster met het Android-

scherm sleept, wordt dat naar het apparaat

gekopieerd. Wanneer de tool wordt ge-

start, kun je instellen waar in het bestands-

systeem de bestanden terecht moeten

komen. Als het een Android-app in een

APK-bestand betreft , wordt de app direct

geïnstalleerd, wat handig is voor testdoel-

einden. De tool biedt geen mogelijkheid

om audio door te geven. Mogelijk dat dit bij

Android 10 verandert.

Via een aantal opties is het mogelijk om

het gedrag verder aan te passen aan het

beoogde gebruik. Je kunt bijvoorbeeld de

resolutie van het virtuele scherm wijzigen,

je kunt de schermuitsnede aanpassen en

je hebt de mogelijkheid je sessie als video

op te nemen. De tool slaat die dan naar

wens op als MP4- of MKV-bestand. De optie

--show-touches toont interacties met het

echte display van de smartphone, zodat je

die ook op het virtuele scherm kunt volgen.

Met --no-control schakel je weer terug naar

de weergave zonder interactie.

De tool scrcpy is opensource en be-

schikbaar voor Linux, macOS en Windows.

Er zijn verschillende installatievarianten en

er is ook een handleiding beschikbaar om

het zelf te compileren.

28 www.ct.nl

producten Andrew West systeemeisen Windows

babelstone.co.uk gratis

producent Kovid Goyal systeemeisen Linux, macOS, Windows

calibre-ebook.com gratis

producent Dylan Araps systeemeisen Linux, BSD, macOS, Haiku en andere systemen met bash

tiny.cc/fff2 gratis

BabelMap

Alle tekens

Calibre 4.9

Digi-bibliotheek

fff 2.1

Snel navigeren

In tegenstelling tot de ingeboude tool van

Windows zelf biedt BabelMap echt een vol-

ledige Unicode-ondersteuning. Het pro-

gramma kent niet alleen de 55.445 karak-

ters van het Unicode-niveau 0, maar alle

277.576 codepunten die door de huidige

Unicode-standaard 12.1 gedefinieerd zijn.

Aangezien er echter praktisch geen letter-

type is dat al die tekens kan weergeven,

scant het programma de geïnstalleerde

fonts en kiest het degene die de meeste te-

kens bevat voor elke sectie van de teken-

codetabel.

Tekens waarvan het Unicode-nummer

bekend is, zijn direct toegankelijk via deci-

male of hexadecimale invoer. Het program-

ma heeft ook een zoekfunctie om snel een

bepaald teken te vinden. Er zijn verschillen-

de zoekmethoden voor karaktersets uit het

verre oosten. Speciale tekens die vaak wor-

den gebruikt, kunnen worden opgeslagen

in een bladwijzerlijst.

Karakters kunnen worden gekopieerd

naar het klembord om ze over te nemen

in je eigen tekst. Dat kan als pure tekst of

inclusief formaatkenmerken. De tool kan

ook decimale of hexadecimale karakter-

codes exporteren voor gebruik in XML- of

HTML-documenten.

BabelMap is gratis voor alle doeleinden

en laat nauwelijks wat te wensen over op

het gebied van Unicode en fonts.

Om e-books te presenteren en beheren als

in een digitale bibliotheek, is de platform-

onafhankelijk beschikbare e-booksoft-

ware Calibre geschikt. Het scala aan func-

ties is enorm, Je kunt er e-books mee

lezen, beheren, voorzien van een be-

schrijving, cover en andere metadata – en

ze converteren naar verschillende forma-

ten.

Inmiddels is de geïntegreerde con-

tentserver verder uitgebreid. Die kan één

of meerdere Calibre-bibliotheken aanbie-

den via het lokale netwerk of via internet

op een website om ze te laten downloa-

den of lezen. Daardoor kunnen e-books

snel worden gedownload naar smartp-

hones, tablets en e-readers of direct in de

browser worden doorgebladerd.

De e-boeken kunnen via de website

van de contentserver in een geselecteerd

formaat worden gedownload of gelezen.

Als je een gebruikersaccount hebt, kun je

e-books ook uploaden, verplaatsen van

de ene naar de andere bibliotheek en de

metadata bewerken.

De Calibre-server kan geen metada-

ta van online diensten overnemen, maar

de server biedt wel de mogelijkheid om

Goodreads, Amazon, Google Books en

Wikipedia te doorzoeken op een boek of

auteursnaam. De metadata kan dan wor-

den overgenomen door die te kopiëren en

plakken.

Met behulp van de sneltoetsen die je kent

van de tekstverwerker Vim, beweegt fff zich

door de directorystructuur en markeert de

bestanden voor het kopiëren, verplaatsen of

verwijderen. Een andere toetsaanslag zet de

bestanden in de huidige map of verplaatst

te verwijderen bestanden naar de prullen-

bak. Daarbij gebruikt fff niet de prullenbak

van het bureaublad, maar heeft hier zelf een

aparte map voor.

De zoekfunctie levert zelfs tijdens

het typen van een woord al resultaten

op. Het programma kan ook meerdere

bestanden in één keer hernoemen (bulk

rename). Daarbij opent een tekstedi-

tor een lijst met bestandsnamen in de

tekst editor, waarmee je die kunt aanpas-

sen. Dan past fff de wijzigingen toe op

de bestanden. Met behulp van de tools

w3m-img en xdotool kan fff ook afbeel-

dingen weergeven, als de terminal dat

ondersteunt tenminste. Als een com-

mando moet worden ingevoerd, probeert

fff dat aan te vullen met de Tab-toets.

Alle sneltoetsen zijn aan te passen. De

filemanager geeft directory’s en bestan-

den een kleur volgens de specificaties

van de omgevingsvariabele LC_COLORS.

fff ondersteunt de variabele CDPATH,

waar je een standaarddirectory voor cd

mee in kunt stellen. Bij het afsluiten gaat

fff automatisch naar een vooraf ingestel-

de directory indien gewenst.

Het gratis programma BabelMap is een

alternatief voor Windows' eigen tabel

voor speciale tekens en blinkt uit met

verschillende extra functies.

Calibre is een uitgebreid beheer-

programma voor e-books en via de

ingebouwde contentserver kun je ze

lezen, downloaden en bewerken.

De Fucking Fast File-manager, oftewel

fff, neemt het snelle navigeren via de

Linux-commandline over en kan be-

standen batchgewijs hernoemen.

Review / Software

uitgave 4/2020 29

cpu Intel Core i9-9900K (3,6 GHz, 8 cores, 16 threads)

geheugen 64 GB DDR4 scherm 17,3 inch, 3840 × 2160, mat, IPS, 144 Hz gpu Nvidia Geforce RTX 2080 opslag 1TB-ssd (NVMe, 2 stuks in RAID 0), 1TB-3,5”-hdd besturingssysteem Windows 10 Pro adapter 2 × 230 W

msi.com € 4600

Bij het aanpakken van de doos voor

deze gaming laptop heb je vanwege de

af metingen en het gewicht al door dat

hier een flink performancemonster in ver-

borgen moet zitten.

Het scherm klapt een aantal centi meters

voor de achterste rand van de behuizing

open, en het is al direct zichtbaar waarom

dat zo is. De achterkant is namelijk vrijge-

laten en grotendeels opengewerkt (net als

de onderkant) voor het makkelijker kunnen

wegkrijgen van alle warmte van onder ande-

re de Intel Core i9-9900K, twee NVMe-ssd’s in

RAID 0 en een Nvidia GeForce RTX 2080.

Met een gewicht van 4,2 kilo schoon aan

de haak en een flinke hoeveelheid zichtbare

koperen heatpipes dankzij open gaas voor

voldoende airflow aan de onderkant, zet je

wel iets behoorlijk imposants op je bureau.

De laptop op je schoot zetten is alleen

aan te raden voor even kort iets anders doen

dan een spel spelen, maar sowieso wil je

voor gaming makkelijk kunnen muizen met

een losse muis op een vlak oppervlak. Lap-

tops van dit formaat wil je eigenlijk helemaal

niet op je schoot gebruiken.

Na het aansluiten van twee flinke adap-

ters (230 watt per stuk) met behulp van een

verloopstuk naar een enkele propriëtaire

aansluiting, is de laptop vervolgens klaar

MSI GT76 Titan DT 9SG

Stevige jongen

voor de strijd. Het IPS-scherm is 17,3 inch

groot en prettig mat, Het hee� links, rechts

en boven slechts een dunne rand. Daardoor

oogt het scherm ondanks het formaat nog

vrij bescheiden.

Voor het toetsenbord is samengewerkt

met de gaming-accessoirebouwer Steel-

series. Je hebt volledig instelbare RGB-

achtergrondverlichting tot je beschik-

king. Via functietoetsen zijn onder meer

het geluidsvolume en de intensiteit van de

RGB-verlichting en de schermhelderheid

makkelijk snel in te stellen.

Het toetsenbord is vrijwel fullsize, wel

is links de Windows-toets vervangen door

de functietoets. De toetsen zijn niet mecha-

nisch, wat binnen de gamingwereld wel be-

hoorlijk populair is, maar geven een prettige

feedback en hebben een fijne hoeveelheid

travel. Ze voelen degelijk aan. De RGB-

verlichting loopt in dunne strepen links- en

rechts op de behuizing door, en ook aan

de voorkant. Die lichtshow wordt weer ge-

reflecteerd via je bureau of andere onder-

grond.

Dynaudio hee� zich met de audio be-

moeid en we moeten zeggen dat het prima

klinkt als je een muziekje opzet: niet blikkerig

en geen overmatige vermoeiende hoeveel-

heid bas. Voor gaming zet je toch het liefst

Wanneer je een combinatie zoekt tussen nog enigszins draagbaar maar meer dan voldoende performance om in 4K te gamen,

heb je een flinke gaminglaptop nodig: zowel letterlijk als figuurlijk. De GT76 Titan DT 9SG hee� genoeg power in huis.

Alieke van Sommeren

een headset op voor beter positioneel ge-

luid. In de flinke behuizing is er gelukkig ook

ruimte voor een luxe hoeveelheid aansluitin-

gen. We tellen vier stuks type A usb-poorten,

een Thunderbolt- en normale USB-C-poort,

een netwerkpoort (extra snel met 2,5 Gbit/s),

microSD-kaartslot, mini- DisplayPort, HDMI,

microfoon- en headphone- jack en de propri-

etaire stroomaansluiting. Die laatste hee�

wat overigens wat weg van een gemodifi-

ceerde usb-poort.

Wifi-ac en Bluetooth mogen ook niet

ontbreken. De webcam is wat matig (720p).

Bij het spelen van een veeleisende game

gaat de laptop vrij snel over tot duidelijk

aanwezige ventilatorherrie, maar dat kan

ook niet anders met zoveel power in een

relatief ‘kleine’ behuizing. Het is vooral

veel geruis, maar geen hinderlijke overige

bijgeluiden. Wel is het jammer dat ondanks

de enorme hoeveelheid koeling de laptop

idle ook nog steeds een duidelijk hoorbaar

geruis produceert.

Voor de komende jaren kun je met deze

dikke hardware prima vooruit, maar het

wel zeer forse prijskaartje kunnen we niet

verantwoorden. Dit ondanks de uitstekende

specificaties en het feit dat je zelf nog kunt

sleutelen om bijvoorbeeld de ssd’s of accu te

vervangen.

30 www.ct.nl

Review / Hardware

afmetingen 24 cm × 26 cm × 12,6 cmwifi Wi-Fi 5

stand-by-verbruik 0,2 wattmeegeleverd laadring, adapter

sonos.nl € 400

Op het verlanglijstje van veel die-hard

Sonos-gebruikers staan bluetooth

en een versie die op een accu kan

werken al jaren bovenaan. Tot nu toe was er

een verlengsnoer nodig om het ‘draadloze’

muziek systeem af en toe in de tuin te parke-

ren voor een stukje sfeermuziek bij de bbq.

Vrienden moesten de Sonos-app installeren

of Spotify of AirPlay gebruiken om muziek af

kunnen te spelen.

De compacte Sonos Move is uitgerust

met een lithium-ion-accu die goed moet

zijn voor 10 uur muziek afspelen. De accu

is niet door jezelf te vervangen, helaas. De

Move draaide bij de test 14 uur op een ge-

middeld hard volume.

We missen wel een echte accuniveau-

indicatie direct op het apparaat. Er licht nu

alleen een ledje op zodra de Move op een

stroombron wordt aangesloten. Als je wilt

weten hoe het met de accu staat, moet je

de Sonos-app gebruiken.

Het ontwerp van de donkergrijze Move

is erg eenvoudig en misschien zelfs een

tikje ouderwets. Hij voelt wel lekker de-

gelijk aan. Met z’n drie kilo is hij niet voor

elke situatie onderweg even geschikt, maar

er heen en weer mee pendelen tussen de

woonkamer en de tuin is geen probleem.

Met de IP65-rating is een onverwachte

regenbui geen issue, een duik in het zwem-

bad gaat de speaker echter niet waar deren.

Opladen gebeurt via de mee geleverde han-

dige oplaadring of via USB-C. Om hem zo

snel mogelijk op te laden via USB-C heb

je wel een adapter nodig die snelladen

Sonos Move

Draagbare draadloze muziek

aan kan. Sonos verkoopt de laadring met

een adapter los voor een forse 80 euro. De

Move is ontworpen als een tweeweg-mono-

systeem. Hij bevat een gecombineerde low-

en midrange driver en een tweeter.

Net als de Sonos One hee� hij zes richt-

microfoons en kan hij worden gebruikt in

combinatie met Alexa of Google Assistant.

De Move gebruikt de microfoons ook voor

een automatisch kalibratie. Die wordt ge-

activeerd wanneer de ingebouwde bewe-

gings sensor een wijziging in positie signa-

leert.

Voor een op een accu werkende luid-

spreker klinkt de Move rijker qua details

en wat krachtiger dan de bekabelde Sonos

One. De bluetooth-prestaties waren ech-

ter minder indrukwekkend: bluetooth kan

De Sonos Move smart-speaker is de eerste uit het aanbod van Sonos die op een accu zijn werk doet en via bluetooth je favoriete

muziek af kan spelen. Even snel een nummer laten horen is er echter niet makkelijker op geworden.

Sven Hansen en Alieke van Sommeren

alleen worden gebruikt ná het instellen,

wat op zijn beurt weer via wifi moet ge-

beuren. Dit is nogal verwarrend. In de blue-

toothmodus heb je geen toegang meer

via de app. Een ander nadeel is de mage-

re codec- ondersteuning: naast SBC is er al-

leen het lossy AAC.

Om lossless te kunnen streamen, heb

je weer wifi nodig voor AirPlay of Spo-

tify Connect. Eigenlijk zouden twee los-

se Moves de perfecte kandidaten zijn voor

surroundspeakers. Met de geteste firmware

is dat echter nog niet mogelijk, dus we ho-

pen dat een update die functionaliteit nog

snel toevoegt. De Move is een frisse nieuwe

aanwinst, maar is nog wat te fors (net als

de prijs) en niet flexibel genoeg als het om

bluetooth gaat.

uitgave 4/2020 31

Review / Hardware

cpu, geheugen Nvidia Tegra X1+, 3 GB opslag 16 GB

video-out HDMI 2.0b (met HDCP 2.2 en CEC) videocodecs HEVC (4K60HDR), H.264 (4K60), VP8/9 (4K60), MPEG-1/2 (4K60), H.263 (1080p60), MJPEG (1080p60), MPEG4 (1080p60), WMV/VC1 (1080p60)

meegeleverd remote (incl. batt.), adapter

nvidia.nl € 220

De nieuwe Shield TV Pro is een van de

twee nieuwe Shield-streamers van

Nvidia. Naast de Pro is er nog de stick-

vormige Shield TV. De vorige Shield uit 2015

was zeer populair en legt de lat wel behoor-

lijk hoog voor de nieuwe Shield TV Pro.

De oude versie bood namelijk al op-

ties zoals streamen van 4K-content en het

afspelen van HDR-content in het populai-

re HDR10-formaat. Je kunt met dat model

ook Netflixen en Amazon Video gebrui-

ken, maar ook eigen content inclusief de

3D- audioformaten Dolby Atmos, DTS:X en

Auro-3D beluisteren – zoals van een NAS.

Dat wordt mogelijk gemaakt door Kodi, die

zonder allerlei kunstgrepen simpelweg via

de Google Play Store is te installeren.

De TV Pro lijkt op foto’s misschien iden-

tiek aan zijn voorganger, maar de schijn be-

driegt: het nieuwe model is maar ongeveer

half zo groot als de vorige versie. Nvidia hee�

de bluetooth/infrarood- afstandsbediening

flink onder handen genomen en uitgerust

met een aparte Netflix- knop. De knoppen

lichten op als je de remote oppakt.

Android TV is nog steeds het besturings-

systeem, met de meegeleverde stemassis-

tent van Google. Hij luistert niet permanent

mee, maar neemt commando’s aan na het

indrukken van een speciale knop.

Nvidia Shield TV Pro

Media-multitalent

De nieuwe Shield TV Pro kan overweg met

Dolby Vision, dat in steeds meer films en se-

ries gebruikt wordt. De ondersteuning hier-

voor is tot nu toe echter beperkt tot video-

streamingdiensten zoals Netflix, aangezien

er nog geen Kodi-versie met bijbehorende

ondersteuning beschikbaar is. Hoe lang we

daar op moeten wachten is niet bekend.

Er is niets veranderd aan de afspeel-

opties van de Shield – en daar is niets mis

mee. Hij speelt content in de belangrijkste

formaten (zie de tabel) zonder problemen

af, zelfs van opslagmedia die zijn aangeslo-

ten op de twee USB 3.0-aansluitingen.

De verversingssnelheid kan echter nog

steeds alleen op een vaste waarde worden

ingesteld, wat bij sommige tv’s leidt tot

lelijke stotteringen bij snelle bewegingen.

Nvidia komt nog met een firmware-update

om dat te verhelpen.

Een ander minpunt is hoe Nvidia CEC in

de Shield TV Pro hee� geïmplementeerd.

Om de een of andere onbekende reden

vroeg de box onze tv en audio/video-

recorder herhaaldelijk om over te schakelen

naar zijn ingangs kanaal zonder dat we ook

maar enigszins in de buurt van de remote

waren. Een oplossing in de maak.

Nieuw is de met behulp van AI geopti-

maliseerde upscaler, die 720p- en 1080p-

De Nvidia Shield TV Pro biedt toegang tot je favoriete streaming-apps en je eigen storage om content in allerlei formaten af te

kunnen spelen. Een van de nieuwe features is de met artificiële intelligentie geoptimaliseerde upscaling.

Nico Jurran en Alieke van Sommeren

video’s met maximaal 30 fps tot 4K-

resolutie kan opschroeven. Binnen de

redactie waren er behoorlijke verschilden

van mening over de kwaliteit daarvan: in

het algemeen beoordeelden veel mensen

de resultaten met een beamer beter die van

de geïntegreerde upscaler daarvan.

Maar in vergelijking met een goede tv

vonden sommige mensen het door Nvidia’s

AI berekende beeld te veel verscherpt en

daardoor zeer onnatuurlijk ogen.

De nieuwe streamingbox hee� de

Tegra X1+-cpu gekregen in plaats van de X1.

De Shield TV Pro haalt daarmee een score

van 3996 punten bij de Android 3DMark-

benchmark Sling Shot Extreme – OpenGL

ES 3.1, terwijl het voorgaande model 3641

punten als score mocht noteren. Je merkt

echter niets van deze prestatieboost bij het

kijken van content.

Wil je een streamer die alles zonder

tegenstribbelen vanaf je NAS kan afspelen,

zet de Shield TV Pro dan maar alvast op

je wensenlijstje. Voor gebruikers van de

vorige versie is een upgrade alleen de

moeite waard als de huidige upscaling je

niet goed genoeg bevalt.

Als de ondersteuning voor Dolby Vision

voor Kodi beschikbaar komt, is het pakket

mooi compleet.

32 www.ct.nl

LICHT IN ELKE HOEK kck.st/2ZVck9c • vanaf 69 dollar

Wat zou er nu beter passen bij een zeer draagbare gameconsole dan een zeer draag-

baar dock? Dat idee leidde tot de Genki covert dock: een extreem portable dock voor

de Nintendo Switch. Met een stekker, HDMI-poort, en twee usb-poorten verbind je

je Switch supereenvoudig met je tv. De USB 3.1-poort is voor accessoires, de USB-

C-poort is voor het laden via Power Delivery (3.0-standaard). Tijdens en even na de

crowdfundingcampagne kwam destijds bijna 1,8 miljoen dollar binnen, dus vraag

is er in ieder geval genoeg. De makers vermelden dat de dock zo lekker klein is (90

procent kleiner dan de originele dock) dankzij galliumnitride, ook wel het silicium

van de toekomst genoemd. En hij is dan wel bedoeld voor de Nintendo Switch, je

kunt hem ook prima gebruiken in combinatie met andere USB-C-apparaten.

Cocktails: wel lekker, maar altijd toch weer een hoop gedoe. Voor-

al als je wat mensen over de vloer hebt wordt het al snel een tijd-

rovende klus. Maar geen nood: de Bartesian helpt je aan je favoriete

mixdrankje. Zie het als de Nespresso-variant voor cocktails brouwen.

Zorg dat de reservoirs gevuld zijn met wodka, tequila, whisky, gin en

water. Stop je favoriete cocktailcapsule (die bitters en sapconcentra-

ten bevatten) in het apparaat en voilà: nippen maar. Qua capsules

is er een ruime keuze met onder andere whiskey sour, Long Island

iced tea, gimlet, margarita, sazerac, mint julep, cosmopolitan, up-

town rocks, old fashioned en een spiced coffee. Meer smaken staan

op de planning, en stuur vooral ook je suggesties aan de makers door.

Ben je van plan zeer regelmatig te nippen? Dan is er een maandelijks

abonnement met 18 capsules, opgemaakt uit 3 smaken naar eigen

keuze. Zo bespaar je weer een klein beetje en lounge je lekker door.

Een kast induiken om snel even iets te vinden is vaak las-

tig door het gebrek aan fatsoenlijk licht. Een simpele spot

of een enkele lamp werkt niet effectief om het interieur

gelijkmatig te verlichten zodat je alles goed kunt zien. De

Luminook moet dat veranderen. Met een ledstrip om je

hele deurkozijn die reageert op beweging, regel je eenvou-

dig een egale, complete verlichting in donkere hoeken en

gaten. Het gebruik is niet beperkt tot kasten of aanverwan-

te plekken, het is ook handig voor onder keukenkasten of

als accentlicht. Naar keuze gebruik je een standaard of ex-

tra krachtige accu, een bestaande armatuur (met adapter

naar USB) of een stopcontact. De controlemodule plaats je

in de kast onderaan bij het deurkozijn, zodat hij niet opvalt.

De kleurtemperatuur en helderheid is instelbaar. Er zit een

do-not-disturb-functie op die je activeert door de deur een

tikje te openen, snel dicht te doen en weer open. Totdat de

deur weer dicht wordt gemaakt blijft het licht uit.

Tips / Lifestyle

SWITCH-DOCKJE igg.me/at/covert-dock • vanaf € 53

MAKKELIJK MIXEN bartesian.com • 350 dollar

34 www.ct.nl

Hoe kun je het beste beginnen met het

terug proberen te krijgen van je pri-

vacy en het veilig houden van je

persoonlijke data? De app Jumbo:

Privacy + Security geeft je op een

eenvoudige manier weer de con trole

over je eigen data. De app scant de

apps en diensten die je gebruikt (Twit-

ter, Facebook, Alexa en Gmail en der-

gelijke) en controleert ook of je e-mail-

adres in een lek naar boven is komen

drijven. Na de gekozen scan verschijnt

een lijst met acties die je kunt uitvoe-

ren om je online privacy en veiligheid

op te schroeven. Denk bijvoorbeeld

aan het weggooien van oude tweets

en Facebookberichten, en het instel-

len van tweefactor-authenticatie. En

over privacy gesproken: het scannen

wordt alleen lokaal op je telefoon uit-

gevoerd, er gaat niks richting servers

van anderen en er is dus helemaal

geen data die kan worden verkocht of

gedeeld.

Wiskundige formules oplossen is

absoluut niet iedereen zijn hobby.

Gelukkig zijn we inmiddels zo ver dat

je sommen niet alleen snel en makke-

lijk kunt laten oplossen, maar je ook

met een wat kennis bijgebracht krijgt.

De Microsoft Math Solver kan foto’s

van formules in tekst omzetten om

verder te verwerken. Hij kan ook over-

weg met getypte en op het scherm

geschreven formules. Hij toont je niet

alleen de oplossing, maar ook het

stappenplan van begin tot eind met

eventuele grafieken, zodat je hope-

lijk een ‘a ha’-moment krijgt en weer

wat hebt bijgeleerd. Als je nog wat ver-

der naar beneden scrolt als de oplos-

sing voor je neus verschijnt, zie je nog

meer algemene uitleg over de soort

for mule. Dat is inclusief instructie-

filmpjes, voorbeeldformules om mee

te oefenen en vergelijkbare sommen

op internet. Nederlands wordt helaas

(nog) niet ondersteund als taal.

IN VERWEER Android / iOS (gratis)

HANDIG ZORGEN Android / iOS (gratis)

PRETTIGER

REDDITTEN iOS (gratis)

KEEP IT SIMPLE iOS (gratis)

OPLOSSEN Android / iOS (gratis)

Bij het mantelzorgen is het handig om met alle zorg-

gevers samen een actueel beeld te hebben van de situ-

atie van je familielid of bekende, en dat op elk moment

van de dag. Door samen te werken in de CareZare-

app als team, zien alle betrokkenen of en wanneer

de medi cijnen zijn ingenomen, en wat er de komende

tijd op de planning staat. De taken worden verdeeld

en acti viteiten worden gezamenlijk gepland. Zodra

er een nieuw event in de app wordt gelogd, kunnen

speci fieke personen met een notificatie op de hoog-

te worden gebracht. Behalve via de app kan CareZare

ook vanaf de desktop worden gebruikt.

Reddit is een erg populair sociaal platform, met zeer

uiteenlopende subreddits over allerlei onderwerpen.

De standaard Reddit-app laat echter nogal wat te

wensen over qua gebruiksvriendelijkheid. Met de

Apollo-app krijg je niet alleen een lekker vlotte app,

maar ook eentje met een mooi native iOS-design,

naar keuze in te stellen gestures, een snelle mediavie-

wer (o.a. HTML5-gifs met time-scrubbing) plus pretti-

ge, intuïtieve navigatie. En niet te vergeten een krach-

tige Markdown-editor waardoor je ook op je mobiele

apparaat makkelijk opmaak op je tekst kunt toe-

passen.

Beter eten is een goed streven, maar niet altijd zo mak-

kelijk als het lijkt. Je hebt niet snel zin om elke afzon-

derlijke pinda, glas water, blaadje sla of stuk worst te

gaan loggen. Food Diary by Moderation houdt het

simpel, zelfs een account of het doorgeven van je

e-mailadres is niet nodig. Je geeft aan of je maaltijd

gezond of ongezond was. Of iets gezond is, baseer

je op je eigen persoonlijke doelen. Het belangrijkste

is om consequent te zijn. Omdat het loggen super-

simpel is en vrijwel geen tijd kost, haal je makkelijker

je streaks en blijf je gemotiveerd.

Tips / Apps

uitgave 4/2020 35

Tips / Games

Je bent het bewustzijn verloren en ontwaakt ter-

wijl er om je heen een gebouw in elkaar aan te stor-

ten is. Dat is een lekkere binnenkomer. Het blijkt dat

je na het bijwonen van een (overduidelijk niet be-

paald vlekkeloos verlopen) demonstratie van Light-

matter wat aan de late kant bent om te evacueren.

Dus nu zit je vast in een experimenteel ondergronds

laboratorium. Gelukkig spreekt een stem je via de

intercom toe om je te helpen alsnog veilig boven-

gronds te komen.

Maar het mislukte experiment heeft niet alleen

hele gangen en deuren geblokkeerd, ook de schadu-

wen zijn levensgevaarlijk geworden. Een stapje in de

schaduw “will tear you apart on the sub-atomic level”,

om het even heel duidelijk te maken. Het is zaak het

einde van elk level te halen door je pad letterlijk te ver-

lichten. Het begint simpel, maar wordt al snel puzze-

len met lampen en knoppen, bewegende platformen,

een goede timing en heen en weer hupsen tussen be-

paalde delen van levels om de uitgang te halen. Tij-

dens het gepuzzel door de levels leer je steeds meer

over hoe Lightmatter is ontdekt en welke intriges er

speelden in het geheime ondergrondse lab. Voor dat

laatste vind je op bepaalde plekken stemrecorders.

LIGHTMATTER Aspyr / Tunnel Vision Games • € 17 • Windows

THE BLIND PROPHET Ars Goetia • € 20 • Windows

The Blind Prophet is een point&click-adventure met

een donker en rauw horrorsausje. Dat is niet zo gek

aangezien hoofdpersoon Bartholomeus een apos-

tel uit de hemel is van tweeduizend jaar oud, die met

zijn zwaard demonen een kopje kleiner maakt. Hij

arriveert in Rotbork, een stadje dat te maken krijgt met

mysterieuze sterfgevallen en mensen die ineens beze-

ten raken door demonen. Je zoektocht naar de kern

van de ellende begint bij het redden van een jonge-

dame, die werd lastigvallen door een bezeten man.

Die man is inmiddels een stuk arm en een hand armer,

dus de eerste zoektocht kan relatief eenvoudig wor-

den voortgezet door het volgen van een bloedspoor.

De game heeft de standaard point&click-bedie-

ning als je over items hovert met je muis. Items zijn

ook te combineren tot een nieuw item, en bepaalde

opties worden pas beschikbaar nadat je met persoon

x hebt gepraat of wat stappen terug en weer vooruit

hebt gezet.

De puzzels zijn niet frustrerend moeilijk, maar

een leuke afwisseling tussen het praten en ontdekken

door. Wel heb je af en toe ‘maak de juiste keuze anders

ga je dood’-keuzestress. Je hebt een hulpje bij het zoe-

ken naar items waar je interactie mee kunt hebben:

als apostel kun je met de Stalker’s Eye de ‘aanwezig-

heid van demoonse invloeden’ onthullen. Dat lijkt een

valsspeeltactiek, maar je hoeft het natuurlijk niet te

gebruiken. Het biedt beginnelingen in het genre wel

een manier om meer van het verhaal te genieten.

Naast het goed vertelde verhaal zijn de visuele stijl

en de geluiden en soundtrack dik in orde. Bij het be-

zoek aan de lokale stripclub kwamen lekkere catchy

beats onze oren binnen. De dialogen zijn niet volledig

ingesproken. De handgetekende game oogt prachtig,

meer als een soort interactieve comic waar je door-

heen wandelt. Als we dan toch iets negatiefs moeten

noemen, zijn dat de soms wat kromme vertalingen

van het originele Frans naar het Engels.

De game heeft leuke humor, ook een prettig tempo en

het verhaal en de stemacteurs maken er een mooie

ervaring van waar je voor je gevoel veel te snel door-

heen bent. De savegames zijn ook prettig ingeregeld,

waardoor je niet frustrerend veel stappen overnieuw

hoeft te doen als je toch een keer op subatomair ni-

veau uit elkaar spat. Het spel is een uur gratis uit te

proberen.

36 www.ct.nl

Tips / Websites

LESJE AFWEERGESCHUT hacksplaining.com

NARE IMPACT nuclearsecrecy.com/nukemap

VERDACHT GOED reviewmeta.com

WERELDBURGERSTATISTIEK population.io

DIEP IN DE ZEE neal.fun/deep-sea

Je bent beginnend developer of een hobbyprogrammeur die wat wil leren over het

hackbestendig maken van je werk? Hacksplaining.com leert je in verschillende

stappen hoe bepaalde kwetsbaarheden werken. Zo krijg je van de populaire aan-

vallen SQL-injection, click-jacking, cross-site-scripting, denial-of-service-attacks,

email-spoofing, malvertising en meer een mooie real-life demonstratie in stappen

voor je neus met daarna infor-

matie over hoe groot de kans

is dat je daar last van gaat krij-

gen. En ook hoe makkelijk de

betreffende kwetsbaarheid te

benutten valt en wat de im-

pact is. En belangrijker nog:

hoe je al die ellende kunt voor-

komen door goede code te ge-

bruiken. Als afsluiter krijg je

nog wat extra leesvoer om je in

het onderwerp te verdiepen.

Hoeveel personen zijn er eigenlijk ouder dan jij, en

hoeveel jonger? Op population.io kun je in eigen land

en uit vergelijkingen met andere landen zien waar je

precies staat. Hoe oud ga je worden, en wat als je in

een ander land was geboren? Het wordt pijnlijk duide-

lijk dat in veel landen de levensverwachting een stuk

lager ligt. Maar je ziet ook dat die de afgelopen decen-

nia behoorlijk snel is toegenomen.

Warm je vingers alvast goed op voor een stevig potje scrollen. Hoe dieper je bij

neal.fun/deep-sea duikt, des te vreemder, exotischer, lelijker, prachtiger of meer

bizar de levensvormen worden. De Japanse reuzenkrab kan zo in een monsterfilm

over door gelekte radioactieve straling gemuteerde krabben en de Riemvis wordt

maar liefst 11 meter lang. Als je bent beland in de zone waar het daglicht niet meer

bij kan, regelen de levens-

vormen zelf wel een stuk-

je veRlichting dankzij bio-

luminantie. Die kun nen

wel 200 jaar oud worden.

En over volhouden ge-

sproken: de Kobol haai

is een zeldzame haaien-

soort die eigenlijk ook wel

een levend fossiel wordt

ge noemd. Deze soort is

de enige afstammeling

van een familie die al 125

miljoen jaar op de aarde

meedraait.

Het is gelukkig heel lang geleden dat er in het echt

een atoombom op een stad viel. Maar als het zover

zou komen, wat voor een impact heeft dat dan op bij-

voorbeeld een stad als New York of Amsterdam? Bij

nuclear secrecy.com/nukemap kies je een willekeuri-

ge plek op de aardbol om een bom af te laten gaan.

Daarna kies je het aantal kiloton (of een preset uit

de lijst van ‘bekende’ atoombommen). En ja, je kunt

kiezen voor het tonen van het aantal slachtoffers en

de fallout, al is dat slechts een grove schatting. Het

laat ook de ringen van de impact zien, met het soort

schade die in die ring wordt veroorzaakt. Een beetje

luguber, maar stiekem toch fascinerend.

Veel aankopen op websites worden gedaan na het doorlezen van verschillende

reviews. Maar ja, niet elke review is ook echt van een betalende klant en berust net-

jes op waarheid. Bij reviewmeta.com kun je een extra filter toepassen op Amazon-

reviews, dat onnatuurlijke of verdachte reviews buiten beschouwing laat. De weg-

gelaten reviews zorgen voor een aangepaste rating voor het product, waardoor je

hopelijk een wat eerlijker beeld voorgeschoteld krijgt over de kwaliteit van je toe-

komstige aankoop. Behalve ouderwets url’s plakken heb je ook de keuze uit exten-

sies voor alle populaire browsers, en apps voor iOS en Android.

uitgave 4/2020 37

ALLES OVER DIT ONDERWERP

Marktoverzicht FIDO2-sticks 38

FIDO2 instellen en gebruiken 44

YubiKey als OpenPGP-smartcard 48

FIDO2 FAQ 51

ONLINE SLEUTEL

FIDO2-beveiligingssleutels

om in te loggen met of zonder wachtwoord

38 www.ct.nl

Achtergrond / FIDO2: marktoverzicht

Gebruikersnaam en wachtwoord? Die heb je niet meer nodig. Als je een FIDO2-stick gebruikt, dan klik je gewoon op ‘Aanmelden met Windows Hello of met een beveiligings-sleutel’.

Eenvoudige FIDO2-authenti cators zoals de Security Key van Yubico zijn er vanaf 20 euro.

Ronald Eikenberg en Daniel Dupré

De FIDO2-aanmeldprocedure lost veel problemen

op. Je beschermt er je online-accounts mee te-

gen phishing, trojans en gestolen wachtwoorden.

Je kunt het gebruiken als tweede factor naast je wacht-

woord – of zelfs als vervanging van dat wachtwoord. Als

een dienst de technische mogelijkheden van de nieuwe

technologie goed ondersteunt, hoef je je gebruikers-

naam en wachtwoord niet telkens meer in te vullen.

Hoe handig dat kan zijn, kun je nu al uit proberen met

de Microsoft-diensten. Aanvankelijk werkte dat alleen

met de Edge-browser, maar inmiddels heeft Microsoft

het in Windows 10 mogelijk gemaakt om ook bij andere

browsers zonder wachtwoord in te loggen.

De FIDO2-procedure is niet alleen erg handig, maar

ook erg veilig. Je authentiseert je bij diensten met een

zogenaamde beveiligingssleutel (ook wel authenticator

genoemd). Een druk op de knop is vaak al voldoende

om in te loggen. Als er meer beveiliging nodig is, dan

kun je de FIDO-sleutel met een pincode ontgrendelen.

Dat zorgt ervoor dat een onbevoegd persoon die je

sleutel in handen krijgt niet zomaar op je account kan

inloggen. Het principe is vergelijkbaar met een bank-

pas. Aangezien er slechts enkele incorrecte pogingen

toe gestaan zijn, is een viercijferige pincode voldoende.

Met FIDO2 is het ook mogelijk om langere alfa-

numerieke pincodes te gebruiken. Die kun je bijvoor-

beeld gebruiken als een dienst daarmee het invoeren

van de gebruikersnaam en het wachtwoord volledig

overbodig maakt. Nog handiger wordt het als je het

invoeren van een pincode vervangt door biometrie en

de veiligheidssleutel eenvoudigweg met een vinger-

afdruk ontgrendelt. De verificatie is altijd lokaal – de

dienst krijgt de melding dat je jezelf geverifieerd hebt

en dus betrouwbaar bent, maar krijgt je pincode of

vinger afdruk nooit doorgegeven. De technologie ach-

ter FIDO2 hebben we uitvoerig besproken in c't 11/2019

vanaf pagina 50.

Met een beveiligingssleutel bescherm je al je accounts tegen phishing en trojans. Bij sommige services is het zelfs mogelijk om je zonder gebruikersnaam en wachtwoord aan te melden. Met sommige sticks kun je ook je e-mail versleutelen. We hebben enkele gangbare modellen getest om een aanschaf makkelijker te maken.

Hier bespreken we de beveiligingssleutels zelf. Die zijn

in allerlei kleuren en vormen beschikbaar, maar het

usb-stick-formaat komt het meest voor. De eenvou-

digste varianten kosten ongeveer 25 euro en hebben

een knop om het FIDO2-proces te bevestigen. Als er

een pincode nodig is, dan wordt daar op de computer

om gevraagd. Als je een paar euro meer uitgeeft, zijn er

modellen met een vingerafdrukscanner, die een pin-

code overbodig maakt. Wat de aansluitingen betreft,

hebben we zo’n beetje alles in huis gehaald wat er mo-

menteel aangeboden wordt: er zijn beveiligingssleutels

met USB-A, USB-C, Lightning, Bluetooth en NFC. Mo-

menteel komt het aanbod voornamelijk van drie fabri-

kanten: Feitian, SoloKeys en Yubico. Elk van hen biedt

verschillende modellen met verschillende combinaties

van aansluitingen en functies. We hebben bijna alle

FIDO2-beveiligingssleutels besteld die op dit moment

leverbaar zijn en die uitgebreid getest.

Het belangrijkste selectiecriterium voor de pro-

ducten was toekomstbestendigheid. Niet alle beveili-

gingssleutels ondersteunen bijvoorbeeld de mogelijk-

heid om in te loggen zonder een gebruikersnaam en

wachtwoord. Dat biedt momenteel alleen Microsoft,

maar op termijn gaan hopelijk ook andere diensten

dit doen. Om dat te kunnen, moet de authenticator de

encryptiesleutel die bij het registreren wordt gegene-

reerd door de dienst – de zogenaamde resident-key – al

tijdens de registratie kunnen opslaan. Als een authen-

ticator dat niet kan, wordt de encryptiesleutel versleu-

teld opgeslagen bij de dienstverlener. Vervolgens moet

de authenticator als een gebruiker zich aanmeldt, eerst

de sleutel bij de dienst ophalen. Daarvoor moet je op

zijn minst je gebruikersnaam in typen, anders kan de

dienst de juiste sleutel niet vinden.

Een andere belangrijke functie is user-verification.

Een dienst kan je verplichten om naast de authenti-

cator ook een pincode, vingerafdruk of gezichtsscan te

gebruiken. Dat gebeurt met name als er geen resi-

dent-key wordt benut. Als je op alle gevallen voor bereid

wilt zijn, kun je het beste een beveiligingssleutel ge-

bruiken die de resident-key én user-verification onder-

steunt. Zeker oudere authenticators kunnen het een

noch het ander. Die zijn dan alleen ‘FIDO U2F’-gecertifi-

ceerd (ook wel FIDO1 genoemd) en werken niet als een

dienst de bij FIDO2 geïntroduceerde functies gebruikt.

U2F-authenticators worden nog steeds massaal ver-

kocht, dus je moet goed opletten bij de aanschaf.

De FIDO2-voorganger U2F is ontworpen als de twee-

de factor bij tweefactorauthenticatie. Daarmee kun

uitgave 4/2020 39

Windows 10 kan FIDO2-sleutels zonder extra tools configureren. De instellingen zitten bij Windows 10 bij de aanmeldingsopties.

De Solo’s van SoloKeys zijn verkrijgbaar met USB-A en USB-C, en ook met NFC. Bovendien kun je losse hoesjes in diverse kleuren kopen, zodat je ze makkelijk uit elkaar kunt houden.

+2 Solo Tap USB-A

+3 Solo USB-C

+4 Solo Tap USB-C

+1 Solo USB-A

je dus niet inloggen zonder wachtwoord. Omdat de

standaard ouder is dan FIDO2, wordt hij echter door

meer diensten ondersteund. Als je zoveel mogelijk ac-

counts wilt beveiligen met een beveiligings sleutel, kun

je momen teel nog niet om U2F heen. De standaard

maakt gebruik van een andere browserinterface dan

FIDO2, die zowel de authenticator als de browser moe-

ten ondersteunen. Het goede nieuws is dat bijna alle

FIDO2- beveiligingssleutels ook U2F ondersteunen.

Dat onderscheidt hen overigens van de interne bevei-

ligingssleutels van Windows 10, Android en macOS

(zie c't 11/2019 op pagina 50).

Veel beveiligingssleutels gebruiken hun flexibele

beveiligings-chip voor meer dan FIDO2 en U2F alleen.

Yubico's YubiKeys bieden allerlei extra functies die met

authenticatie en encryptie te maken hebben, zoals het

genereren van eenmalige wachtwoorden volgens de

OTP-methode en het gebruik als OpenPGP-smartcard.

Meer informatie over het gebruik van de OTP-functie

lees je in het volgende artikel. We beschrijven het ge-

bruik als OpenPGP-smartcard vanaf pagina 48.

Met name de Solo-authenticators van SoloKeys zijn

bijzonder toekomstbestendig: hun firmware is niet al-

leen gelicenseerd onder een opensourcelicentie, maar

kan ook nog worden geüpdatet. Op die manier kan een

fabri kant later nieuwe functies toevoegen. Feitian is de

enige fabrikant die beveiligingssleutels met bluetooth

en een vingerafdrukscanner aanbiedt. Daar zijn de ver-

schillen binnen het assortiment het grootst. We kwa-

men veel positieve dingen tegen, maar ook enkele waar

we minder over te spreken waren.

SOLOKEYS

De Solo-authenticators van SoloKeys zijn volledig

opensource, zowel wat betreft de hardware als de soft-

ware. Als je wilt, vind je op GitHub alles wat je nodig

hebt om je eigen Solo-authenticator te maken en zelfs

de firmware aan te passen. Maar dat is helemaal niet

nodig, want de eindproducten van SoloKeys zijn goed

gemaakt en met prijzen vanaf 20 euro horen de pro-

ducten tot de goedkopere FIDO2-sleutels op de markt.

Je koopt dan de klassieke USB-A-versie. De Solo met

USB-C kost 5 euro meer. Als je meer flexibiliteit wilt en

de Solo contactloos via NFC wilt gebruiken, kun je de

Solo Tap kiezen. De USB-A versie hiervan met NFC kost

35 euro, de C-versie is ook weer 5 euro duurder.

Afgezien van de aansluitmogelijkheden zijn de So-

lo’s verder identiek. Ze werken met dezelfde firmware

en er zit een STM32L432-microcontroller van STMicro-

electronics in. De keys worden geleverd met twee sili-

conenhoesjes, een rode en een zwarte. Voor twee euro

bestel je er een set met zes extra kleuren bij. Dat ziet er

leuk uit, maar is bovendien erg handig als er in een huis-

houden of een bedrijf meerdere Solo's in gebruik zijn.

De Solo's zijn met vlag en wimpel geslaagd voor onze

FIDO2- tests en zijn daarom ook geschikt om in te loggen

zonder gebruikersnaam en wachtwoord, zoals dat nu al

kan bij de diensten van Microsoft.

Het is bovendien de enige bij ons bekende authen-

ticator waarvoor de fabrikant firmware-updates en

nieuwe functies zal gaan leveren. De leverancier ver-

telde ons dat ze al bezig zijn met OpenPGP-ondersteu-

ning, wat wordt bevestigd op het GitHub-account van

het project. Hierdoor kan de Solo gebruikt worden als

een virtuele smartcard voor OpenPGP, dus voor het vei-

lig opslaan van de geheime encryptiesleutel. Klassieke

toepassingen zijn het versleutelen en ondertekenen

van mails en van bestanden. De YubiKeys kunnen dat

al, maar die zijn een stuk duurder (zie pagina 48).

De eenvoudigste manier om de firmware te up-

daten is via de website update.solokeys.com, die daar

blijkbaar de WebAuthn-API van de browser bij gebruikt.

Afgezien van de FIDO2-dialoog die tijdens het proces

continu opduikt, werkt dat perfect. Als alternatief kun je

een commandline-programma gebruiken. Binnenkort

moet het ook mogelijk zijn om de key via een GUI-tool

te updaten. Als je met de firmware wilt experimenteren,

is de Solo ook beschikbaar als Hacker Edition zonder

vergrendelde bootloader. Die kun je later nog omzetten

naar de reguliere versie.

Desondanks zijn er ook wat kritiekpunten. Je moet

relatief veel kracht zetten om de knop op de Solo's in te

40 www.ct.nl

Achtergrond / FIDO2: marktoverzicht

FIDO2-beveiligingssleutels

Solo

USB-A

Solo Tap

USB-A

Solo

USB-C

Solo Tap

USB-C

Security Key Security Key

NFC

YubiKey 5

NFC

YubiKey 5C YubiKey 5Ci YubiKey 5C

Nano

YubiKey 5

Nano

ePass FIDO

(A4B)

BioPass FIDO

Security Key

USB-A

BioPass FIDO

Security Key

USB-C

AllinPass

FIDO2

Fabrikant SoloKeys SoloKeys SoloKeys SoloKeys Yubico Yubico Yubico Yubico Yubico Yubico Yubico Feitian Feitian Feitian Feitian

Prijs (circa) e 20 e 35 e 25 e 40 e 28 e 35 e 55 e 60 e 80 e 70 e 60 e 25 e 75 e 75 e 170

USB-A / USB-C / Lightning

v / – / – v / – / – – / v / – – / v / – v / – / – v / – / – v / – / – – / v / – – / v / v – / v / – v / – / – v / – / – v / – / – – / v / – – / v 1 / –

NFC / Blue-tooth

– / – v / – – / – v / – – / – v / – v / – – / – – / – – / – – / – – / – – / – – / – v / v

PIN / vinger-afdruk

v / – v / – v / – v / – v / – v / – v / – v / – v / – v / – v / – v / – v / v v / v v / v

Resident Keys / U2F

v / v v / v v / v v / v v / v v / v v / v v / v v / v v / v v / v v / v v / v v / v v / –

OpenPGP-Smartcard / OTP

– 2 / – – 2 / – – 2 / – – 2 / – – / – – / – v / v v / v v / v v / v v / v – / – – / – – / – – / –

Beoordeling

Compati-biliteit

++ ++ ++ ++ ++ ++ ++ ++ ++ ++ ++ ++ ++ ++ ±

Bediening ± ± ± ± + + + + + + + ++ ++ ++ ++

Extra functies

+ + + + ± ± ++ ++ ++ ++ ++ ± ± ± ±

Stevigheid ++ ++ ± ± ++ ++ ++ ++ ++ ++ + ++ ++ ++ +

1 USB-C-connector 2 aangekondigd als firmware-update

++ zeer goed + goed ± voldoende - slecht -- zeer slecht v aanwezig – niet aanwezig

Met NFC kun je beveiligingssleutels ook draadloos gebruiken bij

smartphones of pc's.

drukken, wat niet handig is omdat je de stick dan al snel

in de usb-poort op en neer wrikt. Om schade te voorko-

men, moet je de Solo tussen je duim en wijsvinger vast-

pakken en de knop indrukken. De USB-A-versie is zeer

robuust, omdat de connector een integraal onderdeel

van de printplaat is. De USB-C-connector is echter op de

printplaat gesoldeerd en daardoor minder stabiel.

YUBICO

Yubico maakt al jarenlang encryptiesticks voor authen-

ticatie en heeft veel ervaring op dat gebied. Het hele

productassortiment is al FIDO2-compatibel. Het goed-

koopste model is de blauwe USB-A Security Key voor

circa 28 euro, die alle belangrijke FIDO2-functies heeft.

Voor 7 euro meer koop je een NFC-versie. De Security

Key heeft al onze tests doorstaan, inclusief het inloggen

bij Microsoft zonder gebruikersnaam en wachtwoord.

De afwerking is goed en de stick is robuust. Volgens

de fabrikant zou zelfs water de stick niet beschadigen.

De knop kun je activeren door hem zacht in te drukken

zonder dat je kracht hoeft te gebruiken.

Je kunt de stick configureren met Windows 10 of

YubiKey Manager (Windows, macOS, Linux). Onder

Windows heeft die software minimaal administrator-

rechten nodig. Let goed op als je een stick bestelt, er is

ook een versie van de Security Key zonder FIDO2 die al-

leen de oudere U2F-methode ondersteunt. Het nieuwe

model verschilt alleen van zijn voorganger door een 2

aan de buitenkant – die bevindt zich boven de knop. De

NFC-versie is alleen beschikbaar met FIDO2.

Als je naar meer op zoek bent kun je ook bij Yubico

terecht. De YubiKey 5-serie is niet alleen FIDO2-compa-

tibel, maar wordt ook geleverd met veel nuttige extra's.

De sticks kun je als OpenPGP-smartcards gebruiken. Ze

ondersteunen de PIV-standaard. Je kunt er eenmalige

wachtwoorden volgens de OTP-methode mee genere-

ren. Die kun je bij sommige webdiensten als tweede fac-

tor gebruiken of om er een wachtwoordbeheerder zoals

KeePass mee te beveiligen (zie pagina 44). Bovendien

helpen de YubiKeys je door lange, statische wachtwoor-

den te onthouden, bijvoorbeeld om de harde schijf te

ontgrendelen. Alle functies worden beheerd door Yubi-

Key Manager. Daarmee kun je ook verschillende functies

aan de knop toewijzen, bijvoorbeeld door in te stellen

dat de knop één keer kort indrukken of hem langer inge-

drukt houden verschillende acties in gang zet.

Het goedkoopste model in de Yubico 5-serie is de

YubiKey 5 NFC voor circa 55 euro. Uiterlijk lijkt hij op

de Security Key, maar hij is zwart. De stick heeft een

USB-A-aansluiting en NFC. Voor enkele euro’s meer

koop je de YubiKey 5 Nano. Van die versie bestaat alleen

een model met een USB-A-aansluiting. Hij verdwijnt

uitgave 4/2020 41

Bij Yubico heb je keuze te over: naast de blauwe Security

Keys biedt het bedrijf ook voor FIDO2 geschikte YubiKeys met

allerlei extra functies.

+5 Security Key

+6 Security Key NFC

+7 YubiKey 5 NFC

+8 YubiKey 5C

+9 YubiKey 5Ci

+0 YubiKey 5C Nano

+! YubiKey 5 Nano

Ook Feitian biedt een ruim arsenaal aan FIDO2-sleutels, waaronder modellen met bluetooth. Maar die twee modellen kun je beter links laten liggen.

ePass FIDO (A4B)

+§ BioPass FIDO Security Key USB-A

+$ BioPass FIDO Security Key USB-C

+% AllinPass FIDO2

ePass FIDO K9

ePass FIDO K21

bijna volledig in de usb-poort. Je kunt hem dan in een

usb-poort aan de zijkant van een laptop steken en

daar lekker laten zitten. Je krijgt hem ook niet makke-

lijk meer uit de poort. Er steekt dan een koperkleurig

contact oppervlak uit, dat als knop dient.

Hetzelfde geldt voor de 5C Nano met USB-C-

connector. Die is echter alleen aanraakgevoelig op twee

kleine plekken aan de boven- en onderzijde van de stick,

waardoor je hem minder snel per ongeluk activeert. De

kleine USB-C versie kost circa 70 euro. Als je niet van plan

bent de YubiKey permanent in je laptop te laten zitten, is

het handiger om voor de grotere 5C te gaan en die aan je

sleutelbos te laten hangen. Die biedt voldoende grip om

hem na gebruik makkelijk weer los te koppelen.

Qua functionaliteit zijn alle momenteel verkrijg-

bare YubiKey-modellen identiek. Als je ze koopt, moet

je er wel op letten dat je er een uit de actuele genera-

tie koopt, want aan de buitenkant kun je ze nauwelijks

onderscheiden van hun voorgangers. Het is vervelend

als je per ongeluk een verkeerde koopt, omdat de oude

modellen FIDO2 niet ondersteunen. Bij twijfel kom je

via de YubiKey Manager erachter welk model het is.

Ten slotte is er dan nog de YubiKey 5Ci, een beetje een

vreemde eend in de bijt. Met een prijskaartje van zo’n

80 euro is dat momenteel het duurste model. De

stick heeft twee aansluitingen: aan de ene kant een

USB-C-connector en aan de andere kant een Light-

ning-poort, waarmee hij ook op iPhones en iPads aan

te sluiten is. Dat betekent dat je FIDO2 onder iOS kunt

gebruiken, mits je de Brave-browser uit de App Store

installeert. In de toekomst moet het ook voor iPhone-

gebruikers makkelijker worden om FIDO2 te gebruiken

via NFC. Als je nog even geduld hebt, kun je je dus de

aanschaf besparen van de dure 5Ci-versie.

De firmware van de YubiKeys is stevig dicht-

gespijkerd en kan niet worden geüpdatet. Daardoor is

het mogelijk dat je een stick met verouderde firmware

koopt die al langer op het schap heeft gelegen.

FEITIAN

De derde grote fabrikant van FIDO2-beveiligings sleutels

is Feitian. Het assortiment aan producten van het be-

drijf is groot en verwarrend, maar als je je daar door-

heen worstelt kom je enkele spannende apparaten

tegen – zoals beveiligingssleutels met vingerafdruk-

lezers en bluetooth-ondersteuning. Omdat de produc-

ten in Europa moeilijk te krijgen zijn, hebben we ze be-

steld bij de webshop van de Chinese fabrikant.

Feitian heeft ook eenvoudige FIDO2-authenti cators

in zijn assortiment, zoals de ePass FIDO (A4B) met

USB-A-connector voor zo’n 25 euro. De stick heeft de

vorm van een sleutel en ligt comfortabel in de hand. De

knop is bijzonder elegant verwerkt, die is namelijk on-

zichtbaar. Je hoeft alleen maar de plastic bovenzijde op

het gemarkeerde punt aan te raken. De stick heeft onze

testscenario’s zonder enig probleem doorlopen.

We hebben een slechte koop gedaan met de qua

uiterlijk vergelijkbare NFC-versie met de naam K9, die

iets goedkoper is. Hoewel hij volgens de product pagina

FIDO2 zou moeten ondersteunen, ondersteunt dit mo-

del alleen de oudere U2F-standaard. Ook het USB-C

model K21 van ongeveer 45 euro was niet bepaald

indrukwekkend. De stick werd wel herkend door de

42 www.ct.nl

Achtergrond / FIDO2: marktoverzicht

Als er een vingerafdruklezer op de beveiligingssleutel zit, hoef je geen pincode in te voeren.

Yubico wil binnenkort ook een YubiKey met vingerafdruklezer op de markt brengen.

FIDO2-interface van de besturingssystemen en brow-

sers, maar werkte niet. We hebben die twee miskopen

niet in de tabel opgenomen.

We lieten ons daar echter niet door ontmoedigen

en hebben ook de andere drie apparaten uit de leve-

ring getest, die allemaal zijn voorzien van een vinger-

afdruklezer. De twee beveiligingssleutels BioPass FIDO

USB-A (K27) en BioPass FIDO USB-C (K26), elk circa

75 euro, lijken aan de buitenkant niet erg op elkaar,

maar zijn duidelijk uit hetzelfde hout gesneden. Bij onze

uitgebreide tests gedroegen ze zich identiek. De USB-A-

versie is metallic-goud, terwijl de behuizing van de USB-

C- versie vooral uit matzwart plastic bestaat. In beide

gevallen is de afwerking van hoge kwaliteit en voelen de

apparaten prettig aan. Om de vingerafdruklezer te kun-

nen gebruiken, moesten we eerst een pincode instel-

len. De configuratie konden we met Windows 10 doen

zonder dat daar extra tools voor nodig waren. In het

dagelijks gebruik werkte de vingerafdrukauthenticatie

betrouwbaar en zonder problemen. De keren dat er om

een pincode werd gevraagd, konden we een van de eer-

der geregistreerde vingers gebruiken. Dat was het geval

met het zonder wachtwoord aanmelden bij Microsoft

of wanneer een webapplicatie een ‘gebruikersverifi-

catie’ vereist. Of een authenticatie voldoende heeft

aan een druk op de knop of dat er een gebruikersverifi-

catie nodig is, herken je aan de knippersnelheid van het

ledlampje. Als de vingerafdruk gecontroleerd wordt,

knippert hij snel, anders knippert hij langzaam. Bij

U2F-acties wordt de vingerafdruk altijd geverifieerd.

De AllinPass FIDO2 is een ware alleskunner: de

beveiligingssleutel heeft het formaat van een garage-

deurafstandsbediening, ondersteunt NFC en bluetooth,

en is ook nog voorzien van een USB-C-aansluiting. Bo-

vendien zit er een vingerafdrukscanner op. Voor dat alles

moet je wel aardig diep in de buidel tasten: hij kost bijna

170 euro. Bij de test met Windows 10 werkte de Allin-

Pass prima, we konden FIDO2 via usb, NFC en bluetooth

gebruiken. In de bluetooth-modus viel de beveiligings-

sleutel echter na enkele seconden in slaap en moesten

we hem weer wekken door op de knop aan de rechter-

zijde te drukken. De AllinPass FIDO2 is de enige beveili-

gingssleutel uit deze test die niet backward- compatible

is met de nog steeds gangbare U2F-standaard. Boven-

dien hebben we het apparaat niet betrouwbaar kun-

nen gebruiken onder een ander besturingssysteem

dan Windows, ongeacht de gebruikte interface. De

andere authenticators werken meestal op andere plat-

forms zonder verder gedoe. Het totaalbeeld is dan ook

gemengd. Als een bluetoothverbinding geen vereiste is,

kun je beter op zoek gaan naar een andere beveiligings-

sleutel.

BLIK OP DE TOEKOMST

Het aanbod van FIDO2-beveiligingssleutels is aange-

naam groot. Onder de hier genoemde producten is er

vermoedelijk voor ieder wat wils: als het gewoon moet

werken, is de goedkope en robuuste FIDO2-versie van

de Yubico Security Key een goede keuze. Die kun je ook

geven aan vrienden en familieleden om hun belangrijk-

ste accounts veilig te stellen. Als je waarde hecht aan

opensource en updatemogelijkheden, zijn de SoloKeys

de beste keuze. De YubiKeys uit de 5-serie bieden een

breed scala aan functies. Die kun je nu al gebruiken om

PGP-sleutels voor het versleutelen van e-mail te behe-

ren (zie pagina 48). Vingerafdrukscanners en een hoog-

waardige afwerking vind je bij de BioPass-sticks van

Feitian.

Indien je in dit assortiment de juiste authenti cator

nog niet hebt kunnen vinden, dan is het wellicht de

moeite waard om nog even te wachten. Op zeer korte

termijn gaat de SoloKeys Somu met USB-A verschij-

nen. Die stick combineert het kleine formaat van de

Yubi Key 5 Nano met de opensource firmware van de

Solo. Ook de in Berlijn gevestigde fabrikant Nitrokey

wil dit jaar nog een FIDO2-authenticator presenteren.

Het apparaat zal met de Solo-firmware werken. Nitro-

key heeft aan de ontwikkeling daarvan bijgedragen.

Beide zitten in een prijsklasse van 30 tot 40 euro. Yubi-

co zit ook niet stil en heeft twee nieuwe FIDO2-beveili-

gingssleutels aangekondigd: de Yubikey 5C NFC met

USB-C en NFC, en de YubiKey Bio, de eerste YubiKey

met vinger afdrukscanner. Voor beide modellen heeft de

fabrikant nog geen prijzen of data genoemd.

uitgave 4/2020 43

DUBBEL BEVEILIGD

FIDO2-hardware instellen en gebruiken

Jan Mahn en Daniel Dupré

Een tweefactorbeveiliging voor onlinediensten

vergroot de veiligheid aanzienlijk. Mocht een

wachtwoord dan onverhoopt in verkeerde han-

den vallen, dan heeft een kwaadwillend persoon toch

nog een tweede factor nodig om toegang te krijgen. Met

een FIDO2-stick uit het vorige artikel en het inrichten

van FIDO2 als tweede factor bij twee of drie webdien-

sten, heb je echter nog lang geen betrouwbare en veili-

ge allround-oplossing om internet mee op te gaan.

Het probleem is dat FIDO2 een zeer nieuwe tech-

niek is die nog niet door veel aanbieders ondersteund

wordt. De sticks kunnen een belangrijke bouwsteen

zijn voor een beveiligingsstrategie om je persoonlijke

gegevens privé te houden. Ze kunnen meestal name-

lijk meer dan alleen maar FIDO2. Het inrichten ervan is

echter eerder een weekendklus dan iets wat je even in

de lunchpauze doet. Je moet eerst de volgende drie vra-

gen goed overwegen voordat je je eerste stick bestelt:

Met een usb-beveiligingssleutel kun je nu al een groot aantal diensten beveiligen. Inclusief diensten die geen FIDO2 ondersteunen.

– Hoe beveilig ik diensten die nog geen FIDO2 onder-

steunen, maar een andere procedure als tweede fac-

tor gebruiken?

– Hoe meld ik mij in toekomst op mijn mobiele appara-

ten en op onbekende computers aan?

– Wat moet ik doen als ik mijn smartphone of mijn hard-

ware-authenticator verlies?

Allereerst is het slim om te inventariseren welke web-

diensten je allemaal gebruikt en welke belangrijk

genoeg zijn om ze zo goed mogelijk te beveiligen. Maak

een tabel waarin je zet welke van die diensten een vorm

van tweefactor-identificatie ondersteunen. Daarbij kan

het helpen om eens naar de website twofactor auth.

org te kijken. Die site wordt door een grote commu-

nity onderhouden en toont een lange lijst van websites

en diensten, en de procedures die ze ondersteunen.

Onder de kop ‘Hardware token’ zie je welke sites FIDO2

of diens voorloper U2F ondersteunen. Met ‘Soft ware

token’ wordt in de tabel meestal OATH-TOPT bedoeld.

Hoe je die procedure met een hardware-stick inricht,

staat onder het kopje ‘Moeilijke tweede factor’. An-

dere mogelijke tweede factoren zijn sms-berichten,

telefoontjes of een bevestigingsmail.

Het kan ook helpen eens te kijken naar de web-

interfaces van de diensten en hun documentatie. Het

ALLES OVER DIT ONDERWERP

Marktoverzicht FIDO2-sticks 38

FIDO2 instellen en gebruiken 44

YubiKey als OpenPGP-smartcard 48

FIDO2 FAQ 51

44 www.ct.nl

Achtergrond / FIDO2: alles beveiligen

De website twofactorauth.org laat zien welke diensten welke methodes ondersteunen voor tweefactorauthenticatie.

dialoogvenster voor het instellen van een tweede factor

staat meestal bij de instellingen onder een menu-item

als Beveiliging of Account. Je zou in je persoonlijke tabel

ook moeten noteren welk mailadres je opgegeven hebt

– daar wordt meestal een e-mail naartoe gestuurd als je

het wachtwoord wilt of moet resetten.

Zodra je zo'n tabel met alle accounts hebt samen-

gesteld, kun je beginnen met alles systematisch

in te richten. Dat is ook het juiste moment om een

wachtwoord manager te gebruiken en het beheer

daaraan over te laten. We hebben eerder al eens een

overzicht van wachtwoordmanagers (met en zonder

synchronisatie met een mobiel apparaat) gegeven [1].

Met name diensten die helemaal geen tweede factor

aanbieden, zouden een willekeurig gekozen en vooral

uniek wachtwoord moeten krijgen. Meer dan dat kun

je in die gevallen niet doen – behalve ervoor zorgen dat

het mailaccount waar de resetmails naartoe worden

verstuurd in ieder geval met een tweede factor bevei-

ligd wordt.

Als een dienst vereist dat je veiligheidsvragen op-

geeft om een wachtwoord te resetten (zoals ‘Wat is

de meisjesnaam van je moeder?’), kun je daar denk-

beeldige antwoorden voor gebruiken die niet zo mak-

kelijk te raden zijn, en die opslaan als een notitie in de

wachtwoordmanager – met een beetje moeite en wat

onderzoek op sociale netwerken kan de echte naam

misschien achterhaald worden. De meeste wacht-

woordmanagers bieden een mogelijkheid om vrije

tekst in te voeren.

MAKKELIJKE TWEEDE FACTOR

Als een dienst FIDO2 ondersteunt, is het inrichten van

een tweede factor snel gebeurd. De dialogen op de in-

stellingenpagina's leiden je door het proces en zijn vaak

redelijk overeenkomstig: de stick in het slot steken, de

knop indrukken en klaar. Op de volgende pagina zie

je bijvoorbeeld het dialoogvenster van een Google-

account. Laat het nooit bij maar één enkele tweede

factor. Als je al je vertrouwen aan één FIDO2-stick geeft,

heb je een groot probleem als je hem kwijtraakt. Ideali-

ter heb je een stick voor dagelijks gebruik en een twee-

de die je thuis ergens veilig bewaart.

Veel diensten tonen na het instellen resetcodes en

raden je ten sterkste aan die af te drukken – dat kun je

dan ook het beste meteen doen en niet uitstellen tot

later. Bij Google en Facebook en consorten hoef je er

niet op te rekenen dat je met een telefoontje naar hun

helpdesk of een vriendelijke brief je account weer in

kunt als je je tweede factor kwijt bent.

Niet alleen de hardwaretokens kunnen dienen als

FIDO2-authenticator, maar ook Android-smart phones,

-tablets, Windows-pc's en sommige MacBooks. Daar

zit een chip in, die meestal Trusted Platform Module

wordt genoemd. Daarin wordt de privésleutel in een

onleesbare vorm opgeslagen en gebruikt om de FIDO2-

antwoorden te geven. Daar kun je meerdere vragen

in een keer meteen mee beantwoorden: je kunt je ac-

counts er buitenshuis mee benaderen, en dan heb je

thuis een stick voor je pc en als back-up, mocht je je

smartphone een keer verliezen.

Bij Android heb je een recent toestel nodig met Android

7 of hoger. Het gebruik van zo’n apparaat bij een dienst

werkt op dezelfde manier als het toevoegen van een

stick bij de desbetreffende instellingen. Bij macOS

moet aan zeer specifieke eisen worden voldaan om

de ingebouwde beveiligingschip voor FIDO2 te kun-

nen gebruiken. Je hebt een MacBook Pro nodig met

een vinger afdrukscanner en een recente versie van

Google Chrome als browser. Bij het toevoegen van een

authenticator vraagt de browser of hij een stick moet

gebruiken of de met een vingerafdruk beveiligde inter-

ne encryptiechip.

Als je meerdere FIDO2-apparaten per dienst wilt ge-

bruiken, moet je overwegen welke apparaten je vaak

samen bij je hebt – als op het vliegveld je rugzak met

laptop, mobiele telefoon en FIDO2-stick verdwijnt,

heb je een probleem. Je moet ten minste één reserve-

apparaat op een veilige plaats bewaren. Ook daarvoor

is het raadzaam om de betreffende overwegingen zorg-

vuldig in je tabel te noteren.

MOEILIJKE TWEEDE FACTOR

Voordat FIDO2 er was, waren eenmalige wachtwoor-

den de standaardmethode die veel diensten aan boden.

En ook nu nog wordt die tweede factor nog steeds

vaak ondersteund. De procedure is ontwikkeld door

het Initiative For Open Authentication (OATH) en komt

in twee vormen voor. De online dienst genereert een

codewoord in de vorm van een lange tekenreeks. De ge-

bruiker neemt die over in een app (op een pc of smart-

phone), die de tekenreeks op een veilige manier moet

opslaan. Wanneer de gebruiker vervolgens bij de dienst

wil inloggen, gebruikt de app de code om een een malig

wachtwoord te genereren dat je moet in typen. Daar-

mee toon je aan dat je in het bezit bent van de code.

OATH-TOTP gebruikt de actuele tijdstempel, bij OATH-

HOTP telt een teller op – de server kan ervoor zorgen

dat een wachtwoord slechts één keer gebruikt kan

worden. In het algemeen kom je de tijd-gebaseerde

OATH-TOTP-methode het vaakst tegen.

uitgave 4/2020 45

De Yubico Authenticator slaat alle gegevens voor OATH-TOTP

op de YubiKey op, niet op je smartphone.

Google heeft een overzichtelijke dialoog waarmee je meerdere sleutels kunt beheren. Het is aan te raden die mogelijkheid te gebruiken en het niet bij maar één sleutel te laten.

Het zwakke punt bij dat systeem is het bewaren van de

code. De meest gebruikte app om dat te doen is Google

Authenticator. Die slaat het codewoord op en bewaart

dat op het apparaat – als dat defect raakt, heb je zon-

der back-up opeens geen toegang meer tot de codes.

En je moet er maar op hopen dat de code nooit van

de telefoon geplukt wordt. Daar kun je nooit helemaal

zeker van zijn. Als je de smartphone kwijtraakt, zou een

aanvaller de code uit het geheugen kunnen extraheren,

zelfs als de telefoon uitgeschakeld is. Kortom: er blijven

risico’s bij die methode bestaan, ook als de code op de

smartphone opgeslagen is.

Hierbij komen FIDO2-sticks met bepaalde extra

functies in het spel: de sticks uit Yubico's YubiKey 5-

serie onder steunen ook OATH. Daar heb je de gra-

tis app Yubico Authenticator voor nodig, die beschik-

baar is voor Windows, macOS, Linux, iOS en Android

(zie de link rechtsonder op de volgende pagina). De

app dient alleen als interface en slaat zelf niets op

– dat laat hij aan de YubiKey over. De YubiKey reser-

veert 32 geheugen plaatsen voor OATH-codes, die hij

zo opslaat dat je ze later niet meer kunt uitlezen. Ook

eenmalige wachtwoorden worden direct op de stick

gegenereerd. Op die manier kun je de app op elk ge-

wenst apparaat installeren zonder dat je dan nog set-

upwerkzaam heden hoeft uit te voeren. De stick plug

je in, en je kunt de namen van alle geconfigureerde

OATH-logins met een zien.

OATH met een hardware-stick kun je beter alleen

als tweede keus gebruiken voor als een dienst FIDO2

nog niet ondersteunt. Het is niet alleen minder handig

(je moet het eenmalige wachtwoord intypen), maar

ook iets minder veilig. Vooral phishing is een probleem

waar je rekening mee moet houden: een aanvaller kan

je voor de gek houden door een pagina voor te schote-

len die lijkt op de pagina waar je naar zoekt. Je wordt

dan gevraagd om eerst het wachtwoord in te voeren

en vervolgens een eenmalig wachtwoord in de app te

genereren. Met die informatie kan een aanvaller ver-

volgens je account benaderen, met alle gevolgen van

dien. Met FIDO2 is dat niet mogelijk – in een eerder

artikel hebben we gedetailleerd uitgelegd waarom

FIDO2 phishing voorkomt [2].

Als je besloten hebt dat je OATH met een Yubi-

Key wilt gebruiken, moet je ervoor zorgen dat je een

back-upstrategie hebt klaarliggen. De meeste dien-

sten geven de geheime code door via een QR-code die

je met de camera van je smartphone inscant – stel in

dat geval gewoon twee YubiKeys achter elkaar in met

dezelfde geheime code of berg de afgedrukte QR-code

thuis ergens veilig op. Dan kun je er later een authenti-

cator mee instellen.

SMS ALS FACTOR

Een veelgebruikte methode die al enige jaren wordt

toegepast is de tweefactorauthenticatie waarbij je een

sms’je ontvangt met een cijfercode van zes of acht cij-

fers. Je kunt die methode het beste gebruiken als FIDO2

en OATH geen optie zijn. Het is veiliger dan geen enke-

le andere factor gebruiken, maar kan vervelend zijn als

je je smartphone kwijtraakt. Afhankelijk van je provi-

der kan er daarna enige tijd overheen gaan voordat je

weer kunt sms’en. Om de veiligheid te verhogen, kun

je overwegen om de weergave van ontvangen sms’jes

met inhoud op het vergrendelscherm van je telefoon

uit te schakelen – dan moet je op z’n minst de telefoon

ontgrendelen met je pincode of vingerafdruk om de

nummercombinatie te zien te krijgen.

SLEUTELKISTJE-SLEUTEL

Wil je een extra beveiligingsniveau toevoegen in de vorm

van een hardware-token, om je wachtwoordkluis te ver-

grendelen waarvan de database op de lokale compu-

ter staat? Dan kun je het beste een Yubi Key gebruiken.

Die heeft namelijk nog extra mogelijkheden bovenop

FIDO2. De vergrendeling met een hardware-token werkt

echter alleen in combinatie met een webserver en niet

met een lokale wachtwoord database. Als software kun-

nen we de opensourcesoftware KeePassXC aanbevelen.

46 www.ct.nl

Achtergrond / FIDO2: alles beveiligen

Literatuur

[1] Anke Poimann, Een voor allemaal, Vijftien wachtwoordmanagers getest, c't 5/2018, p.74

[2] Jürgen Schmidt en Noud van Kruysbergen, Op slot, maar niet dichtgetimmerd, Zo werkt het inloggen

zonder wachtwoord met FIDO2, c't 11/2019, p.61

KeePassXC en YubiKey kunnen samenwerken. Als de procedure op de stick is geactiveerd en in KeePassXC ingericht, dan kun je de database alleen nog met de stick ontgrendelen.

De ontwikkelaars daarvan hebben een mogelijkheid

toegevoegd om een extra versleutelfunctie van de

YubiKeys te gebruiken om het databasebestand te ver-

sleutelen met een wachtwoord via AES. In de challen-

ge-response-authenticatie met HMAC-SHA1 slaat de

YubiKey een privésleutel op. Hij krijgt een challenge

in de vorm van een tekenreeks die hij moet onderte-

kenen. Nadat hij dat heeft gedaan, meldt hij zich aan

als toetsenbord en typt hij de gesigneerde tekenreeks

virtueel in.

Als je een nieuwe wachtwoorddatabase aanmaakt

in KeePassXC, vind je de knop ‘Add additional protec-

tion’ op de derde pagina van het set-up-dialoogvenster.

Daarmee open je ‘YubiKey Challenge- Response’, waar

je een stick kunt toevoegen. Met een ongebruikte nieu-

we stick gebeurt er in eerste instantie niets. De functie

moet eerst op de stick worden geactiveerd. Dat doe je

met de tool YubiKey Manager. Die tool is beschikbaar

voor Windows, macOS en Linux. Je kunt hem vinden via

de link op deze pagina.

Start de tool en stop de stick in de usb-poort. Ge-

bruikers van macOS Catalina moeten bij de systeem-

instellingen bevestigen dat YubiKey Manager de invoer

van het toetsenbord mag lezen – anders zal de stick niet

herkend worden. Om de challenge-response-procedure

te activeren, klik je op Applications en activeer je onder

usb de optie OTP. Schakel vervolgens in het menu over

naar Applications/OTP. Daar vind je twee poorten waar

je extra functies aan kunt toewijzen. Selecteer ‘Slot 1’ en

activeer hem door kort op een toets te drukken. Selec-

teer vervolgens de ‘challenge-response’-procedure. Je

kunt dan automatisch de ‘secret key’ genereren of een

hexadecimale tekenreeks van 40 tekens invoeren.

Als je een tekenreeks hebt gegenereerd, is nu de

laatste mogelijkheid om die naar het klembord en in

een tekstbestand te kopiëren om later op een tweede

YubiKey op te slaan als back-up. Het is niet mogelijk die

op een later tijdstip nogmaals uit te lezen. Ook voor

de tweede factor voor de wachtwoorddatabase geldt:

vertrouw nooit op slechts één hardware-token. Vink

voor het opslaan het vakje ‘Require touch’ aan, zodat

de procedure nooit zonder tussenkomst van de gebrui-

ker geactiveerd kan worden. Schakel dan over naar

KeePassXC en laad de weergave opnieuw: de YubiKey

zal dan verschijnen en als extra factor ingesteld kunnen

worden.

Gebruikers die niet van plan zijn om hun wacht-

woordendatabase extra te beveiligen, doen er toch

goed aan een blik te werpen op YubiKey Manager. Die

bevat allerlei handige instellingen. Onder Interfaces kun

je bijvoorbeeld alle functies uitschakelen die je niet no-

dig hebt. Als je een stick met NFC gekocht hebt, maar

die functie vooralsnog niet wilt gebruiken, kun je alle

vinkjes in die sectie verwijderen. Als je een YubiKey hebt

gekocht die permanent in de usb-poort van je laptop zal

blijven zitten, heb je wellicht al gemerkt dat de compu-

ter plotseling een lange reeks tekens ontvangt wanneer

je per ongeluk het contact op de stick aanraakt. Dat

wordt veroorzaakt door de ‘Yubico OTP’-procedure, die

standaard op slot 1 actief is. Bij die methode wordt een

eenmalig wachtwoord via een gesimuleerd toetsenbord

ingevoerd en met Enter bevestigd. Dat is vooral verve-

lend als het op de adresbalk van de browser gebeurt.

Deactiveer het slot in de manager volledig of wijs er de

zojuist beschreven zojuist challenge-response-proce-

dure aan toe om het probleem op te lossen.

NOODPLAN

Vroeg of laat zul je een keer het apparaat kwijtraken

dat je als tweede factor gebruikt. In het ideale geval

heb je op voorhand al een plan opgesteld voor dat

scenario. De tabel waar we het aan het begin van dit

artikel over hadden is – bij voorkeur in geprinte vorm –

dan een bijzonder handig hulpmiddel. Doorloop de si-

tuaties waarin je je smartphone, laptop of stick kwijt-

raakt. Krijg je dan nog toegang tot je accounts? Kun

je de wachtwoordendatabase nog ontcijferen? Kom

je nog bij je e-mails om de resetmail te lezen? Onder-

deel van dat plan is ook dat je moet weten waar je de

verloren token als tweede factor overal moet verwij-

deren. Momenteel is er nog geen manier om die klus te

omzeilen – er bestaat nog geen centrale blokkerings-

hotline voor FIDO2 en OATH-TOTP.

NIET ONDERSCHATTEN

Een goede tweefactorstrategie is nog geen eenvoudig

klusje dat je snel even uitvoert. Het vergt de nodige

planning, met name om te verhinderen dat je jezelf bui-

tensluit. Maar het is uiteindelijk wel de moeite waard:

aanvallen op inlogprocedures met een wachtwoord

zijn nog steeds populair en gelekte wachtwoorden-

databases zijn helaas een terugkerend onderwerp. Als

FIDO2 zich doorzet en steeds meer diensten de stan-

daard implementeren, dan zal het inrichten ervan ook

steeds eenvoudiger worden. Maar er zullen nog en-

kele jaren overheen gaan voordat FIDO2 zich breed

doorzet als tweede factor en het wachtwoord volledig

verdwijnt.

www.ct.nl/softlink/

2004044

uitgave 4/2020 47

kend zijn met de basisprincipes van PGP (die bijvoor-

beeld in dit blad vaker besproken zijn).

De procedure bestaat eruit dat elke deelnemer

over een sleutelpaar beschikt dat uit een publieke en

een privésleutel bestaat. Zoals de naam al aangeeft ,

is de publieke sleutel bedoeld om met zoveel moge-

lijk potentiële ontvangers te delen. De privésleutel

mag daarentegen nooit in handen van derden vallen.

De achilleshiel daarbij is dat de privésleutel meest-

al opgeslagen wordt in een bestand op de harde

schijf van zijn eigenaar. In het beste geval is de harde

schijf versleuteld en is de sleutel daar bovenop nog

beveiligd met een wachtwoord. Dat alles heeft wei-

nig zin als er al malware op het systeem staat. Op

het moment dat de harde schijf actief en daarmee

ontgrendeld is, kan malware zowel het bestand met

de sleutel vinden als de invoer van het wachtwoord

op het toetsenbord registreren — en vervolgens bei-

de aan de aanvaller doorgeven.

Toegegeven, dergelijke aanvallen zijn geen alle-

daagse gebeurtenissen. Toch kun je ze niet volledig

uitsluiten. Als je er absoluut zeker van wilt zijn dat je

privésleutel nooit van je computer gehaald wordt,

moet je ervoor zorgen dat die nooit op de compu-

ter terechtkomt. Zogenaamde smartcards zijn een

goede manier om daar voor te zorgen. Ondanks de

naam hoeven dat geen plastic kaarten in credit-

cardformaat te zijn, waar je een aparte lezer voor

nodig hebt. Veel FIDO2-sticks kunnen een smartcard

simuleren en zich voordoen als een kaartlezer met

ingestoken kaart. Wat zulke sticks allemaal kun-

nen, lees je meer gedetailleerd in het overzichtsar-

tikel op pagina 38. In dit artikel gaan we uit van de

YubiKey 5. Bij SoloKeys is de functie nog in ontwik-

keling – als die op termijn wordt toegevoegd, zou dat

vergelijkbaar moeten werken omdat de smartcard-

interface gestandaardiseerd is.

Een smartcard is in staat om asymmetrische

cryptografie (meestal RSA of ECC) hardwarematig

toe te passen. Daarvoor moet je eenmalig een privé-

sleutel op de chip zetten – daarna is het onmogelijk

om die weer van de chip af te krabben. De smartcard

(of de stick die de smartcard simuleert) vertelt aan

de computer nooit wat de sleutel is, maar voert het

tekenen, versleutelen en ontcijferen zelf uit en geeft

alleen het resultaat terug.

SLEUTELVOORBEREIDING

De voorbereiding van een YubiKey begint op een

computer met een grafische gebruikersinterface.

Installeer daarop de tool YubiKey Manager, die je

kunt downloaden voor Windows, Linux en macOS

(zie het voorgaande artikel). Start het programma,

stop de stick in de usb-poort en zorg dat onder In-

terfaces de selectievakjes voor OpenPGP en PIV zijn

aangevinkt. Meer hoef je hier niet te doen.

PGP heeft een sleutelpaar nodig dat uit een pri-

vé en een publieke sleutel bestaat, plus enkele sub-

sleutels om de authenticatie en de digitale handteke-

ning uit te voeren. Zo'n sleutelpakket zou je direct op

de beveiligingssleutel kunnen genereren, maar dat

UITSTEKEND ONDERTEKEND

PGP-sleutels veilig op een beveiligingssleutel zettenSleutels voor asymmetrische cryptografie zijn niet alleen handig voor mensen die hun e-mail willen versleutelen, maar ook voor ontwikkelaars om hun Git-commits mee te ondertekenen. Op een beveiligingssleutel met smartcard-functies zoals de YubiKey kun je de privésleutels optimaal veilig opslaan.

Jan Mahn en Daniel Dupré

PGP, wat staat voor Pretty Good Privacy, is een

procedure voor het versleutelen en signeren

van berichten, bestanden en teksten in alle

soorten en maten. Dat is altijd zinvol als je die ver-

stuurt via een kanaal dat onveilig zou kunnen zijn.

Vaak, maar niet altijd, gaat het dan om e-mails. Om

dit artikel te kunnen volgen, moet je enigszins be-

ALLES OVER DIT ONDERWERP

Marktoverzicht FIDO2-sticks 38

FIDO2 instellen en gebruiken 44

YubiKey als OpenPGP-smartcard 48

FIDO2 FAQ 51

48 www.ct.nl

Achtergrond / FIDO2: PGP met hardware-token

Bij het maken van een nieuwe sleutel stelt de wizard enkele vragen. Een RSA-sleutel moet tenminste 4096 bits lang zijn.

zou twee problemen veroorzaken: enerzijds krijg je

dan RSA-sleutels van maximaal 2048 bit, anderzijds

heb je dan ook geen mogelijkheid om een back-up te

maken.

Bovendien is de computer waarmee je elke dag

werkt niet de juiste machine om een veilige sleutel

mee te genereren. Die pc zou immers al gecompro-

mitteerd kunnen zijn. Gebruik in plaats daarvan een

nieuw geïnstalleerde computer die je uitsluitend

voor dat doel gebruikt en vervolgens uit de roulatie

neemt.

Daar is bijvoorbeeld een Raspberry Pi met

een nieuw gedownloade versie van Raspbian per-

fect voor – of een live-Linux-versie die je vanaf dvd

boot. Sluit het toetsenbord en het scherm aan. Een

SSH-verbinding is geen optie, omdat de Raspberry

Pi tijdens het genereren van de sleutel moet worden

losgekoppeld van het netwerk. De grafische interfa-

ce heb je niet nodig, de commandline is voldoende.

Met het volgende commando installeer je de ver-

eiste pakketten:

sudo apt install gpg scdaemon gnupg-agent

pcscd

Koppel nu alle netwerkverbindingen los. Plaats

de stick in de usb-poort en test of hij als smartcard

wordt herkend:

gpg --card-status

De output van dat commando zou details over de

stick en mogelijk vooraf geïnstalleerde certificaten

moeten tonen. De wizard voor het generen van de

sleutel start je met

gpg --full-generate-key

In de afbeelding rechtsonder zie je een voorbeeld

van alle antwoorden. Aan de hand daarvan kun je

zien of jouw stick vergelijkbare resultaten levert.

Selecteer RSA en een sleutellengte van 4096 bit. De

vervaldatum is een afweging tussen gemak (het niet

steeds hoeven te veranderen van de sleutel) en het

risico dat RSA met 4096 op een gegeven moment ge-

kraakt gaat worden. Op dit moment gaan deskun-

digen ervan uit dat dit de komende vijf jaar niet zal

gebeuren – 5y zou dus een verstandig antwoord zijn

op de vraag van de wizard.

Bevestig de laatste stap met de letter o. Dan

word je gevraagd een wachtwoord in te voeren voor

de sleutel. Daarna begint gpg de sleutel te genere-

ren, wat enkele minuten kan duren. Is dat eenmaal

voor elkaar, dan staat op de commandline onder

meer een regel als key FB9580C1D10EEAFA marked

as ultimately trusted. De hexadecimale string

is de sleutel-ID die je nodig hebt voor de volgende

stappen. Kopieer die regel alvast naar het klembord

en waar bij de volgende commando's <ID> staat,

vervang je dat door de string.

Tot dan toe kan het sleutelpakket alleen versleu-

telen, ontcijferen en ondertekenen. Om ervoor te

zorgen dat het later ook voor de authenticatie werkt

(zoals voor SSH), moet je een subsleutel aanmaken.

Daarvoor start je de bewerkingsmodus:

gpg --expert --edit-key <ID>

Voer het commando addkey uit en selecteer optie 8

RSA (set your own capabilities). De volgende

dialoog is niet erg intuïtief. Op de tweede regel staat

welke opties ingeschakeld zijn (Sign en Encrypt).

Deactiveer die de een na de ander en activeer dan

Authenticate. Voer de volgende commando’s uit:

s

<Enter>

e

<Enter>

a

<Enter>

Met q ga je naar de volgende stap met de bekende

vragen: sleutellengte (4096) en vervaldatum (5y).

Dan begint de volgende stap waarin een sleutel

wordt gegenereerd. Met save sluit je de wizard af.

SLEUTELOPSLAG

Voordat je de sleutels naar de card kopieert, heb je

nog een kopie van de openbare sleutel nodig. Daar is

geen plaats voor op de smartcard. Die kun je bijvoor-

beeld met een usb-stick van de Raspberry Pi kopië-

ren en later aan je communicatiepartners doorgeven

– bijvoorbeeld via een key-server.

Daarvoor exporteer je de sleutel eerst naar een

bestand met

gpg -a --export <ID> > public.asc

Dan moet je ook nadenken over een bepaalde

back-upstrategie voor de privésleutel en subsleutels,

want een geheugenstickje ben je immers zo kwijt. Er

zijn verschillende opties: je kunt de privésleutel ook

naar een tekstbestand exporteren en dat bestand sa-

men met de openbare sleutel naar een usb-stick ko-

piëren. Berg die usb-stick dan op een veilige plaats

op en haal hem alleen tevoorschijn in geval van

nood. De privésleutel exporteer je als volgt naar een

bestand:

gpg -a --export-secret-key <ID> > private.asc

gpg -a --export-secret-subkeys <ID> > private_

sub.asc

Als iemand die bestanden in handen krijgt en het

wachtwoord van de sleutel weet dat je bij het

uitgave 4/2020 49

Als je de publieke sleutel in je GitHub-account opslaat, worden gesigneerde commits als Verified weergegeven.

aanmaken hebt opgegeven, dan kan de sleutel op

elke machine weer gekoppeld worden:

gpg --import public.asc

gpg --import private.asc

gpg --import private_sub.asc

In plaats van een usb-stick kun je ook de sd-kaart

van de Raspberry Pi opbergen. Het is ook mogelijk

helemaal zonder een kopie van de sleutel te werk te

gaan. Het kan een veiligere strategie zijn om de sleu-

tel naar verschillende smartcard-sticks achter elkaar

te kopiëren en één ervan veilig thuis te bewaren. Het

is dan wel niet meer mogelijk achteraf nog extra sleu-

tels aan te maken. Nadat je dat gedaan hebt, vernie-

tig je de sd-kaart van de Raspberry Pi fysiek – daar

kun je het beste een oude en trage sd-kaart voor

opofferen.

SLEUTEL VERPLAATSEN

Helaas is het verplaatsen van de sleutel naar de kaart

niet bepaald intuïtief aangepakt. Voor het verplaat-

sen open je weer de bewerkingsmodus:

gpg --edit-key <ID>

Met keytocard begin je met het verplaatsen van

de sleutel voor ondertekenen. Selecteer als doel 1

(Signature Key). Er wordt gevraagd naar het wacht-

woord van de sleutel en de pincode van de stick.

Het standaardwachtwoord is 12345678 – dat wordt

later gewijzigd. Dan is de subsleutel aan de beurt

om versleuteld te worden. Met key 1 selecteer je die

(herkenbaar aan de * achter ssb). Typ vervolgens op-

nieuw keytocard in en selecteer als doel slot 2. Voer

nogmaals key 1 in om die te deselecteren en ga door

met key 2 voor een volgende ronde keytocard.

Verwijder vervolgens de eerste stick. In geen ge-

val mag je nu save gebruiken om wijzigingen op te

slaan – dan wordt de sleutel namelijk gemarkeerd

als geëxporteerd en kun je hem niet meer exporte-

ren naar andere smartcards. Stop in plaats daarvan

gpg met Ctrl+C. Steek de tweede stick erin en begin

opnieuw met gpg --edit-key <ID>. Wanneer alle

gewenste kopieën zijn gemaakt, stop gpg dan met

save.

SLEUTEL BESCHERMEN

Bij een goede beveiliging van de sleutel hoort een

goede pincode en een nog betere beheerpincode.

Die laatste is nodig om de pincode te resetten. Plaats

de stick in de usb-poort en open de wizard met:

gpg --card-edit

Met admin open je de geavanceerde instellingen. Met

het commando passwd start je het proces om de pin-

code te wijzigen. Begin met optie 3, de pincode van

de beheerder. De wizard vraagt om de oude pincode

(12345678). Vervolgens moet je een nieuwe pincode

invoeren van acht cijfers. Ga dan door met optie 1,

de gebruikerspincode. Die moet zes cijfers lang zijn.

Druk op q om de wizard te beëindigen.

OPRUIMEN

Kopieer ten slotte de publieke sleutel (die geëxpor-

teerd is naar het bestand public.asc) en, indien je

daarvoor hebt gekozen, ook de privésleutel van de

Raspberry Pi. Daarna heb je de Raspbian-installatie

niet meer nodig.

Je kunt de publieke sleutel nu gebruiken in com-

binatie met de extensie Enigmail in Thunderbird [1]

en deze doorgeven aan de key-servers.

Om de publieke sleutel te gebruiken op een

computer waar Enigmail niet op draait, open je een

opdrachtprompt en navigeer je naar de map waar het

bestand public.asc zich bevindt (bijvoorbeeld op

de usb-stick). Voer dan het commando gpg --import

public.asc uit. Als output krijg je de 16-cijferige

ID retour. Je kunt daar bijvoorbeeld ondertekende

Git-commits snel mee inrichten. Sla de sleutel-ID op

met:

git config --global user.signingkey <ID>

Een commit genereer je met de opdracht git commit

-S -m 'een commit'. De parameter -S activeert

de handtekening – daarvoor moet de stick wel

aangesloten zijn. Gesigneerde commits zijn vooral

zinvol in combinatie met git-hosts. Bij GitHub hoef

je daarvoor alleen maar de publieke sleutel in de

web-interface op te slaan. De functie daarvoor staat

bij de instellingen onder 'SSH and GPG keys'. Daarna

verschijnen de ondertekende commits als Verified in

de interface (zie de afbeelding op deze pagina).

AFRONDEN

Het opslaan van PGP-sleutels op een stick met een

smartcard-functie is niet voor iedere PGP-gebrui-

ker zinvol. Als je echter op verschillende computers

versleuteld wilt kunnen communiceren of ontwik-

kelen en niet overal je privésleutel wilt achterlaten,

kost het eenmalig wat inspanning om een smart-

card-stick goed in te richten, maar profiteer je daar-

na snel van een optimaal beveiligde werkomgeving.

Zoals bij alle oplossingen waarbij je encryptie-

hardware gebruikt geldt ook hier: vertrouw nooit

op alleen maar één stick en zorg altijd dat je een

back-up maakt.

Literatuur

[1] Holger Bleich, Simpel slot erop, De PGP add-on Enigmail voor

Thunderbird is instapvriendelijker geworden, c't 6/2018, p.26

50 www.ct.nl

FAQ / FIDO2

Jürgen Schmidt, Ronald Eikenberg, Daniel Dupré

WAT IS FIDO2 NU EIGENLIJK?

? FIDO2 klinkt interessant, maar ook inge-

wikkeld. Is kort maar krachtig samen te vatten

wat het inhoudt?

! FIDO2 is een nieuwe manier om je bij web-

diensten te registreren en aan te melden. Je

kunt het gebruiken in plaats van een wachtwoord of

als de tweede factor bij tweefactorauthenticatie. Je

hebt daarvoor een zogenaamde authenticator nodig.

Die zijn er in de vorm van een usb-stick die je aan je

sleutelbos bij je hebt.

Als je je bij een dienst aanmeldt, stop je de stick

in de usb-poort van de pc en druk je op het knopje op

de stick om je te authentiseren. Bij Windows, Android

en in beperkte mate ook onder macOS werkt dat

zelfs zonder extra hardware. Het besturingssysteem

zelf fungeert dan als virtuele authenticator.

Afhankelijk van de manier waarop een dienst

FIDO2 geïmplementeerd heeft, is die stick voldoen-

de om in te loggen (één factor) of moet je de stick in

combinatie met een pincode of wachtwoord gebrui-

ken (tweefactorauthenticatie). Beide varianten zijn

aanzienlijk veiliger dan alleen op het wachtwoord te

vertrouwen.

UITLEG VAN DE BEGRIPPEN

? FIDO2-sticks, authenticators, beveiligings-

sleutels, tokens, geheime sleutels: wat zijn dat

allemaal?

! De FIDO2-stick heeft veel verschillende namen.

Als we het hebben over de authenticator, token

of beveiligingssleutel, bedoelen we het apparaat

waarmee je je authentiseert bij de diensten. Dat kan

een extern apparaat zijn dat je via usb, nfc, bluetooth

of lightning op je pc of smartphone aansluit. Dat

zijn meestal dingen in de vorm van een usb-stick of

sleutelhanger.

Een FIDO2-stick werkt als een externe authenti-

cator. Er zijn ook interne authenticators. Dat is soft-

ware die de encryptiechip in je pc, smartphone of

tablet gebruikt voor FIDO2. Dan hoef je geen exter-

ne FIDO2-stick te kopen. Windows 10 en Android

vanaf versie 7 functioneren dan als interne authenti-

cator, bij macOS werkt dat in combinatie met Google

Chrome.

De geheime cryptosleutel is de geheime code die

op je token opgeslagen is. Je kunt het zien als een wil-

lekeurige tekenreeks die alleen je token weet. Die ge-

heime code kan niet worden gelezen of gekopieerd.

IN DE PRAKTIJK

? Op welke plekken kan ik FIDO2 op dit moment

al gebruiken?

! Inloggen zonder wachtwoord werkt al voor

Microsoft.com en de bijbehorende diensten,

zoals Outlook.com, Office 365 en OneDrive als je

Edge gebruikt. Voor veel andere diensten kun je

FIDO2 als tweede factor instellen. Dan profiteer je

van bescherming tegen phishing en dergelijke, maar

moet je nog wel steeds je wachtwoord invoeren.

Dat werkt met Google, GitHub, Dropbox, Twitter

en BoxCryptor. Je kunt dat uitproberen op de

demopagina webauthn.io.

DIEFSTAL

? Kan iemand zo'n usb-beveiligingssleutel niet

gewoon stelen?

! Ja, dat is inderdaad mogelijk. Net zo goed

als dat iemand je auto- of je huissleutels zou

kunnen stelen. Als dat gebeurt, moet je dan ook zo

snel mogelijk de toegang tot je accounts blokkeren.

Een doorslaggevend voordeel ten opzichte van

wachtwoorden is dat virtuele diefstal niet meer

mogelijk is.

FAQ Wachtwoord-vervanger FIDO2De nieuwe inlogprocedure FIDO2 heeft alles in zich om het gewone wachtwoord te vervangen. Daar hebben we in deze artikelen, maar ook in eerdere edities al aandacht aan besteed. Het onderwerp wekt veel interesse bij onze lezers, maar roept ook enkele vragen op. Die willen we hier beantwoorden.

FIDO-tokens zijn verkrijgbaar in allerlei vormen en maten.

uitgave 4/2020 51

Het is dan niet meer voldoende wanneer de cyber-

maffia via een trojan bij je inbreekt of miljoenen

wachtwoorden te pakken krijgt door een server te

hacken. Iemand moet ter plaatse de fysieke beveili-

gingssleutel stelen en die vervolgens misbruiken. Voor

cybercriminelen is dat niet aantrekkelijk.

MEERVOUDIG GEBRUIK

? Kan ik voor een dienst meerdere beveiligings-

sleutels gebruiken?

! Ja, dat is mogelijk en zelfs sterk aan te bevelen.

Want als je een van de sleutels kwijtraakt, heb

je altijd nog de tweede waarmee je kunt inloggen en

de verloren veiligheidssleutel kunt blokkeren.

HERSTEL

? Hoe krijg ik weer toegang tot mijn accounts als

ik mijn stick verlies of als die gestolen wordt?

! Dat is het zwakke punt van het huidige con-

cept. Er blijven op dat gebied nog veel

vragen onbeantwoord. Het hangt met name af van

de manier waarop de diensten de beveiliging in de

praktijk toegepast hebben. Er zijn momenteel twee

varianten aan het uitkristalliseren.

1) Accounts met hoge veiligheidseisen (internetban-

kieren, e-mail, etc.): daarbij moet je je op een an-

dere manier veilig ‘identificeren’ als je je stick ver-

liest. Dat kan met een tweede sleutel, die je uit

voorzorg hebt geregistreerd, met een back-up-

code, via een code op het opgegeven 06-nummer

of eventueel in combinatie met autorisatie via

e-mail of iets dergelijks.

2) Accounts met minder hoge veiligheidseisen (fo-

rums, internetwinkels etc.): in de meeste gevallen

is een eenvoudige reset via een bij de dienst gere-

gistreerd e-mailadres of 06-nummer mogelijk. Dat

is ook heel redelijk, want het is niet nodig om elk

forumaccount te beveiligen alsof het Fort Knox is.

De nadruk ligt in die gevallen vooral op gemak en

weinig onderhoud voor de gebruiker.

BACK-UP

? Is het mogelijk een back-up te maken van mijn

token?

! Nee, dat is expliciet niet mogelijk – en dat is

een goede zaak. De FIDO2-tokens kunnen niet

worden gekopieerd en de geheime sleutel die erop

is opgeslagen kan niet worden gelezen. Een FIDO2-

beveiligingssleutel is altijd uniek. Dat is bij FIDO2 dan

ook het uitgangspunt van de FIDO Alliance.

Daardoor zijn de tokens ook veel veiliger dan

wachtwoorden: een trojan kan je wachtwoord af-

vangen, maar niet de geheime cryptosleutel van je

FIDO2-token. Om toegang te kunnen krijgen tot je ac-

counts in geval van verlies of een hardwarestoring,

moet je een tweede authenticatieoptie instellen, bij-

voorbeeld door een tweede token te gebruiken of

back-upcodes te printen.

EXTRA VEILIGHEID

? Kan ik iets doen om mezelf te beschermen

tegen diefstal van mijn beveiligingssleutel en

een daaropvolgende overname van mijn rekeningen?

! Ja, dat is expliciet voorzien in de FIDO2-

standaard. De ingebouwde virtuele sleutels in

Windows en Android zijn altijd beschermd door een

tweede factor, zoals een vingerafdruk of een pincode,

die het gebruik door anderen voorkomt.

Er zijn ook usb-tokens die zo'n tweede factor ver-

eisen. Yubico's Yubikeys worden bijvoorbeeld ver-

grendeld met een extra pincode, die je moet invoe-

ren om de beveiligingssleutel te kunnen gebruiken.

Fabrikant Feitian heeft usb-tokens in zijn assortiment

met een ingebouwde vingerafdrukscanner.

ANDROID-TOESTELLEN

? Ik wil FIDO2 gebruiken op mijn Android-

smart phone, maar zie geen optie om de

beveiligingssleutel met een vingerafdruk te ge-

bruiken. Ik kan alleen externe sleutels gebruiken.

Hoe kan dat?

! Je hebt Android 7 of hoger nodig. Bovendien

moeten de Google-Play-services up-to-date

zijn aangezien Google deze functie aan apparaten

toevoegt door de diensten bij te werken. Je moet een

Google-account hebben om de update te ontvangen

en om de services goed te laten werken. Als het dan

nog steeds niet werkt, kan het zijn dat je Android-

toestel een ‘secure element’ mist dat de cryptosleutel

voor FIDO2 zou beheren.

SMARTPHONE ALS SLEUTEL

? Kan ik mijn smartphone ook gebruiken als

beveiligingssleutel voor de pc?

! In theorie wel, maar in de praktijk werkt

dat nog niet. Technisch gezien kan bijna elk

apparaat via bluetooth, nfc of usb als een FIDO2-

token functioneren, zolang ervoor gezorgd wordt

dat de geheime sleutel veilig wordt opgeslagen. Een

smartphone zou ideaal zijn voor dat doel omdat

die meestal niet alleen bluetooth heeft, maar

ook een secure-element voor crypto-operaties.

Smartwatches zouden ook zeer geschikt zijn. Tot nu

toe is er echter een gebrek aan geschikte software.

52 www.ct.nl

FAQ / FIDO2

Google experimenteert al met dit concept. Als je

Google-account zo geconfigureerd is, verbindt de

Google-site die je op de computer opent zich bij

het inloggen via bluetooth met de smartphone. De

crypto- operaties gebeuren dan op de smart phone.

Op termijn is het denkbaar dat Google die functie in

Android integreert en je smartphone ook voor andere

diensten als externe authenticator kan dienen.

APPLE-GEBRUIKERS

? Wat is de stand van zaken bij Apple? Kan ik

FIDO2 gebruiken met macOS en iPhone?

! Als gebruiker van macOS kun je zonder

problemen FIDO2-sticks met Chrome of Firefox

gebruiken. Safari ondersteunt de webstandaard alleen

met een rudimentaire FIDO2-functionaliteit. Hoewel

de sticks werken, ontbreekt de gebruikersinterface

nog bij de bijbehorende dialogen. Google Chrome

is onder macOS geavanceerder: als je een MacBook

met een vingerafdruksensor (Touch ID) hebt, kun je de

MacBook zelf als beveiligingssleutel gebruiken.

Bij iOS is het tot nu toe alleen mogelijk om via een

omweg de FIDO2-stick YubiKey 5 Ci van Yubico te ge-

bruiken. Die heeft een USB-C- en lightning-aansluiting.

Maar de keuze van browsers die dat ondersteunen is

erg beperkt: momenteel kan alleen de (opensource)

browser Brave de stick voor WebAuthn gebruiken.

TRACKING

? Kan ik niet makkelijk worden getrackt als ik

overal dezelfde beveiligingssleutel gebruik?

! Bij de ontwikkeling van de standaard is er voor

gezorgd dat dit niet mogelijk is. De beveiligings-

sleutel genereert voor elke dienst een apart sleutel-

paar, gebaseerd op het bijbehorende domein. Dat

betekent dat eBay en Google bijvoorbeeld niet kunnen

bepalen welke van hun gebruikers een bepaalde

beveiligingssleutel gebruiken.

Er is wel een optioneel mechanisme voor herken-

ning, waarbij een server de sleutel vraagt om zijn serie-

nummer. Daarvoor moet de gebruiker echter expliciet

mee instemmen. Het is dus niet mogelijk gebruikers

stiekem te tracken. Die functie is bedoeld voor omge-

vingen zoals bedrijven waar bijvoorbeeld alleen speci-

fieke beveiligingssleutels gebruikt mogen worden.

VINGERAFDRUK

? Wordt mijn vingerafdruk bij het inloggen ook

doorgebriefd naar Google?

! Nee, dat gebeurt niet. Op het moment dat je

je bij een dienst aanmeldt, worden je pincode,

vingerafdruk en gezichtsscan niet doorgestuurd.

Dankzij Google Chrome kun je FIDO2-authenticators onder macOS gebruiken.

Die gegevens worden strikt lokaal bewaard op

de beveiligingssleutel. Je bewijst alleen voor de

beveiligingssleutel dat jij ook echt de juiste gebruiker

bent (user-verification).

LINUX-GEBRUIKERS

? En hoe zit het bij Linux met de mogelijkheden

voor FIDO2?

! Je kunt je FIDO2-stick onder Linux gebruiken,

net als bij alle andere besturingssystemen.

Het is belangrijk dat de browser die je gebruikt de

Webauthn-API ondersteunt. De meeste huidige

browsers zoals Firefox en Google Chrome zijn al FIDO2-

compatibel. Werkt het niet, dan moet je controleren

of je de laatste browserversie geïnstalleerd hebt.

De eerste aanzetten zijn gemaakt om TPM-modu-

les van computers geschikt te maken ze ook onder Li-

nux als interne authenticator te gebruiken. Dat zou

het gebruik van een externe FIDO2-token overbodig

moeten maken. Momenteel is er alleen nog geen sta-

biele implementatie beschikbaar.

EIGEN SITE

? Ik heb een eigen site. Hoe kan ik mijn gebruikers

aanbieden om in te loggen via FIDO2?

! Dat kan met wat inspanning, maar hoeft niets

te kosten. Er zijn opensource-implementaties

van WebAuthn die je kunt integreren bij je webdienst.

Je kunt bijvoorbeeld ons in Go-geschreven project

gebruiken. Dat staat bij https://github.com/jamct/

webauthn-start (zie c't 11/2019 op pagina 58).

uitgave 4/2020 53

illustratie

Th

ors

ten

Hü

bn

er

Arne Grävemeyer en Alieke van Sommeren

I n de logistiek en de industrie ziet je dat werknemers

steeds vaker ondersteunende middelen dragen.

Een exoskelet ontlast je bewegingsapparaat en kan

ook losse bewegingen flink ondersteunen. Sinds 2018

dragen de monteurs van Volkswagen in Bratislava bij-

voorbeeld biomechanische systemen van Otto Bock.

Het Paexo-schoudersysteem combineert lichtgewicht

draagconstructies met kabels en veren. Het ontlast

de nek en schouder en gebruikt veerkracht om je bo-

venarmen op te tillen tijdens het langdurig boven je

macht werken. Een doe-het-zelver zou zo'n hulpmid-

del zeer goed kunnen waarderen, maar exoskeletten

voor privégebruik zijn er nog niet veel.

SPIEREN VOOR JE SPIEREN

Exoskeletten voorkomen lichamelijke overbelastingEen exoskelet biedt ondersteuning bij zwaar werk of activi-teiten in een gedwongen houding. Het voorkomt spier- en gewrichtsaandoeningen bij arbeiders in de industrie. De techniek kan ook in het dagelijkse leven veel taken makkelijker maken.

De ontwikkelingen in de industriële sector daarente-

gen gaan bijzonder snel: de volgende stap is actieve

systemen die ondersteuning bieden met kracht uit

motoren. De technische engineers van BMW in Darm-

stadt dragen voor het wisselen van banden sinds

november vorig jaar powerpacks van German Bio-

nic. Het Cray X-systeem ondersteunt de onderrug bij

het tillen vanuit ergonomisch ongunstige houdingen

door met servomotoren tot 25 kilo aan gewicht op te

vangen. De magazijnmedewerkers van Ikea in Dort-

mund zijn al sinds de herfst blij met eenzelfde type

ondersteuning voor het tillen van zware pakketten of

het van de grond af optillen van kratten.

Een soortgelijk model van German Bionic met

nog krachtigere motoren wordt in Japan getest als

reddings(hulp)middel bij rampen. Het doel is bijvoor-

beeld om snel puin te kunnen ruimen in een aard-

bevingsgebied om begraven slachtoffers te vinden.

Deze ‘technische doping’ heeft een lange tradi-

tie in de militaire sector. Al in 1965 ontwierp Gene-

ral Electric de Hardiman. Dat was een robot waar je

als operator in moet stappen. Dat stalen monster kon

54 www.ct.nl

Achtergrond / Exoskeletten

Vooral bij het werken in niet bepaald ergonomische houdingen biedt het exoskelet Cray X je extra spierbundels. Sensoren merken wanneer de werknemer vermoeid begint te raken.

bijna 700 kilo tillen, maar woog zelf net zo veel en re-

ageerde slechts traag op de besturing. Veel andere

(meestal actieve) exoskeletten zoals van Lockheed

Martin, helpen soldaten bij het dragen van zwaar ma-

terieel.

TEGEN OVERBELASTING

Professor dr. Robert Weidner aan de Helmut Schmidt

Universiteit in Hamburg legt uit dat de ontwikkeling

van extra superkrachten door middel van een exo-

skelet vaak helemaal niet het doel is. Op de werkvloer

worden de meeste van die ondersteuningssystemen

ingezet om het risico op spier- en gewrichtsaandoe-

ningen te verminderen. Vrijwel altijd is het gebruik

preventief en bedoeld om bepaalde delen van het li-

chaam te ontlasten, zoals de schouders, de nek of de

rug. Weidner leidt het onderzoeksteam voor smart-

ASSIST (Smart, Adjustable, Soft and Intelligent Sup-

port Technologies). Tegelijkertijd is hij hoogleraar

voor productietechniek aan de universiteit van Inns-

bruck. Zijn team heeft al zo'n 30 systeemconcepten

ontwikkeld om werknemers zo lang mogelijk gezond

te houden of om ouderen in staat te stellen zo lang

mogelijk zelfstandig te blijven.

Het laboratorium van het onderzoeksteam is uit-

gerust met camera's en sensoren voor het observeren

en analyseren van bewegingspatronen en belasting.

Er staan exoskeletten van verschillende prijsklas-

sen en fabrikanten die op dit moment al voor werk-

nemers in de industrie verkrijgbaar zijn. We mochten

ze eens uitproberen.

Er was een passief exemplaar dat veerkracht ge-

bruikt om de bovenarmen te ondersteunen wanneer

er permanent ter hoogte van het hoofd of zelfs boven

je macht moet worden gewerkt. Als je je armen laat

zakken, heb je wel het gevoel dat je tegen de veer-

kracht in werkt en je je spieren op een vreemde ma-

nier belast. Het tweede model is er een met onder-

steuning voor de onderrug. In twee gewrichten aan

de heup zitten veren verwerkt. Het bovenste deel van

het exoskelet zit aan twee bogen, die om de dijen

klemmen. Wanneer je je voorover buigt om een pak-

ketje op te tillen, helpen de veren je om weer op te

staan.

Het lijkt erop dat het volledig ondersteunen al-

leen werkt bij een normaal gezien ongezonde be-

weging, namelijk wanneer je je voorover buigt en

met opgetilde last weer rechtop gaat staan. Als je in

plaats daarvan door je knieën buigt om de last op te

pakken, krijg je minder krachtondersteuning. Als het

systeem actief is, moeten je dijen bij het lopen tegen

de veerspanning werken, en dat is onhandig. Elke

stap is daardoor een kleine workout. Het onderdeel

kan snel losgemaakt of gedeactiveerd worden, maar

alleen als je geen zwaar pakket in je handen hebt.

GEZONDE HOUDING

Als derde voorbeeld probeerden we nog een versie

voor ondersteuning van de onderrug. Dat exoskelet

heeft een extreem stijve rugplaat en dwingt je daar-

door een gezonde, rechte houding aan te nemen. Het

leek ons moeilijk om daarmee een pakketje van de

vloer te tillen. Het is lastig om je vrij te bewegen en

bijvoorbeeld diep door je knieën te gaan.

Zoals je ziet, zijn er een aantal dingen om in het

achterhoofd te houden voordat een exoskelet wordt

ingezet. De focus ligt op de mens en het verminde-

ren van belasting, zoals Weidner ook benadrukt. Het

exoskelet moet een activiteit zodanig ondersteunen

dat je nog steeds dezelfde bewegingen kunt uitvoe-

ren als zonder. De mechanische ondersteuning moet

een industriearbeider niet alleen ontlasten van de

hoofdtaak, maar ook zeker niet belemmeren of be-

perken bij de overige taken.

Een van de ontwikkelingen van het team van

Weidner is een actief exoskelet dicht op het lichaam,

ter ondersteuning van het gebied van schouders en

nek. Het ondersteunende liftende effect voor de bo-

venarmen wordt pneumatisch geregeld en kan een-

voudig worden ingesteld met een knop op de borst,

waar je zelfs met opgeheven armen makkelijk bij

kunt. Het hefeffect kan ook volledig uitgeschakeld

worden, zodat je je armen zonder tegendruk omlaag

kunt doen.

De onderzoekers hebben hun ontwikkelingen al

getest met gebruikers in de industrie en de bouw.

“Actieve exoskeletten zijn complexer en duurder

en daardoor minder sterk vertegenwoordigd op de

markt”, legt Weidner uit. Die systemen zijn niet auto-

matisch beter geschikt dan passieve systemen voor

de bewuste activiteit, maar ze bieden de kans om

slim te reageren op situaties waar belasting bij komt

kijken.

INTELLIGENTE SYSTEMEN

De eerste testsystemen in het laboratorium verza-

melen al variabelen zoals krachten, draaimomenten,

bewegingsgegevens en hoeken om acties te herken-

nen en daar gericht op te reageren. Met behulp van

de gemeten parameters kunnen intelligente syste-

men in de toekomst de ondersteuning automatisch

aanpassen, bijvoorbeeld wanneer een zwaar pakket

Foto

Ge

rm

an

Bio

nic

uitgave 4/2020 55

Robert Weidner in zijn bewegingslaboratorium. Zijn team heeft tot nu toe zo’n 30 ondersteunende systemen ontwikkeld, waaronder een biomimetische hand en een actief exoskelet om schouders en nek te ontlasten.

moet worden getild. Of het systeem reageert veel

krachtiger bij belasting met een lange hefarm dan een

met een korte. “We proberen eerst voor elke toepas-

sing de juiste oplossing te vinden. Bij actieve systemen

verwachten we in de toekomst een intelligente situa-

tieherkenning”, aldus Weidner.

German Bionic belooft ook met intelligente aan-

sturing te komen. Het systeem verzamelt data voor

het energieverbruik, de positie in de ruimte en de po-

sities van de benen en het bovenlichaam. “Het doel

is om de bewegingen van de drager te leren kennen.

Alleen op die manier kunnen we de juiste timing

voor het inzetten van kracht voor elkaar krijgen”, legt

Norma Hoeft (hoofd van de IoT-afdeling) uit. De ge-

bruiker selecteert via het scherm de learning-mode

van de Cray X en gaat aan het werk. De data belan-

den dan als trainingsvoorbeelden in de cloud van

de fabrikant. Algoritmen trainen met die workflows

en leren verschillende manieren van ondersteunen,

bijvoorbeeld een schema voor het stapelen en een

ander schema voor het ontstapelen.

De data van een Cray X laten overigens ook de

toenemende vermoeidheid van de drager zien. “In

het laboratorium zien we al heel precies dat als ie-

mand bijvoorbeeld moe wordt, hij of zij zelf min-

der kracht uitoefent en de bewegingen niet meer zo

soepel zijn”, legt Hoeft uit. De fabrikant onderzoekt

momen teel hoe die analysefunctie kan worden geïn-

tegreerd in de logica van het krachthulpmiddel. Het

exoskelet hoeft niet tijdens elke shift alle gegevens

real-time naar de cloud te uploaden. De zogenaamde

Smart Factory-optie is een waarschuwingsfunctie in

geval van vermoeidheid van de drager. Die wordt nog

dit jaar in de Cray X geïntegreerd.

Een andere visie is de ontwikkeling van een

machine-to-machine interface. Het idee daarachter

is dat het exoskelet in de toekomst de snelheid van

een transportband kan regelen afhankelijk van de

werksnelheid van de drager aan de hand van de fre-

quentie van de hefbewegingen. Of die communicatie

kan in tegengestelde richting lopen: als een trans-

portband een bepaalde verpakkingsvorm levert, kan

die onmiddellijk het bijbehorende verpakkingssche-

ma aan het exoskelet doorgeven. Dat wordt dan op

een klein display aan de drager getoond.

KRACHTIGE HANDDRUK

De Ironhand van het Zweedse Bioservo biedt actieve

krachtondersteuning voor je hand. Alle vijf de vingers

van de powerhandschoen zijn uitgerust met kunst-

matige pezen en met druksensoren. De accu zit in

een rugzak, de besturingseenheid is bevestigd aan

de schouderriem. Het totale systeem weegt onge-

veer 2,5 kilo. Als de medewerker reikt, trekt een actu-

ator aan alle pezen tegelijk en ondersteunt de stevi-

ge grip met maximaal 80 Newton. Dat kan helpen om

zware dozen te dragen of om langere tijd een boor

of schroevendraaier vast te houden. Volgens de fabri-

kant gaat de batterij zes tot acht uur mee.

Bioservo belooft ook intelligentie voor zijn exos-

kelet. Dat betekent onder meer dat het doseren van

de kracht kan worden geregeld door de druk op de

vingersensors. Door het analyseren van de grijpbe-

wegingen en de grijpkracht moet het mogelijk zijn

om overbelasting tijdig te herkennen.

Behalve de industrie is de medische zorg ook een

toepassingsgebied voor exoskeletten. Dat geldt zo-

wel voor het verplegend personeel, dat vaak onder-

steuning nodig heeft voor de onderrug, als voor pati-

enten die bezig zijn met revalidatie. In navolging van

Ironhand heeft Bioservo voor die groep mensen een

lichter model ontwikkeld, met de naam Carbonhand.

Die gedeeltelijke handschoen met servomotor en pe-

zen op drie vingers zorgt voor een extra kracht van 20

Newton bij het grijpen.

Dat kan mensen met een zwakkere grip helpen

om alledaagse voorwerpen weer veilig vast te pak-

ken, of het helpt oudere mensen om te stofzuigen of

een pot met groenten te openen. In het laboratori-

um van professor Weidner werken de onderzoekers

ook aan systeem om grijpkracht te onder steunen.

Hun sterke hand stuurt vier vingers aan en kan de

gewrichten individueel en gericht ondersteunen. De

grijpondersteuning is bedoeld om biomimetisch te

zijn, oftewel een grijpproces zo realistisch mogelijk te

simuleren.

Naast het bouwen van kant-en-klare oplossingen

onderzoekt het team van Weidner ook veel losse ver-

beteringen om lichtere en comfortabelere exoskelet-

ten te kunnen bouwen. Dat zijn bijvoorbeeld soepele

spieren of filigrane actuators. Een uitgangspunt zijn

de zogenaamde twisted-string-actuators. Dat zijn

dubbele koorden, en wanneer een elektromotor die

verdraait, verkorten ze op een vergelijkbare manier

als een organische spier.

56 www.ct.nl

Achtergrond / Exoskeletten

De carbonhand ondersteunt je met zo’n 20 Newton aan extra kracht in de vingers.

In Japan is het MuscleSuit-exoskelet voor thuisgebruik al te koop. Hij zorgt ervoor dat je lendenwervels het minder zwaar te verduren krijgen.

Een tweede techniek uit het lab is gebaseerd op be-

weegbare structuren van in elkaar grijpende papieren

lamellen. Die worden in plastic folie gewikkeld, waar

een vacuümpomp op is aangesloten. Wanneer de

pomp de lucht uit de folie zuigt, drukt de atmosfe-

rische druk de lamellen samen en verhard ze in hun

huidige positie. Met dat principe hebben de onder-

zoekers bijvoorbeeld een beweegbaar elleboog-

gewricht gemaakt dat onder elke hoek kan worden

vastgezet door middel van een vacuüm. Dat betekent

dat voor het vasthouden van een lading geen extra

kracht meer nodig is. Er zijn ook lamellensystemen

ontwikkeld die in elkaar kunnen worden geschoven

of uit elkaar kunnen worden getrokken. In een vacu-

um blijven ze dan in vaste lengte en zijn ze bestand

tegen een bepaalde hoeveelheid kracht.

HULP VOOR THUIS

De meeste exoskeletvarianten voor huis zijn gericht

op mensen met een lichamelijke beperking. In een

project gesponsord door het Duitse ministerie van

economie en energie heeft het team van Weidner een

enkel-exoskelet ontwikkeld dat de verschillende fa-

sen van het lopen herkent en het puntje van je voet

op het juiste moment optilt. Dat ontwerp is specifiek

gericht op mensen die zwakke dorsaalflexie hebben

en hun voeten niet goed kunnen buigen.

Het belangrijkste kenmerk is dat er druksenso-

ren in de zool zijn ingebouwd om de loopfase te hel-

pen bepalen op basis van krachten richting de grond.

Op die manier wordt voorkomen dat de kracht-on-

dersteunende orthese je voet in de verkeerde bewe-

gingsfase optilt, bijvoorbeeld wanneer de patiënt

zich daadwerkelijk recht van de grond wil duwen.

Otto Bock heeft het C-Brace-model ontwikkeld

voor mensen met verlamming in de benen. Die or-

these registreert ook de fasen in het lopen, zoals de

standfase en de zwaaifase, via sensoren in het knie-

gewricht. De demping wordt elektrisch uitgescha-

keld wanneer het been zwaait en verhoogd wanneer

de persoon staat. Veel alledaagse situaties worden

voor een patiënt dan weer beheersbaar.

Hoe meer exoskeletten er worden gebruikt in werk-

omgevingen en bij revalidatie, des te groter de kans

dat gezonde consumenten op het idee komen om zo-

iets te gebruiken. “Ik heb zelf een exoskelet gebruikt

voor het leggen van een vloer, toen ik het net toeval-

lig in mijn kofferbak had liggen” zegt Weidner. Hij zou

ook graag wat hulp van een exoskelet willen hebben

bij het knippen van de heg.

“We weten uit vele brieven dat er vraag is naar

hulpmiddelen voor alledaagse situaties”, meldt

dr. Sönke Rössing, verantwoordelijk voor indus-

triële hulpmiddelen bij Otto Bock. Met name doe-

het-zelvers tonen belangstelling voor het doen van

klussen boven hun hoofd. Bovendien is het in een

vergrijzende samenleving zinvol om mensen te hel-

pen om zo lang mogelijk onafhankelijk en productief

te blijven.

Otto Bock is daarom van plan om voor het ein-

de van dit jaar exoskeletten uit de Paexo-serie aan

te bieden voor schouder- en neksteun in een Franse

doe-het-zelf keten. In november voegde de Japan-

se fabrikant Innophys een model voor particuliere

gebruikers voor lendensteun toe aan zijn exoskelet-

familie. Het eenvoudigste systeem van de Muscle-

Suit-serie is verkrijgbaar vanaf 500.000 yen, ongeveer

4150 euro. Het eenvoudig ontworpen systeem werkt

passief via een persluchtveer en is ontworpen om te

ontlasten bij het heffen met een gewichtskracht van

meer dan 25 kilo.

Als zoiets aan lijkt te slaan, kunnen de doe- het-

zelfwinkels in de nabije toekomst wellicht exoske-

letten gaan aanbieden, bijvoorbeeld als huurpakket

– samen met een zware slagboormachine of heggen-

schaar.

Foto

Bio

se

rvo

Foto

In

no

ph

ys

uitgave 4/2020 57

VOORDAT JE EEN LAPTOP KOOPT

Laptop-koopadvies

Processors met twee tot acht cores, Wi-Fi 6, grafische kaar-ten die overweg kunnen met ray-tracing, speciale scherm-formaten, geïntegreerde privacyfilters, oled en dubbele schermen - er is veel veranderd in laptopland. We gaan in op de huidige stand van zaken en geven alle informatie die je nodig hebt om de juiste laptop te vinden.

Florian Müssig en Alieke van Sommeren

Als je op zoek bent naar een nieuwe computer,

neig je misschien naar een laptop. Dat apparaat

is handig voor op de bank, in bed, aan de eetta-

fel en op het balkon terwijl je van een drankje nipt. En

als je hem even helemaal niet nodig hebt, klap je hem

gewoon lekker dicht en stop je hem ergens weg in een

la. Het is verder een compleet systeem, waarbij je met

één partij contact hebt bij defecten of problemen: de fa-

brikant.

Het aanbod aan laptops is echter gigantisch en on-

overzichtelijk: voor minder dan 500 euro heb je ontel-

baar veel keuze en meer dan 5000 uitgeven is ook geen

enkel probleem. In dit koopadvies willen we je door de

keuzejungle gidsen en helpen je persoonlijke eisen en

wensen om te zetten in hardware. Zo hoef je niet onno-

dig veel geld uit te geven.

58 www.ct.nl

Koopadvies / Laptops

PROCESSORS

Laptops maken gebruik van processors met zeer ver-

schillende prestaties. We gaan eerst in op de modellen

van Intel. De meest voorkomende zijn versies met een

TDP (Thermal Design Power) van 15 watt en 45 watt.

Modellen van 15 watt met een U in de modelaanduiding

zijn de standaard cpu’s. Die worden gebruikt in mobie-

le 13,3-inch laptops tot aan de niet meer zo draagbare

17,3-inch laptops.

De dikte van de behuizing is daarbij rele vanter dan

de grootte van het scherm. Voor 15W-cpu’s zijn plat-

te koelers prima en die passen zonder veel moeite in

dunne behuizingen.

De 45-watt Intel-processors zijn te herkennen aan

een H in de modelaanduiding. Ze hebben een flinke koe-

ling nodig en worden daarom alleen gebruikt in laptops

met een schermdiagonaal van 15,6 inch of meer. Van-

wege hun hogere performance worden ze vaak gekop-

peld aan snelle grafische chips (daarover later meer), die

op hun beurt ook een krachtige koeling nodig hebben.

Dat heeft duidelijk impact op het gewicht en de dikte van

de behuizing. In uitzonderlijke gevallen kunnen laptop-

fabrikanten wel een 45-watt-cpu plus een dikke grafi-

sche kaart in een platte behuizing geperst krijgen, maar

dat is erg uitzonderlijk en ook bijzonder prijzig. Er zijn

ook prijzige laptops met 15W-processors ingebouwd,

maar die proberen je te verleiden met premium features

(waarover verderop meer) in plaats van maximale pres-

taties.

Nadat dualcore jarenlang de standaard was voor de

15W-klasse, is dat sinds de achtste generatie van Intels

Core i-processoren (Core i-8xxxU) quadcore geworden.

Die stap ging gepaard met een flinke sprong in perfor-

mance van 33 procent, wat de grootste toename was in

mobiele cpu-performance sinds lange tijd. Het was een

veel grotere toename dan wat je gewoonlijk ziet bij een

nieuwe generatie cpu’s.

Quadcores zijn beschikbaar als Core i7 en als de min-

der dure Core i5. Core i3’s zijn daarentegen altijd

slechts dualcores. Aangezien de achtste Core i-gene-

ratie al ongeveer twee jaar op de markt is in laptops in

alle soorten en maten, is er geen reden om een laptop

te kopen met een oudere Core i-generatie - zelfs als de

performance niet zo belangrijk is, voor wat kantoorta-

ken en internetten.

Fabrikanten leveren inmiddels de eerste laptops

met tiende generatie Core i-processors. De performance-

boost is echter kleiner dan je denkt. Intel heeft simpel-

weg de negende generatie van 15-watt mobiele pro-

cessoren overgeslagen en heeft bij de tiende Core

i-generatie een 15-watt hexacore uitgebracht. Maar daar

is slechts één duur Core i7-topmodel van. De overige i7

en i5-opties zijn allemaal weer de gebruikelijke quad-

cores. We hebben de hexacore nog niet aan de tand kun-

Laptops zoals de Razer Blade 15 combineren een krachtige GeForce-RTX-gpu met een krachtige Core i-hexacore in een compacte behuizing en met een nette accuduur. Maar het prijskaartje heeft vier cijfers en kan zelfs oplopen tot meer dan 3000 euro.

Bij de wat meer prijzige laptops zoals de Dell XPS 15 zie je steeds vaker dat er een oled-scherm bij wordt gebruikt.

De Microsoft Surface Laptop 3 15” is een van de weinige premium-laptops met een AMD Ryzen-processor.

uitgave 4/2020 59

nen voelen. De eerste tests door Amerikaanse techsites

lieten zien dat ze een onverwacht lage performance bie-

den. Misschien zijn zes kernen en een TDP van slechts 15

watt toch te veel van het goede.

Verwarrend feitje: er is nog geen tiende Core i-ge-

neratie met een TDP van 45 watt, maar wel een van de

negende generatie. Ook hier was er een verhoging van

het aantal kernen onderdeel van de planning. Sinds de

achtste Core i-generatie waren tot zes kernen mogelijk

in plaats van vier, bij de negende generatie zijn er nog

twee kernen toegevoegd: de Core i9-9xxxH is de aan-

duiding voor octacores, maar die zijn behoorlijk aan de

prijs. Core i7 H-modellen hebben zes kernen en Core

i5-versies zijn quadcores. Core i3-modellen met 45 watt

zijn er niet, 15 watt is genoeg om die performance te ha-

len. Als je een mobiele Xeon-processor tegenkomt in een

zeer duur workstation-laptop: die zijn nauw verwant

aan de Core i9-versies en ondersteunen RAM met ECC-

foutcorrectie, wat in prinicpe eigenlijk totaal overbodig

is voor consumenten.

EN AMD RYZEN DAN?

Het feit dat we tot nu toe alleen processors van Intel noe-

men ligt aan het feit dat ze nog steeds toonaangevend

zijn in laptops. Dit in tegenstelling tot bij de desktops,

waar AMD momenteel heer en meester is. Dat heeft te

maken met meerdere factoren.

In het algemeen zijn de mobiele quadcore pro-

cessors van AMD qua performance gelijk aan de quad-

cores van Intel. En de derde generatie AMD Ryzen (Ryzen

3000U) is nauw verwant aan de tweede (Ryzen 2000U),

waardoor de sterke en zwakke punten identiek zijn. AMD

heeft de Ryzen 2000U in verschillende premium-appara-

ten kunnen plaatsen, wat in het voorjaar van 2018 aardig

wat aandacht trok. Met viercijferige prijzen krijg je wel

zeer leuke laptops in elkaar gezet. Daarna was er echter

niet veel opvallends meer te spotten in dit prijzige seg-

ment, behalve Microsofts Surface Laptop 3 15".

Dat kwam onder andere doordat er in het begin le-

veringsproblemen waren. Vervolgens gingen de laptop-

fabrikanten weer verder zoals ze dat deden vóór Ryzen:

de AMD-processoren belandden in goedkope laptops

met prijzen onder de 500 euro. In deze prijsklasse is de

processor minder belangrijk en gaat het meer om het

samen stellen van een aantrekkelijk totaalpakket met

een zo laag mogelijke prijs. Dat leidt tot onvermijdelijke

bezuinigingen op bijna alle aspecten zoals de behuizing,

toetsenbord, scherm, geheugenuitbreiding en veel an-

dere details (zie ook het kader ‘Instapper koopadvies’).

In tegenstelling tot bij de desktop Ryzens zat er bij

de mobiele processors een gat in het AMD-aanbod. Er

waren geen mobiele Ryzens met een TDP van 45 watt of

meer dan vier cores. De Ryzen 3000H die begin vorig jaar

werd uitgebracht, was een 35-watt quadcore die wei-

nig meer voorstelde dan een noodgreep die niet eens

in een handjevol laptops terechtkwam. Ook al bood hij

samen met een dedicated gpu genoeg power voor een

middenklasse gaminglaptop, AMD's leveringsproble-

men bij de 35-watt-cpu’s (desktop en mobiel) zorgden

dat het al snel over was met de pret. AMD onderkende

het probleem en nam maatregelen. Begin januari zijn

de Ryzen 4600H en 4800H onthuld – een 45-watt hexa-

core en octacore voor bijzonder krachtige laptops. Daar-

naast zijn er nieuwe budgetprocessors (in de 3000-serie)

en krachtige processors met een 35-watt TDP (4000HS-

serie) aangekondigd. Laptops die ermee zijn uitgerust

moeten echter nog in de winkels (en voor tests) beschik-

baar komen.

GEÏNTEGREERDE GPU’S

Het feit dat AMD in de tussentijd geen mobiele versie van

de desktop-octacore heeft uitgebracht, komt doordat

ze geen geïntegreerde gpu’s hadden. Bij desktops is dat

weinig spannend, maar bij laptops is het wel een belang-

rijk aspect: elke extra component verbruikt extra stroom

en neemt waardevolle ruimte in die anders kan worden

gebruikt voor de accu. Twee redenen die zorgen voor

een mindere accuduur.

Om het energieverbruik te drukken, gebruiken

bijna alle moderne laptops met losse gpu’s een hybride

graphics-techniek. Als je in Excel wat spreadsheets aan

het vullen bent, wordt de losse gpu uitgeschakeld en

mag de zuinigere geïntegreerde gpu aan de bak.

Als je geen games speelt, zijn de geïntegreerde

graphics voldoende. Ze spelen video's af in alle gangba-

re resoluties en formaten met bijna geen cpu- belasting,

wat de batterij spaart en zorgt dat de ventilators zich

koest houden. Ze zijn in beperkte mate geschikt voor

3D-toepassingen. Google Earth draait prima zonder

een losse gpu, games met low-end 3D-graphics zoals

The Sims of World of Warcraft ook, net als verslavende

2D-games zoals Candy Crush.

Bij AMD-processoren worden de geïntegreerde

gpu’s Radeon Vega genoemd en bij Intel zie je meestal

Windows on ARM

Microsoft en Qualcomm pushen al jaren Windows-apparaten met ARM-proces-

sors in plaats van de oudgediende x86-cpu-architectuur die door alle AMD- en In-

tel-processors gebruikt wordt. Maar het daaruit voortvloeiende gebrek aan com-

patibiliteit met programma’s en randapparatuur is een ernstig probleem, en de

apparaten zijn flink aan de prijs.

De Asus ZenBook Pro Duo heeft twee beeldschermen. Het tweede scherm neemt de volledige breedte in tussen toetsenbord en hoofdscherm.

60 www.ct.nl

Koopadvies / Laptops

UHD 620 (achtste Core i-generatie) of alleen UHD (tien-

de Core i-generatie) vermeld staan. Helaas husselt In-

tel bij de tiende Core i-generatie veel namen door

elkaar. Er zijn zowel cpu’s met de aanduiding Core

i-10xxxU (14nm-procedé) en Core i-10xxGx (10nm-pro-

cedé). Ondanks de ontbrekende U behoren deze laat-

ste ook tot de 15W-categorie. Met de achtervoegsels

G1 (voor i3 en i5), G4 (voor i3, i5, i7) of G7 (voor i5 en i7)

maakt Intel nogal overdreven duidelijk dat een betere

geïntegreerde gpu aanwezig is. Ja, die is wat krachti-

ger geworden en heet in G7-modellen geen UHD meer

maar Iris Plus, maar dit verandert niets aan het feit dat

je voor 3D-games nog steeds een aparte grafische chip

nodig hebt.

Let op: veel fabrikanten denken dat de meest rijke-

lijk uitgeruste versies van hun mainstream laptops nog

meer opgeleukt moeten worden en bouwen dan low-

end gpu’s zoals de GeForce MX150 of MX250 in. Maar die

chips zorgen voor een onnodig complex systeem, vre-

ten stroom en hebben een flink koelsysteem nodig. Dat

vermindert de accuduur en zorgt voor meer ventilator-

herrie zonder merkbare verbetering van de 3D-presta-

ties. Daarom raden wij aan om de net daaronder liggen-

de variant te nemen zonder een losse gpu. Als je graag

games speelt kies je toch wel voor een totaal andere lap-

top met een veel krachtigere gpu.

GAMING

Nvidia domineert al jaren de mobiele gpu-markt. De

high-end grafische chips uit de GeForce RTX 20xx-serie

hebben in laptops geen concurrentie te vrezen. AMD

heeft alleen iets in huis als tegenwicht in de midden-

klasse (GeForce GTX 16xx) – en is ook daar maar matig

vertegenwoordigd. Mobiele Radeon-chips zoals de RX

560X of 5500M zijn alleen te vinden in laptops waar zo-

wel een cpu als gpu van AMD in zit en in Apples MacBook

Pro 15" (zie ook het kader over MacBooks).

Bij gaming betekent middenklasse dat de gpu snel ge-

noeg is om recente games met gedetailleerde graphics

en mooie effecten vloeiend weer te geven in full-hd

(1920 × 1080 pixels). Meestal is er echter weinig ruimte

voor net even een tikje meer.

Als je de detailschuifjes naar rechts wilt schuiven,

liever een hogere resolutie gebruikt (bijvoorbeeld op

een externe monitor), of de AAA-titels van over een

jaar of twee wilt spelen, moet je een stap naar boven

doen en een dikke portemonnee meenemen. Laptops

met een leuke uitrusting en een midrange-gpu krij-

gen al snel viercijferige prijskaartjes [1]. Bij versies met

snelle GeForce RTX grafische chips moet je de eerste 1

op het prijskaartje vervangen door een 2. Prijzen kun-

nen zomaar twee keer zo hoog liggen, afhankelijk van

de uitrusting.

De R in RTX staat voor ray-tracing. Na de eerste hype

zijn zowel de vraag als het aanbod afgenomen, omdat er

maar weinig situaties zijn waarin die effecten een toege-

voegde waarde bieden. Op dit moment is er geen enkel

spel waarbij ray-tracing vereist is. De RTX-gpu’s zijn vaak

wel de snelste grafische chips die beschikbaar zijn voor

laptops - of je ray-tracing nu wat vindt of niet.

Instap-koopadvies

De prijsklasse van onder de 500 euro is een

prijsvechter-klasse. Laptops die speciaal

voor concurrerende prijzen zijn ontwikkeld

nemen het op tegen uitloopmodellen, spe-

ciale aanbiedingen en gebruikte apparatuur.

Er zijn ontelbare dingen waar je op moet let-

ten om ervoor te zorgen dat je laptop niet

een enorme tegenvaller gaat worden.

Dat begint met de rekenkracht, want In-

tel verkoopt allerlei zwakkere Pentiums en

Celerons met een totaal andere architec-

tuur dan de Core i3. De AMD Ryzen doet zijn

best naast zijn wat slome voorgangers A4,

A6, A8, A9 of hoe ze allemaal ook mogen he-

ten. In plaats van snelle ssd’s zit er een har-

de schijf of veel te weinig eMMC-geheugen

ingebouwd. En eMMC wordt nog vaak aan-

geduid als ‘ssd’.

Soms heeft een aanbieding geen Win-

dows-licentie. Gebruikte laptops hebben

bovendien vaak geen garantie meer via de

fabrikant en je kent de geschiedenis van het

apparaat dan niet (accu al versleten? koffie

overheen gemorst?).

Om een koopje te scoren, moet je de

technologie kennen en goed weten wat je

wilt. Gebruikte zakelijke laptops zijn fijn

als je een 4G-modem zoekt. Puur voor kan-

toor- en mediaconsumptie biedt de effici-

ente Pentium Silver N5000 voldoende po-

wer en een lange accuduur – en hij is lekker

stil dankzij de passief gekoelde cpu. Of je

de ideale laptop ook kunt vinden of dat dit

uitgesloten is vanwege een te kleine accu,

weinig geheugen, slecht scherm, gammel

toetsen bord, traag wifi of een irritant touch-

pad ... dat wordt even puzzelen. Er is een

handige simpele formule voor als je er niet

te diep in wilt/kunt duiken: wil je een aantal

jaren plezier van een laptop, kies er dan

een met een Core i5 of Ryzen 5, minimaal

8 GB RAM en een ssd van 256 GB. Met Win-

dows 10 meegeleverd beginnen de prijzen

rond de 500 euro voor een 15,6”-versie. Voor

de lichtere en compactere 13,3”- en 14”-lap-

tops moet je wat meer betalen, en dat geldt

ook voor de grotere 17,3”-laptops omdat die

minder massaal geproduceerd worden.

Bij laptops met privacy-schermen zoals de Lenovo ThinPad Xi Yoga is het scherm in een zeer kijkhoekafhankelijke modus te zetten. Zo kan niemand stiekem met je meekijken in de trein.

uitgave 4/2020 61

MacBooks

Apple MacBooks zijn dure premium laptops.

Als je macOS nodig hebt of daar aan gehecht

bent, krijg je geweldige mobiele hardware.

Maar je betaalt een behoorlijke Apple-toe-

slag. MacBooks hebben dezelfde Intel-pro-

cessors als Windows-laptops, maar zijn

duurder ondanks vergelijkbare hard ware –

zeker als je meer geheugen of ssd- capaciteit

wilt.

Apple is niet langer een trendsetter op

de laptopmarkt, maar teert op innovaties

uit het verleden, zoals de sterk op mobiel

gebruik gerichte MacBook Air en de eer-

ste MacBook Pro met een high-res Retina-

display. Apple was jarenlang de enige fabri-

kant met 16:10 beeldschermen, maar bij een

select aantal apparaten met Windows heb je

die keuze nu ook, zoals de huidige XPS 13

van Dell [5] en de Asus ProArt StudioBook

17 voor professionals. Er zijn ook Windows-

tablets en Microsoft-Surface-laptops met

een nog praktischere 3:2-verhouding.

BEELDSCHERMEN

Laptops voor gamers hebben vaak nog meer onderdelen

die op gamers zijn gericht. Als eerste zijn er de schermen

die meer dan 60 Hz aan refreshrate bieden. Schermen

met 144 Hz worden al aardig standaard en inmiddels

duiken ook de eerste laptops op met een 240Hz-scherm.

Als de panelen de gpu-specifieke technieken G-Sync

(Nvidia) of Freesync (AMD) ondersteunen – wat niet al-

tijd zo hoeft te zijn bij 144Hz-panelen – dan hebben ze

geen vaste refreshrate, maar passen ze deze dyna misch

aan op de framerate die de gpu op dat moment haalt.

Dit voorkomt onaantrekkelijke tearing in je beeld.

In principe heb je er geen scherm met bijzonder hoge

refreshrate voor nodig: er zijn ook midrange gaming-

laptops waarvan de schermen alleen tussen 40 en 60 Hz

dynamisch hun refreshrate matchen. Als je wel interesse

hebt in G-Sync, Freesync, 144 Hz en meer vind je dit al-

leen in een paar 15,6 of 17,3”-laptops met H- processor

en een stevige dedicated grafische kaart.

Bij 15,6-inch laptops zijn er verschillende ande-

re speciale uitvoeringen. Een selectief aantal appara-

ten met een luxe uitrusting hebben een oled-display.

Fancy IPS-schermen bieden ook krachtige kleuren en

AdobeRGB- of of DCI-P3-kleurruimte met een ruime

kijkhoek, maar echt diepzwart en dus een groot con-

trast krijg je alleen bij oled. De komende tijd zul je oled-

schermen ook steeds meer in premium 13,3-inch lap-

tops zien opduiken.

Een andere innovatie zijn laptopschermen waarvan

de achtergrondverlichting in zones kan worden gedimd.

Samen met een hoge maximale helderheid zijn dat soort

panelen geschikt voor het weergeven van HDR-content,

wat je eerder alleen zag bij bepaalde pc-monitoren en

ook tv’s.

IPS-schermen met hun ruime kijkhoek blijven de

standaard. Je vindt ze in laptops vanaf zo’n 500 euro.

In nog goedkopere laptops zitten echter nog steeds

TN-schermen met een lage resolutie, waarbij de kleu-

ren van opzij gezien vervormd of geïnverteerd lijken. Dat

is een enorme afrader, zelfs een goedkope smartphone

heeft een beter scherm.

Naast het steeds meer standaard worden van IPS-

schermen is er nog een andere positieve ontwikkeling

bij mainstream-laptops. Ze hebben namelijk steeds

vaker een mat scherm, tenzij het touchscreens zijn.

Bij high-end laptops gaat het er anders aan toe. Als de

laptop een zeer dun deksel heeft, wordt vaak een spie-

gelende acrylglasplaat voor het paneel geplaatst om

de stabiliteit op te krikken. Ook laptops met bijzonder

kleursterke schermen hebben geen matte laag omdat

dit het licht verstrooit. Grafische ontwerpers willen

geen beeld waarbij de weergave door omgevingslicht

wordt beïnvloed en niet meer accuraat is, maar kun-

nen beter ook zorgen dat de storende lichtbronnen in

hun omgeving vermeden worden.

Asus en HP verkopen beide een krachtige laptop

met twee beeldschermen: het hoofdscherm en een

tweede scherm tussen het toetsenbord en het dek-

sel [2]. Het toetsenbord is naar de voorkant van de be-

huizing verplaatst en het touchpad wordt rechts van

het toetsenbord geparkeerd. Beide apparaten hebben

vrij specifieke doelgroepen, maar in de toekomst zul je

waarschijnlijk vaker apparaten met een dubbel scherm

tegenkomen. Microsoft werkt zelfs aan een daarvoor ge-

optimaliseerde Windows 10X, die eind dit jaar klaar zou

moeten zijn. Tot die tijd kom je onder andere bij enkele

ZenBooks en VivoBooks van Asus een touchpad tegen

met de naam ScreenPad, wat eigenlijk een touchscreen

is. Als je dat echt als tweede scherm wilt gebruiken,

moet je een losse (draadloze) muis aansluiten.

ZAKELIJK

Bij zakelijke laptops die aan werknemers worden uitge-

deeld als werk-pc kom je nog een andere eigenschap

tegen. HP en Lenovo hebben IPS-panelen onder de na-

men SureView en Privacy Guard die met een druk op de

knop kunnen omschakelen naar een zeer kijkhoekaf-

hankelijke modus. Alleen als je recht voor het scherm

zit, is de scherminhoud dan leesbaar. Dat bespaart je het

aanbrengen van privacyfolie bij het werken in de trein of

in het vliegtuig om vertrouwelijke informatie te bescher-

men tegen nieuwsgierige aagjes.

Lenovo verkoopt Privacy Guard alleen bij een aan-

tal 14-inch modellen. HP's Sure View is al meerdere ge-

neraties te krijgen en is in verschillende schermafme-

tingen beschikbaar. Beide fabrikanten bieden die extra

bescherming alleen bij laptops met een forser prijskaart-

je. Ook de garantie opkrikken naar vijf jaar is veelal al-

62 www.ct.nl

Koopadvies / Laptops

leen mogelijk bij zakelijke laptops. On-site-service bij

defecten kom je ook tegen bij prijzigere consumenten-

laptops. Bij garantie-uitbreidingen, extra servicemoge-

lijkheden en een optionele verzekering tegen ongeluk-

jes moet je goed afwegen of dat wel de moeite waard is.

Als je je laptop bestelt met alles erop en eraan, komen

er ineens honderden euro’s extra bij. Je ziet bij goedko-

pere laptops ook dat de garantieperiode een kostenfac-

tor is, aangezien daar de garantie daarbij vaak niet meer

dan twee jaar is. Apple (MacBook) en Microsoft (Surface)

geven bovendien slechts één jaar garantie, ondanks de

zeer hoge prijzen. Voor meer garantie mag je je porte-

monnee trekken.

Enkele eigenschappen die je voorheen vooral bij

zakelijke laptops tegenkwam, zijn inmiddels verdwe-

nen. Dat zijn onder andere tweede accu’s voor een nog

langere accuduur die aan de laptop worden geklikt of

in plaats van de dvd-brander worden ingebouwd. Dat

komt niet alleen omdat er nauwelijks nog apparaten

met zulke drives zijn: een accuduur van meer dan 20

uur is haalbaar als de fabrikant zich goed inleest op

energiezuinig werken en speciale onderdelen zoals

panelen van 1 watt installeert. Meestal hebben de

huidige laptops een gemiddelde accuduur van vijf tot

acht uur. Minder dan dat kom je eigenlijk alleen tegen

bij gepimpte gaming-laptops.

UNIVERSAL DOCKING

Fabrikantspecifieke dockingstations met propriëtaire

multi-pins contacten vind je ook niet meer. In plaats

daarvan is universele USB-C-docking nu standaard.

Dat maakt het zelfs mogelijk om een laptop van fa-

brikant A te gebruiken met een dockingstation van fa-

brikant B – althans in de meeste gevallen. Om dat te

laten werken, moet de USB-C-aansluiting DisplayPort-

signalen voor externe beeldschermen doorsluizen

plus usb-data, en daarnaast stroom doorvoeren voor

het opladen van de accu.

Helaas is niet vastgelegd dat een USB-C-aanslui-

ting op een laptop al deze functies aan moet kunnen.

In plaats daarvan zijn eigen bouwsels toegestaan, zoals

alleen USB of USB plus DisplayPort, maar geen power.

Als je graag USB-C-docking wilt gebruiken, moet je goed

je huiswerk doen en in geval van twijfel bij de winkel of

fabri kant navragen hoe het zit. Of een van onze tests

raadplegen. Er zijn ook merkwaardige bijzondere geval-

len: we hebben een keer een laptop in huis gehad die via

de ene USB-C-aansluiting met USB en power kon om-

gaan en de tweede aansluiting kon overweg met USB en

DisplayPort. Op die manier krijg je nooit docking via een

enkele kabel voor elkaar.

Bij dure laptops kunnen USB-C-aansluitingen vaak

ook overweg met Thunderbolt 3. Bij deze apparaten kun

je ervan uitgaan dat docking via USB-C (of Thunderbolt)

werkt. Thunderbolts populariteit onder Windows is ech-

ter ondermaats – in tegenstelling tot bij Apples macOS.

Er zijn onder andere externe gpu-behuizingen voor die

laptops met geïntegreerde gpu’s ineens gaming-perfor-

mance bieden. Maar ze zijn duurder dan een complete

desktop-pc met dezelfde performance. Dan moet je wel

een zeer goede reden hebben om toch je laptop op zo’n

manier van meer grafische power te voorzien.

Mogelijk neemt de verspreiding van Thunderbolt

verder toe met het aanstormende USB 4 met 40 Gbit/s.

Dit is technisch gezien gebaseerd op Thunderbolt en

backwards-compatible [3]. USB 4 zal waarschijnlijk te-

gen het einde van het jaar in de eerste high-end laptops

opduiken. Het zal echter nog een paar jaar duren voor-

dat het in massaproducten te vinden is. USB 3.2 met een

transfersnelheid van 20 Gbit/s zal op den duur verdwij-

nen, in plaats daarvan zullen de fabrikanten misschien

liever het snellere USB 4 inbouwen.

Maar op dit moment is zelfs USB 3.1 met 10 Gbit/s

nog niet standaard, hoewel dat wel in alle huidige AMD-

en Intel-chipsets geïntegreerd is. Zelfs USB 3.0 met 5

Gbit/s is na tien jaar nog steeds niet overal te vinden.

Bij laptops in het lagere en middelste prijssegment is

het gebruikelijk dat de poorten aan één kant van het

apparaat slechts USB 2.0 spreken, omdat dit de inter-

ne opbouw een stuk simpeler en dus goedkoper maakt.

Vaak wordt aan die nog een kaartlezer weggestopt en

Linux-laptops

Er zijn slechts enkele laptops die worden uitgele-

verd met Linux en officiële ondersteuning daar-

van door de fabrikant in plaats van met Windows.

Dell verkoopt zijn XPS 13 premium-laptop als zo-

genaamde Developer-editie met Ubuntu 18.04 LTS.

Clevo-laptops kun je naar eigen wens samenstel-

len met een grote selectie aan Linux-besturings-

systemen zoals Linux Mint, Debian, Ubuntu, Fedora

en Elementary OS.

Premium laptops zoals de HP Elite Dragonfly wegen ongeveer een kilo, halen een accuduur van 20 uur en zijn dankzij een 4G-modem altijd online.

USB-C vervangt de fabrikantspecifieke

dockingstations. Voor docking moeten de poorten

echter wel naast usb- ook DisplayPort-signalen

doorsturen en stroom leveren. Dat is niet altijd

het geval.

uitgave 4/2020 63

Er zijn laptops die je wel zeer uitgebreid aan je eigen wensen kunt aanpassen en zelfs van Linux kunt voorzien, zoals dit ultrabook van Clevo.

den configuraties van tientallen laptopmodellen op

voorraad. Meestal is er één Core i3-, i5- of i7-configuratie

per laptop. De hoeveelheid RAM en capaciteit van de ssd

en de schermresolutie nemen toe afhankelijk van het

cpu-model.

Wil je een mooi oled- of 4K-scherm? Dan kom je vaak

automatisch uit bij het topmodel. De configuratie die je

eigenlijk wilt met een mid-end cpu en een zo groot mo-

gelijke ssd is vaak ook geen optie. Als er uit meerdere

kleuren voor de behuizing valt te kiezen, zijn die vaak

gekoppeld aan bepaalde uitvoeringen. In zeldzame ge-

vallen verschillen de versies op ongebruikelijke punten,

zoals de accucapaciteit.

Dat levert het probleem op dat je geen review kunt

vinden van de exacte uitvoering die jij wilt hebben. Een

vuistregel is dat een andere cpu van dezelfde gene-

ratie en modelserie en een andere RAM-hoeveelheid of

ssd-capaciteit niet leiden tot merkbare verschillen in de

accuduur, het gewicht of het ventilatorgeluid. De situ-

atie is anders voor onderdelen zoals de aan het begin

genoemde low-end grafische chips. 4K-displays heb-

ben meer energie nodig dan full-hd-displays. Een beter

beeld gaat hand in hand met een kortere accuduur.

Bedrijven die zakelijke laptops in grote hoeveel-

heden bestellen, hebben de optie van eigen configura-

ties, maar consumenten hebben die keuze niet. Apple,

Dell en Lenovo bieden fiks geprijsde laptopmodellen die

je zelf kunt samenstellen in hun webwinkels, maar die

staan geen extreme combinaties toe zoals de zwakste

cpu met de grootste ssd.

Zoiets is alleen mogelijk bij kleine lokale laptop-

leveranciers die via Aziatische fabrikanten barebone-

laptops inkopen en die verkopen onder hun eigen naam,

helemaal naar wens van de klant. Dat bedrijfsmodel is

echter niet houdbaar op de massamarkt, waar lage prij-

zen worden gehaald door hoge volumes en veel auto-

matisering. Dat is alleen weggelegd voor dure gaming-

laptops en niche-apparaten. Omdat barebone-laptops

speciaal zijn ontwikkeld voor individuele montage, zijn

ze meestal dikker en zwaarder dan vergelijkbare hard-

ware van de grote laptopfabrikanten.

GEEN GEKNUTSEL

Als je ondanks het grote aanbod aan laptops geen opti-

male configuratie kunt vinden, raden we aan om na aan-

koop niet meteen met een schroevendraaier te gaan

zwaaien en een net gekochte laptop om te bouwen. In

plaats daarvan kun je beter het best mogelijke compro-

mis in huis halen. Of je bijt door de zure appel heen en

geeft wat meer geld uit – voor een grotere ssd of zo.

Je verliest de fabrieksgarantie als je er zelf een an-

dere zet, zodat je bij een later defect met de gebakken

peren zit. Daarnaast zijn platte laptops juist mogelijk

geworden omdat je er zelf niet meer aan kunt knutse-

len en veel componenten vastgesoldeerd zitten op het

moederbord om ruimte te besparen. Vastgesoldeerde

cpu’s zijn standaard, hetzelfde geldt voor aparte gpu’s

en in toenemende mate ook voor het geheugen. Zo is er

geen standaard voor insteekmodules met energie zuinig

LPDDR-geheugen in laptops met extreme accuduur.

Apple soldeert ook de flashdelen van de ssd vast omdat

alleen via USB 2.0 aangesproken, wat snelle SD-kaarten

nogal flink afremt.

WIFI IN PLAATS VAN KABEL

Wifi is de favoriete manier om je laptop met internet te

verbinden. RJ-45-connectoren sterven langzaam uit.

Des te belangrijker is het dat een wifi-adapter lekker

snel is. Bij prijzen van meer dan 800 euro is de kans groot

dat de wifimodule het moderne Wi-Fi 6 (IEEE 802.11ax)

ondersteunt. Bij lagere prijzen is de voorganger Wi-Fi 5

(IEEE 802.11ac) nog steeds de standaard. In beide geval-

len zenden de adapters niet alleen op de 2,4GHz-band,

maar ook op de 5GHz-band, waar je flinke snelheden

haalt maar het bereik minder is. In bepaalde woon-

wijken kom je niet om de 5GHz-band heen: de 2,4GHz-

band zit daar meestal propvol.

Helaas geven winkels en fabrikanten in de data-

sheets van laptops zelden aan hoeveel streams een wi-

fi-adapter gebruikt. Voor Wi-Fi 6 zijn tot nu toe alleen

dualstream- chips gebruikelijk, Bij Wi-Fi 5 bestaan mo-

dellen met één, twee of drie streams – die laatste vrij-

wel alleen in dure MacBooks. Zelfs bij mid-range laptops

komen we erg vaak alleen maar trage singlestream-

adapters tegen in plaats van de gewenste dualstream.

Geïntegreerde mobiele modems zitten alleen in

dure zakelijke laptops. Voor fabrikanten is alleen daar-

bij de integratie en certificering van extra antennes de

moeite waard. Bedrijven zijn bereid geld uit te geven

om hun werknemers via mobiele verbindingen weg te

houden van hotspots, waar hun bedrijfsdata niet vei-

lig zijn. Op dat moment is een 4G-modem de norm. 5G

zal bij laptops naar verwachting vanaf medio 2020 be-

schikbaar zijn. Als consument is het goedkoper en han-

diger om een 4G-stick aan te schaff en of indien nodig

de internet verbinding van je smartphone via wifi, blue-

tooth of USB te delen met je laptop.

COMPLEET OF NIET

Omdat laptops als complete systemen worden ver-

kocht, kunnen ze vrijwel altijd alleen worden gekocht

in door de fabrikant gespecificeerde uitvoeringen. Geen

enkele fabrikant of winkel heeft duizenden en duizen-

64 www.ct.nl

Koopadvies / Laptops

die worden aangestuurd door een interne beveiligings-

chip. Fabrikanten weten precies welke componenten ze

moeten kopen en installeren voor de montage. Compa-

tibiliteit met andere componenten is niet gegarandeerd

en wordt soms zelfs verhinderd door onderdeellijsten

die in het BIOS opgeslagen zijn. Goedkeuring voor speci-

fieke frequentiebanden is van invloed op mobiele data-

adapters en wifi-adapters.

Maar we zijn ook minder goed verklaarbare incom-

patibiliteiten tegengekomen – bijvoorbeeld een oude-

re laptop van 400 euro die niet wilde opstarten met een

nieuwe SATA-ssd. Als de laptop in de uitgeleverde toe-

stand prima werkt en de ssd werkt in andere systemen,

kun je in zo’n geval niet klagen over een defect bij de win-

kel en vragen of ze het product terugnemen.

LEKKER PREMIUM

Aangezien in goedkope en dure laptops dezelfde cpu’s

zitten, zie je zeer vergelijkbare prestaties. Als tenmin-

ste een te zwak koelsysteem de cpu niet hard afremt.

De verschillen zitten hem echter vaak in de vele klei-

ne details die samen het complete systeem vormen.

Als je bijvoorbeeld vaak in een donkere omgeving

werkt, biedt een verlicht toetsenbord meer comfort.

Alleen bij de hogere middenklasse-laptops zie je toets-

verlichting. Dan zit je al snel op 800 euro voor een

13,3”- of 14”-laptop.

In dat soort laptops zit meestal ook een vinger-

afdruk lezer die inloggen via de Windows 10-functie

Windows Hello mogelijk maakt. Dan hoef je je wacht-

woord niet meer in te typenikken. Vingerafdruklezers

die in touchpads zijn geïntegreerd zie je steeds vaker,

maar die snoepen wat ruimte af van je touchpad. Daar-

om zijn lezers in de polssteun of in de aan-uitknop be-

ter. Een webcam met ondersteuning voor Windows

Hello, die gebruikers detecteert via gezichtsherken-

ning, vind je in nog duurdere premium-laptopseries.

Hetzelfde geldt voor sensoren om de helderheid van

het scherm aan te passen aan de omgeving. In het pre-

miumsegment promoot Intel momenteel de integratie

van extra sensoren en handigheidjes via het marketing-

programma Project Athena [4]. Zo zijn er al laptops met

afstandsdetectoren naast de webcam, die detecteren

of je nog voor het scherm zit. Zo niet, dan wordt de lap-

top op stand-by gezet om stroom te besparen. De sen-

sor blijft nog steeds actief en maakt de laptop wakker

zodra je er weer achter zit. Via de Hello- webcam word

je meteen weer ingelogd.

Andere systemen houden je in de gaten via de web-

cam en tonen waarschuwingen in beeld als er iemand

over je schouder mee zit te kijken. Als de laptop een

privacy filter voor het scherm heeft, kan dat worden

aangezet. Het doel van Project Athena is, net als bij de

voorganger ultrabook, dat dergelijke premium-featu-

res over een paar jaar breed beschikbaar zullen zijn.

Een zeer lange accuduur en of een bijzonder laag

gewicht kom je vaker tegen als de prijs van het appa-

raat hoger ligt. Dat komt omdat de fabrikanten dan

duurdere maar ook lichtere of efficiëntere onderdelen

gebruiken. Bovendien is er in het algemeen meer bud-

get beschikbaar voor finetuning, zoals een bijzonder

stil koel systeem.

Laptop-tablet-hybride

Sinds Windows 8 promoot Microsoft tou-

chbediening en bouwen fabrikanten hybri-

de apparaten die als laptop en als tablet

kunnen worden gebruikt. Twee ontwer-

pen zijn inmiddels populair: een versie

met 360- gradenscharnieren, waardoor het

scherm compleet omgeklapt kan worden

en het toetsenbord dan meteen wordt uit-

geschakeld. Of je krijgt een Windows-tablet,

die ook kan worden ingezet als een laptop

dankzij een (meestal magnetisch) koppel-

baar toetsenborddeel. Vaak geven de fabri-

kanten hun hybride apparaten speciale na-

men mee, zoals de Spin/Switch (Acer), x360/

x2 (HP) of 2-in-1 (Dell), maar dat is niet altijd

het geval. Lenovo heeft zijn vroegere aan-

duiding Yoga bijvoorbeeld doorgetrokken

en verkoopt ook normale laptops onder die

naam.

Laptops met 360-gradenscharnieren zijn

duurder dan normale laptops door het uit-

gebreidere mechaniek dat nodig is. Ze zijn

zeer zwaar vergeleken met tablets: met

één hand vasthouden is haast niet te doen,

laat staan ze voor langere tijd als tablet ge-

bruiken. Maar 360-gradenscharnieren zijn

ook te vinden bij grotere laptops, zelfs tot

17,3”-exemplaren aan toe[6]. Zulke grote

schermen zitten niet in het tabletaanbod.

Windows-tablets met afneembare toet-

senborden kom je eigenlijk alleen nog maar

met moeite in de middenklasse tegen. Als

je zo'n apparaat wilt gebruiken als een vol-

waardig laptop met een voldoende krach-

tige Core i-cpu, moet je kijken bij het dure

premium-aanbod. Bij een low-end tablet

als laptopvervanger moet je veel compro-

missen sluiten door het gebrek aan reken-

kracht en geheugen. Wil je graag een puur

consumentenapparaat, kijk dan eens naar

een Chromebook of Android-tablet (zie het

volgende artikel). Die zijn eventueel ook ge-

schikt als tweede apparaat naast een nor-

male laptop.

Windows-tablets met een steun en aankoppelbaar toetsenbord zijn te gebruiken als laptop.

Literatuur

[1] Florian Müssig en Alieke van Sommeren, Bijzondere combi, Gaming-laptop met Ryzen-cpu en GeForce-gpu,

c’t 12/2019, p.96

[2] Florian Müssig en Daniel Dupré, Dubbel zien, Krachtige laptops met twee schermen, c’t 1-2/2020, p.66

[3] Florian Müssig en Marco den Teuling, Universele verwarring, Specificaties voor USB 4 definitief,

c’t 11/2019, p.12

[4] Florian Müssig en Daniel Dupré, Athena-approved, Drie premium-notebooks volgens Intels Athena

specificatie, c’t 11/2019, p.80

[5] Florian Müssig en Daniel Dupré, Schermmeester, Dell XPS 13 2-in-1, c’t 1-2/2020, p.26

[6] Florian Müssig, Flinke hybride, Dell Inspiron 17 7000: 17”-notebook met 360-graden scharnieren,

c’t 12/2016, p.26

uitgave 4/2020 65

HET MAG WEL WAT MINDER

Tablets en Chromebooks als

laptop-alternatief

Stefan Porteck en Alieke van Sommeren

Klein, licht, stil en een accuduur van meer dan

tien uur, en dat voor minder dan 400 euro – een

standaard Windows-laptops voldoet maar aan

een paar van die eisen, nooit aan allemaal. Toch is

het mogelijk dat voor elkaar te krijgen. Als je wat ver-

der kijkt dan je neus lang is, hoef je niet per se een

Windows-laptop te hebben. Voor schoolgaande kin-

deren, studenten of mensen die buitenshuis werken

zijn Chromebooks meestal een goed en goedkoop al-

ternatief. Voor sommige gebruikers is zelfs een tablet

al voldoende.

Het feit dat tablets nu niet meer als puur leuk

speelgoed gezien worden, is te danken aan het pio-

Taken noteren, aantekeningen maken, mails controleren en afspraken maken – wie speciaal voor dat doel een Windows-laptop koopt, gooit veel geld over de balk. We laten zien welke apparaten stukken goedkoper en ook nog eens handiger zijn.

nierende werk van Microsoft en Apple met hun Sur-

face en iPad Pro. De iPad Pro heeft bijvoorbeeld een

goed display, solide en snelle hardware en scoort

extra pluspunten met zijn Smart Keyboard Folio en

pen invoer. Als je al in het Apple-ecosysteem werkt,

is er weinig wennen aan, want je kunt al je gege-

vens kwijt in de cloud die je al benut. Met een prijs

vanaf van 900 euro zijn de Apple Pro-tablets echter

geen koopje. Bovendien zitten de 135 euro voor de

pen en 200 euro voor het toetsenbord daar nog niet

eens bij. Zelfs als je het non-Pro-model neemt, zit je

al akelig dicht bij de 400 euro (390 euro voor 64 GB

opslag) voor puur en alleen de tablet, en dan komen

het toetsenbord (180 euro) en pen (100 euro) daar

nog eens bovenop. Ultra-mobiele apparaten hoeven

niet zo veel te kosten als je kiest voor het ecosysteem

van Android. Voor net wat onder de 400 euro krijg je

bijvoorbeeld een prima tablet van Samsung, en hoef

je er geen driecijferig bedrag bij te leggen voor een

bruikbaar Bluetooth-toetsenbord.

De voordelen van tablets zijn onder andere het

compacte formaat (ongeveer een A4-tje) en het

lichte gewicht (meestal minder dan 500 gram). Dat

66 www.ct.nl

Koopadvies / Laptop-alternatieven

betekent dat ze makkelijk overal mee naartoe te

nemen zijn. Je hoeft dan geen zwik kabels en een

stroomvoorziening mee te nemen. De huidige tablets

kunnen makkelijk een hele werkdag mee, meestal

zelfs meerdere dagen achter elkaar zonder op te la-

den. Als het werk af is, zet je het toetsenbord aan de

kant en is hij bruikbaar als een groter en beter alter-

natief voor je smartphone als het gaat om internet-

ten, gamen of video kijken.

Apps voor productiviteit en entertainment zijn in

overvloed te vinden via de app-stores van Apple en

Google. Maar specifieke desktopsoftware gebruiken

gaat niet lukken. Tablets lopen ook achter als het

gaat om comfortabel typen. Dat komt door de klei-

ne displays en dito toetsenborden. Een fullsize eigen

draadloos toetsenbord aansluiten kan natuurlijk,

maar dat is wat minder praktisch om mee te nemen.

Een tablet is vooral fijn voor gebruikers die veel on-

derweg moeten werken, maar niet lang achter elkaar

achter het scherm zitten.

FLEXIBELE HYBRIDES

Chromebooks beheersen de balans tussen note-

book en tablet veel beter. Ze hebben meestal een

schermgrootte tussen de 11 en 15 inch en fatsoen-

lijke toetsen borden. Ook is het aanbod nu zo groot

dat iedereen een goed compromis kan vinden tussen

grootte, prijs, typecomfort en draagbaarheid.

Het besturingssysteem is het slanke en snelle

Chrome OS, dat door Google is ontwikkeld. Dat bete-

kent dat de meeste Chromebooks in minder dan tien

seconden na het aanzetten al klaar zijn voor gebruik

en je begroeten met een desktop die wat van Android

weg heeft.

Chrome OS heeft nog steeds het imago van voor-

heen dat het eigenlijk alleen maar een veredelde

Chrome-browser is en Chromebooks zonder internet-

toegang vrijwel nutteloos zijn. Maar dat is niet meer

zo, want bestanden, documenten, mails et cetera

kunnen dankzij de geïntegreerde bestandsbeheer-

der offline worden bewerkt en lokaal, op netwerk-

schijven of op Windows-shares worden opgeslagen.

De cloudsynchronisatie wordt automatisch uitge-

voerd zodra er dan weer een internetverbinding be-

schikbaar is.

Desondanks kunnen Chromebooks hun ster-

ke punten het beste benutten bij het gebruik van

Google- services zoals Agenda, Gmail en de office-

suite Google Docs. Met die tools kun je bijna al je ta-

ken voor school, studie en werk in de browser doen.

De integratie met de Google-cloud zorgt ervoor dat

de applicaties en bestanden weinig lokale opslag-

ruimte nodig hebben en in realtime beschikbaar zijn

op andere apparaten. Vergelijkbare clouddiensten,

zoals die van Microsoft, werken (op kleine beperkin-

gen na) net zo goed.

Niet iedereen wil met webdiensten en add-ons

voor de ingebouwde Chrome-browser werken. Som-

migen hebben liever ‘echte’ lokale applicaties. Dat

is op vrijwel alle verkrijgbare Chromebooks moge-

lijk door het Android app-aanbod uit de Google Play

Store te gebruiken. Via de store vind je onder ande-

re Word en Excel om lokaal mee te werken. Als je fo-

to’s wilt bewerken is Snapseed, Photoshop Express

of Lightroom beschikbaar. De beperkingen van de

meegeleverde bestandsbeheerder zijn te omzeilen

met Total Commander, dat zelfs extra functies zoals

sftp-toegang biedt dankzij plug-ins. Maar er is een

duidelijk nadeel: veel Android-apps zijn ontworpen

voor smartphone-beeldschermen en zien er op een

tablet en Chromebook veel te opgeblazen uit.

LINUX IS EEN OPTIE

Als je aan desktopprogramma’s zoals Thunderbird

en Libre Office gewend bent en die graag wilt blij-

ven gebruiken, is dat via een lichte omweg ook mo-

gelijk. Chrome OS heeft sinds medio vorig jaar de

onder steuning van Linux-programma’s standaard

aan boord, waardoor dat niet alleen maar is voorbe-

houden aan gebruikers die hun Chromebook in

developer modus hebben gezet.

Het instellen is wel wat gedoe, want als je langs

grafische weg software wilt installeren, moet je eerst

een geschikte pakketmanager installeren via de

commandline. Maar dankzij verschillende uitvoerige

handleidingen op internet kan ook een minder erva-

ren gebruiker dat voor elkaar krijgen. Daarna kies je

simpelweg net als bij de Play Store de gewenste pro-

gramma's en installeer je die met een enkele muis-

klik. Zelfs de Android-ontwikkelomgeving Android

Studio is aan de praat te krijgen.

Tot nu toe noemt Google de Linuxondersteuning

in Chrome OS nog steeds bèta. De applicaties die

via de virtuele Linux-machine draaien zijn iets lang-

zamer en vragen wat meer resources. Daardoor zijn

Linux-programma's alleen lekker snel te gebruiken

op snellere en dus duurdere Chromebooks met een

i5- of i7-processor. Als je een zo flexibel mogelijke

Chromebook wilt, moet je via de website of forums

van de fabrikant nagaan of Linux standaard aanwe-

zig is voordat je tot aankoop overgaat. Chromebooks

Dankzij Linux- en Android-apps heb je onder Chrome OS inmiddels een uitgebreid aanbod aan software om uit te kiezen.

uitgave 4/2020 67

met 32-bit ARM-processors vallen buiten de boot.

Een 64-bit systeem is sowieso aan te raden, omdat

veel programma's niet meer in 32-bit versies worden

aangeboden.

DUURZAME WERKRELATIE

In de Windows-wereld hoef je je niet actief bezig te

houden met updates. Microsoft regelt dat al meer

dan 10 jaar automatisch voor de meeste versies van

Windows. Het einde van een ondersteuning, zoals

onlangs bij Windows 7, is dan ook geen probleem.

Je kunt eenvoudigweg upgraden naar een nieuwere

versie van Windows. De hardware van de meeste lap-

tops kunnen dat prima aan.

Als je echter kiest voor een tablet met toetsen-

bord of een Chromebook, krijg je maar een beperkte

tijd updates aangeboden. Voor Android-tablets gel-

den dezelfde cycli als voor Android-smartphones. De

meeste grotere fabrikanten leveren twee tot drie jaar

nadat apparaten zijn uitgekomen updates. Bij fabri-

kanten van goedkopere toestellen komt het voor dat

er geen updates worden verstrekt of dat de tablets

slechts met een aantal maanden vertraging van up-

dates worden voorzien. In dat geval is het dus weer

zaak zelf de de website van de fabrikant uit te pluizen

voordat je je portemonnee trekt. Apple ondersteunt

de iPads ongeveer vijf jaar.

Chromebooks lijken op een normale laptop,

maar let goed op. Chrome OS garandeerde updates

voorheen tot zes en een half jaar na de release en

Google distribueert die zelf, in tegenstelling tot wat

bij tablets gebeurt. Dat gold niet voor afzonderlijke

Chromebook-modellen, maar voor hun processor-

architectuur. Het probleem is dat veel Chromebooks

meerderen jaren verkrijgbaar zijn en dat sommige

nieuwe versies om prijstechnische redenen geen ge-

bruik maken van de nieuwste cpu-generatie.

Als je niet oplet, koop je een apparaat waarvan de

ondersteuning al één of twee jaar later afloopt. Dat

mooie koopje blijkt dan ineens een dure slechte koop

te zijn als hij na anderhalf jaar al outdated is omdat

je geen updates meer krijgt. Voor bepaalde (nieuwe-

re) Chromebooks is de termijn verlengd tot acht jaar,

maar die geldt vanaf het moment dat de betreffende

architectuur is uitgebracht. Google biedt via de sup-

portsite een overzicht (zie de link op deze pagina) van

alle bestaande Chromebooks met daarbij hoe lang ze

nog ondersteund worden.

VAN BINNEN

Bij Windows-pc's geef je liever een paar euro meer uit

om een cpu met veel rekenkracht in huis te halen. Bij

Chromebooks is de cpu vaak al snel genoeg dankzij

de lagere prestatie-eisen van Chrome OS. Een duur

model met een Intel Core i5 of i7 is eigenlijk alleen

nodig voor powerusers die veel Android- of Linux-

applicaties naast elkaar gebruiken. Voor kantoor-

werk in de browser en een beetje naar Spotify luis-

teren of Netflix kijken zijn modellen met een Celeron,

Core m5 of de ARM-processor van Rockchip ruim vol-

doende. Zelfs een oud Chromebook als de R13 van

Acer met zijn MediaTek-cpu, waarop delen van dit ar-

tikel geschreven zijn, doet drie jaar na de release nog

steeds prima zijn werk voor dagelijkse taken.

Wat belangrijker is voor dagelijks gebruik, is de

hoeveelheid geheugen. Je Chromebook moet 4 GB

geheugen hebben, liever nog 8 GB. Het is beter om de

zeer goedkope modellen met slechts 2 GB geheugen

te mijden. Alhoewel Chrome OS met zijn web-apps

en een paar extra Android-apps nauwelijks gebruik

maakt van de flashopslag, moet je ook niet een te

lage hoeveelheid kiezen. Met 32 GB wordt het snel

krap wanneer je een paar muziekalbums of films

downloadt voor offline gebruik.

In tegenstelling tot Windows 10 kan Chrome OS

volledig en zeer eenvoudig via het aanraakscherm

worden bediend. Chromebooks zijn deaarom een

ideale hybride tussen een laptop en tablet. Dat voor-

deel komt echter pas echt tot zijn recht bij modellen

met een convertible-scharnier. Met zo’n scharnier

kan het display compleet naar achteren worden ge-

klapt, zodat je hem als een platte tablet in je hand

kunt houden.

Het komt er al met al op neer dat Chromebooks

en tablets met een beetje gewenning, net zo goed ge-

schikt zijn voor kantoortaken en alledaagse taken als

laptops met Windows. Maar ze lopen vaak wel tegen

hun grenzen aan bij taken als foto- en geluidsbewer-

king, videobewerking en gaming – simpelweg om-

dat die programma’s niet voor Android, Chrome OS

en iOS te krijgen zijn. Als je dat soort taken niet op je

wensenlijstje hebt staan, kun je jezelf makkelijk wat

geld besparen en heb je minder onderhoudsstress in

vergelijking met een Windows-laptop, vooral als je

gaat voor een Chromebook.

Op Chromebooks draaien Android-

apps, maar die zijn niet allemaal geoptimaliseerd voor het grotere

scherm.

Linux-apps draaien onder Chrome OS is mogelijk, bijvoorbeeld Visual Studio Code voor wat programmeerwerk.

www.ct.nl/softlink/

2004066

68 www.ct.nl

BESTEL JOUW EXEMPLAAR VIA

WWW.FNL.NL/WINDOWSTOTAALGIDS

OF BEL NAAR +31 �0�85 2250 500

Windows 10TOTAALGIDS

OVERSTAPPEN VAN

WINDOWS 7 NAAR

WINDOWS 10

WINDOWS VEILIGHEID

EN PRIVACY

DE HANDIGSTE

WINDOWS�TOOLS

ALLES OVER

WINDOWS BEHEER EN

ONDERHOUD

Carsten Spille en Marco den Teuling

Er is nauwelijks een upgrade denkbaar die een oude

pc beter nieuw leven kan inblazen dan het ver­

vangen van een harde schijf door een ssd. Bij een

nieuw aangeschaft e pc of laptop zou je eigenlijk geen

harde schijf meer tegen moeten komen, hooguit als aan­

vullend opslagmedium.

Solid­state disks (ssd’s) zijn sneller, stiller en hebben

geen bewegende delen. Dat maakt ze ook beter bestand

tegen schokken dan de traditionele harde schijven. Wat

niet iedereen weet, is dat het gevoel van snelheid (zeker

bij het starten van het besturingssysteem en apps) niet

zozeer te danken is aan de hogere overdrachtssnelheid.

Op dat punt zijn ook de tragere ssd’s doorgaans wel dui­

delijk sneller dan een harde schijf, maar bij dagelijkse

bezigheden zul je relatief zelden honderden megabytes

tegelijk laden van of bewaren op de schijf.

Nee, de toegangstijd heeft een veel grotere invloed.

Zelfs langzame ssd’s zijn op dat punt vele malen sneller

SUPERSNELLE OPSLAG VOOR IEDEREEN

Aankoopcriteria voor een ssdDe vraag is niet of je een ssd wilt, maar welke. Ons koop-advies helpt je om voor elk systeem een geschikte ssd te vinden en de benodigde opslagcapaciteit goed in te schatten.

dan harde schijven. De onderlinge verschillen tussen de

diverse (typen) ssd’s vallen daarbij een beetje in het niet.

Ook al zien de gangbare SATA­ssd’s eruit als har­

de schijven voor laptops, binnenin zit slechts een klei­

ne printplaat met de controller en het flashgeheugen

en eventueel een kleiner, sneller tijdelijk geheugen

(DRAM­cache). De hoogte is vaak maar 7 mm of minder,

zodat ze in de meeste inbouwopeningen voor 2,5­inch

schijven passen. Een harde schijf in 2,5”­formaat met

meer dan 2TB capaciteit is vaak hoger, zodat die niet

past in een notebook of bijvoorbeeld in ons bouwvoor­

stel voor een mini­pc [1].

Doordat bewegende delen ontbreken, werken ssd’s

in principe geruisloos, al hoor je bij enkele modellen on­

der belasting wat gepiep van componenten. Ze hebben

ook weinig massa om te resoneren met de behuizing. Je

hoeft een ssd daarom niet trillingvrij te monteren. Voor

het bevestigen van een SATA­ssd in een 3,5­inch drive­

bay heb je voldoende aan een montageframe, dat je

bij veel ssd’s meegeleverd krijgt. In geval van nood kun

je een ssd zelfs met een van de zijkanten direct in een

drive bay vastschroeven.

De kinderziekten waar ssd’s in het verleden mee

kampten zijn ondertussen nauwelijks nog relevant. Ook

over de vrij conservatieve inschatting van de schrijf­

belasting door de fabrikant moet je je niet teveel zorgen

ALLES OVER DIT ONDERWERP

Aankoopcriteria voor ssd’s 70

Grote en snelle ssd’s 73

70 www.ct.nl

Koopadvies / Een ssd kiezen

In bijna elke pc uit het vorige decennium kan wel een ssd worden aangesloten. Een geschikte voedingskabel (of adapter) en een SATA-datakabel is genoeg.

maken. In de praktijk schrijven de meeste mensen hele-

maal niet zoveel gegevens naar een ssd – en bovendien

hebben we bij een duurtest al eens gezien dat de meeste

ssd’s een veelvoud van de opgegeven waarde halen (zie

de link op de volgende pagina).

Het is wel verstandig om niet te kiezen voor de al-

lergoedkoopste ssd van een onbekend merk die je on-

line kunt vinden. Het is niet zozeer dat er misschien in-

eens andere componenten worden gebruikt, want dat

komt ook bij de gerenommeerde merken wel voor, maar

de fabrikant kan ook zomaar helemaal verdwijnen en

bij garantiegevallen of problemen is het moeilijk of on-

mogelijk om contact op te nemen. Zeker als je via een

vage online webshop bestelt is het lastig om dan tot een

oplossing te komen.

SATA, MSATA, M.2 EN NVME

De voorwaarden waaraan een pc moet voldoen om te

kunnen upgraden met een SATA-ssd zijn minimaal. In

principe kun je in bijna elke pc uit het voorgaande de-

cennium nog wel een dergelijke snelle schijf aansluiten:

een SATA-datakabel en een SATA-stroomkabel (of een

verloopstekker voor een 4-pins voedingskabel) is het

enige dat je nodig hebt. Of de controller SATA biedt met

het modernere 6 Gbit/s (SATA3) of slechts met 3 Gbit/s

(SATA2) speelt geen grote rol. Alleen bij SATA-aansluitin-

gen met 1,5 Gbit/s (SATA1) heb je weinig voordeel van

een ssd, omdat daarbij de AHCI-modus ontbreekt.

De toekomst ligt bij de platte, reepvormige M.2-

ssd’s. Daar heb je een slot op het moederbord voor no-

dig dat past bij de lengte van het specifieke type M.2:

2230, 2242, 2260, 2280 en 22110 zijn gangbare maten.

De laatste twee cijfers geven daarbij de lengte in milli-

meters aan van de M.2-ssd. Het meest gangbaar zijn de 8

cm lange modules (2280).

Ssd’s in M.2-formaat zijn er met het NVMe- of het

SATA- protocol. Niet elk M.2-slot kan booten met die laat-

ste variant. Bij de eerste M.2-ssd’s waren er ook model-

len met het AHCI-protocol, waarvoor een speciale driver

nodig was en die vooral waren bestemd voor pc-fabri-

kanten.

NVMe-ssd’s gebruiken PCIe-Express en zijn via

twee of vier lanes verbonden. De gangbare PCI-Express

3.0-standaard biedt per lane in elke richting 1 GB/s. Met

vier 3.0-lanes houdt het dus op bij 4 GB/s. In de praktijk

zal de ssd door de overhead (van het protocol) nog wat

langzamer zijn. Met slechts 2 in plaats van 4 lanes wordt

ook de snelheid gehalveerd.

PCIe 4.0-ssd’s kunnen, als zowel moederbord als

processor dat ook ondersteunen, snelheden bieden

tot bijna 8 GB/s. Op het moment van schrijven werkt

dat alleen met AMD’s Threadripper 3000-platform en

X570-moederborden met een AM4-slot voor Ryzen

3000-processors. Het werkt alleen met de normale pro-

cessors. De Ryzen 3000-combiprocessors met geïnte-

greerde grafische unit ondersteunen geen PCIe 4.0.

In de praktijk halen de snelste NVMe-ssd’s met PCIe

4.0 tot nu toe maximaal 5 GB/s, snellere modellen zijn al

aangekondigd.

Ook al is mSATA een soort praktische combinatie

van SATA en M.2, die standaard is min of meer dood.

Zelfs als je nog een moederbord hebt met een dergelijke

aansluiting, kun je beter een normale SATA-ssd kopen.

Je hebt dan meer kans dat die ook nog in een volgende

pc kan. Een mSATA-ssd is hooguit handig bij laptops die

geen alternatief bieden, of in een externe usb-behuizing

als portable opslagmedium.

Ssd’s met een U.2-aansluiting zijn bestemd voor ser-

vers en meestal ook erg prijzig. Op doorsnee moeder-

borden zit daar bovendien geen aansluiting voor en heb

je ook nog een dure adapter nodig.

OPSLAGCAPACITEIT

Eind 2019 kostte 1 GB opslagruimte op een ssd onge-

veer 9 cent, een 1TB-ssd van Crucial kostte toen zo’n 90

euro. Dat is ongeveer het drievoudige van wat je in het

gunstigste geval kwijt bent voor een magnetische harde

schijf.

Gezien de prijs raden we als instapversie een 500GB-

model aan. Dat biedt, naast ruimte voor het besturings-

systeem en wat reserve voor updates, nog genoeg

ruimte voor de belangrijkste programma's en enkele

media bestanden of games. De beste prijs-prestatie-

verhouding hebben op dit moment de 1TB-ssd’s, waar-

op je ook aanzienlijk meer kwijt kunt.

Zelfs opslagreuzen met 2 TB ruimte zijn nu betaal-

baar geworden, zoals je kunt lezen in het artikel op pa-

gina 73. Daarmee nemen ze voor bijna alle toepassingen

de rol over van magnetische harde schijven voor consu-

menten en kunnen ze dienen als enige opslagmedium

in een pc.

Een 250GB-ssd moet je alleen gebruiken als dat

door het budget noodzakelijk is. In tegenstelling tot mo-

dellen met meer opslagruimte hebben ze vaak weinig

flashchips, waardoor de ssd-controller die niet parallel

kan benaderen en de schrijfsnelheid daardoor lager is.

Moderne ssd’s reserveren van de beschikbare op-

slagruimte een deel dat ze kunnen gebruiken als schrijf-

cache. Die zogeheten pseudo-SLC-cache werkt in de

snelste toegangsmodus en bewaart slechts een enkele

bit per cel. Bij een 250GB-ssd is die cache standaard al

kleiner ingesteld of neemt hij snel af naarmate de vrije

opslagruimte afneemt. Is hij eenmaal vol, dan halen

uitgave 4/2020 71

Het type mSATA (links) is in tegenstelling tot M.2 (rechts) niet populair geworden en komt niet meer voor op moderne moederborden.

Erg snelle NVMe-ssd’s met PCIe 4.0-interface hebben vaak

een erop vastgeschroefd of opgeplakt koellichaam. Bij het inbouwen moet je van tevoren

even nagaan of daar genoeg ruimte voor is.

sommige ssd's met flashgeheugen in TLC­ of QLC­cel­

technologie bij langdurige schrijfbewerkingen snel­

heden van minder dan 100 MB/s. Normaliter zijn der­

gelijke caches echter tientallen gigabytes groot en doet

dat rampscenario zich alleen voor als je je complete

Steam­gamebibliotheek of mediaverzameling overzet.

Daarnaast moet de bron de gegevens ook maar net snel

genoeg aanleveren.

Je komt bij ssd’s ook wel Intels Optane­techno­

logie tegen, maar dat is qua prijs geen alternatief en

meer bedoeld voor servers of workstations. Intel biedt

zelf M.2­ssd’s aan zoals de H10, die een snelle maar

kleine Optane­cache in plaats van pseudo­SLC gebrui­

ken om de langzame schrijfprestaties te maskeren van

het QLC­flashgeheugen op de SSD [2]. Ook daar heeft

de 256GB­versie met 16 GB Optane slechts de helft van

wat de 512GB­versie te bieden heeft. Die ssd’s hebben

bovendien een geschikt (Intel­)BIOS nodig, anders is de

Optane cache inactief – dat zijn dus geen aanraders voor

AMD­systemen.

SET-UP

Na het installeren moet je in de BIOS­set­up controleren

of de SATA­controller in de AHCI­modus draait – als die

op IDE of RAID staat ingesteld, moet je hem bij een scho­

ne installatie omzetten.

Zorg er ook meteen voor dat de bootvolgorde klopt,

zodat je computer vanaf de nieuwe ssd opstart.

Als je het besturingssysteem opnieuw installeert,

kun je de oude schijf (of schijven) beter eerst loskop­

pelen. Zo voorkom je dat je per ongeluk het verkeerde

installatiedoel kiest en behoud je de oude gegevens. Bo­

vendien komt de bootmanager van Windows dan zeker

op de juiste ssd terecht en kan de computer ook opstar­

ten als je je oude schijf voor andere doeleinden wilt ge­

bruiken.

Overigens: aangezien de data op ssd's willekeurig

benaderd kunnen worden zonder enig prestatieverlies,

heeft het defragmenteren van een ssd geen zin.

SSD'S IN LAPTOPS

Ssd's spelen in verschillende opzichten een bijzondere

rol bij laptops, en zijn zo mogelijk nog nuttiger bij mo­

biel gebruik.

De snelheidswinst is daarbij nog groter omdat de

harde schijven van laptops meestal aanzienlijk trager

zijn dan hun desktopvarianten. Door de afwezigheid van

bewegende delen zijn ssd’s ongevoelig voor schokken

bij mobiel gebruik. En ze wegen minder dan harde schij­

ven. Meestal kan in een laptop slechts een enkele ssd. Bij

het gangbare 7 millimeter hoge formaat is dat qua capa­

citeit geen probleem in vergelijking met harde schijven.

Harde schijven met meer dan 2 TB capaciteit zijn lastiger

omdat die eigenlijk alleen beschikbaar zijn met hogere

behuizingen. Aangezien het onderweg met een laptop

meer gedoe is om bestanden te benaderen op je thuis­

NAS of op externe harde schijven, is het verstandig om

in geval van twijfel bij een laptop voor een grotere capa­

citeit te kiezen.

Vooral bij compacte laptops is er meestal geen ruim­

te of mogelijkheid om een ssd achteraf te upgraden, om­

dat die vaak vastgesoldeerd zit en niet vervangen kan

worden. Voordat je een laptop aanschaft of een ssd be­

stelt als upgrade, moet je even controleren of dat wel

mogelijk is.

OUDE APPARATEN

Wil je besparen op ssd­capaciteit en daarnaast een oude

harde schijf of ssd blijven gebruiken, dan is dat geen

probleem. Hij kan misschien zelfs sneller werken dan

voorheen. Als je een oude ssd of harde schijf in het sys­

teem laat zitten, is het een goed idee om daar de minder

vaak benodigde gegevens op te parkeren. Je downloads

en bijvoorbeeld je muziekbestanden of videomap zet

je wel op de nieuwe schijf. Doordat de oude schijf niet

meer benaderd hoeft te worden voor de werking van het

besturings systeem, kan die schijf zelfs iets sneller aan­

voelen.

CONCLUSIE

Een ssd is het ideale opslagmedium. Met een SATA­ssd

van 500 GB zit je in de meeste gevallen aan de veilige

kant. Een kleinere capaciteit moet je alleen overwegen

als dat door het budget echt noodzakelijk is. M.2­ssd’s

met het NVMe­protocol zijn nog sneller. Koop als het kan

meteen een ssd van 1 TB, zodat je vaarwel zegt tegen

kunt zeggen tegen die ouderwetse harde schijf.

Literatuur

[1] Carsten Spille en Daniel Dupré, Zuinige 7­watt mini­pc, Zuinige

instap­ en of ice­pc voor 300 euro aan hardware, c’t 3/2020, p.46

[2] Lutz Labs, Intel Optane Memory H10, Turbo­ssd, c’t 7­8/2019, p.25

www.ct.nl/softlink/

2004070

72 www.ct.nl

Test / Grote ssd’s

ALLES OVER DIT ONDERWERP

Aankoopcriteria voor ssd’s 70

Grote en snelle ssd’s 73

TEST VAN 14 SSD’S MET 2 OF 4 TB OPSLAGRUIMTE

Grote en snelle ssd’sSsd’s zijn helemaal ingeburgerd als snel opstartmedium voor het besturingssysteem en je

programma’s. Veel (omvangrijke) data worden door de kosten nog op een harde schijf opgeslagen, maar dankzij verder dalende prijzen komen nu ook grote ssd’s in

aanmerking als opslagmedium daarvoor.

uitgave 4/2020 73

Ssd’s vanaf 2 terabyte – benchmarks en praktijkresultaten Seq. snelheden schrijven/lezen1 [MB/s] Snelheden PCMark 8 / schrijven H2testw /

schrijven bij 100 % vol 1 [MB/s]

IOPS schrijven/lezen2 Energieverbruik3 [W]

besser > besser > besser > < besser

Adata Ultimate SU800 (1,92 TB)

Crucial BX500 (2 TB)

Crucial MX500 (2 TB)

Intel SSD 660p (2 TB)

Kingston A400 SSD (1,92 TB)

Micron 1300 (2 TB)

Mushkin Source (2 TB)

Patriot P200 (2 TB)

Samsung 860 QVO (2 TB)

Samsung 860 QVO (4 TB)

SanDisk Ultra 3D (2 TB)

SanDisk Ultra 3D (4 TB)

Seagate Barracuda SSD (2 TB)

Western Digital Blue (2 TB)

1 gemeten met IOmeter, blokgrootte 128 kB 3 idle met LPM / idle / lezen / schrijven (geen LPM mogelijk bij Intel SSD 660p)2 gemeten met IOmeter, blokgrootte 4 kB, metingen met 8 GB groot bestand, IODepth=32

Lutz Labs en Marco den Teuling

Als je een paar jaar geleden als upgrade van je

pc een kleine ssd hebt ingebouwd, profiteer-

de je niet alleen van het sneller starten van

het besturingssysteem en de programma’s, maar

had je ook geen last meer van het voortdurende ge-

luid van de systeemschijf die wordt benaderd. Maar

nu is het tijd om ook van de laatste harde schijf af-

scheid te nemen: ssd’s met 2 TB opslagruimte zijn al

voor zo’n 200 euro te koop. We hebben twaalf mo-

dellen met prijzen van zo’n 200 tot circa 260 euro

getest, en voor nog meer opslagruimte ook twee

4TB-schijven, die minder dan 500 euro kosten.

Je kunt ssd’s met die capaciteit ook gebruiken

als je maar ruimte hebt voor één enkele schijf, zo-

als het geval is bij veel mini-pc’s (NUC’s) en laptops.

Klassieke harde schijven in 3,5”-formaat passen in

dat soort apparaten sowieso niet.

TEST-SSD’S

Bij het selecteren van de te testen ssd’s hebben we

vooral gekeken naar de prijs en niet gelet op het type

interface. De meeste ssd’s zitten in een 2,5”-behui-

zing en hebben een SATA-6G-interface. Verder zijn er

nog twee ssd’s bij in M.2-formaat, eenmaal met PCIe

en eenmaal SATA. SATA-ssd’s in M.2-formaat met die

capaciteit of groter zijn er nog nauwelijks – en die

zijn meestal ook duurder dan hun ingeblikte tegen-

hangers. De prijs van de WD Blue in M.2-vorm met

SATA-interface zakte op tijd tot binnen het gekozen

bereik, anders had dat type er helemaal niet bij ge-

zeten. De Crucial BX500 met 2 TB opslagruimte is re-

cent verschenen en kon daardoor in de test worden

opgenomen. Hetzelfde geldt voor de SanDisk SSD

Plus, maar die kwam te laat voor de test.

Er waren zelfs twee server-ssd’s die qua prijs in

aanmerking kwamen: de Kingston-SSD DC450R met

SATA-aansluiting en 4TB capaciteit en de Western

Digital Ultrastar DC SN630 met 1,92 TB. Het bijzon-

dere aan dat laatste model is de U.2-aansluiting. Die

lijkt wel op een M.2-aansluiting, maar de ssd zit in

een 15 millimeter hoge behuizing en wordt via een

mini-SAS-kabel aangesloten of in een geschikt ser-

verrack geplaatst. Voor thuisgebruik zijn U.2-ssd’s

meestal veel te duur en onpraktisch [1].

Er waren nog meer modellen die in aanmerking

kwamen, maar die waren slecht leverbaar of het

testmodel arriveerde daar te laat van. Uiteindelijk

hebben we 14 ssd’s bij elkaar verzameld om te tes-

ten: de M.2-PCIe-ssd Intel 660p, de M.2-SATA-ssd

WD Blue en de 2,5-inch SATA-ssd’s Adata Ultimate

SU800, Crucial BX500, Crucial MX500, Kingston A400

SSD, Micron 1300, Mushkin Source, Patriot P200,

Samsung 860 QVO, SanDisk Ultra 3D en Seagate Bar-

racuda SSD, allemaal met 2 TB. Verder hebben we

de 4TB-versies getest van de 860 QVO en de Ultra 3D.

Omdat sommige tests vanwege de hoge ca-

paciteiten erg lang duurden, moesten we de test-

exemplaren ruim op tijd binnen hebben. Er zullen

ondertussen waarschijnlijk nog meer modellen zijn

die binnen het prijsbereik vallen. Andersom kunnen

er ook modellen in prijs gestegen zijn of slecht ver-

krijgbaar zijn.

TLC VERSUS QLC

Het is opvallend dat bijna alle fabrikanten van ssd in

deze test ook makkelijk aan NAND-flash kunnen ko-

men: Crucial, Micron en Intel hebben hun krachten

gebundeld in de ondertussen beëindigde joint-ven-

ture IMFT. Kingston, SanDisk, Seagate en WD heb-

ben aandelen in de productiefaciliteiten van Flash

Forward en Samsung gebruikt zelfgemaakte geheu-

genchips. Alleen bij de ssd’s van Adata, Mushkin

en Patriot het is niet meteen duidelijk welk flash-

geheugen er gebruikt wordt.

527/564

508/558

512/563

1930/1939

507/561

533/536

521/563

514/560

533/563

533/562

528/562

533/551

464/563

533/562

155/313/525

41/105/495

190/360/510

147/157/1923

40/67/500

189/410/529

220/297/519

94/391/509

138/150/240

169/160/300

244/407/535

246/404/511

120/376/449

230/400/529

89111/99230

57491/50554

85333/98654

204313/200249

59651/56016

86039/95961

88467/99713

66218/66218

88184/88184

87811/93721

73773/95252

72595/98340

81040/81040

73184/95442

0,1/0,5/1,7/2,2

0,2/0,5/1,7/1,6

0,1/0,5/2,2/2,8

2,1/2,1/5,1/5,9

0,1/0,6/1,7/2

0,1/1,1/2,3/2,1

0,1/0,6/2/2,3

0,6/0,6/1,4/1,3

0,4/0,6/1,8/2,2

0,3/0,5/2,2/2,7

0,1/0,6/2,3/2,1

0,1/0,6/2,5/2,6

0,3/0,4/2,4/2,7

0,2/0,7/2,5/2,3

74 www.ct.nl

Test / Grote ssd’s

In een NUC is meestal slechts ruimte voor een enkele ssd. Met een groter exemplaar kun je hem bijvoorbeeld ook als NAS gebruiken. Ook in laptops past meestal slechts een enkele ssd.

Je koopt een ssd met 2 of 4 TB opslagruimte niet

om er alleen het besturingssysteem en een paar

programma’s op te zetten. Dergelijke ssd’s gebruik

je om je complete foto­ en videocollectie op te be­

waren, voor het snel starten van grote games en

misschien ook om bij videobewerking voldoende

opslagruimte te hebben bij het bewerken. Flash­

geheugen met 3 bit opslagruimte per cel (TLC, Tri­

ple Level Cell) Cel) wordt veel gebruikt en is voor de

meeste taken snel genoeg. Steeds meer fabrikanten

gaan vanwege de kosten echter over op QLC­flash­

geheugen (Quadruple Level Cell), dat 4 bit per cel

opslaat. De ssd­controller moet daar bij het lezen 16

verschillende spanningsniveaus in onderscheiden,

en die bij het schrijven ook in de cellen kunnen be­

waren – en dat duurt langer dan bij TLC­flash. Ook

kan dat geheugentype minder wiscycli doorstaan

dan TLC.

Bij TLC­flash gebruiken veel ssd­fabrikanten al

een zogenaamde pseudo­SLC­cache, waarbij een

deel van de cellen in een modus is gezet waarin ze

slechts 1 bit opslaan – maar dan wel veel sneller. Ss­

d’s met QLC­flashgeheugen profiteren ook van die

truc, want ze zijn nog iets langzamer dan die met

TLC­flashgeheugen: na het ononderbroken schrij­

ven van 30, 50 of meer GB daalt de datasnelheid bij

sommige modellen tot onder de 100 MB/s. Dat is

zelfs duidelijk trager dan een harde schijf.

De SLC­cache van de schijven bestaat vaak uit twee

delen: een statisch deel en een dynamisch deel,

waarvan de grootte afhangt van hoe vol de schijf is.

Intel geeft bijvoorbeeld aan dat de SLC­cache van

de 660p met 2TB maximaal 280 GB groot is bij een

lege schijf. Als de ssd voor 50 procent vol is, daalt de

cachegrootte tot 140 GB, bij 75 procent zijn er nog

maar 24 GB over.

Ssd’s met QLC zijn geen vervanging voor model­

len met TLC of het nog snellere en meer belastbare,

Wissen of hergebruiken

Het inbouwen van een grote ssd zorgt er

waarschijnlijk voor dat je een andere schijf

over hebt. Dat kan een overbodig gewor­

den harde schijf voor dataopslag zijn, de

oude opstart­ssd of misschien zelfs beide.

Je kunt die gewoon blijven gebruiken, bij­

voorbeeld in een externe behuizing. Harde

schijven in 3,5”­formaat hebben een eigen

stroomvoorziening nodig, ssd’s kun je ook

zonder losse voeding via een adapter aan­

sluiten op de usb­poort. Een test van ex­

terne usb­behuizingen staat in [2] en bij de

link bij dit artikel.

Stop je een harde schijf of ssd in een

usb­behuizing, dan kun je die eventueel

ook als back­up gebruiken: je bestanden

staan er al op. Wil je de schijf echter aan ie­

mand geven of doorverkopen, dan moet je

de data wissen zonder dat die terug te ha­

len is. Het is dan niet voldoende om ze in

Windows naar de prullenbak te verplaat­

sen, de gegevens staan dan nog steeds op

de schijf.

Bij harde schijven kun je volstaan met

het overschrijven van elke sector door een

willekeurige combinatie van nullen en

enen, maar bij ssd’s ligt dat ingewikkelder.

Ssd’s gebruiken een deel van de opslag­

ruimte voor beheertaken. Dat deel is niet

toegankelijk voor gebruikers. Toch moet

het wel gewist worden, want daarin kun­

nen zich nog gegevens bevinden.

In principe ondersteunen alle harde

schijven en ssd’s al jarenlang een com­

mando voor het veilig wissen met de naam

Secure Erase. Veel ssd­fabrikanten bieden

in hun ssd­tools een functie om een spe­

ciale usb­stick te maken. Daarmee kun je

de pc opstarten en de aanwijzingen opvol­

gen voor het veilig wissen. Een universele

oplossing om veilig te wissen, die echter

ook riskant kan zijn voor de bestanden op

andere schijven, is het booten van een Li­

nux­distributie en van daaruit hdparm ge­

bruiken (zie de link).

Harde schijven kun je daarnaast vei­

lig wissen met de Microsoft­tool disk-

part. Daarvoor open je een Opdracht­

prompt­venster met beheerdersrechten

en typ je diskpart in. Laat vervolgens

met list disk een lijst weergeven van

alle stations en kies met sel disk x de

schijf die je wilt wissen (x moet je daarbij

vervangen door het nummer van de te wis­

sen schijf). Vervolgens geef je de tool met

clean all de opdracht om alle sectoren

met nullen te beschrijven. Bij grotere ssd’s

kan dat al gauw enkele uren duren.

Voor hergebruik van een oude ssd zijn allerlei soorten externe behuizingen verkrijgbaar, zoals deze met het formaat van een grote usb-stick, waar een M.2-ssd in past.

uitgave 4/2020 75

Crucial heeft zijn budget­ssd’s van de

BX500­serie zonder veel ruchtbaarheid

uitgebreid met modellen met 1 en 2 TB,

en het oude model van 960 GB laten ver­

vallen. Er zijn ook veranderingen in het

gebruikte geheugen: Crucial gebruikt nu

QLC­flashgeheugen voor deze nieuwe

modellen.

Dankzij een vrij groot SLC­cache

merk je in de praktijk echter slechts wei­

nig van het trage geheugen, pas als de

schijf vol raakt daalt de schrijfsnelheid

na ongeveer 30 seconden tot minder dan

de helft.

Crucial BX500

Crucials MX500 wordt door veel mensen

beschouwd als een goed alternatief voor

de duurdere Evo­ssd’s van Samsung. Hoe­

wel de MX500 al twee jaar op de markt

is, kan hij qua snelheid en uithoudings­

vermogen nog steeds goed meekomen

met de nieuwere modellen.

Maar op sommige momenten zie je de

leeftijd van het model wel: bij het schrijven

heeft de MX500 bijna 3 watt nodig, meer

dan alle andere ssd’s in deze test. Waar­

schijnlijk komt dat doordat Crucial in deze

ssd het oudere NAND­flashgeheugen met

64 lagen gebruikt.

Crucial MX500

Adata gebruikt in de Ultimate SU800

NAND­flashgeheugen van Micron met

TLC­technologie. Samen met de Sili­

con­Motion­controller SM2258 zorgt dat

voor hoge snelheden bij het lezen en

schrijven.

De printplaat van de SU800 be­

slaat niet eens de helft van de ruimte

in de ssd­behuizing. Hij is voorzien van

slechts vier flashchips. Daarnaast is er

nog ruimte voor vier andere, dus de lay­

out is al ingesteld op de productie van

een 4TB­ssd. Adata biedt een dergelijk

model echter nog niet aan.

Adata SU800

snel ondanks QLC

traag bij hoge belasting

lage IOPS-waarden

snel

lange garantie

hoog energieverbruik

snel

idle energiezuinig

nogal prijzig

maar ook duurdere MLC­flashgeheugen. Zeker voor

toepassingen met een hoge belasting zal behoefte

blijven bestaan aan ssd’s met meer uithoudings­

vermogen. QLC en het nog in te voeren PLC (Penta

Level Cell, met een opslagcapaciteit van 5 bit per

cel) zal thuis en in datacenters vooral dienen als

vervanging voor harde schijven, vooral voor inhoud

die zelden gewijzigd hoeft te worden (cold­storage).

SPECIFIEKE TESTS

Een van de interessante punten bij deze grote ssd’s

is of ze hun snelheid kunnen behouden – zelfs als

ze vol zijn of wanneer er langdurige kopieeracties

zijn, zoals bij het overzetten van je hele fotocollec­

tie naar een nieuwe ssd. We gebruikten om te be­

ginnen ons testprogramma H2testw (zie link op de

laatste pagina van dit artikel) voor het testen, dat

de hele schijf vult met 1 GB grote bestanden. Ssd’s

met SLC­cache worden daarbij afgeremd tot hun

echte snelheid. Daarna hebben we met IOmeter de

schrijfsnelheid bepaald. Als die aanzienlijk lager

was dan bij een lege schijf, hebben we 5 procent van

de H2testw­bestanden gewist en opnieuw gemeten.

Terwijl de meeste ssd’s bij de eerste test met

H2testw een schrijfsnelheid haalden van ongeveer

400 MB/s over de gehele capaciteit, kwamen de

Intel­ en Samsung­ssd’s bij het schrijven bijvoor­

beeld niet verder dan 150 tot 160 MB/s, en kroop

Kingston daar nog onder met minder dan 70 MB/s.

De SU800 en Source haalden in deze test ongeveer

300 MB/s.

De ssd’s van Samsung vielen ook weer op in de

IOmeter­test daarna: beide haalden slechts zo’n

240 (2TB­ssd) respectievelijk 300 MB/s (4TB­ssd)

tijdens een minuut lang schrijven. Dat veranderde

ook nauwe lijks na het verwijderen van in totaal 20

procent van de H2testw­bestanden. Die twee ssd’s

hebben meer vrije ruimte nodig dan de andere voor

hoge schrijfprestaties.

Bij de verdere benchmarks horen metingen met

IOmeter bij een lege ssd. We hebben de metingen

van de schrijfsnelheid wat uitgebreid: de schijven

moesten niet alleen één minuut lang data ontvan­

gen, maar ook vijf minuten lang. Bijna allemaal kon­

den ze hun aanvankelijke snelheid daarbij behou­

den, alleen de Barracuda moest ongeveer 50 MB/s

inleveren. Daarbij moet je wel bedenken dat de ssd

in die vijf minuten al ongeveer 125 GB heeft opge­

slagen. Toch lijkt de SLC­cache van de Barracuda

iets kleiner dan die van de concurrentie.

Als een praktische benchmark hebben we weer

de uitgebreide storage­benchmark van PCMark 8

76 www.ct.nl

Test / Grote ssd’s

De enige PCIe­ssd in deze test heeft

moeite zich staande te houden tegen­

over de SATA­concurrentie – ondanks de

snellere interface. Hoewel hij erg snel is

voor de meeste taken dankzij de SLC­ca­

che, daalt de schrijfprestatie tot onder de

160 MB/s wanneer de cache vol is.

Er is inmiddels al een opvolger van de

660p: de 665p maakt gebruik van nieu­

wer flashgeheugen met 96 lagen, wat de

levensduur met 50 procent zou moeten

verlengen. Dat model moet binnenkort

verkrijgbaar zijn, maar prijzen zijn nog

niet bekend.

Intel SSD 660p

Bij het testen van de Kingston A400 wa­

ren we eogenlijk wel een beetje verrast:

alles ging vrij traag. Het formatteren van

de ssd duurde langer dan normaal en de

ssd deed er ook ongewoon lang over om

een grote hoeveelheid bestanden te ver­

wijderen.

Erger nog, we moesten ook nog eens

extreem lang wachten bij het schrijven

naar de ssd met H2testw: de snelheid

zakte tot minder dan 70 MB/s. De A400

droeg ook bij de opslagtest met PCMark

8 de rode lantaarn met 40 MB/s, net na

de BX500.

Kingston A400

De Micron 1300 hoort misschien niet he­

lemaal thuis in deze test, want de prijs

van minder dan 250 euro lijkt slechts

een tijdelijke dip te zijn geweest. Op dit

moment kost de ssd namelijk meer dan

260 euro.

Ongebruikelijk voor een ssd is dat

de 1300 bijna net zo snel schrijft als dat

hij leest. Dat geldt ook voor de toegang

tot willekeurige adressen. Micron maakt

gebruik van 3D-TLC-flashgeheugen met

96 lagen, en optioneel zijn ook model­

len met ingebouwde encryptie beschik­

baar.

Micron 1300

lange garantie

snel bij weinig data

opvolger verkrijgbaar

goedkoop

langzaam bij verwijderen

erg langzaam bij belasting

constante schrijfprestaties

idle energieverbruik

behoorlijk prijzig

gebruikt. Die belast de ssd’s ongeveer 24 uur lang

en meet tussendoor verschillende waarden. Daarbij

vielen de Ultimate SU800 en BX500 op met gemid­

delde waarden van slechts zo’n 40 MB/s. Positie­

ve resultaten zijn dat de Source, de twee modellen

Ultra 3D en de Blue waarden haalden van rond 230

MB/s. Je moet je daarbij niet verkijken op de on­

gewoon lage waarden bij die benchmark: zelfs een

PCIe 4.0­ssd als de Seagate Firecuda 5200 haalt

slechts 285 MB/s met die benchmark.

SATA VERSUS PCIE

De meeste van de geteste ssd’s hebben een SATA­

connector, er zit slechts één PCIe­ssd bij: de Intel

SSD 660p, een M.2­ssd met QLC­flashgeheugen. Dat

is niet alleen de goedkoopste PCIe­ssd, ook in ver­

gelijking met SATA­schijven is hij niet duur met een

prijs van minder dan 200 euro voor de 2TB­versie.

Bij sommige benchmarks ligt de 660p ver voor

op de andere ssd’s in deze test, bijvoorbeeld bij de

maximale leessnelheid. In de praktijk kan het voor­

deel van de snellere interface echter niet benut wor­

den: het QLC­NAND­flashgeheugen remt af bij hoge

belasting.

In de prijsklasse tot 250 euro zijn er zeker inte­

ressante PCIe­ssd’s met 2 TB opslagruimte, zoals de

Adata XPG SX8200 Pro, de Mushkin Pilot en de Sili­

con Power P34A80. Maar die waren niet beschikbaar

op het moment van testen.

MILIEUVRAAGSTUKKEN

De productie van ssd’s vervuilt het milieu. Daar

zijn wat cijfers over bekend: de Britse organisatie

Carbon Trust heeft in opdracht van Samsung (zie

de link bij dit artikel) het grondstofverbruik be­

paald voor het produceren van het huidige UFS 3.0

512­Gbit­flashgeheugen. Volgens de gegevens is

daarbij 310 liter water nodig en bedraagt de CO2­uit­

stoot 13,4 kilogram. Voor het maken van de 250GB­

ssd 850 Evo heeft Samsung ooit een waarde van 9,4

kilogram CO2 opgegeven. De vervuilende uitstoot

kan niet zomaar geëxtrapoleerd worden naar de ge­

teste modellen, maar het levert wel een referentie­

waarde op.

PRIJSKWESTIES

De ssd­prijzen hebben eigenlijk maar één richting:

naar beneden. Zo is de prijs van de al wat oudere

SanDisk Ultra 3D met 2 TB sinds het starten van de

verkoop ruim 2,5 jaar geleden gezakt van de oude

adviesprijs van bijna 700 euro naar minder dan 250

euro nu.

uitgave 4/2020 77

Ssd’s vanaf 2 terabyteModel Ultimate SU800 BX500 MX500 SSD 660p A400 SSD 1300

Fabrikant Adata Crucial Crucial Intel Kingston Micron

Typeaanduiding ASU800SS-2TT-C CT2000BX500SSD1 CT2000BX500SSD1 SSDPEKNW020T8 SA400S37/1920G MTFDDAK2T0TDL-1AW1ZABYY

Capaciteit volgens fabrikant1 1,92 TB 2 TB 2 TB 2 TB 1,92 TB 2 TB

Capaciteit volgens Windows 1908 GB 1863 GB 1908 GB 1908 GB 1788 GB 1908 GB

Bouwvorm / interface 2,5" / SATA 6G 2,5" / SATA 6G 2,5" / SATA 6G M.2 2280 / NVMe 2,5" / SATA 6G 2,5" / SATA 6G

Jaarlijkse uitvalskans2 0,44 % 0,58 % 0,44 % 0,55 % 0,87 % 0,58 %

Dagelijkse schrijfbelasting2 1461 GB 658 GB 658 GB 219 GB 548 GB 365 GB

Garantie 3 jaar 3 jaar 3 jaar 5 jaar 3 jaar 3 jaar

Prijs per gigabyte 13,9 cent 10,7 cent 12,6 cent 11 cent 11,2 cent 13,6 ct

Prijs e 265 e 200 e 240 e 210 e 200 e 260

1 Fabrikanten gaan uit van 1 GB = 1.000.000.000 bytes. Windows rekent echter met 1 GB = 1.073.741.824 bytes en toont daarom een lagere capaciteit. 2 Opgaaf fabrikant g.o. geen opgaaf

Voor zover wij weten is de Patriot P200 de

eerste ssd op de markt met een control­

ler van Maxiotek. Bij sequentiële bewer­

kingen kan de MAS0902A de gevestigde

concurrentie bijbenen, maar bij toegang

tot willekeurige adressen haalde de P200

slechts zo’n 65.000 IOPS.

Volgens sommige forumberichten

zou de P200 moeilijk te monteren zijn

in standaard externe SATA­behuizingen

omdat de SATA­connector een iets af­

wijkende positie heeft. We hebben dat

bij het testexemplaar niet kunnen vast­

stellen.

Patriot P200

Samsung bracht met de 860 QVO een

van de eerste ssd’s met QLC­flashgeheu­

gen op de markt. De QVO­ssd’s liggen

qua prijs duidelijk onder de populaire

Evo­modellen.

De ssd’s zijn volgens de fabrikant al­

leen snel als de SLC­cache daadwerkelijk

benut wordt, als de cache vol is daalt de

schrijfsnelheid tot ongeveer 160 MB/s.

Als je geen grote kopieeracties uit­

voert, zul je in de praktijk geen nega­

tieve efecten merken van het trage

QLC­geheugen, want de grote SLC­cache

maskeert dat.

Samsung 860 QVO

Mushkin gebruikt vrij gangbare compo­

nenten voor het Source­model ssd met

een SM2258 Silicon­Motion-controller

en 3D-TLC-flashgeheugen dat waar­

schijnlijk van Micron afkomt. Opmerke­

lijk is de hoge snelheid die de Source­

ssd onder hoge belasting bereikt: met

220 MB/s bij de PC Mark 8­benchmark

behoort hij tot de toppers in die disci­

pline.

Bij het schrijven met H2testw is de

snelheid 300 MB/s – ongeveer 25 pro­

cent onder de topmodellen, maar nog

steeds vrij snel..

Mushkin Source

voordelig

lage IOPS-waarden

geen LPM, idle-verbruik

snel

uitgebreid softwarepakket

langzaam bij belasting

snel, ook bij belasting

idle energiezuinig

slecht verkrijgbaar

Sommige marktonderzoekers waarschuwen echter

dat die trend dit jaar tot stilstand zou kunnen ko­

men of zelfs zou kunnen omkeren. Er wordt gespro­

ken over prijsstijgingen tot 30 procent, al zouden

dat soort stijgingen pas in de tweede helft van het

jaar komen. Bij sommige ssd’s zie je inderdaad een

lichte stijging ten opzichte van enkele maanden ge­

leden. Maar de prijsstijgingen voor specifieke ssd’s

zijn waarschijnlijk te wijten aan een aantal redenen.

Zo gaf Mushkin aan dat de verkoop van de Source de

verwachtingen heeft overtrofen.

Er is echter geen reden voor paniek. Zelfs als de ssd­

prijzen met 30% zouden stijgen, zouden ze doordat

ze in 2019 enorm zijn gedaald nog steeds onder het

niveau liggen van 2018.

CONCLUSIE

Alle ssd’s in deze test bieden grote hoeveelheden

opslagruimte. Ze zijn ook allemaal geschikt als

schijf om het besturingssysteem op te installeren,

al worden sommige langzamer bij zeer langdurige

schrijfprocessen. Dat speelt vooral bij de Kingston

78 www.ct.nl

Test / Grote ssd’s

Source P200 860 QVO 860 QVO Ultra 3D Ultra 3D Barracuda SSD Blue

Mushkin Patriot Samsung Samsung SanDisk SanDisk Seagate Western Digital

MKNSSDSR2TB-DX P200S2TB25 MZ-76Q2T0BW MZ7MH4T0HMLC SDSSDH3-2T00-G25 SDSSDH3-4T00-G25 ZA2000CM10002 WDS200T2B0B

2 TB 2 TB 2 TB 4 TB 2 TB 4 TB 2 TB 2 TB

1863 GB 1908 GB 1863 GB 3726 GB 1863 GB 3726 GB 1863 GB 1863 GB

2,5" / SATA 6G 2,5" / SATA 6G 2,5" / SATA 6G 2,5" / SATA 6G 2,5" / SATA 6G 2,5" / SATA 6G 2,5" / SATA 6G M.2 2280 / SATA 6G

0,58 % 0,44 % 0,58 % 0,58 % 0,5 % 0,5 % 0,49 % 0,5 %

g. o. 913 GB 658 GB 1315 GB 274 GB 329 GB 586 GB 274 GB

3 jaar 3 jaar 3 jaar 3 jaar 5 jaar 5 jaar 5 jaar 5 jaar

14,5 cent 11 cent 11,3 cent 11,8 cent 12,3 cent 12,9 cent 13,4 cent 12,9 cent

e 270 e 210 e 210 e 440 e 230 e 480 e 250 e 240

De SanDisk Ultra 3D, die al meer dan

twee jaar op de markt is, kan zich nog

steeds staande houden tegenover de

nieuwere concurrentie. Bij de test met

PCMark 8 eindigen de 2TB­ en 4TB-mo­

dellen ieder met ongeveer 245 MB/s bo­

venaan de lijst.

SanDisk heeft het Secure-Erase-pro­

ces enigszins onhandig opgelost: na op­

starten met een usb­stick die je maakt

via het SanDisk SSD Dashboard, moet

de te wissen ssd worden geselecteerd

via het serienummer dat erop staat. Niet

handig als de schijf ingebouwd is.

SanDisk Ultra 3D

Seagate is een tijdlang niet actief ge­

weest op de markt van desktop­ssd's.

Met de Barracuda SSD gebruikt het be­

drijf een bekende naam uit de wereld van

de harde schijven om die markt weer te

betreden.

De Barracuda SSD is niet de snelste

SATA­ssd die beschikbaar is, maar hij

houdt zich goed staande bij deze test

met zijn gemeten snelheid van iets min­

der dan 400 MB/s bij de H2testw-run en

een maximumsnelheid van 470 MB/s.

Met PCMark 8 werd echter maar 120 MB/s

gehaald.

Seagate Barracuda SSD

De WD Blue­ssd is de enige SATA­ssd in

M.2-formaat die momenteel beschik­

baar is voor onze grensprijs van 250

euro. Vooral als het gaat om het lezen en

schrijven van grote bestanden behoort

hij tot de top van de SATA­ssd’s. De hoge

snelheid houdt hij ook vol bij hoge be­

lasting.

De prijs van de 2,5­inch versie van

de Blue is inmiddels ook onder de 250

euro gezakt, en daarnaast is er ook een

versie met 4 TB – maar helaas kwam die

te laat binnen om in deze test mee te

nemen.

WD Blue

lange garantie

ook bij belasting vlot

Secure Erase omslachtig

lange garantie

enigszins prijzig

wat langzamer bij schrijven

snel bij lezen en schrijven

ook bij belasting snel

lange garantie

A400 en de Crucial BX500. Ook de geschiktheid als

snelle dataopslagruimte verschilt per model. De

Patriot P200, SanDisk Ultra 3D en WD Blue en met

enkele concessies ook de Seagate Barracuda en

Crucial MX500 leveren hoge schrijfprestaties gedu­

rende langere tijd, maar de Micron 1300 en Mush­

kin Source zitten al 25 procent onder dat niveau.

De twee modellen Samsung 860 QVO en de Intel

SSD 660p zijn te langzaam voor langdurige kopieer­

acties. De Crucial BX5000 en de Kingston A400 zijn

nog langzamer. Een langdurig hoge schrijfsnelheid

en QLC­flashgeheugen zijn geen goede combinatie.

Bij het lezen ontlopen de ssd’s elkaar niet veel, al

zijn er kleine afwijkingen naar boven bij de 660p en

naar beneden bij de 1300. Al deze ssd’s zijn goed

geschikt voor de meest gangbare toepassingen, de

verschillen merk je pas bij hoge belasting.

Literatuur

[1] Lutz Labs, Grote en snelle ssd's, Een blik op de U.2­interface, c’t 7­8/2018, p.32

[2] Lutz Labs, Nieuwe opslagruimte, Verschillende behuizingen voor harde schijven en ssd's,

c’t 5/2019, p.114

www.ct.nl/softlink/

2004073

uitgave 4/2020 79

Nodes

Materiaalkeuze

Bestandsbrowser

Collection

Workspaces kiezen

Gottfried Hofmann en Marco den Teuling

In de eerste twee delen van onze 3D-workshop

met Blender heb je twee modellen gemaakt: een

speelgoedtrein en een koffiemok. Die zien er in de

3D-weergave al best aardig uit, maar om ze een klein

beetje realistisch te maken ontbreekt er nog iets.

De speelgoedtrein kan bijvoorbeeld wel wat

kleur gebruiken en de koffiemok ziet er met een

glanzende porselein-look duidelijk interessanter uit.

Het gaat in dit artikel om uiterlijkheden, dat wil zeg-

gen om de oppervlakken en hoe je de eigenschap-

pen daarvan aanpast. Daarnaast leer je ook hoe je

modellen en andere gegevens uitwisselt tussen ver-

schillenden Blender-bestanden.

We beginnen met het porselein-materiaal. Laad

daarvoor het bestand met de koffiemok. Als je het

eerste en tweede deel hebt gemist, dan kun je die via

ct.nl online nog nabestellen. De Blender-bestanden

kun je downloaden van onze website (zie de link op

de laatste pagina van die artikel). Je kunt de proce-

dures ook toepassen op de apenkop-mascotte van

Blender (met de naam Suzanne). Die kun je invoegen

in de werkruimte met ‘Add / Mesh / Monkey’.

ER KLEUR IN BRENGEN

Blender-workshop deel 3: glanzend porselein en massief houtMet Blender kun je je virtuele objecten een realistisch ogend uiterlijk geven. Maak van een laf bakkie een stralende koffiemok of geef een speelgoedtrein een mooie houten uiterlijk.

WERKGEBIED

Net als in een fabriek heb je ook bij Blender voor

elk onderdeel van het arbeidsproces een eigen wer-

komgeving. Je wisselt tussen die workspaces met

de tabbladen bovenin naast de menubalk. Voor de

stappen in deze workshop ga je van de tot dusver ge-

bruikte Layout-omgeving naar Shading.

Rechts zie je dan nog steeds de vertrouwde Out-

liner en Properties Editor. Het in tweeën gesplitste

hoofdvenster bevat bovenin nog steeds een 3D-vie-

wport, maar die ziet er heel anders uit dan voorheen

bij het modelleren.

De weergave van de scène doet denken aan het

maken van een nieuw object, maar dan met een

grijsblauw ingekleurde achtergrond. Assen en een

raster ontbreken, in plaats daarvan vallen rechts-

onder twee kogelvormige indicators op. De linker

kogel is spiegelend, de rechter is diffuus en ziet er

meer uit als van gips. In de linker kogel wordt de om-

geving weerspiegeld. Als je de viewport beweegt, be-

weegt ook de spiegeling op de linker kogel en zie je

de lichtval veranderen op de rechter. De omgeving

zorgt voor de belichting van de scène. Je kunt daar-

mee inschatten of een object er in een realistische

omgeving geloofwaardig uitziet.

De editor onder de viewport is in eerste instan-

tie leeg. Dat is de zogeheten Shader Editor, waar je

later de eigenschappen van het materiaal bewerkt.

Het gedeelte links van het hoofdvenster is ook in

tweeën gesplitst en dient voor het beheren van en

80 www.ct.nl

Praktijk / Blender-workshop: oppervlakken

Als je op een kleurvak klikt, verschijnt er een venster met een kleurencirkel en verlooptint.

Porselein is niet ruw (maar ook weer niet helemaal glad) en glanzend.

werken met afbeeldingen. De Blender-bestands-

browser bovenin ken je al van het opslaan en ope-

nen van Blender-bestanden. In het onderste venster

kun je afbeeldingen bekijken en tot op zekere hoog-

te bewerken.

OPPERVLAKKIG

We gaan aan de koffiemok een materiaal toewijzen.

In Blender definiëren materialen hoe het oppervlak

of het binnenste van een object eruitziet, oftewel

hoe ze reageren als er licht op valt. In deze workshop

kijken we specifiek naar oppervlakken.

Selecteer de koffiemok. In de Shader Editor staat

bovenin een knop met het label New. Klik je daar-

op, dan verschijnen er twee zogeheten nodes in de

Shader Editor: de linker heet Principled BSDF Sha-

der, de rechter Material Output. Nodes worden altijd

gelezen van links naar rechts. Material Output defi-

nieert altijd het einde van de keten en is bij elk mate-

riaal verplicht. Je kunt in de Shader Editor trouwens

op dezelfde manier met de muis navigeren als in de

3D-viewport.

De verbindingen tussen de nodes geven aan

welke gegevens waarheen vloeien. Een verbinding

wordt altijd tussen twee sockets gemaakt. Die soc-

kets geven met hun kleurcodering niet alleen het ge-

gevenstype aan (en daarmee welke verbindingen in

theorie mogelijk zijn), maar via hun naam ook om

welke gegevens het eigenlijk gaat.

In ons voorbeeld is de BSDF-uitgang verbonden

met de Surface-ingang van de Material-Output-no-

de. Anders gezegd: BSDF staat voor Bidirectional

Scattering Distribution Function en is weer een mooi

voorbeeld van hoe Blender in de naamgeving meer

uitgaat van vakliteratuur dan dat het zich op begin-

ners richt. Belangrijk om te onthouden is dat het

gaat om gegevens die de interactie beschrijven tus-

sen het oppervlak en het invallende licht.

De Principled BDSF heeft een hele reeks inputs.

Als daar geen andere node aan is gekoppeld, kun je

de waarde rechtstreeks aanpassen. Klik bijvoorbeeld

op het kleurvlak naast Base Color. Er verschijnt een

kleurencirkel, waarop je met een klik de gewenste

kleur selecteert. De aanpassing zie je met een in de

viewport en het venster met de kleuren cirkel blijft

geopend totdat je de muisaanwijzer weg beweegt.

Via de balk met de zwart-witovergang rechts van de

cirkel kun je de helderheid van de gekozen kleur aan-

passen. Kies de pipet om met een enkele klik elders

in het Blender-venster de kleur op dat punt over te

nemen.

Geef de koffiemok een donkere kleur om spie-

gelingen beter te kunnen beoordelen en aanpassen.

Het object spiegelt al een beetje, maar oogt nog erg

mat. Het lijkt bijna alsof het oppervlak wat grof ge-

schuurd is. Hoe grof het oppervlak moet zijn, stel je

in met de regelaar Roughness. Zoals bij de meeste

instellingen in Principled Shader moet de waarde

liggen tussen 0 en 1.

De standaardinstelling van 0,5 kun je dus be-

schouwen als gemiddeld glad. Normaliter hebben

mokken echter een erg glad en spiegelend opper-

vlak. Stel bij Roughness daarom een waarde in die

net iets boven 0 ligt, zoals 0.05. Er moet een bepaal-

de minimale ruwheid overblijven, omdat perfect

gladde oppervlakken in werkelijkheid niet voorko-

men. Het resultaat lijkt in de praktijk al erg op por-

selein. Gelakte oppervlakken zijn een terrein waarop

de Principled Shader dan ook uitblinkt.

Je moet echter nog wel een kleinigheid aanpas-

sen, namelijk de sterkte van de spiegelingen. In de

shader vind je dat terug als Specular.

uitgave 4/2020 81

Welke van deze objecten horen bij de speelgoedtrein? Het is altijd zinvol om duidelijke namen te gebruiken.

Via het snelmenu kun je objecten toevoegen aan een

Collection.

De standaardinstelling van 0.5 is een goede, maar

vrij algemene waarde voor gangbare materialen

zoals hout en plastic. Gelakt porselein glanst ech-

ter meer. Verhoog de waarde bij Specular naar on-

geveer 0.8. Het resultaat moet dan nog iets meer op

porselein lijken.

TOEVOEGEN

Daarna gaan we aan de blokken van de speelgoed-

trein een materiaal toewijzen dat lijkt op hout dat zo

dik is gelakt dat de houtnerf (bijna) niet meer zicht-

baar is. Daarvoor willen we de trein echter eerst toe-

voegen aan de scène met de koffiemok. Dat kan op

twee manieren: Append en Link. Met de eerste laad

je een kopie van het model in het huidige bestand.

De tweede methode maakt een koppeling met het

oorspronkelijke model en laadt die in de scène,

maar dan kun je het niet aanpassen.

We willen de trein in het voorbeeld in hetzelf-

de project invoegen, omdat dat makkelijker is en

ze uiteindelijk beide op dezelfde salontafel terecht

moeten komen. Kies daarom ‘File / Append’. De be-

standsbrowser van Blender verschijnt dan. Blader

naar het .blend-bestand waarin je de trein hebt op-

geslagen of download het voorbeeldbestand via de

link bij dit artikel.

De bestandsbrowser ziet het .blend-bestand als

een soort map. Als je erop klikt, verschijnen er ver-

schillende ‘submappen’. Daarin staan bijvoorbeeld

de objecten waaruit de trein is opgebouwd. Die heb-

ben vaak namen zoals Cube en Cylinder.001.

OVERZICHT HOUDEN

Om de vaart er een beetje in te houden, hebben we

bij de voorgaande workshops nagelaten om de ob-

jecten herkenbare namen te geven en ze handig te

groeperen. Dat doen we nu alsnog. Bewaar het pro-

ject met de koffiemok en open het bestand met de

speelgoedtrein. Je kunt bij Blender geen meerde-

re projecten tegelijk geopend hebben. Wat er dan

eigenlijk gebeurt is dat er meerdere exemplaren

van Blender gestart worden. Je kunt de namen van

objecten wijzigen in de Outliner of op het tabblad

Object van de Properties Editor. Gebruik bij voorkeur

duidelijke namen, zoals ‘cabine’ en ‘ketel’.

VERZAMELINGEN

Als je de speelgoedtrein op dit moment wilt toevoe-

gen aan het bestand met de koffiemok, moet je alle

afzonderlijke elementen selecteren waaruit hij is op-

gebouwd. Het zou makkelijker zijn als van tevoren is

vastgelegd welke objecten bij elkaar horen en je die

ook met een enkele klik samen zou kunnen koppe-

len of toevoegen (Append). Dat is mogelijk met zo-

geheten Collections. Dat is een flexibel systeem voor

het groeperen in Blender, dat vooral bij het werken

in de Outliner erg goed van pas komt.

Selecteer alle objecten die onderdeel zijn van de

trein en kies in het snelmenu Move to Collection. Je

kunt eventueel hetzelfde bereiken met de sneltoets

M. Er verschijnt een vervolgmenu met een lijst van

bestaande collections. Kies New Collection en geef

ook hier een duidelijke naam op zoals ‘Speelgoed-

trein’.

Bewaar het bestand en open het project met de

koffiemok weer. Dat kan heel snel via het menu ‘File

/ Recent’. Kies vervolgens weer ‘File / Append’ en

open het bestand (de map) met de trein. Deze keer

blader je echter door naar de ‘submap’ Collection.

Daar moet je dan de zelf samengestelde groep zien

staan.

Dubbelklik daarop om de trein toe te voegen aan

het huidige bestand. Waarschijnlijk verschijnt hij in

de koffiemok. Verplaats de mok naar opzij, zodat je

je kunt concentreren op het materiaal van de mok.

Selecteer de ketel en maak een nieuw materiaal aan.

Geef dat meteen een duidelijke naam, zoals ‘loco-

motief_ketel’.

De kleuren van de trein moeten zo verzadigd

mogelijk zijn, omdat kinderen dat leuk vinden en

daarom bijna al het speelgoed dergelijke opvallen-

de kleuren heeft. Een verzadigde kleur krijg je als je

in de kleurencirkel naar de buitenkant gaat, oftewel

naar de rand. Je moet daar echter ook niet te ver in

gaan, omdat de natuur bepaalde grenzen heeft, on-

geacht alle moderne kleurenchemie.

Onder het kleurenwiel zitten drie schuifregelaars

voor H, S en V. Daarbij gaat het om Hue (de kleur-

tint), Saturation en Value (verzadiging respectieve-

lijk helderheid). Als je een beetje realistische waar-

den wilt gebruiken, moet je zowel S als V nooit groter

instellen dan 0.9.

De Roughness stel je in op 0.2 om een niet meer

helemaal onaangetaste laklaag te simuleren. Het

geheel ziet er echter nog niet als hout uit. Dat komt

doordat er helemaal geen nerf zichtbaar is. Afgezien

van wat spiegelingen is er geen enkele variatie in de

kleur en ook in het oppervlak valt het ontbreken van

een houtnerf op.

Je bent aangekomen op een punt waar je niet

genoeg meer hebt aan objecten met een effen kleur.

Wat je nodig hebt zijn extra details, en die haal je bij-

voorbeeld uit een foto of een textuur. Via de link bij

82 www.ct.nl

Praktijk / Blender-workshop: oppervlakken

De helderheid (V) en verzadiging (S) moet je voor een realistisch resultaat niet hoger instellen dan 0.9. Bij de Roughness is 0.2 een goede benadering voor een niet perfect glanzende lak.

Als je de textuur rechtstreeks koppelt aan de Base Color, wordt de eerder ingestelde kleur compleet overschreven door de kleuren van de textuur.

Met nodes kun je kleuren mengen. Daarbij zijn dezelfde opties beschikbaar als bij beeldbewerking, zoals Multiply voor donkerder maken.

dit artikel kun je een afbeelding downloaden met

een geschikte textuur. Als je de afbeelding uit de be-

standsbrowser naar de Shader Editor sleept, ont-

staat automatisch een nieuwe node. Die omvat de

afbeelding en talloze vervolgkeuzelijsten met opties.

Verbind de uitgang Color met de ingang ‘Base Color’

van de Principled BSDF.

De ketel heeft nu een houtnerf, maar de inge-

stelde kleur is helemaal verdwenen. De gegevens

voor de kleur komen nu namelijk van de afbeelding

en niet meer van het (verdwenen) kleurvlak. Je hebt

dan een manier nodig om de houtnerf-textuur te

combineren met een kleur naar keuze.

Kies ‘Add / Color / MixRGB’ via het menu of via

sneltoets Shift+A. Er verschijnt dan een nieuwe node

bij de muis. Als je de muis verplaatst, beweegt de

node mee. Plaats hem op de verbindingslijn tussen

Color en Base Color. De lijn wordt dan gemarkeerd

en als je klikt, wordt de node op die lijn ingevoegd.

De ketel oogt dan duidelijk feller. Dat komt door-

dat de kleur van het onderste veld voor 50 procent

wordt gemengd met de kleur van het bovenste veld

(de textuur). Het onderste veld heeft standaard een

lichtgrijze kleur, waardoor de textuur lichter wordt.

Geef het onderste veld weer een kleur naar keuze,

bijvoorbeeld een verzadigd rood. De textuur lijkt dan

alleen een zachte rode gloed te krijgen.

Dat komt weer door de 50-procent vermenging.

Je kunt die factor aanpassen via de regelaar met het

label Fac. Het getal daarin staat voor de mengfactor.

Bij 0.0 komen alle gegevens van Color1, bij 1.0 be-

paalt Color2 voor honderd procent de uiteindelijke

kleur. Waarden daar tussenin zorgen voor een mix.

Daarmee kun je dus bepalen hoe dekkend de kleur is

ten opzichte van het hout.

Maar er zijn nog andere opties. Je kunt Multiply

kiezen in het drop-downmenu om het effect te krijgen

van verf die direct op het hout is aangebracht en

daarin is doorgedrongen in plaats van de dekkende

laag die je met Mix kunt simuleren. Beide zijn legi-

tiem, maar het resultaat zal altijd nog wat onnatuur-

lijk ogen omdat de nerf geen invloed heeft op de op-

pervlakte. Als je bij Multiply de waarde voor Fac op

1.0 zet, blijven er nog details van de nerf zichtbaar.

Als je ervaring hebt met beeldbewerking, zul je

op dat punt al hebben opgemerkt dat het werken

met nodes in Blender veel weg heeft van lagen bij

beeldbewerking. Bij Blender is gekozen voor nodes,

omdat die flexibeler zijn. Je kunt bijvoorbeeld de

Color-uitgang van de Texture-node direct het opper-

vlak laten beïnvloeden.

uitgave 4/2020 83

Praktijk / Blender-workshop: oppervlakken

De Color-uitgang van de textuur kan via de Bump-node ook worden gebruikt om extra

details toe te voegen aan het oppervlak van het model.

Als meerdere objecten een materiaal delen, zoals hier de wielen, kun je het uiterlijk van allemaal aanpassen door één ervan te bewerken.

Daarbij wordt de helderheid van de textuur gebruikt

als hoogte-informatie: heldere gebieden worden

hoger, donkere worden dieper. Dat is net als bij uit-

drogend hout, waarbij de donkere gebieden met

jaarringen sterker krimpen dan de lichtere, met het

oneffen oppervlak van oud hout als gevolg.

Helaas bestaat daar geen rechtstreekse input

voor, maar heb je een conversie-node nodig. Kies

‘Add / Vector / Bump’ en koppel de Color-uitgang

aan de Height-ingang van die nieuwe node. Je ziet

dan nog geen veranderingen in de viewport omdat

de uitgang van de Bump-node nog niet is verbonden

met de ingang van een andere node.

Verbind hem met de Normal-ingang van de Prin-

cipled BSDF. Het effect dat je ziet is extreem, om-

dat de standaardinstellingen erg overdreven zijn.

Verlaag zowel Strength als Distance naar 0.1. Juist

bij effecten als Bump is minder vaak beter.

Maar wat is er nu eigenlijk gebeurd? Je hebt zo-

juist een effect gebruikt dat je indirect al twee keer

eerder bent tegengekomen. De eerste keer was toen

je de bouwblokken met de Bevel Modifier in combi-

natie met Custom Normals hebt afgerond, de twee-

de keer was bij het instellen van de koffiemok op

Smooth Shading.

Beide keren werden achter de schermen de Nor-

mals (vectoren) van het object veranderd, om het

ronder te laten lijken terwijl het eigenlijk hoekig

was. Ook deze keer worden de Normals aangepast

om details te creëren bij het oppervlak die eigenlijk

helemaal niet aanwezig zijn in de oorspronkelijke

geometrie. Het zijn uiteindelijk de Normals die ver-

antwoordelijk zijn voor hoe een oppervlak licht re-

flecteert. De Roughness bepaalt weer hoe sterk de

spreiding is.

Je kunt het materiaal ook toewijzen aan de an-

dere blokken. Selecteer de cabine voor de machi-

nist. De Shader Editor is nu weer leeg omdat aan de

cabine nog geen materiaal is toegewezen. In plaats

van op New te klikken, gebruik je de kleine vervolg-

keuzelijst links naast het plusteken. Selecteer daarin

het materiaal van de ketel. Dan hebben beide blok-

ken hetzelfde materiaal: als je bij het ene blok de

kleur aanpast, verandert die ook bij het andere. Dat

is bijvoorbeeld handig voor de wielen, omdat die al-

lemaal dezelfde kleur moeten krijgen,

Maar de cabine moet een andere kleur krijgen.

Dat kun je bereiken door in Blender niet een koppe-

ling naar hetzelfde materiaal te maken, maar een

aparte kopie – net zoals je bij het laden van externe

bestanden kunt kiezen tussen Link en Append.

Naast de naam van het materiaal zie je een klei-

ne 2. Als je op die kleine knop klikt, maak je een ko-

pie van het materiaal, die de toevoeging .001 krijgt.

Pas die naam aan en stel de gewenste kleur in. De

kleur van de cabine kan dan onafhankelijk van de ke-

tel gewijzigd worden.

KLEURRIJK TAFEREEL

De koffiemok en de speelgoedtrein hebben nu een

kleur en lijken gemaakt van realistische materialen.

Bij dat laatste punt is er zeker nog ruimte voor ver-

betering, omdat er bijvoorbeeld bij het hout van de

trein nog veel te optimaliseren valt, zoals de grootte

van de nerf. Maar deze workshop wil vooral een in-

stap bieden in de materie.

In het volgende deel gaan we een complete

scène opbouwen en daarbij eindelijk voor het eerst

ook renderen. Je gaat dan een echte scène creëren

en bewaren.

Literatuur

[1] Gottfried Hofman en Marco den Teuling, Leer spelenderwijs 3D-

modellering, Blender-workshop: van eenvoudig 3D-object tot foto-

realistische rendering, c’t 0102/20, p.126

[2] Gottfried Hofman en Marco den Teuling, Zelf 3D-objecten vorm-

geven, Blender-workshop deel 2: van simpele cilinder naar sierlijke

koffiemok, c’t 03/20, p.88

www.ct.nl/softlink/

2004080

84 www.ct.nl

Achtergrond / PoE-adapter

KABEL MET POWER

Met Power-over-Ethernet-adapters allerlei apparaten van stroom voorzienPower-over-Ethernet (PoE), oftewel stroom via de netwerk-kabel, kan met een adapter ook apparaten die geen PoE ingebouwd hebben van stroom voorzien. Daarmee kun je het doortrekken van stroomkabels of ander noodzakelijke oplossingen vermijden.

Andrijan Möcker en Marco den Teuling

De voedingskabel van een goedkope IP- camera

of ledstrip uit de bouwmarkt is met zijn nog

geen twee meter natuurlijk veel te kort om

goed te kunnen monteren. Of in de buurt van de

internetaansluiting ontbreekt een stopcontact voor

je router en je oude tablet als smarthomecentrale ge-

bruiken is lastig omdat de lange usb-kabel die je hebt

gekocht niet genoeg stroom levert. Vervelend, maar

je wilt ook geen 230V-verlengsnoer of netadapter in

beeld hebben bungelen.

Power-over-Ethernet (PoE, IEEE 802.3at/af) kan

in al die gevallen een uitkomst bieden met behulp

van externe adapters, ook wel splitters of injectors

genoemd. Dat werkt met een spanning van 48 volt,

die door een injector over de netwerkkabel kan

worden meegestuurd. Die spanning leidt bij lange-

re kabel lengtes of bij kleinere kabeldoorsneden tot

minder verlies dan de 5 of 12 volt die gebruikelijk zijn

voor kleine apparaten.

Een splitter aan het eind van de netwerkkabel zet

de PoE-spanning weer om in de spanning voor het

apparaat en beschikt over de juiste plug en een net-

werkpoort. Die laatste hoef je niet per se te benutten

om gebruik te maken van PoE. Er zijn ook sets van in-

jector plus splitter verkrijgbaar.

IP-CAMERA'S, ROUTERS & VERLICHTING

IP-camera's en routers hebben meestal 12 volt en 5 tot

20 watt aan vermogen nodig, wat doorgaans wordt ge-

leverd door een voeding met een DC-stekker. Ook bij

ledstrips kom je 12 volt met een DC-stekker tegen. Het

benodigde vermogen is afhankelijk van de lengte en

wordt meestal door de fabrikanten opgegeven in watt

per meter. Je kunt 12V/20W PoE-adapters met de juis-

te plug bijvoorbeeld vinden bij fabrikanten van net-

werkapparatuur of als merkloze versies uit het Verre

Oosten (zie de link op deze pagina).

Pas wel op: hoewel pluggen met een buiten-

diameter van 5,5 millimeter en een binnendiameter

van 2,5 of 2,1 millimeter gebruikelijk zijn, is er geen of-

ficiële specificatie. Ondanks de juiste afmetingen kun-

nen pluggen, pinnen en plugopeningen verschillende

lengtes hebben en niet voor honderd procent passen.

Daardoor krijg je contactweerstanden met de bijbe-

horende verliezen. Als een plug niet duidelijk herken-

baar is en solderen geen optie is, kun je meteen kiezen

voor een splitter met een reeks stekkers (zie de link).

Als je echter een soldeerbout tot je beschikking

hebt, kun je de meegeleverde kabel doorknippen en

een geschikte stekker eraan solderen. Bij sommige

merkloze adapters gaat dat heel makkelijk: als je hard

op de behuizing drukt springt die open, zodat je met-

een aan het begin van het snoer een geschikte plug

kunt monteren en een eventueel overbodige netwerk-

stekker kunt verwijderen.

Passieve adapters – die meestal alleen bestaan uit

een met rubber beklede RJ45-plug met twee kabels

eraan – moet je vermijden. Die brengen meestal het

probleem met zich mee van lagere spanningen via de

netwerkkabel doordat ze alleen de ingangsspanning

doorgeven.

USB-APPARATEN

Door de gestandaardiseerde connectors is het bij usb

veel eenvoudiger. Zolang het gebruikte apparaat niet

meer dan 10 watt vermogen vraagt bij 5 volt, zijn goed-

kope adapters met usb-uitgang (zie de link) genoeg

voor de stroomvoorziening. Die kosten meestal zo’n 5

tot 20 euro.

Als je meer vermogen nodig hebt, kan dat via

USB-C voor een wat prijzigere 68 euro: GAT-USB biedt

een 802.3at-converter die USB-C met Power Delivery

(PD) ondersteunt en daarmee 5, 9, 12, 15 of 20 volt le-

vert met maximaal 20 watt vermogen. Daarmee kun

je ook grotere tablets of kleine laptops van stroom

voorzien. Het grotere vermogen via één netwerkkabel

is ook meteen het grootste voordeel van 802.3at (ook

PoE+ genoemd) ten opzichte van 802.3af.

Voor projecten zoals een Raspberry Pi als radio-

ontvanger [1], een tablet als smarthomecentrale of

een smartphone als bewakingscamera voldoen de

kleine adapters echter, zeker omdat dat soort appara-

ten zelden meer dan 10 watt nodig hebben.

Literatuur

[1] Andrijan Möcker en Noud van Kruysbergen. Luisterpost, Raspberry Pi

als radioserver, c’t 1-2/2020, p.50

www.ct.nl/softlink/

2004085

uitgave 4/2020 85

ALLES OVER DIT ONDERWERP

Hulp bij zelfhulp 86

Werken met c’t-Raspion 88

Raspberry Pi installeren 92

Openhartige IP-camera 94

Lekkende stekkerdoos 96

Roddelende smart-tv 98

Binnenwerk van c’t-Raspion 100

CONTRASPIONAGE!

c’t-Raspion: spionnen vinden en onschadelijk maken

86 www.ct.nl

Achtergrond / c’t-Raspion

router

c‘t-Raspion

geobserveerde pc

geobserveerde apparaten

usb-ethernet192.168.24.0/24fd00:24::/64

Alles is tegenwoordig voortdurend online en staat dan ook niet zonder reden onder algemene verdenking: IoT- en smarthome-apparaten wor-den in grote aantallen en tegen lage prijzen op de markt gebracht. We laten zien waarom je niet blind op dergelijke apparaten moet vertrou-wen. En ook hoe je ze tot op de bodem kunt napluizen: met het project c't-Raspion kun je dat namelijk zelf doen.

Peter Siering en Noud van Kruysbergen

Er komen regelmatig slimme apparaten in

ons testlaboratorium binnen. Het spectrum

loopt daarbij van wifi-stekkerdozen uit dis-

count winkels ter waarde van een fles redelijk

drinkbare wijn tot televisietoestellen met de prijs

van een degelijke tweedehandsauto. De meeste

apparaten werken niet of slechts in beperkte mate

zonder toegang tot internet. Vaak gaat het om

clouddiensten, al merk je dat pas als je jezelf re-

gistreert. Het is dan ook de moeite waard om dat

nader te bekijken.

Hoe goedkoper die apparaten zijn, des te gro-

ter is ook de kans dat ze veiligheidsgaten bevat-

ten. De apparaten kunnen dan worden overgeno-

men door hackers, om ze bijvoorbeeld onderdeel

te maken van een botnet, of ze kunnen dienen als

uitvalsbasis voor aanvallen op naburige appara-

ten zoals je router. Deskundigen achten het ook

mogelijk dat bewust gemanipuleerde appara-

ten in omloop worden gebracht: je schroeft dan

een wifipeertje in een lamp zonder te vermoeden

dat die meteen deel uitmaakt van een botnet. Bij

veel apparaten is het risico groot dat de gegevens

die je tijdens de installatie verstrekt in verkeerde

handen vallen.

Om bijvoorbeeld de smartphone-app en de

wifi-stekkerdoos elkaar te laten vinden of om een

fijnstofsensor op het netwerk aan te sluiten, moet

je die apparaten natuurlijk eerst wel de toegangs-

gegevens geven voor je wifinetwerk. Vaak wordt

dat vrij onzorgvuldig opgelost en worden er open

wifinetwerken gebruikt om die gegevens over te

dragen, of de data worden langs een andere weg

uitgewisseld die door anderen gelezen kan wor-

den.

Vaak lekken er ook data weg. Standaardbiblio-

theken die ontwikkelaars integreren gebruiken

SDK's van grote spelers zoals Google, Facebook,

Microsoft, Apple, et cetera. Die versturen graag

allerlei statistische gegevens, zoals het apparaat-

type en de softwareversies en dergelijke, maar

ook GPS-coördinaten en reclame-ID’s en zo. De

Netwerkspion op basis van een Raspberry PiOns project c't-Raspion zet zijn eigen wifinetwerk op. Je kunt de netwerk-

activiteiten van daarop aangesloten apparaten volgen in de browser van een

pc. Optioneel is dat ook mogelijk voor bekabelde apparaten, die c't-Raspion

met behulp van een usb-ethernetadapter dan aan kan sluiten op het geobser-

veerde netwerk.

gebruiker van de configuratie-app voor een slimme

stekkerdoos wordt uniek geïdentificeerd, en ver-

volgens kan de fabrikant deze persoon als poten-

tiële klant herkennen als hij op zoek gaat naar

stofzuigers.

De traceerbaarheid speelt daarbij een andere

bijkomstigheid in de kaart: ongewenste reclame.

Samsung is groot op dat gebied. De slimme tv's van

de Koreaanse fabrikant zullen geen kans onbenut la-

ten om kopers te verblijden met reclame. Samsung

heeft daarvoor een eigen marketingplatform. Maar

ook al wordt bij het gebruik van dergelijke apparaten

meteen duidelijk dat het zo werkt, het is heel lastig

om van dit deel van de slimme wereld af te komen

zonder het gemak ervan op te geven.

De volgende artikelen zijn gewijd aan de vraag

hoe je meer te weten kunt komen over de communi-

catie tussen de apparaten. We introduceren een tool

die we gebruiken om te kijken naar het netwerkver-

keer van apparaten. De tool bestaat uit een Raspber-

ry Pi en een speciale verzameling software. We heb-

ben het project c't-Raspion gedoopt.

Het observeren van het netwerkverkeer vergt wat

geduld en een zekere mate van detective-intuïtie om

ongewone gebeurtenissen te detecteren en classifi-

ceren. De volgende voorbeelden laten zien waar je op

moet letten en hoe je daar zekerheid over kunt krij-

gen. We moedigen je aan om je eigen onderzoek te

doen en je resultaten met ons en andere lezers te de-

len.

uitgave 4/2020 87

SPIONAGEHULPMIDDELEN

Rondleiding door de functies van c’t-Raspion

Een beschuldiging over het lekken van data is zo gemaakt – maar onze tool c't-Raspion (in combinatie met de juiste hardware) kan het bewijs leve-ren. Hij nestelt zich in de datastroom en visualiseert die. In dit artikel leer je de tool en de werkwijze kennen.

Peter Siering en Noud van Kruysbergen

De tool c't-Raspion zet een apart wifinetwerk

op, waarop je de apparaten aansluit die je wilt

monitoren. Het enige wat je nodig hebt is een

Raspberry Pi 3 of 4, die je via de kabel op je bestaan-

de netwerk aansluit en die voor andere apparaten de

toegang tot internet verzorgt (uplink). Daardoor kan

c't-Raspion al het netwerkverkeer tussen de geobser-

veerde apparaten en internet zien – hij werkt eigen-

lijk als een router.

EERSTE STAPPEN

Voor de eerste stappen met de tools voor het obser-

veren van het netwerk is het voldoende om bijvoor-

beeld met een smartphone in te loggen op het wifi-

netwerk. De naam van het wifi en het wachtwoord

worden bij de installatie (zie pagina 92) aan het ein-

de verstrekt. Je hebt daarbij waarschijnlijk een pc ge-

bruikt die is aangesloten op dezelfde router als c't-

Raspion. Je hebt die pc nog steeds nodig om de tools

van het spionagestation te bedienen in de browser.

Tips om het IP-adres van de Raspberry Pi waar c't-

Raspion op draait te achterhalen staan in het volgen-

de artikel over het installeren van c't-Raspion.

Gebruik je smartphone even via het geobserveer-

de wifinetwerk. Open na een paar minuten de start-

pagina van c't-Raspion (met http://raspion of zijn

IP-adres) op de observatie-pc in de browser, klik op

Openen bij de Pi-hole-service en kijk naar de Query

Log. De lijst met DNS-query's komt van je smart-

phone. Op de lijst staan vaak een verrassend groot

ALLES OVER DIT

ONDERWERP

Hulp bij zelfhulp 86

Werken met c’t-Raspion 88

Raspberry Pi installeren 92

Openhartige IP-camera 94

Lekkende stekkerdoos 96

Roddelende smart-tv 98

Binnenwerk c’t-Raspion 100

88 www.ct.nl

Achtergrond / c’t-Raspion: rondleiding

aantal vermeldingen, die je nauwelijks kunt matchen

met de hoeveelheid activiteit op je apparaat.

Een belangrijke les: als een smartphone be-

hoort tot een van de geobserveerde apparaten in het

scenario, moeten alleen de apps erop draaien die je

ook zou willen analyseren, bijvoorbeeld die voor het

configureren van een slim thuisapparaat. Zorg ervoor

dat je weet hoeveel netwerkverkeer de smartphone

genereert zonder gebruik en zonder apps die op de

achtergrond actief zijn.

Hetzelfde geldt voor andere apparaten, zoals een

laptop. Hoe minder apps en hoe minder apparaten

actief zijn in het bewaakte netwerk, des te groter de

kans dat je de dingen ziet die ook echt interessant

zijn. Houd er altijd rekening mee dat andere appara-

ten en gebruikers van invloed kunnen zijn. Idealiter

gebruik je een oude smartphone waarop alleen de

app is ge installeerd die je wilt monitoren.

Je kunt Pi-hole opdracht geven om bepaalde

DNS-query's te blokkeren. Je moet er dan wel rekening

mee houden dat de apparaten zich daardoor anders

zullen gedragen. Als een apparaat een onverwacht

antwoord krijgt op dergelijke query’s, kan het gedrag

ervan afwijken van de normale manier van werken.

Je moet DNS-query's daarom alleen blokkeren om

bepaalde theorieën te testen, zoals of de slimme tv

geen advertenties meer op het startscherm laat zien

wanneer een bepaalde host op de zwarte lijst van

Pi-hole staat.

VOGELPERSPECTIEF

Terwijl Pi-hole alleen DNS-queries laat zien, biedt

ntopng een vogelperspectief van alles wat er live

op het netwerk gebeurt. Daarvoor voegt ntopng het

netwerkverkeer samen in zogenaamde flows. Die

bevatten de betrokken communicatiepartners, het

netwerkprotocol en informatie over de duur en het

volume. De inhoud van de pakketten die in het net-

werk heen en weer gestreamd worden wordt niet ge-

toond. Ntopng analyseert wel de gegevensstromen

en biedt informatie over welke applicatie er commu-

niceert, zoals Skype, BitTorrent, et cetera, en levert

statistieken.

Als je ntopng aanroept, kom je in het Traffic Dash-

board terecht. Daar wordt een visualisatie van de

huidige actieve stromen getoond. Handig is de over-

zichtspagina Flows. Als je het filter ‘Non-Multicast/

Non-Broadcast’ bij het onderdeel Directions selec-

teert, zie je alleen stromen die met de communicatie

tussen de afzonderlijke apparaten (hosts) of richting

de buitenwereld te maken hebben. Veel output van

ntopng is voorzien van een link die meer gedetailleer-

de informatie toont. Navigatie met de gebruikelijke

browserfuncties is mogelijk.

Zeer informatief zijn de weergaven voor indi-

viduele hosts in het netwerk. Op de eerste pagina

van de afzonderlijke hosts kun je pakket opnames

zelfs gewoon vanuit de browser starten. Die wor-

den dan gedownload naar de machine waarmee

je het netwerk monitort. Maar ntopng alleen is al

voldoende om met een paar klikken een overzicht

te krijgen van het communicatiegedrag van de ge-

selecteerde host. Als je helemaal geen gegevens

ziet, gebruik dan je smartphone om weer wat

verkeer te genereren.

Op zichzelf komt ntopng niet actief tussenbeide

bij de gebeurtenissen. Het kan echter actief zoeken

naar apparaten in het netwerk door ze te stimuleren

om te reageren op broadcasts – de desbetreffende

opties zijn te vinden op de werkbalk bij het tweede

item (het aanwijsinstrument) onder de naam Net-

work Discovery.

Veel van de verreikende opties van ntopng zijn

helemaal niet nodig om het communicatiegedrag

van apparaten in de gaten te houden. In de volgende

c’t zullen we in detail ingaan op netwerkdiagnostiek

met behulp van ntopng.

We moeten nog wel even melden dat de commu-

nity-versie van ntopng een beetje vergeetachtig is.

Die vertoont met de standaardinstellingen namelijk

het volgende gedrag: als een host een uur lang niet

actief is geweest, vergeet hij de over die host beken-

de gegevens. Als ntopng gedurende vijf minuten geen

actief verkeer voor een lokale host registreert, zal die

Ons spionagestation c't-Raspion kan worden bediend in de browser. Je hoeft niets op je computer te installeren.

Pi-hole geeft je een overzicht van met welke servers de bewaakte apparaten willen communiceren.

uitgave 4/2020 89

in een idle toestand terechtkomen en dan niet langer

worden getoond. Bij remote hosts is dat al na slechts

één minuut. Via de Preferences kun je de tijdinstel-

lingen aanpassen. Dat vraagt echter meer systeem-

bronnen, die een Raspberry Pi waarschijnlijk niet zal

hebben.

Als je echt geïnteresseerd bent in historische

moni toringgegevens, is de Pro-editie van ntopng een

goede keuze. Het bedrijf ntop biedt die in de versie

voor ARM-apparaten aan voor 50 euro. Het is een

jaarlijkse licentie en geeft je het recht om een jaar

lang te updaten naar de laatste versie. Als opslaglo-

catie voor de historische gegevens dient er dan wel

een MySQL-database te zijn die parallel geïnstalleerd

is op de Raspberry Pi.

WIRESHARK PER BROWSER

Voor een diepere analyse wil je het netwerkverkeer

wellicht onderzoeken of andere details bekijken dan

de ntopng-stromen verraden. Daar heeft c't- Raspion

de netwerkmonitor Wireshark voor aan boord, die

bekend is als een desktopapplicatie voor Linux,

macOS en Windows. Dat programma maakt het mo-

gelijk om het netwerkverkeer tot op de laatste bit op

te nemen en te analyseren. Het kan als speciale func-

tie van c't-Raspion worden bediend via de browser.

Wireshark is vooraf geconfigureerd om te luiste-

ren op de interface br0 (het interne netwerk dat door

c't-Raspion met wifi en indien nodig met de usb-net-

werkaansluiting wordt gecreëerd). Een klik op Start

is voldoende. Genereer weer wat verkeer en stop de

opname daarna in het Capture-menu of door op de

rode knop te klikken. Voordat je de Wireshark-bits be-

gint te tellen, moet je de analysefuncties ervan eens

gebruiken. Onder Statistics kunnen overzichten wor-

den gegenereerd voor de huidige opname.

De filters die op de werkbalk kunnen worden ge-

definieerd zijn ook praktisch. Daardoor kun je indivi-

duele logs of hosts gericht weergeven. Voor de opna-

me hebben we een andere oplossing ingebouwd in

de web interface van c't-Raspion. Daar kun je een tijd-

gebonden opname van het verkeer activeren (en ook

voortijdig stoppen). De opname wordt opgeslagen in

de directory caps, van waaruit je die als bestand in

Wire shark kunt openen en analyseren. Terwijl de op-

name loopt, kun je ntopng gebruiken om de eerste

werkhypothesen op te stellen.

DECODERINGSHELPER

Veel fabrikanten doen tegenwoordig hun uiterste

best om gegevens niet ongecodeerd te versturen. Dat

betekent dat je in ntopng en Wireshark voornamelijk

gecodeerd verkeer ziet. Daar kun je hoogstens nog

aan zien wie er met wie communiceert door middel

van de upstream DNS-query’s, maar je komt verder

niet achter de inhoud van de communicatie. Daar-

mee komt het volgende onderdeel van c't-Raspion

in beeld: een man-in-the-middle proxy (mitm-proxy)

voor HTTP en HTTP's, oft ewel het protocol voor

internet toegang.

De mitm-proxy kan de communicatie tussen de

lokale en externe apparaten doorlussen, aangezien

c't-Raspion alle toegangen van het interne netwerk op

TCP-poorten 80 en 443 omleidt naar de mitm-proxy.

Het accepteert doorgeschakelde toegang tot poort

8080. De omleiding wordt afgehandeld door firewall-

regels, die je naar wens kunt activeren en deactive-

ren door ze aan te klikken in de webinterface van c't-

Raspion. Activeer ze nu.

Om het met SSL beveiligde verkeer te kunnen

lezen, moet je er ook voor zorgen dat het bewaakte

apparaat de mitm-proxy vertrouwt. Om dat te doen,

moet je de SSL-certificaten op het apparaat bevesti-

gen, die individueel gegenereerd zijn tijdens het in-

stalleren. Navigeer daarvoor naar de website ‘mitm.

it’ in de browser van het apparaat, bijvoorbeeld je

smartphone, met geactiveerde firewallregels. Je

komt dan op een pagina voor het installeren van de

SSL- certificaten van de mitm-proxy. Laat je smart-

phone de certificaten vertrouwen.

Open vervolgens het front-end voor de mitm-

Proxy vanuit de webinterface van c't-Raspion. Ga

naar het tabblad Options en stel de optie ‘Display

Event Log’ in. Klik in het onderste paneel dat wordt

geopend op de optie ‘info’ in de rechterbovenhoek

om het te deactiveren. Dat zal ervoor zorgen dat je

mislukte proxy-interventies in dit panel kunt zien –

bijvoorbeeld als het geïnstalleerde certificaat niet

wordt geaccepteerd door het bewaakte apparaat.

Als je hierna met je smartphone websites bezoekt,

kun je de toegangen live volgen in de interface van de

mitm-proxy. Je kunt zien uit welke afzonderlijke ele-

menten een pagina is samengesteld en welke extra

toegangen daardoor worden veroorzaakt. Als je op

afzonderlijke regels klikt, kun je de gegevens zien die

bij elke aanvraag naar de server worden gestuurd en

als antwoord worden geretourneerd.

In de bovenste regel onder mitmproxy staan func-

ties om de opgenomen data op te slaan en te laden. Die

worden hier ook wel flows genoemd, maar die komen

niet overeen met de flows van ntopng. De bestanden

komen terecht op de harde schijf van de computer

die je gebruikt voor het observeren en niet op Rasp-

berry Pi met c't-Raspion, zoals het meeste andere

Door het verzamelen en interpreteren van de metadata van netwerkverbindingen geeft ntopng een snel en duidelijk inzicht in de activiteiten van een apparaat.

90 www.ct.nl

datamateriaal. Op de pagina onder het tabblad Start

kun je eenvoudig zoeken in de data, bijvoorbeeld naar

bekende gegevens zoals wachtwoorden, om te zien

of en hoe ze verzonden zijn.

Let wel op één ding bij het gebruik van de proxy:

niet elke applicatie en niet elk apparaat kan voor de

gek worden gehouden. Op veel IoT- en smarthome-

apparaten is het helemaal niet mogelijk om certifi-

caten te installeren die ervoor zorgen dat ze de

proxy als betrouwbaar beschouwen. Bovendien zijn

de meeste apparaten vandaag de dag dusdanig ver

ontwikkeld dat ze een reactie van een man-in-the-

middle met onjuiste certificaten zullen opmerken.

Hoe ze zich dan uiteindelijk gedragen is onzeker:

soms krijg je een melding dat iets niet werkte, soms

zeggen ze niets maar stoppen ze met werken.

Om die laatste reden is het geen goed idee om de

analyse van meet af aan te beginnen met een proxy.

Een enkele niet werkende versleutelde verbinding

kan genoeg zijn om een functioneel proces, zoals het

opstarten van het apparaat, te torpederen zodat het

niet meer werkt. Het is daarom raadzaam om de pro-

cedure ten minste één keer te doorlopen zonder tus-

senkomst van de mitm-proxy.

WEET WAT JE DOET

Daarmee zijn in principe alle essentiële onderdelen

van c't-Raspion genoemd. Een paar tips nog: bij het

observeren van apparaten is het ook essentieel om

een logboek bij te houden van je eigen activiteiten,

zodat je later een apparaat niet vals beschuldigt van

allerlei eigenaardigheden terwijl je zelf gewoon al

te ijverig bezig bent geweest. Overigens is het ook

totaal geen goed idee om de webinterface van c't-

Raspion te benaderen vanuit het door hem zelf opge-

zette wifi – ntopng observeert dan zichzelf, waardoor

de temperatuur van de Raspberry Pi aardig omhoog

zal gaan.

In de volgende artikelen staan installatie-instruc-

ties, enkele praktische voorbeelden voor het analy-

seren met de c't-Raspion-toolkit en wat technische

details over hoe het werkt. Veel succes en plezier met

het realiseren van dit project.

De webinterface van de man-in-the-middle proxy maakt ook gegevens zichtbaar die heen en weer gaan als internet benaderd wordt. Voor documentatiedoeleinden kunnen ze worden opgeslagen en opnieuw worden geladen.

Achtergrond / c’t-Raspion: rondleiding

Een script installeert c't-Raspion automatisch en bevrijdt je van het intypen van lange commando’s.

Peter Siering en Noud van Kruysbergen

Deze handleiding toont de noodzakelij-

ke stappen voor het in gebruik nemen

van c’t-Raspion. Je kunt de benodigde

soft ware downloaden via de link op deze pa-

gina. Gebruik een image van Raspbian Bus-

ter Lite (van september 2019 of later). Zet die

image op een microSD-kaart. Na het kopiëren

haal je hem er even uit en stop je hem weer

terug in je computer. Dan laten de gangba-

re besturings systemen de eerste partitie zien,

de opstart partitie. Maak daar het bestand ssh

aan (zonder bestandsextensie). Bij Windows is

de eenvoudigste manier om Opdrachtprompt

te openen, naar opstartschijf te gaan, bijvoor-

beeld D:, en het bestand te maken met echo

"" > ssh. Werp de geheugenkaart weer uit.

EERSTE KEER STARTEN

Stop de geheugenkaart in een Raspberry Pi 3

of 4, sluit die met een kabel aan op je router of

een netwerkswitch en voorzie hem van stroom.

Monitor en toetsenbord zijn optioneel. Raspbi-

an breidt eerst het bestandssysteem uit tot de

grootte van de geheugenkaart – 16 GB of lie-

ver meer, zodat er later ruimte is om bestan-

den op te slaan. Na een automatische herstart

zal Raspbian normaal opstarten en via SSH te

benaderen zijn. Als de naam raspberry niet

werkt, kun je het IP-adres vinden in de webin-

terface van je router of met behulp van een

aangesloten display.

Als je met een usb-toetsenbord en een

monitor rechtstreeks op de Raspberry Pi wilt

werken, moet je de eerste stappen met de

standaard toewijzing van het Amerikaan-

se toetsenbord uitvoeren, wat in Nederland

meestal geen probleem zal zijn, maar in België

wellicht wat experimenteren vergt. Log in als

gebruiker pi met het wachtwoord raspberry.

Typ vervolgens sudo raspi-confi g in om de

configuratiehulp van Raspbian te openen en

de toetsenbordindeling en de taal eventueel te

wijzigen.

Op je Raspberry Pi download je het ar-

chief dat wij klaar hebben gezet voor een

geautomatiseerde installatie van dit project.

Dat archief is nog geen halve MB groot. Pak

het uit, ga naar de bijbehorende directory en

start het script vervolgens met install.sh:

wget ct.nl/app/uploads/2020/02/

raspion.zip

unzip raspion.zip

cd raspion

sudo bash install.sh

Het installatiescript configureert de nieu-

we image voor de tijdzone Europa/Amster-

dam, laat de toetsenbordindeling staan op

Verenigde Staten stelt de systeemtaal in op

nl_NL@UTF-8. De pakketten worden bij-

gewerkt, er wordt nog wat meer gedownload

en er worden pakketbronnen toegevoegd,

waarbij verschillende pakketten geconfigu-

reerd worden. Je kunt de IP-range en de wifi-

naam van het wifinetwerk dat de Raspberry Pi

opzet overigens van tevoren aanpassen door

het bestand .defaults in de raspion-directory

aan te passen.

Het hele proces duurt ongeveer 20 minu-

ten, zelfs met een snelle internetverbinding.

Maar je hoeft alleen maar te wachten tot de

console het bericht weergeeft dat je de Rasp-

berry Pi opnieuw moet starten. Zorg ervoor dat

je het wachtwoord voor toegang tot het wifi

van c’t-Raspion opschrijft . Het is het beste om

hetzelfde wachtwoord in te stellen voor de ge-

bruiker pi zoals aanbevolen bij het uitvoeren

van het script. Dan wordt het tijd om de Rasp-

berry Pi opnieuw op te starten met sudo re-

boot.

Als de succesmelding niet verschijnt, maar

je een foutmelding te zien krijgt, kijk dan naar

foutmeldingen aan het einde van het installa-

tie-logbestand (bijvoorbeeld met tail -20 /

var/log/raspion.log). Misschien was een

van de servers die je probeerde te bereiken

tijdelijk niet beschikbaar? Wacht dan even

en start het installatiescript opnieuw op. Als

het dan weer niet werkt, kijk dan bij de link

op deze pagina of anderen misschien hetzelf-

de probleem hebben. Wellicht is er in de tus-

sentijd iets veranderd in de Raspbiaanse we-

reld op een manier die we op het moment van

schrijven niet hadden verwacht. We zullen daar

dan een oplossing voor proberen te vinden.

METAMORFOSE

Na het succesvol installeren en herstarten

is je Raspberry Pi dan veranderd in een c't-

Raspion. De webinterface hiervan zou in de

browser toegankelijk moeten zijn vanaf een pc

die aangesloten is op hetzelfde netwerk als de

Pi. Vanuit dat netwerk kun je c't-Raspion in het

vervolg bedienen. Het is mogelijk dat c't-Ras-

pion niet toegankelijk is via hetzelfde IP-adres

waarmee je hem tijdens het installeren via SSH

hebt benaderd, maar op een ander adres. In

het ideale geval zou het voldoende moeten zijn

om http://raspion in te typen op de adres-

regel van je browser.

Als je het IP-adres van c't-Raspion niet

kunt achterhalen, bijvoorbeeld omdat je de

Pi na het installeren in een ander netwerk ge-

bruikt, kun je je smartphone aanmelden op

het wifinetwerk van Raspion. Tik daarna op je

smart phone http://192.168.24.1:81 op de

adresregel van de browser. Voor deze keer mag

je Raspion wel vanuit het door de tool opgezet-

te wifinetwerk benaderen. Kijk bij de weergave

van de IP-adressen vervolgens wat het IP-adres

is dat wordt weergegeven voor ‘eth0 - uplink

tot the internet’. Je moet dat adres dan gebrui-

ken voor de volgende stappen. Veel plezier met

de contraspionage!

www.ct.nl/so� link/2004092

PI VOOR NETWERKANALYSE

c’t-Raspion installerenHet c't-Raspion project verandert de kleine computer

in een spionagestation. Het installeren vergt net als

het bedienen met een browser geen grote netwerk- en

Linux-vaardigheden.

ALLES OVER DIT

ONDERWERP

Hulp bij zelfhulp 86

Werken met c’t-Raspion 88

Raspberry Pi installeren 92

Openhartige IP-camera 94

Lekkende stekkerdoos 96

Roddelende smart-tv 98

Binnenwerk c’t-Raspion 100

92 www.ct.nl

Working with the Best

Een investering die op de lange termijn echt loont:high-end monitoren van EIZO.

Meer informatie op eizo.nl/efficiency

Typisch wanneer een app wifi-wachtwoorden uitzendt: ‘betekenisloze’ pakketten.

CAMERA-BEWAKING

IP-camera met nukkenBij webshops vind je al voor 20 euro of zelfs nog minder een IP-camera. Ze beloven scherpe beelden, zelfs in het donker, en moeten makkelijk te configureren zijn. En ze zijn nogal spraakzaam, zoals ons onderzoek aantoont.

ALLES OVER DIT

ONDERWERP

Hulp bij zelfhulp 86

Werken met c’t-Raspion 88

Raspberry Pi installeren 92

Openhartige IP-camera 94

Lekkende stekkerdoos 96

Roddelende smart-tv 98

Binnenwerk c’t-Raspion 100

94 www.ct.nl

Peter Siering en Noud van Kruysbergen

Zoals gebruikelijk bij dergelijke apparaten helpt

een begeleidende smartphone-app bij het in-

stellen van de camera. Dat werkte, toen we een

pas een paar maanden oud apparaat in gebruik wil-

den nemen, niet op een Android-telefoon maar wel

op een iPhone. Het is voldoende om het wachtwoord

voor het wifinetwerk van c't-Raspion in te voeren, de

app komt dan vaak vanzelf wel achter de naam van

het netwerk. Daarna hoef je alleen nog maar te klik-

ken op een link die moet overeenkomen met het type

dat op het apparaat is afgedrukt. In het flow-overzicht

van ntopng zagen we al meteen vreemde activiteiten.

UDP-BOMMETJE

De app op de iPhone bombardeert in dit geval het wi-

finetwerk van Raspion met UDP-pakketten op multi-

cast-adressen (te beginnen met 234). Die pakketten

variëren nauwelijks in lengte en zijn 60 of 61 bytes

lang. De bestemming is steeds poort 8888, de inhoud

lijkt willekeurig. Het eerste levensteken van de camera

is een verzoek om een IP-adres (DHCP-request). Blijk-

baar kan de camera zonder verbinding met het wifi het

wachtwoord van c't-Raspion uit dit pakketbombarde-

ment halen en ermee inloggen op diens wifi. Hoe dat

zou kunnen werken is te zien in het volgende artikel.

De app blijft daarna vrolijk gegevens versturen.

De camera vraagt via DNS naar het IP-adres van

de host openapi.xg.qq.com. Dat lijkt een cloudaan-

bieder te zijn die daar een REST-API aanbiedt. Ter-

wijl de app UDP-pakketten blijft sturen, begint de ca-

mera die ook te verzenden naar poort 6809 van de

gate way (c't- Raspion) en het algemene uitzendadres

255.255.255.255. De gateway informeert de camera dat

die poort niet beschikbaar is. Je kunt ook requests zien

voor het IP-adres van www.baidu.com en time.nist.gov.

DNS-DIRECT

De DNS-query's gaan soms naar de lokale DNS-server,

soms rechtstreeks naar de publieke server van Google

(8.8.8.8). Afgezien van de laatst genoemde tijdserver,

gebruikt de camera verder geen van de via DNS opge-

vraagde IP-adressen in het daaropvolgende verkeer. In

plaats daarvan communiceert de camera rechtstreeks

met IP-adressen, die waarschijnlijk in de firmware zijn

opgeslagen: 52.8.16.72, 52.28.98.191 en 52.74.44.157.

De camera stuurt regelmatig kleine UDP-pakket-

ten, die niet als platte tekst leesbaar zijn, naar die

adressen en ontvangt reacties van de servers. Met

ntopng kom je erachter dat dit blijkbaar huurservers

zijn in de cloud van Amazon. De regelmaat waarmee

UDP-pakketten binnenkomen en weer naar buiten

gaan, suggereert dat de camera op die manier contact

houdt met de buitenwereld. De manier waarop de app

Altijd de moeite waard om naar te zoeken: wachtwoorden mogen nooit in platte tekst worden gevonden – zeker niet wanneer de pakketten door openbare netwerken stromen.

DOWNLOAD

GRATIS

c’t magazine hee� samen met AVM speciaal voor iedereen die zijn Fritzbox optimaal wil benutten, een digitaal magazine gemaakt. Alle facetten van wifi en netwerken worden behandeld. Daarnaast geven we een overzicht van de hardware van AVM en staat het magazine boordevol netwerktips. Je kunt dat allemaal lezen in het digitale FRITZ!-tips.

Download nu op www.ct.nl/fritzbox-magazine

Download gratis ons magazine FRITZ!-tips

www.ct.nl/so� link/

2004094

Prakti jk / c’t-Raspion: IP-camera afl uisteren

werkt is daar een verdere indicatie van: zonder actief

in te loggen op een cloud, konden we de camera van

buitenaf, dus vanaf het mobiele netwerk of een an-

der wifinetwerk, benaderen. Het geheel werkt zonder

port-forwarding – dat doet de camera als het ware zelf

door voortdurend gaten in de firewall van de router te

schieten met UDP-pakketten.

De app maakt contact met de bovengenoemde

servers buiten het netwerk waar de camera actief is.

Die voorzien app en camera van elkaars IP-adressen

en poortnummers, zodat ze een directe verbinding

kunnen maken via een NAT-firewall. Gangbare routers

voor thuis voorkomen dat niet; telefonie, games en

andere dingen moeten immers ook gewoon kunnen

werken. Deze truc heet ‘hole punching’.

VERKEERDE VEILIGHEID

Dat zou allemaal niet zo dramatisch zijn als de fabri-

kant stappen had ondernomen om die procedures te

beveiligen. Met Wireshark hebben we gekeken naar

het verkeer tussen de camera en de smartphone wan-

neer die laatste in het mobiele netwerk geforceerd

wordt. Het resultaat is ontnuchterend: de app wisselt

toegangsgegevens en toegangsverzoeken uit met de

camera in platte tekst. De verkapte HTTP-toegangen

zwerven door het publieke netwerk in UDP-verpak-

king, leesbaar voor iedereen, met een eigenzinnige

syntaxis.

Het gebruikte cameratype is zeer gangbaar en in vele

vormen verkrijgbaar. Beveiligingsexperts hebben ze

al lang ontleed en manieren gevonden om het com-

pleet overnemen van de camera mogelijk te maken

(zie link). Vanwege de in de hardware vastgelegde

IP-adressen kan er geen gebruik worden gemaakt van

eenvoudige DNS-blacklisting. Je kunt het apparaat

wel volledig verbieden om contact te maken met de

buitenwereld. Een lokaal gebruik als IP-camera blijft

dan nog mogelijk.

ALLES OVER DIT

ONDERWERP

Hulp bij zelfhulp 86

Werken met c’t-Raspion 88

Raspberry Pi installeren 92

Openhartige IP-camera 94

Lekkende stekkerdoos 96

Roddelende smart-tv 98

Binnenwerk c’t-Raspion 101

96 www.ct.nl

Mirko Dölle en Noud van Kruysbergen

Het proces heeft iets magisch: je steekt gewoon

de net uitgepakte wifistekkerdoos in het stop-

contact, downloadt de app van de fabrikant

naar je smartphone en typt daar het wachtwoord

in. Enkele seconden later logt het schakelbare stop-

contact als bij toverslag in op je eigen wifi.

Hoe kon de app, die verbonden is met het versleu-

telde wifi, communiceren met de wifistekkerdoos die

de sleutel niet kent? Sommige fabrikanten lossen dat

probleem op door het nieuwe wifi-apparaat eerst als

niet-versleuteld toegangspunt te gebruiken, waarmee

de smartphone vervolgens kortstondig verbinding

maakt om het wachtwoord door te geven. Dat is niet

zo bij de wifistekkerdozen van Aldi, die al enkele jaren

af en toe in het speciale assortiment verschijnen. Daar

blijft de smartphone verbonden met het wifi en slaagt

er toch in, ondanks het versleutelen van het dataver-

keer, om het wifiwachtwoord over te brengen naar de

gloednieuwe, schakelbare stekkerdoos.

Hoe dat kleine wonder kan werken, is makkelijk

te zien met Wireshark op c't-Raspion. We hebben de

GESNAPT!

Wifi -stekkerdoos verklapt het wachtwoordHoe verzend je het wifiwachtwoord naar een nieuw appa-raat nog voordat dit op het wifinetwerk is aangesloten? De fabrikanten van IoT-apparaten hebben allerlei slimme oplossingen voor dit probleem, maar die zijn soms alles-behalve veilig. We laten zien hoe je dat kunt nagaan met Wireshark in c't-Raspion.

wifistekkerdoos van Aldi eens onderzocht. De eerste

stap in een poging om het geheim van zo’n stekker-

doos te ontrafelen, is om van tevoren te overwegen

hoe het delen van wachtwoorden in het algemeen zou

kunnen werken. Mogelijke alternatieve paden moeten

dan stap voor stap worden uitgesloten – anders kan

het zijn dat je met het verkeerde gereedschap op de

verkeerde plaats aan het zoeken bent.

UITSLUITINGSPROCEDURE

Eén ding is duidelijk: de smartphone moet vanuit de

app communiceren met de stekkerdoos, je moet im-

mers je wifiwachtwoord intypen bij de app. Aangezien

de smartphone naast wifi ook Bluetooth heeft , zou

de wifistekkerdoos uitgerust kunnen zijn met Blue-

tooth om het wachtwoord te ontvangen. Maar de wifi-

configuratie werkt ook als Bluetooth op de smartpho-

ne uitgeschakeld is – dat kan het dus niet zijn.

Een andere mogelijkheid zou ultrasoon geluid

kunnen zijn, waarbij de app via de luidspreker van

de smartphone extreem hoogfrequente geluiden uit-

zendt, die worden ontvangen door een microfoon die

in de stekkerdoos verstopt zit. Maar het instellen van

het wifi werkt ook met een aangesloten koptelefoon

en vanuit een aangrenzende kamer – dus kan het ook

geen ultrasoon geluid zijn.

Vrij naar Sherlock Holmes blijft , ook al is het door

de versleuteling eigenlijk onmogelijk, dan alleen nog

wifi over als transmissieroute. En daarmee is het mo-

ment van c't-Raspion aangebroken: in plaats van je

draadloze thuisnetwerk te gebruiken, wordt de smart-

phone gekoppeld aan het wifi van c't-Raspion en

vervolgens wordt Wireshark op c't-Raspion gestart om

het dataverkeer van de app te onderzoeken.

Maar net als alle andere apps neemt de app van de

wifistekkerdoos bij het opstarten contact op met aller-

lei servers op het internet, wat leidt tot een stortvloed

aan datapakketten in Wireshark. Maar die kunnen

niets te maken hebben met de wificonfiguratie van

de stekkerdoos, omdat het wifiwachtwoord pas later

wordt ingevoerd. Het is daarom belangrijk om derge-

lijke storende pakketten uit te filteren, zodat de ver-

dachte gegevensoverdrachten überhaupt opgespoord

kunnen worden.

UITGEFILTERD

Het ‘Display Filter’ is het hart van Wireshark. Deze balk

vind je onder de knoppenbalk (‘Main Toolbar’). Het

tekstvak in deze filterwerkbalk dient om filterregels in

Praktijk / c’t-Raspion: IP-camera afluisteren

uitgave 4/2020 97

Het vergelijken van verschillende leerprocessen van de stekkerdoos met iets andere wifiwachtwoorden laat zien dat de afzonderlijke tekens worden doorgeseind door pakketten van verschillende lengte te versturen. Dat kan door iedereen worden onderschept.

te typen, die echter alleen van invloed zijn op de weer-

gave in Wireshark. Als je een filterregel verwijdert of

wijzigt, zie je al het verkeer weer.

Dat is niet zo bij ‘Capture Filter’, dat je aan de rech-

terkant van de Main Toolbar vindt: met dat filter kun

je beïnvloeden welke gegevenspakketten Wireshark

überhaupt vastlegt. Pakketten die daarmee worden

uitgefilterd, ontbreken in de opname en kunnen later

niet meer worden hersteld. Dat betekent dat je bij twij-

fel helemaal geen verdachte pakketten kunt vinden,

omdat die al zijn weggelaten door dat afvangfilter.

DNS-requests voor de domeinnaamconversie spe-

len geen rol bij het onderzoek naar de smartphone-

app. Je smartphone zal beslist lokaal communiceren

met de wifistekkerdoos, die nog geen toegang heeft

tot je wifinetwerk en dus niet tot internet. ARP-re-

quests en ICMP-pakketten maken het ook moeilijk om

te zien wat wel belangrijk is. De volgende filterregel

sorteert al dit soort pakketten:

not icmp and not icmpv6 and not dns and not mdns

Dit voorbeeld laat zien dat Wireshark IPv4 en IPv6 ver-

schillend behandelt. Filterelementen voor IPv4 heb-

ben geen specifieke naamuitbreiding, terwijl die voor

IPv6 altijd de aanduiding v6 aan het eind hebben. Dat

stamt uit de tijd dat Wireshark nog geen IPv6 onder-

steunde – door de namen van de filterelementen voor

IPv4 te behouden, bleven de nieuwere Wireshark-

versies compatibel met oudere filterregels.

Je kunt lange filterregels vermijden door gemeen-

schappelijke elementen te combineren, zoals gebrui-

kelijk in wiskundige uitdrukkingen – bijvoorbeeld het

not in het laatste voorbeeld. De volgende filterregel

heeft dezelfde betekenis:

not (icmp or icmpv6 or dns or mdns)

Als je de configuratie van de stekkerdoos met dat fil-

ter start, zul je snel zien dat de app veel TCP- en UDP-

datapakketten naar het lokale netwerk stuurt. Om die

pakketten uit te filteren, is het een goed idee om de

vorige filterregel dienovereenkomstig uit te breiden:

(tcp or udp) and not (icmp or icmpv6 or dns or

mdns)

Door de filterregels één voor één uit te breiden, kan

het gebeuren dat je elkaar uitsluitende criteria toe-

voegt, omdat je gewoon het overzicht kwijt bent. Door

aan het begin van het filter tcp or udp te zetten is

de specificatie van not (icmp or icmpv6) verderop

overbodig geworden, zodat je de filterregel aanzienlijk

kunt inkorten:

(tcp or udp) and not (dns or mdns)

Als je bekend bent met de verschillende netwerkpro-

tocollen, moet je daarom van tijd tot tijd naar de fil-

terregel als geheel kijken en specifiek zoeken naar

elkaar uitsluitende criteria. Een herhaling van de wifi-

configuratie in de app laat zien dat de app de meeste

pakketten naar het broadcast-adres 192.168.250.255 en

daarop naar poort 8801 stuurt. Je kunt die pakketten

eruit filteren met de volgende regel:

ip.addr==192.168.250.255 and udp.port==8801

Een blik op de datapakketten laat alleen onverdachte

gegevens zien. Het wifiwachtwoord zit daar blijkbaar

niet in.

Alleen als je het transmissieproces van verschillende

wifiwachtwoorden vergelijkt, waarbij steeds slechts

één teken veranderd is, kom je de achterliggende

truc van de app op het spoor. De inhoud van de data-

pakketten van de verschillende wifiwachtwoorden

bestaat dan nog steeds alleen uit generieke tekens,

maar de pakketgrootte verandert. De app gebruikt

dat blijkbaar om het wachtwoord teken voor teken

naar de stekkerdoos te sturen.

Dat is logischerwijs ook begrijpelijk, aangezien

de inhoud van de wifipakketten gecodeerd is met de

wifisleutel, zodat de stekkerdoos die niet kan lezen.

De lengte van een wifipakket kan daarentegen door

elk wifi-apparaat op hetzelfde wifikanaal worden

bepaald, ook zonder sleutel. Door het gebruik van

verschillende wifisleutels die slechts één teken ver-

schillen, is het eenvoudig te bewijzen dat een ‘1’ in het

wifiwachtwoord wordt doorgeseind als een reeks van

91 bytes grote gegevenspakketten. Een ‘2’ genereert

pakketten van 92 bytes, een ‘3’ pakketten van 93

bytes, enzovoorts.

Dit laat zien dat de app het wifiwachtwoord niet

geheel versleuteld doorgeeft, maar alleen maar een

beetje vermomd. Dat betekent op zijn beurt dat je,

telkens wanneer je zo’n wifistekkerdoos instelt, dan

je wifiwachtwoord doorseint naar de hele buurt –

daarom moet zo'n apparaat in het beste geval wor-

den gekoppeld aan een gastnetwerk of aan je eigen

IoT-wifi, waarvan de veiligheid voor jou niet zo be-

langrijk is.

Een volledig onbeschermd wifi is in elk geval ook

niet geschikt, omdat de wifistekkerdozen vaak een

niet gedocumenteerde webinterface bevatten waar-

mee iedereen in hetzelfde wifinetwerk ze naar belie-

ven kan in- en uitschakelen.

98 www.ct.nl

Met een paar muisklikken geeft ntopng een overzicht van de datavolumes die een apparaat naar internet stuurt of van internet terugkrijgt.

Peter Siering en Noud van Kruysbergen

Slimme tv's zijn binnen je lokale IoT- en

smarthome-netwerk waarschijnlijk de meest

spraakzame apparaten. Dat is vanwege de

geïntegreerde functies, tal van apps en de digitale

tv-kanalen die verrijkt zijn met links naar internet. Als

je er niet actief tegen in de weer gaat, krijg je op veel

plekken allerlei reclames te zien waar je niet om ge-

vraagd hebt.

Bijna alle apparaten maken contact met servers,

zonder dat er enige relatie bestaat met wat je op dat

moment aan het doen of kijken bent. Alleen al bij het

installeren van een slimme tv worden er allerlei data

naar internet verzonden. Zeker de tv’s van Samsung

staan erom bekend daarbij veel netwerkverkeer te

genereren.

RODDELENDE TV’S

Smart-tv’s

afl uisterenWe hebben met c't-Raspion eens gekeken naar wat twee

slimme tv-toestellen allemaal communiceren. Het ging

daarbij om een Medion-tv met Vestel Linux en een

slimme tv van Samsung.De fabrikanten zijn zich terdege bewust van al dat ge-

klets, dat is de reden waarom die apparaten tijdens

het installeren al willen dat je akkoord gaat met het

toegepaste privacybeleid. Slechts een paar fabrikan-

ten bieden je de optie daar zelf iets bij te kiezen en

stellen verschillende niveaus ter beschikking. Ook

hier spant Samsung weer de kroon: je moet wel heel

ervaren zijn om je weg te vinden in de dialogen en de

voorwaarden meteen goed te kunnen afwijzen.

WAT ZIT ER ACHTER

We hebben een Medion MD 31803 en een Samsung

GQ55Q60R elk tweemaal door het installatieproces

laten lopen – eenmaal met toestemming en een keer

zonder wat betreft privacy en data-overdacht. Als je

overal mee akkoord gaat, dan heeft de Medion voor

het installatieproces slechts een vijfde van het data-

verkeer nodig dat de tv van Samsung zich toe-eigent.

De meeste data verlaten de toestellen versleuteld.

Als je de toestemming weigert, daalt het totale volume

bij Samsung van 300 MB naar nog niet eens één, bij de

Medion was dat 5 kB in plaats van 60 MB. De appara-

ten zijn dan wel niet slim meer: zodra je apps aanklikt

of andere opties wilt activeren, vragen de tv’s weer

opnieuw je toestemming.

Alle andere parameters, die je met een paar klik-

ken in ntopng over de apparaten te weten kunt ko-

men, komen overeen met die tendens: Samsung

communiceert met wezenlijk meer partners en ver-

stuurt meer DNS-requests en dergelijke. Als je daar

met ntopng dieper op ingaat en naar de HTTP-flows

gaat kijken, zul je zien dat het Samsung-apparaat bij-

voorbeeld veel met Netflix en Amazon communiceert

– dat kan van de betreff ende apps komen, die op de

achtergrond draaien en al beeldmateriaal aan het

verzamelen zijn voor het snel kunnen starten van hun

videotheek. Dat betekent dat er bij die diensten zelfs

gegevens terecht komen als je ze helemaal niet ge-

bruikt.

Echt duidelijk kan dat helaas niet worden door

alleen naar de pakketten te kijken, omdat een groot

deel ervan gecodeerd is. Ook met enige moeite lukte

het niet om bij een van de slimme tv’s het certificaat

van de mitm-proxy van c't-Raspion op het toestel te

krijgen. De in de apparaten ingebouwde browsers

weigeren dat en andere vormen van toegang wor-

den alleen geboden aan ontwikkelaars. Het is wel

een verheugend feit dat dit ook voor het updaten van

ALLES OVER DIT

ONDERWERP

Hulp bij zelfhulp 86

Werken met c’t-Raspion 88

Raspberry Pi installeren 92

Openhartige IP-camera 94

Lekkende stekkerdoos 96

Roddelende smart-tv 98

Binnenwerk c’t-Raspion 101

Achtergrond / c’t-Raspion: smart-tv’s

uitgave 4/2020 99

Bij sommige applicaties kun je heel mooi volgen welke data er verstuurd worden – de proxy hoeft zich dan niet eens met versleuteling bezig te houden.

toepassing is: als de updatefunctie een mitm-certifi-

caat ontvangt, wordt die gestopt.

Het verbaasde ons eerlijk gezegd dat de mitm-

proxy de details van het verkeer tussen allerlei appli-

caties en de door die apps gebruikte servers zichtbaar

kan maken. Daar wordt zelden of slechts sporadisch

een versleutelde verbinding voor gebruikt. Je kunt

dan bijvoorbeeld zien dat een bepaalde applicatie

elke toetsaanslag die je doet naar de desbetreffende

server verstuurt.

Dat valt dan misschien wel onder de voorwaarden

waar je bij het installeren mee hebt ingestemd, maar

je houdt er toch een onbestemd gevoel aan over. Daar

kun je wat tegen doen: wat helpt is om het apparaat te

bedienen en met de c't-Raspion te kijken wat er op de

achtergrond gebeurt. Op die manier kun je de boos-

doeners snel herkennen en grotendeels tot zwijgen

brengen met behulp van Pi-hole door bijvoorbeeld de

toegang te blokkeren tot de servers van Samsung, zo-

als ‘otnprd10.samsungcloudsolution.net.’

De tool c't-Raspion en de bijbehorende Pi-hole

zijn prima geschikt om dat soort dingen uit te pluizen

en daar regels voor op te stellen. Maar je moet aan

het eind niet vergeten om de blacklisting weer uit te

schakelen (maak een back-up van het bestand /etc/

pihole/blacklist.txt). Het project is namelijk niet ont-

worpen voor permanent gebruik als filter. Daar kun

je beter een binnen het reguliere netwerk draaiende

Pi-hole-installatie of een vergelijkbare techniek voor

gebruiken.

Als je met die regels te ver gaat, bestaat de kans

dat je tv-toestel geen updates meer binnen kan ha-

len. Dan zijn de functies handig waarmee je bij Pi-

hole kunt aangeven dat de zwarte lijst voor een be-

paalde periode opgeschort moet worden.

TV-PORTAL

Medion heeft een eigen portal opgezet die je met je

tv-toestel kunt bezoeken. Daar kun je weerberichten

en allerlei andere dingen zien. Aan de netwerkkant

kun je met een actieve mitm-proxy zien dat er aan

de kant van de server een PHP-applicatie draait. De

communicatie is volledig onversleuteld. Al bij de eer-

ste antwoorden op requests krijg je meldingen dat de

syntaxis van een MySQL-instructie niet klopte.

Bij het onderzoeken van de tv-toestellen bleek

het praktisch om de aan het begin van deze serie ar-

tikelen aanbevolen volgorde enigszins om te keren:

we hebben c't-Raspion via de webinterface meteen

al de opdracht gegeven al het verkeer op de netwerk-

verbinding voor een periode van 30 minuten op te

nemen. Dat gebeurt op de achtergrond en belast de

Raspberry Pi niet al te veel, zodat je parallel daaraan

nog met ntopng of Pi-hole kunt rondkijken.

Aan het eind van het onderzoek kun je het per-

manent opnemen in de webinterface stoppen – de

tot dan toe opgenomen data gaan niet verloren, het

proces eindigt gewoon. Het resulterende pcap(ng)-

bestand kan worden gedownload via de webinterface

en lokaal bekeken worden op de observatie-pc met

Wireshark of vanuit c't-Raspion zelf geanalyseerd

worden met Wireshark. In het laatste geval wordt

rechtstreeks gekeken in de directory /home/pi/pu-

blic_html/caps.

Maar niet alleen Wireshark verwerkt de opge-

nomen pakketgegevens. Je kunt ze ook doorgeven

aan ntopng, om die niet alleen live-waarnemingen

uit te laten voeren. Om dat te doen, moet je echter

wel afdalen tot in de krochten van de commandline.

Het volgende voorbeeld gaat ervan uit dat je al een

op name gestart hebt met c't-Raspion en die de be-

standsnaam v1 hebt gegeven – .pcapng wordt auto-

matisch toegevoegd.

HOCUS-POCUS – CONSOLE

Open de webconsole of maak via ssh contact met je

c't-Raspion. Log in als gebruiker ‘pi’ en start een an-

dere instantie van ntopng. Dat is zonder veel gedoe

mogelijk als de meegegeven parameters ervoor zor-

gen dat de gegevens in andere directory’s worden op-

geslagen. De hier gebruikte opties zorgen daarvoor:

mkdir /tmp/v1

ntopng -d /tmp/v1 -w 3002 $ -G /tmp/v1.pid -l

1 -n 1 -m 192.168.24.0/24 -community -i /home/

pi/public_html/caps/v1.pcapng

Deze commando's maken een tijdelijke directory v1

aan in /tmp, laten de extra ntopng-instantie luisteren

naar poort 3002, zijn proces-ID schrijven naar /tmp/

v1.pid, het inloggen uitschakelen (-l 1), IP-adres-

sen omzetten naar domeinnamen (-n 1), geven

ntopng het lokale netwerk mee (-m), beginnen direct

in de Community-versie en laten ntopng het bestand

lezen – dat vervangt aan het einde de netwerkinter-

face waar de software gewoonlijk naar luistert.

Als je dan http://raspion:3002 intypt op de adres-

regel van de pc die je gebruikt voor het observeren

(vervang eventueel de naam door het IP-adres van

de Raspberry Pi waar c't-Raspion op draait), kun je

de ntopng-instantie bedienen. Op die manier wor-

den de gegevens van de opname voorbereid. Je kunt

dan ook twee ntopng-instanties openen om data te

vergelijken. Let op: een Raspberry Pi 3 kan erg warm

worden als er drie ntopng-processen tegelijk aan de

gang zijn. Beëindig de extra instanties dan ook me-

teen als ze hun functie vervuld hebben door ze op de

commandoregel af te sluiten met Ctrl-C.

100 www.ct.nl

Peter Siering en Noud van Kruysbergen

De tool c't-Raspion maakt zijn eigen wifinetwerk

aan met hostapd. De configuratie staat in het be-

stand /etc/hostapd/hostapd.conf. Om ervoor te

zorgen dat wifi-pakketten hun weg naar internet vinden,

activeert de installatie packet-forwarding voor IPv4 en

IPv6. Het stelt ook firewallregels op die Network Address

Translation (NAT) uitvoeren voor pakketten van het wifi-

netwerk naar internet.

De ethernetpoort van de Raspberry Pi (eth0) dient

als uplink, dus moet die worden aangesloten op een

netwerk met internettoegang – het IP-adres wordt op-

gehaald via DHCP. IP-adressen worden niet uitgedeeld

aan de wifi-interface (wlan0) maar aan de bridge (br0).

Bij het starten plaatst Hostapd de wlan0-interface in de

bridge (met bridge=br0 in hostapd.conf). Het plaatst

ook een optionele usb-netwerkkaart (eth1) in die bridge.

Daardoor kan c't-Raspion niet alleen apparaten monito-

ren op het wifinetwerk, maar ook als ze via een kabel op

de Raspberry Pi zijn aangesloten.

INCLUSIEF IPV6

De beschrijving van de netwerkinterfaces staat in

het bestand /etc/netwerk-/interfaces. Dat defini-

eert de IP-adressen in het geobserveerde netwerk

(192.168.24.0/24 voor IPv4 en fd00:24::/64 voor IPv6).

Het zorgt ook dat netwerkmodules een aparte IPv6-

prefix aanvragen bij het verkrijgen van IPv6-adressen

op de externe interface (eth0) via DHCP (request_

prefi x 1 en dhcp). Een script (/etc/dhcp/dhclient-

exithooks.d/ prefix_delegation) verwerkt de prefix en

stelt het netwerk beschikbaar voor br0. Op die manier

krijgen de clients in het geobserveerde netwerk publie-

ke IPv6-adressen. Als c't-Raspion geen IPv6-prefix krijgt,

moeten de apparaten in het geobserveerde netwerk de

privé ULA-IPv6-adressen gebruiken.

Voor het doorsturen van openbare IPv6-adressen in

het netwerk moet de upstream-router dat ondersteu-

nen en op de juiste manier geconfigureerd zijn. Daar

moet IPv6 actief zijn en voor de DHCPv6-server in het

thuisnetwerk moet ‘Assign DNS server, prefix (IA_PD)

and IPv6-address (IA_NA)’ worden geselecteerd. Tot slot

moet de provider natuurlijk meewerken en de Fritzbox

voorzien van IPv6-netwerken.

BINNENWERK

Achter de

schermen

ALLES OVER DIT

ONDERWERP

Hulp bij zelfhulp 86

Werken met c’t-Raspion 88

Raspberry Pi installeren 92

Openhartige IP-camera 94

Lekkende stekkerdoos 96

Roddelende smart-tv 98

Binnenwerk c’t-Raspion 100Ons spionagestation combineert beproefde opensource-componenten tot één geheel. We leggen hier wat meer uit over hoe c't-Raspion in elkaar zit en waar je zelf een handje kunt helpen.

Voor een vlotte IPv6-werking moesten we enkele dingen

aanpassen: een Router Advertisement Daemon (rad-

vd) maakt de IPv6-DNS-server en ontvangen prefix be-

kend. Verder wordt de IPv6-informatie van Pi-hole die

als DNS- en DHCP-server dient bekendgemaakt aan het

ge observeerde netwerk. Dat alles zorgt ervoor dat de

gangbare clientsystemen aan de slag kunnen met IPv6:

Mac, Linux en Windows ontvangen en gebruiken publie-

ke IPv6-adressen. Omdat IPv6 vaak afhankelijk is van

mechanismen voor automatische configuratie, kan het

een paar minuten duren voordat dat bij iedereen in het

netwerk doorgekomen is.

Een bijzonder kenmerk van c't-Raspion is de voor-

configuratie tijdens de installatie: het wordt geleverd

met een kant-en-klaar configuratiebestand voor Pi-hole

en voert het installatiescript uit zonder enige verdere in-

teractie met de gebruiker. De voorconfiguratie activeert

de DHCP-server (voor IPv4), stelt de Google DNS-servers

in als servers (IPv4 en IPv6) en deactiveert blacklisting.

Dat betekent dat Pi-hole in c't-Raspion na het installeren

meteen werkt als een DNS-server die alle requests één

op één doorstuurt.

De installatie haalt ntopng, dat is geïntegreerd voor

een snelle analyse, uit de pakketbronnen die door ntop

worden beheerd. De versies zijn veel recenter dan die in

Raspbian zitten, maar worden niet dagelijks bijgewerkt

– in tegenstelling tot de x86-versies. We maken klei-

ne aanpassingen aan de ntopng-configuratie: de soft -

ware luistert alleen op br0, krijgt informatie over de lo-

kale netwerken en wordt geïnstrueerd om meteen als

Community- versie te starten – anders zou hij 10 minuten

lang als Pro-versie draaien, wat er op een paar punten

anders uitziet.

Voor de mitm-proxy hebben we een systemd-unit

toegevoegd die de webinterface automatisch laat star-

ten. De omleiding van de poorten naar de mitm-proxy

is onafhankelijk daarvan: twee scripts, die in /usr/

local/sbin belanden, activeren (mitmon.sh) of deacti-

veren (mitmoff .sh) de firewall-regels die alle toegangen

van het geobserveerde netwerk op poort 80 en 443 om-

leiden naar de mitm-proxy. Als je extra poorten aan de

proxy wilt delegeren, kopieer je de bestaande regels in

mitmon.sh en pas je ze aan. De regels worden gemar-

keerd met de opmerking ‘mitm’, zodat mitmoff .sh ze kan

vinden en opruimen.

WIRESHARK IN DE BROWSER

Het is ons gelukt om de netwerkmonitor Wireshark via

de browser te laten werken. De Wireshark- ontwikkelaars

Achtergrond / c’t-Raspion: techniek

uitgave 4/2020 101

Pi-hole fungeert bij c’t-Raspion als lokale DNS-server en verdeelt de DHCP-adressen in het testnetwerk.

Het project c’t-Raspion brengt Wireshark naar de browser en biedt een gedetailleerd inzicht in het gelogde netwerkverkeer.

hebben de software tot en met versie 2.6 voor de GUI-

bibliotheek GTK ontwikkeld (nieuwere versies zijn he-

laas niet in deze vorm beschikbaar). De GTK-ontwik-

kelaars hebben op hun beurt software ontwikkeld om

input en output om te leiden naar een voor HTML5 ge-

schikte browser. Deze technologie met de naam Broad-

way wordt als experimenteel beschouwd, maar werkte

betrouwbaar voor ons.

Onze systemd-units starten de Broadway-dae-

mon en, afhankelijk daarvan, een instantie van

wireshark-gtk. Op die manier komt Wireshark in de

browser terecht. Maar je moet wel een aantal conces-

sies doen: toetsenbordcombinaties in de applicatie

werken niet goed met de browser, die moesten we uit-

schakelen. We moesten ook een patch van de GTK-

ontwikkelaars integreren in de Raspbian GTK-pakket-

ten, zodat Wireshark tekst kan uitvoeren – die fixes

gelden alleen voor de huidige GTK-versies. Met apt-hold

voorkomt de installatie dat eventuele Raspbian-up-

dates de gepatchte pakketten overschrijven.

Wireshark krijgt hulp van een ander script (contcap.

sh), dat het dumpcap-commando start met twee para-

meters op de interface br0. Daarmee kun je complete

pakketopnames starten, die onder een te kiezen naam

in het bestandssysteem van c't-Raspion worden be-

waard en het netwerkverkeer gedurende een bepaalde

periode kunnen vastleggen. Die opnames kunnen later

worden geanalyseerd met Wireshark, maar ze veroorza-

ken minder belasting voor de Raspberry Pi dan het op-

nemen en de live-weergave in Wireshark.

Omdat het soms handig is om een console beschik-

baar te hebben, voegt de installatie Shellinbox toe. Je

kunt daarmee een terminalsessie openen op de Rasp-

berry Pi in je browser. In tegenstelling tot de andere

componenten heeft die een gebruikersnaam en wacht-

woord nodig – de ontwikkelaars vinden dat essentieel.

Bij de andere ingrediënten kun je zonder.

Een paar extra firewall-regels zorgen ervoor dat je

via het externe IP-adres van de Pi met c't-Raspion of de

naam meteen naar de overzichtspagina gaat. Die linkt

naar individuele programma's zoals ntopng en Wires-

hark. Vanuit het geobserveerde netwerk reageert dit al-

leen op poort 81, omdat Pi-hole poort 80 voor zichzelf

claimt. De koppeling van scripts, diensten en overzichts-

pagina's via PHP wordt verzorgd door de minimale web-

server lighttpd.

Alle webcontent komt terecht in de directory public_

html van de gebruiker pi. Daar maakt de installatie ook

de directory aan voor het opslaan van pakketopnames

die standaard door Wireshark wordt gebruikt. Je vindt

er ook links naar de directory scans, waarin de door het

script vulscan.sh (uit /usr/local/sbin) ge-HTML-iseerde

nmap-scans draaien, die proberen de CVE-database te

vullen, wat handig is voor het evalueren van een appa-

raat. Dat geheel bevindt zich echter nog in een experi-

menteel stadium.

SPYWARE

De afzonderlijke diensten zoals ntopng, mitm-proxy, Wi-

reshark en Shellinabox draaien op hun eigen TCP-poor-

ten. Als je c't- Raspion in een onbetrouwbaar netwerk

start of aanvallen vreest vanuit het geobserveerde net-

werk, moet je de spion pantseren. Daarvoor is het een

goed idee om alle poorten waarop de monitoringdien-

sten draaien (80, 81, 3000, 4200, 9090, 10000) alleen toe-

gankelijk te maken voor geselecteerde hosts. Hier een

voorbeeld voor toegang tot ntopng:

iptables -A INPUT -p tcp -poort 3000 -j REJECT

iptables -I INPUT -p tcp -poort 3000 -i eth0 -s

192.168.25.25 -j ACCEPT

Als je het bronadres 192.168.25.25 vervangt door het ex-

terne IP-adres van c't-Raspion, zal hij alleen verbindin-

gen accepteren die hij zelf geïnitieerd heeft. Als je dan

een SSH-verbinding maakt met c't-Raspion en die laat

werken als een SOCKS-proxy (met de optie -D), dan kun

je hem via een SSH-tunnel gebruiken.

Alleen al door de relatie tussen Raspbian en Debi-

an zou c't-Raspion in principe op een x86-systeem kun-

nen draaien. Er zitten echter voordelen aan de kleine

Raspberry Pi: hij kan zonder veel gedoe werken als een

wifi- accesspoint en kan dus makkelijk dienen als wifi-

toegang tot internet voor de te observeren apparaten.

Een Raspberry Pi is mobiel, en als het alleen om afzon-

derlijke apparaten gaat is hij ook krachtig genoeg. Bo-

vendien kun je een volledig geconfigureerde geheugen-

kaart bewaren en gebruiken als dat weer nodig is.

Foto

NA

SA

/SD

O e

n A

IA-,

EV

E-,

en

HM

I-T

ea

ms

Urs Mansmann en Noud van Kruysbergen

In het jaar 2019 is er waarschijnlijk een nieuw re-

cord gevestigd: nog nooit sinds het begin van het

ruimte tijdperk zijn er zoveel dagen in een kalen-

derjaar geweest waarop er geen enkele zonnevlek

verscheen – vaak wekenlang achter elkaar zonder

onder breking. In actieve jaren zijn echter elke dag

zonnevlekken zichtbaar, vaak tientallen individu-

ele plekken in meerdere groepen. Het aantal en de

grootte van de vlekken geeft informatie over hoe ac-

tief de zon op een bepaald moment is.

Het relatieve aantal zonnevlekken wordt sinds

het midden van de 18e eeuw dagelijks bepaald. Elke

zichtbare vlek op het oppervlak van de zon is goed

voor één punt, elke groep voor tien punten. Omdat

individuele vlekken tegelijkertijd als groep worden

meegeteld, is het laagste getal 11. Als er een grote-

re telescoop wordt gebruikt dan de standaardversie

met een 8-inch diafragma, moet het getal met een

vaste factor naar beneden worden bijgesteld om

STILTE VOOR DE STORM

Zon op weg naar activiteitsmaximumOp dit moment is de zon op het minimum van haar

activiteit. De komende jaren zal de activiteit aanzien-

lijk toenemen. Zonnestormen kunnen elektriciteits-

netwerken en satellieten uitschakelen.

de waarnemingen vergelijkbaar te houden. Grote

observa toria rapporteren daarom vaak 7 als kleinste

waarde.

De zonneactiviteit volgt een cyclus van ongeveer

elf jaar. De minimum- en maximumwaarden wor-

den bepaald aan de hand van rekenkundige maand-

gemiddelden die gebaseerd zijn op een periode van

13 maanden, oftewel van zes maanden vóór tot en

met zes maanden na de betreffende maand. Dat

wordt gedaan omdat het aantal nogal schommelt,

vooral wat de maxima betreft. In december 2019 was

de waarde voor mei dus pas bekend. Die was 3,9. Aan-

gezien de maandgemiddelden van juni tot november

slechts tussen de 0,4 en 1,1 lagen, zullen de reken-

kundige gemiddelde waarden waarschijnlijk nog ver-

der dalen als de activiteit de komende maanden niet

sterk toeneemt. NASA-deskundigen verwachten dat

het minimum in de loop van 2020 zal worden bereikt.

Het analyseren van proefmonsters uit ijskernen

of in sedimenten maakt het mogelijk om de zonne-

activiteit in de afgelopen eeuwen en millennia ruw-

weg te bepalen op basis van de isotopenverdeling van

bepaalde elementen. Onderzoekers ontdekten dat

activiteitscycli van verschillende lengtes elkaar over-

lappen. Naast de cyclus van ongeveer elf jaar zijn

er cycli van een paar honderd en een paar duizend

jaar, maar hun precieze frequentie en amplitude zijn

contro versieel.

ONNAUWKEURIGE VOORSPELLINGEN

Wetenschappers proberen al vele decennia te voor-

spellen hoe intensief de activiteitenmaxima zullen

zijn – met zeer matig succes. Zelfs nu, aan het begin

van de aankomende cyclus, zijn hier nog volkomen

verschillende voorspellingen en evenveel verschil-

lende benaderingen voor. Volgens de laagste prog-

nose zijn de aantallen zonnevlekken slechts half zo

hoog als bij de vorige cyclus, en die was al het zwakst

in meer dan 100 jaar. Dan zou de komende cyclus ver-

uit de zwakste zijn sinds het begin van de reguliere

metingen. Andere wetenschappers gaan er daaren-

tegen van uit dat de cyclus vrij sterk zal zijn, onge-

veer tot op het niveau van de voorlaatste, en dus zo’n

beetje op het gemiddelde van alle tot nu toe geregis-

treerde cycli. NASA verwacht dat de komende cyclus

net zo laag zal zijn als de vorige. Die prognose is voor-

al belangrijk voor de ruimtevaartactiviteiten.

GEVAARLIJKE STRALING

Als er veel vlekken zijn, is de zon actief. Dan produ-

ceert de zon meer straling en deeltjesstromen dan in

rustige jaren. Zelfs zonder uitbarstingen is de rönt-

genstraling die van de zon afkomt op het maximum

van de cyclus een of twee orden van grootte hoger

dan op het mini mum.

Grote groepen vlekken produceren gewelddadi-

ge stralingsuitbarstingen. Die zogenaamde röntgen-

vlammen worden aan de hand van de intensiteit

van de vrijgekomen röntgenstraling logaritmisch in-

gedeeld in de klassen C, M en X. Die zijn elk onder-

verdeeld in een tiendelige schaal, waarbij na C9 dan

102 www.ct.nl

Achtergrond / Zonne-activiteit

NASA voorziet exploitanten van pijpleiding- en elektriciteitsnetwerken van gegevens over verwachte geomagnetische stormen.

M1 komt. Een X1-vlam produceert 100 keer zoveel

röntgenstraling als een C1-vlam en 10 keer zoveel

als een klasse M1-vlam. Als X9 wordt overschreden,

wordt gewoon doorgeteld met X10, 11, 12 ...

De röntgenstraling kan alleen door satellieten

worden gedetecteerd, omdat de aardse atmosfeer ze

volledig absorbeert, zodat daar aan het aardopper-

vlak niets meer van te merken is. Twee extreme vlam-

men tussen 2000 en 2010 brachten de sensoren van

de NASA-meetsatelliet met X17 op het verzadigings-

punt. Volgens schattingen zou de recordhouder op 4

november 2003 de waarde X28 bereikt hebben. Extre-

me vlammen kunnen zelfs de waarde X50 bereiken.

Dergelijke röntgenstralen komen zonder waar-

schuwing vooraf voor bij actieve gebieden van de zon

en bereiken de waarschuwingsdrempel vaak binnen

enkele minuten. Ze houden een paar minuten tot en-

kele uren aan. Dat is voor bemande ruimtestations

geen probleem – die moeten sowieso goed worden

afgeschermd tegen de voortdurend aanwezige

röntgenstraling. Ook satellieten kunnen dergelijke

stralings stijgingen makkelijk aan. Röntgenstralen

hebben wel een sterk effect op de ionosfeer. Aan de

kant die naar de zon gericht is, stort de communi-

catie op de korte golf via de ruimte volledig in tijdens

dergelijke beurtenissen– maar tegenwoordig is kor-

te-golfradio van minder belang. Ook de effecten op

de satellietcommunicatie en -navigatie zijn klein.

Soms gaan dergelijke vlammen gepaard met een

sterke toename van de zonneruis over een breed fre-

quentiegebied. Dat kan inderdaad storing veroor-

zaken. Dat gebeurt echter alleen bij zwakke signalen,

zoals van satellietverbindingen of bij mobiele com-

municatie tussen partners die maar net binnen el-

kaars bereik zitten.

Af en toe stoten dergelijke vlammen ook gro-

te hoeveelheden geladen deeltjes uit, zogenaam-

de CME's (Coronal Mass Ejections) oftewel plasma-

wolken. Meestal is het pas uren na een zonnevlam

dat het aantal protonen dat op de aarde aankomt

meetbaar toeneemt, in het geval van grotere CME’s

met vele duizenden malen de normale waarde. De

protonen worden door het magnetische veld van

de aarde afgebogen en komen rond de magnetische

polen de ionosfeer binnen. Daar veroorzaken ze een

aanzienlijke toename van de kosmische straling, die

vaak dagenlang duurt, waardoor luchtvaartmaat-

schappijen gedwongen worden om polaire vliegrou-

tes te vermijden of veel lager te vliegen om blootstel-

ling van passagiers en bemanning aan de straling

niet te hoog te laten worden.

Protonbombardementen zijn daarnaast van

grote invloed op satellieten. De boordelektronica

van satellieten kan worden verstoord door proto-

nen, bijvoorbeeld door fouten in geheugenchips of

door meer ruis in gemaakte foto’s. In extreme geval-

len crasht de boordcomputer. Een satelliet kan ook

zijn oriëntatie verliezen doordat tijdelijk geblindeer-

de sensoren geen beeld meer kunnen geven van de

nachtelijke hemel, en de boordsystemen daardoor

de positie van de satelliet niet of niet correct kun-

nen bepalen. Heftige uitbarstingen verstoren de af-

zonderlijke satellieten herhaaldelijk of leiden tot een

tijde lijk verlies van controle.

Als een uitbarsting plaatsvindt in een centraal ge-

bied van het zonneoppervlak dat zichtbaar is vanaf

de aarde, kan er na ongeveer 36 tot 72 uur een mag-

netische storm volgen. Snelle veranderingen in de

zonnewind, oftewel in de deeltjesdichtheid en -snel-

heid, creëren schokfronten die het magnetisch veld

van de aarde aanzienlijk kunnen vervormen. Zeer

sterke stormen leiden zelfs tot een tijdelijke afwijking

in de weergave van magnetische kompassen.

Dergelijke geomagnetische stormen kunnen aan-

zienlijke schade veroorzaken. Als het magnetisch

veld van de aarde zodanig wordt vervormd dat satel-

lieten door de zogeheten magnetopauze gaan, wor-

den ze zonder bescherming blootgesteld aan de zon-

newind aan de kant die naar de zon gericht is.

Een zichtbaar gevolg van zo'n magnetische storm

op aarde is het noorderlicht, dat af en toe op lage-

re breedtegraden te zien is tijdens bijzonder hevige

stormen. De snelle veranderingen in het aardmag-

netisch veld kunnen aanzienlijke problemen veroor-

zaken voor exploitanten van grote elektriciteitsnet-

ten of bovengrondse leidingnetwerken omdat die

gelijkspanningen induceren. Pijpleiding-beheerders

zetten hun leidingen ook wel onder spanning om

corrosie te voorkomen. Extern geïnduceerde span-

ningen door magnetische stormen kunnen die be-

scherming ineffectief maken. Operators op hogere

breedtegraden moeten daarom reageren en de be-

veiligingsspanning aanpassen als er magnetische

stormen optreden.

BESCHERMING TEGEN EXTREME

GEBEURTENISSEN

In elektriciteitsnetten kunnen geïnduceerde span-

ningen een direct destructief effect hebben. Elek-

triciteitsnetwerken die zich over honderden of zelfs

duizenden kilometers uitstrekken, lopen het risico op

aanzienlijke schade bij zeer zware geomagnetische

uitgave 4/2020 103

Illustratie

NA

SA

De zon volgt een cyclus van ongeveer elf jaar, maar

bevindt zich momenteel in een sluimerende fase.

stormen. Zwakke punten zijn de transformatoren bij

de overgangen naar andere netwerken en spanning-

sniveaus, die door de toegevoegde gelijkspannings-

componenten dusdanig kunnen opwarmen dat ze

kapotgaan.

Het Amerikaanse weerinstituut NOAA heeft in sa-

menwerking met de USGS, een Amerikaans bureau

dat onder meer onderzoek doet naar de natuurlijke

hulpbronnen, onlangs gegevens gepubliceerd voor

de VS over hoe groot de gevolgen van die magneet-

veldveranderingen kunnen zijn. Dat geeft netwerk-

beheerders de mogelijkheid om tijdig maatregelen

voor te bereiden om hun installaties te beschermen.

De NOAA gebruikt voor zijn systeem voor vroeg-

tijdige waarschuwing een satelliet op lagrangepunt

L1 tussen de aarde en de zon, wat betekent dat hij

zich op de lijn bevindt tussen de twee hemellicha-

men op het punt waar hun zwaartekrachten elkaar

opheffen. Daar, op ongeveer 1,5 miljoen kilometer

van de aarde, meet de satelliet voortdurend de gege-

vens van de zonnewind, dat wil zeggen de dichtheid,

de snelheid en de magnetische oriëntatie en sterkte

van de wind. Uit de veranderingen in deze waarden

kan vrij nauwkeurig het effect ervan worden inge-

schat op het aardmagnetisch veld.

Voor onze regio worden daar geen waarschu-

wingen uit berekend, hoewel dat met de NOAA-sa-

tellietgegevens makkelijk zou kunnen. Dat is ook

omdat dat de gevaren hier kleiner zijn dan in Noord-

Amerika. Ook al bevinden we ons geografisch gezien

op een noordelijkere breedtegraad dan de VS, de

magnetische pool is momenteel ongeveer 10 graden

richting Noord-Amerika opgeschoven ten opzich-

te van de geografische noordpool. Daardoor ligt de

noordelijke grens van de VS (in het middenwesten)

op dezelfde geomagnetische breedtegraad als het

zuiden van Noorwegen.

In het verleden heeft Europa wel te maken gehad

met stroomstoringen als gevolg van magnetische

stormen, maar die hebben voornamelijk de Scan-

dinavische landen getroffen, waar de gevolgen veel

ernstiger zijn door de meer noordelijke ligging. Zware

geomagnetische stormen zijn zeer zeldzaam gewor-

den door de lage activiteit van de zon in de laatste

cyclus en zijn in het algemeen milder geweest dan bij

de veel actievere cycli sinds de jaren dertig.

VOORUITZICHTEN

De komende één tot twee jaar zal de activiteit van

de zon langzaam weer toenemen. Over vier tot zes

jaar zal dat waarschijnlijk zijn maximum bereiken. De

hoogste geomagnetische activiteit kan dan worden

verwacht in de tweede helft van de jaren twintig.

De deskundigen zijn bang voor vlammen van de

Carrington-klasse, genoemd naar de astronoom die

de grootste uitbarsting op de zon tot nu toe heeft

waargenomen en beschreven. Naar de huidige maat-

staven zou de bijbehorende röntgenuitstoot waar-

schijnlijk in de X40- tot X50-klasse komen te vallen.

In de nacht van 1 op 2 september 1859 werd de aar-

de getroffen door de sterkste geomagnetische storm

ooit. Die was zo gewelddadig dat het daarbij gepro-

duceerde felle noorderlicht tot in Cuba te zien was.

De in telegraaflijnen geïnduceerde spanning was zo

hoog, dat op sommige plaatsen de gebruikte papier-

stroken door vonken in brand vlogen. Een gebeur-

tenis van die omvang kan in de huidige tijd enorme

schade toebrengen aan satellietsystemen en elektri-

citeitsnetwerken.

De voorspellingen voor de komende cyclus zijn

onbetrouwbaar. Een hoge zonneactiviteit verhoogt

het risico op catastrofale uitbarstingen, dus hoe be-

ter onderzoekers begrijpen wat er op de zon gebeurt,

des te beter ze het risico kunnen inschatten en des

te specifieker beheerders van kwetsbare technologie

die kunnen beschermen. De missie naar de zon van

NASA en ESA moeten ook tegen die achtergrond ge-

zien worden.

Solar Orbiter

Op het moment dat je dit leest moet de onder-

zoekssatelliet Solar Orbiter met een Atlas 5-411-

raket op weg zijn gestuurd naar de zon. De gezamen-

lijke missie van het Europees Ruimteagentschap

(ESA) en NASA gaat de zon tien jaar lang van dichtbij

bestuderen en daarbij high-res beelden maken en

gegevens verzamelen met behulp van een aantal

sensoren.

Vanaf juni zal de satelliet in totaal tien instru-

menten kunnen gebruiken om de omstandigheden

te meten waaraan de satelliet op verschillende af-

standen van de zon wordt blootgesteld en om ver-

schillende parameters van de zonneactiviteit vast

te leggen. Dat zijn onder andere de deeltjesstraling,

het magnetisch veld rond de sonde en het spec-

trum.

De grootste moeilijkheid in het ontwerp was

het ontwikkelen van maatregelen om de 1,8 ton

wegende satelliet te beschermen tegen de intense

hitte. Een deel van de sensoren bevindt zich achter

een nieuw ontwikkeld hitteschild van een calcium-

fosfaatmateriaal (SolarBlack), dat in combinatie

met 20 lagen titanium ontworpen is om op lange

termijn temperaturen van meer dan 500 graden Cel-

sius te weerstaan.

104 www.ct.nl

SCHULDVRAAG

Falend beleid of onvermijdelijk bedrijfsrisico?

In gevallen waarbij er een ernstig gebrek

aan veiligheidscontroles aan het licht

komt, moet een groot deel van de schuld

dan ook aan de organisatie worden toe-

geschreven. Er zijn de laatste tijd veel

gevallen geweest waarbij er een aanval

plaatsvond en het bedrijf reageerde met

een clichéopmerking zoals ‘uw beveili-

ging is onze prioriteit’, ‘we nemen beveili-

ging zeer serieus’ of ‘dit was een gerichte

aanval door professionele hackers’.

Vaak blijkt echter dat een hack is

gelukt vanwege vermijdbare fouten, zoals

een niet gepatchte webserver, Java- code

van een externe partij, een on beveiligde

ftp-verbinding en talloze andere bekende

kwetsbaarheden en configuratie fouten.

Uiteindelijk komt een adequate be-

scherming neer op geld, tijd en expertise,

wat zich weer vertaalt in het hebben van

de juiste mensen, processen en tech-

nologie. Het merendeel van de hacks en

gegevensdiefstallen die de afgelopen tien

jaar hebben plaatsgevonden, heeft zijn

oorsprong in vermijdbare fouten.

Je hoort ook wel eens het argument

dat je de slachtoffers – al dan niet in

het bedrijfsleven – nooit de schuld kunt

geven. Daarbij wordt een gegevens-

inbreuk ver geleken met een straat roof:

‘Je kunt het slachtoffer niet de schuld

geven van een beroving, zelfs niet als ze

‘s avonds laat bellend over straat lopen

en dure juwelen dragen, duidelijk in het

zicht. Het is nooit hun schuld’.

Dat voorbeeld gaat echter niet hele-

maal op, omdat in die situatie het slacht-

offer dan niet de persoonlijke gegevens

van 10.000 mensen bij zich draagt. Want

in dat geval zou je wel geneigd zijn de

schuld deels te leggen bij iemand die op

die manier onverantwoordelijk met de

gegevens van anderen omgaat. Je mag

dan toch zeker wel verwachten dat er

dan verstandige voorzorgsmaatregelen

worden genomen.

In gevallen waarin bedrijven falen

bij het beoordelen, controleren en rap-

porteren van beveiligingsfouten, moet

de schuldvraag adequaat worden be-

antwoord. Als je van huis vertrekt en wel

alle deuren op slot draait, maar je ramen

allemaal open laat staan, kun je realistisch

gezien verwachten dat er bij terugkomst

het een en ander zal zijn ontvreemd. Als je

in huis de persoonlijke en privégegevens

van je medewerkers, klanten en het alge-

mene publiek bewaart, verwachten zij

dat hun belang je hoogste prioriteit is,

niet dat van de aandeelhouders.

In de huidige wereld waarin alles

en iedereen via internet is verbonden

en data de motor is die alles aandrijft,

van financiële instanties tot politiek,

ver trouwen we extreem veel van onze

informatie toe aan allerlei bedrijven. Dat

vertrouwen moet worden verdiend en

gekoesterd worden.

Aanvallen op organisaties zijn aan de orde van de dag. Cybercriminelen vallen het netwerk van een bedrijf aan, data wordt ontvreemd en het werk ligt tijdelijk helemaal

stil. Is het dan eenduidig wie het slachtoff er is en dat alle schuld bij de aanvaller ligt, of moet de verantwoordelijkheid toch bij meerdere partijen liggen?

Het doel van een aanval kan een

werkgever zijn, een klant, een

sociale mediaplatform, een tussen-

persoon die verantwoordelijk is voor het

beveiligen van de toegang of een financiële

partner. De betrokken organisatie is in

alle gevallen het slachtoffer, maar de

repercussies spreiden zich meestal ook

uit naar gebruikers en klanten.

Of de motivatie voor een aanval nu

voortkomt uit financieel gewin, ‘hack-

tivisme’, klokkenluiden of iets anders,

elke vorm van cyberaanval is op zich

illegaal en dient te worden vervolgd.

Desondanks dragen de aangevallen be-

drijven die succesvol gehackt worden

zelf ook enige verantwoordelijkheid

voor de ontvreemde data als hun veilig-

heids controles niet correct waren ge-

ïmplementeerd en ook als er geen ade-

quate be schermings maat regelen waren

getroffen. Maar hoe ver gaat deze verant-

woordelijkheid?

Wie we als slachtoffer zien of wie er

verantwoordelijk is, hangt meestal niet

af van de veiligheidsmaatregelen die een

bedrijf nam, maar van hoe het bedrijf op

de aanval reageert.In de praktijk wordt dan meestal

vooral een uitdaging voor de mensen van

de marketingafdeling. Als klant hangt

waar je de schuld legt af van hoe je die

uitingen binnenkrijgt en interpreteert en

waar je persoonlijke bias ligt. Dat zou

echter niet zo moeten zijn.

Bij veel situaties waarbij een bedrijf

gehackt is, is het duidelijk waar de ver-

antwoordelijkheid ligt. Het bedrijf kan

bijvoorbeeld onverantwoordelijk zijn

om gesprongen met gegevens, met het

beheer van de systemen of het onderhoud

daarvan. Dan ligt de schuld zeker deels

bij het bedrijf.

Auteur

Simon Vernon,

GSEC, GCIH, GCFE,

GPEN

Senior Security

Researcher,

SANS EMEA

Voor meer informatie zie

de SANS-website

(sans.org/train-

with-SANS-NL).

uitgave 4/2020 105

STRIJD OM DE DATA

Browsers en adblockers versus de reclame-industrie – de volgende rondePrivacyvriendelijke browsers zorgen voor aardig wat hoofdpijn bij de reclame-industrie. Brave is officieel van start gegaan. Microsofts compleet vernieuwde Edge is nu beschikbaar, Firefox verwijdert trackers al een tijdje en kan nog rigoreuzer worden met add-ons. Maar ook de tracker-industrie is aan het upgraden.

Jo Bager en Noud van Kruysbergen

Gegevensbescherming is op dit moment het

belangrijkste onderwerp bij browsers. Makers

voegen opties toe tegen opdringerige reclame

en trackers of kondigen daar op zijn minst relevante

functies voor aan. Er zijn zelfs twee nieuwe browsers die

speciale nadruk leggen op bescherming van de privacy

van hun gebruikers.

Een daarvan is Brave. De drijvende kracht achter die

browser is voormalige Mozilla-baas Brendan Eich. Naar

zijn mening worden websites te veel overladen met ad-

vertenties en trackers die gebruikers bespioneren. Met

Brave confronteert hij de traditionele online-reclame-

wereld met een nieuw model waarvan adverteerders,

uitgevers én gebruikers zouden moeten profiteren.

Brave filtert reclame inclusief trackers uit bezoch-

te websites. Veel grote sites laden daardoor merkbaar

sneller. De browser toont zelf reclame in de vorm van

pushberichten als de gebruiker dat wil. Je bepaalt bij de

browseropties hoeveel van die tekstadvertenties je wilt

lezen. De frequentie varieert van één tot maximaal vijf

advertenties per uur – maar exploitanten van bezochte

websites hebben er geen invloed op.

De advertenties moeten relevant zijn voor de ge-

bruiker. Daarom vergelijkt Brave diens surfgedrag met

een catalogus. Die bevat alle beschikbare adverten-

ties die Braves eigen advertentieserver kan leveren. De

browser selecteert de juiste aanbiedingen en gebruikt

artificiële intelligentie om naar eigen zeggen de beste

tijd en gelegenheid te bepalen om reclame te tonen. Dat

alles gebeurt lokaal, er komt geen enkele derde partij

aan te pas. Niemand anders krijgt dan ook ooit je profiel

in handen, belooft de maker.

BRAVE BETAALT DE SURFER ...

Als je advertenties laat tonen, beloont Brave je met zo-

genaamde ‘Brave Rewards’ – dat is geld in de vorm van

106 www.ct.nl

Test / Trackerblockers

eigen cryptovaluta met de naam BAT (Basic Attention

Token). De producent wil 70 procent van de reclame-

inkomsten aan gebruikers uitbetalen. Dat geld komt

terecht in een geïntegreerde cryptowallet, die ook kan

worden aangevuld met stortingen. De externe dienst-

verlener Uphold beheert zowel de geldstromen als de

stortingen en opnames.

Een gebruiker kan zijn inkomsten gebruiken om

journalisten en andere auteurs op internet financieel

te ondersteunen. De eenvoudigste manier om dat te

doen, is om de optie ‘Auto-Contribute’ te activeren, zo-

dat de browser een maandelijks vast totaalbedrag ver-

deelt over de bezochte websites die zich daar bij Brave

voor hebben aangemeld. Het doet sterk denken aan

Flattr, een Zweedse social-payment-dienst die nooit

echt aangeslagen is. Er is ook een functie ‘Tips’ waar-

mee gebruikers individuele sites kunnen belonen. De

gevers blijven anoniem.

... EN DIE DE WEBSITEBEHEERDER

Tot nu toe hebben meer dan 10.000 website-exploi-

tanten en ‘content creators’ zich aangemeld. Daartoe

behoren Wikipedia, Twitter en YouTube. Exploitanten

van websites kunnen een speciale knop opnemen als

stimulans voor donaties. Die zijn al te zien op Twitter

en Reddit, waar individuele gebruikers ‘getipt’ kunnen

worden. Verder zijn ze nog zeldzaam. Brave hoopt dat

reclamegelden die naar de gebruikers gaan, uiteindelijk

rechtstreeks bij de Creators terechtkomen. Conventio-

nele advertenties en trackers zijn daarbij niet nodig.

Technisch gezien is Brave gebaseerd op Chromium,

dat ook de basis vormt van Googles browser Chrome.

Daardoor is het beschikbaar voor Windows, macOS,

Linux, iOS en Android. Gebruikers van Braves deskto-

pversie hebben toegang tot de enorme selectie van

add-ons voor Chrome. Als je met Chrome werkt, kun je

je weg in Brave makkelijk vinden. Brave kan op dit mo-

ment echter alleen bookmarks synchroniseren.

De maker heeft Brave uitgebreid met een aantal

nuttige privacy-functies. De browser probeert bijvoor-

beeld alle aanvragen via HTTPS-verbindingen af te han-

delen – indien mogelijk. Op de adresbalk geeft een klein

pictogrammetje aan hoeveel trackers er geblokkeerd

zijn – dat aantal is vaak beangstigend hoog.

Met één muisklik krijg je meer details en opties te

zien. Er is een slider om trackers handmatig te ontgren-

delen, bijvoorbeeld als een website anders niet werkt.

Als je wilt, kun je alle scripts blokkeren met een ande-

re schuifregelaar. Hoewel dat veiliger is, veroorzaakt

het meestal weergaveproblemen. Daarnaast kan de ge-

hele beveiliging tijdelijk worden uitgeschakeld voor de

momen teel bezochte pagina.

Standaard blokkeert Brave naast trackers ook

‘cross-site cookies’ van derden. Dat voorkomt het bij-

houden van een profiel over meerdere websites. Bij de

opties kun je ook embedded-content van Twitter, Face-

book en LinkedIn eruit filteren. Die verzamelen immers

ook ijverig gegevens.

Als je aan de veilige kant wilt zitten, open dan een

‘Nieuw privévenster met Tor’. Dan wordt het IP-adres

verhuld door een pagina-aanvraag in gecodeerde vorm

te sturen via verschillende Tor-servers. Dat duurt iets

langer dan een directe oproep, en soms mislukte de

communicatie volledig bij onze test.

MICROSOFTS PRIVACY-CHROMIUM

Brave is niet de enige nieuwe browser met een

Chromium- basis die is ontworpen om het leven voor de

reclame-industrie moeilijk te maken. Met Microsoft

Edge is nog zo'n soort browser verschenen. De eerste

versie is inmiddels officieel uit een geeft een goed idee

van wat Microsoft wil en kan doen met zijn browser.

Bij de instellingen staat onder ‘Privacy en services’

de optie ‘Traceringspreventie’. Daar heb je de keuze

tussen Basis, Gebalanceerd en Strikt. Daarbij worden

respectievelijk de meeste trackers op alle sites toege-

staan, trackers van sites die je nog niet bezocht hebt

geblokkeerd dan wel de meeste trackers van alle sites

uitgeschakeld. De middelste optie is de aanbevolen

standaardinstelling. Zelfs met die instelling laden veel

websites merkbaar sneller.

Naast de privacy-instellingen biedt de browser

andere nuttige functies. Interessante webpagina's

kunnen bijvoorbeeld worden verzameld in ‘collecties’

en worden geëxporteerd naar Word en Excel. Op het

moment van schrijven is deze functie nog niet vrijge-

geven, maar met een truc (zie link bij dit artikel) al te

activeren. De Microsoft Search-integratie van de brow-

ser kan een echt voordeel bieden voor bedrijven. Daar-

mee kunnen beheerders niet alleen de informatie die

vaak nodig is binnen bedrijven vindbaar maken. Mi-

crosoft wil met partners ook meer dan 100 applicaties

die vaak gebruikt worden binnen bedrijfsintranetten

doorzoekbaar maken, zoals Box.com en Salesforce.

CHROMES PRIVACY-COMPROMIS

Google, dat net als Microsoft zelf aan reclamemarke-

ting doet, kan zich niet aan deze trend onttrekken en

heeft voor zijn browser Chrome – en de hele branche –

verbeteringen bij de gegevensbescherming tot onder-

werp van discussie gemaakt. Google wil een nieuw

cookie-attribuut introduceren, genaamd Samesite,

dat kan worden gebruikt bij HTTP-headers. Daardoor

kan een cookie alleen door dezelfde website worden

Brave blokkeert nu al reclametrackers en filtert banners uit. Als je wilt, kun je ook Facebook en andere sociale media blokkeren.

uitgave 4/2020 107

gelezen, wat moet voorkomen dat er met zo'n cookie

cross-site-tracking gedaan kan worden.

Een anti-Fingerprinting-functie is bedoeld om

de voor deze vorm van 'profiling' benodigde gege-

vens te blokkeren voor JavaScript. Een verbeterde

gebruikersinterface moet gemakkelijkere privacy-

instellingen bieden. Het is echter nog niet duide-

lijk wanneer de nieuwe functies in Chrome zullen

worden geïntroduceerd.

PRIVACY BIJ FIREFOX

Mozilla heeft de privacybescherming van zijn Fire-

fox-browser met bijna elke recente versie aangescherpt.

Versie 69 blokkeerde bijvoorbeeld standaard al veel

cookies van derden. In versie 70 werd daar een rapport-

functie aan toegevoegd die gebruikers informeert hoe

vaak werd geprobeerd hen te traceren – waardoor ze

zich meer bewust worden van het probleem.

Mozilla werkt ook aan een VPN genaamd Fire-

fox Private Network (FPN), dat blijkbaar niet alleen de

browsergegevens moet tunnelen, maar het verkeer van

het hele systeem (Windows, macOS, Linux, ChromeOS,

Android en iOS). Momenteel is dit alleen beschikbaar

voor gebruikers in de VS, en het zal niet gratis zijn. De

huidige bètaversie kost 4,99 dollar per maand. Een VPN

is ook een doorn in het oog van de reclame-industrie

omdat daarbij het IP-adres van de gebruikers verhuld

wordt, hetgeen volgen nog moeilijker maakt.

Apple was met Safari een pionier op het gebied van

gegevensbescherming. Safari heeft al langer Intelligent

Tracking Prevention, dat voorkomt dat adverteerders

gebruikers over meerdere websites kunnen volgen en

profielen met gebruikersinteresses kunnen aanmaken.

DE RECLAME-INDUSTRIE IS BOOS

Adverteerders zien hun inkomstenbronnen opdrogen

door reclame- en tracking-blockers. In hun ogen doen

browsermakers aan onaanvaardbare concurrentiever-

valsing. Het lijkt er volgens sommigen op alsof brow-

sermakers steeds vaker hun speciale technologische rol

gebruiken om als de facto regelgever op te treden. Dat

kan zeker worden gezien als misbruik van marktmacht.

Het is twijfelachtig hoe legitiem dat is aangezien slechts

zo'n vier tot vijf bedrijven de wereldmarkt domineren.

Op dat punt is enige fijngevoeligheid en transparantie

nodig voor de gehele digitale economie in het belang

van alle marktdeelnemers. Dat is wellicht een zaak voor

de politiek.

Voor ten minste één reclameserviceprovider, Eule-

rian, lijkt dat niet voldoende te zijn. Eulerian heeft een

nieuwe manier gevonden om zijn trackers te gebruiken.

Veel reclame- en tracker-blockers blokkeren namelijk

voornamelijk content van websites van derden. Ze be-

handelen de content die afkomstig is van hetzelfde do-

mein veel ruimer. En daar maakt Eulerian gebruik van.

In een blogpost op het ontwikkelplatform GitHub

vertelt gebruiker Aeris dat hij op de website van het

Franse dagblad Libération (liberation.fr) een trac-

king-script heeft ontdekt dat via een subdomein gela-

den wordt. In werkelijkheid komt de tracker echter uit

een heel ander domein, maar dat werd vermomd door

een CNAME DNS-entry. De tracker is ingebed in de pa-

gina via het subdomein f7ds.liberation.fr, "dat op zijn

beurt verwijst naar liberation.eulerian.net," schrijft Ae-

ris. Die techniek staat bekend als DNS Delegation, DNS

Aliasing of CNAME Cloaking.

Raymond Hill, de ontwikkelaar van uBlock, heeft nu

een manier gevonden om dergelijke DNS-trucs in Firefox

te achterhalen en de trackers te blokkeren. Hij gebruikt

daar een programmeerinterface van de browser voor

die de hostnaam van een DNS-entry achterhaalt en zo

de CNAME-truc blootlegt. Om dat te laten werken, moe-

ten Firefox-gebruikers nieuwe toegangsrechten aanvin-

ken om de extensie toegang te geven tot de browser-

interface. De nieuwe beveiligingsfunctie is geïntegreerd

in de huidige versie van uBlock Origin. Er is geen oplos-

sing voor Chrome, omdat de Google- browser een ver-

gelijkbare API zoals bij Firefox niet heeft.

VOORUITBLIK

De datahonger van adverteerders en de defensie-

ve maatregelen van browserfabrikanten zorgen dus

voor veel interessante ontwikkelingen. Een bijzonder

punt: Google, de grootste online reclamemarketeer,

loopt voorop in het ontwikkelen van de technische

basis voor twee nieuwe veelbelovende browsers, Bra-

ve en Edge. Ook bijzonder: die laatste wordt ontwik-

keld door een ander online reclamebureau, namelijk

Microsoft.

De ‘nieuwelingen’ moeten nu alleen nog zien te

overleven op de markt. Brave was als bètaversie in

staat om 8,7 miljoen maandelijkse gebruikers aan te

trekken. Microsoft zal zijn browser Edge zeker zoveel

mogelijk proberen te verspreiden.

Het maakt niet uit of het gaat om Edge, Brave,

een van de andere Chromium-derivaten Opera en

Vivaldi of om Firefox: probeer een van de alternatieve

browsers. En dan niet alleen vanwege de reclame- en

tracker- blockers waarmee het merkbaar sneller surft,

maar ook omdat die alternatieve browsers veel an-

dere praktische functies hebben die de marktleider

Chrome ontbeert. Edge laat je beslissen hoe rigoureus de trackers geblokkeerd moeten worden.

www.ct.nl/softlink/

2004106

108 www.ct.nl

Illustratie

Alb

ert

Hu

lm

Jan Mahn en Noud van Kruysbergen

Slechts enkele bedrijven slagen erin om van hun

productnaam een generieke term te maken –

zoals Zeppelin en Maggi. En slechts een klein

aantal van hen slaagt erin om hun eigen werkwoord te

creëren – zoals ‘googelen’ voor allerlei soorten zoek-

opdrachten op internet. Dat is precies wat het bedrijf

Docker Inc. heeft bereikt met de Docker-container-

software. Sinds enkele jaren wordt het werkwoord

‘dockeren’ gebruikt om het werken met software in

containers te beschrijven, althans in de IT-wereld: het

verpakken van containerimages, het uploaden ervan

naar een registry, het downloaden ervan uit een regis-

try en het maken van een container van de image.

De Community Edition (Docker-CE) is vrije en

opensource software. Het wordt door het bedrijf ge-

financierd met de Enterprise Editie (Docker-EE), die

WALVISGEZANG

De toekomst van

containertechniek met

en zonder Docker

Docker Inc. heeft zijn Enterprise-divisie verkocht en stopt met Docker Swarm. Dat is echter geen reden tot paniek. Het bedrijf heeft zichzelf vervangbaar gemaakt door standaardisatie – en daarmee de toekomst van containers zonder Docker Inc. veiliggesteld.

ondersteuning en een administratie-interface omvat.

Nadat begin november bekend werd gemaakt dat

Docker Inc. de Enterprise-tak had verkocht aan de

clouddienstverlener Mirantis, zijn veel Docker-gebrui-

kers ongerust geworden. Ze werden geconfronteerd

met de vraag of het nog steeds verstandig is om met

die technologie te blijven werken, en of het als begin-

ner nog loont om ermee te gaan werken. Als de groot-

ste bron van inkomsten van de producent verdwijnt, is

de toekomst van de opensourcevariant onzeker, is het

argument. Maar als je de bouwstenen waaruit Docker

bestaat van dichterbij bekijkt, kun je zien hoe het be-

drijf zichzelf op tijd vervangbaar heeft gemaakt.

PIONIERSWERK

Er is een reden waarom de termen containertechno-

logie en Docker bijna synoniem zijn geworden: Docker

heeft de onderliggende technologieën zoals name-

spaces geschikt gemaakt voor dagelijks gebruik en zo

bijgedragen aan de doorbraak van containers. In 2013

presenteerde Docker (toen nog dotCloud geheten)

de eerste versie van hun idee op een conferentie. Bij

het allround-pakket behoorden al snel een imagefor-

maat, Docker-files als blauwdrukken voor images, de

Docker Hub als een geschikte registry en de command-

line-applicatie docker. Op de achtergrond werkt de

docker-daemon als een container-runtime. De tech-

nologie werd met grote belangstelling ontvangen en

het bedrijf vond makkelijk investeerders.

Maar er was ook kritiek – de Linux-gemeenschap

houdt niet van wat Docker allemaal doet bij het instal-

latieproces, zoals het aanmaken van virtuele adapters

en firewall-regels, wat het leven moeilijker maakt voor

andere programma's. Bovendien zorgt het feit dat de

docker-daemon met root-privileges werkt niet voor

enthousiasme onder Linux-beheerders. Eén verwijt

Achtergrond / Toekomst van Docker

uitgave 4/2020 109

Als je een containerafbeelding uitpakt, worden de bestandssystemen van de lagen onthuld. In het dagelijks leven is dat alles verborgen achter een commandlinetool.

uit de Linux-scene: Docker als opensourceproject ge-

draagt zich als een propriëtaire aanbieder. Als gevolg

daarvan is Docker als pakket verdwenen uit de pakket-

bronnen van grote distributies.

In 2014 kwam de grootste tegenslag tot dan toe:

op dat moment begon CoreOS, ontevreden over

de monopoliepositie van Docker en de discussies

over nieuwe functies, te werken aan de specificatie

‘Application Container Image’ (ACI) voor zijn Docker-

alternatief ‘rkt’. Om het nieuwe imageformaat een

kans te geven, werd een tool meegeleverd voor het

converteren van Docker-images. Voor dat werk werd

de organisatie App Container (appc) opgericht en wer-

den andere bedrijven uitgenodigd zich aan te sluiten.

Door dat initiatief dreigde de containergemeenschap

uit elkaar te vallen – een soortgelijke splitsing als de

Linux-pakketformaten eerder hadden meegemaakt.

GEMEENSCHAPPELIJK WERK

In 2015 erkende ook Docker dat het niet eenvoudig is

om een monopolist te zijn, zelfs als de software onder

een opensourcelicentie wordt aangeboden. Toen al

was de aantrekkingskracht van Docker dat de Docker

Hub goed gevuld was met images. Een splitsing zou

het succes van de technologie in bedreigd hebben.

Daarom besloot Docker min of meer vrijwillig haar

strategie te wijzigen: samen met anderen wilden ze de

essentiële onderdelen van hun eigen software in stan-

daarden gieten. In het beste geval zou het mogelijk

moeten zijn om alle componenten te vervangen door

andere standaardconforme implementaties.

De plaats voor die samenwerking werd het nieuw

opgerichte Open Container Initiative (OCI), onder de

paraplu van de Linux Foundation. De lijst van deel-

nemende bedrijven werd lang: onder de meer dan 40

deelnemers bevinden zich namen als Amazon, Micro-

soft, Google, Dell, Red Hat, IBM, Intel, CoreOS en Doc-

ker. In 2016 maakte ook rkt een ommekeer en kwam

met een eigen imageformaat. In juni 2017 had het OCI

twee documenten geproduceerd: een ‘Runtime Speci-

fication’ en een ‘Image Specification’. Om te begrijpen

wat die behelzen, moet je Docker-CE eens van dicht-

bij bekijken – als een mogelijke implementatie van de

standaarden.

VERPAKKINGSSTANDAARD

Een container begint met een image. Als gebruiker kun

je die maken, downloaden en er containers van ma-

ken, zonder dat je je zorgen hoeft te maken over hoe

dat werkt. Technisch gezien zijn het tar-archieven, die

metadata bevatten over de container en de inhoud

van de container in lagen – verpakt in verdere tar-ar-

chieven. Als je in een image wilt rondkijken, kan dat

met tools van docker zelf:

docker pull nginx:alpine

docker image list

docker save nginx:alpine -o nginx.tar

Het commando docker save zet de nginx-container

als nginx.tar in de huidige map. Met tar -xf nginx.

tar kun je het archief uitpakken. Naast het bestand

manifest.json met metadata zijn er directory’s die de

lagen beschrijven. Als je de daarin zittende tar-archie-

ven uitpakt, krijg je Linux-bestandssystemen. Wan-

neer je een container vanuit zo’n image start, worden

de lagen verbonden tot een bestandssysteem. Het feit

dat je als gebruiker niet te maken krijgt met het tar-ar-

chief is te danken aan software die overeenkomt met

de ‘image-spec’ van de OCI (zie de link op het eind

van dit artikel). Naast Docker werkt ook het bovenge-

noemde alternatief rkt met images. In de Red-Hat-we-

reld is Podman een populaire Docker-vervanger [1].

DISTRIBUTIESTANDAARD

De kern van het Docker-idee was het delen van ima-

ges met anderen – dat was de reden voor het succes.

In plaats van tar-archieven rond te sturen of in directo-

ry’s te beheren, is het concept van registry’s geboren.

Dat is een webserver die een API beschikbaar stelt. Hij

accepteert pakketten via HTTP-push en slaat ze op –

bijvoorbeeld na het commando docker push. Het

concept van registry’s is ook gedefinieerd in een stan-

daard (‘distribution-spec’). De Docker Hub implemen-

teert die, maar staat daar zeker niet alleen in. Er zijn

bijvoorbeeld standaard-registry’s van Google, AWS,

Azure, GitLab en GitHub. Openbare images kunnen

meestal gratis worden bewaard, voor privé-images

worden dan wel kosten in rekening gebracht.

Als je zelf een registry wilt hosten, kun je de Doc-

ker-image registry:2 op je server uitvoeren, die

door Docker is ontwikkeld. Zelfs een zelf te beheren

GitLab kan als container-registry dienen. Zeer krach-

tig is de zakelijke oplossing Harbor, die wordt geleverd

met een administratie-interface.

GEBRUIKSSTANDAARD

Om van een image een container te maken, is een con-

tainer-runtime nodig. De runtime-spec van de OCI (zie

de link) bepaalt hoe die runtime eruit moet zien. In de

praktijk zijn er twee runtimes nodig. De low-level run-

time zorgt voor dingen die niemand met de hand wil

doen. Het creëert met fork-exec een child-proces voor

de container en gebruikt de Linux-kernelfuncties voor

het omgaan met ‘cgroups’. Dat beperkt de resources

waar de container toegang tot heeft. Het proces krijgt

de uitgepakte image als bestandssysteem voorgescho-

teld – programma's in de container hebben beperkt

110 www.ct.nl

Slechts een van de implementaties van de registry-standaard: Harbor is opensource en richt zich op bedrijven.

zicht op de volledige computer en kunnen (afgezien

van mogelijke beveiligingsgaten) niet uitbreken.

De referentie-implementatie voor dit deel van het

containerwerk heet runc en is een gezamenlijk pro-

ject van de OCI. Dat is ook de basis van Docker. Als

je Docker geïnstalleerd hebt, kun je runc op de com-

mandline gebruiken om direct toegang te krijgen tot

de low-level runtime – de lijst met commando’s doet

sterk denken aan de opdrachten die Docker gebruikt.

Tussen docker run en runc create zijn echter nog

een paar stappen te gaan. De high-level runtime is

daar verantwoordelijk voor. De OCI-referentie-op-

lossing wordt containerd genoemd – de code werd

grotendeels door Docker Inc. uit de docker-monoliet

gekopieerd tijdens opruimingswerkzaamheden en

aan OCI gedoneerd. Daarbij werkt containerd als een

daemon, dus het draait op de achtergrond. Voor de

bediening biedt het een API via een Unix-socket of via

HTTP – dat kan bijvoorbeeld worden gebruikt om con-

tainers te starten, te stoppen of er een overzicht van

te geven.

De eigenlijke taken worden daarbij door contai-

nerd doorgegeven aan runc. Maar containerd is niet de

enige manier om containers uit te voeren. Zo heeft rkt

de combinatie van containerd en runc helemaal niet

nodig en heeft het de standaarden zelf geïmplemen-

teerd. Podman laat de containerd-daemon weg, maar

gebruikt wel runc.

Voor de gebruiker is het schakelen tussen de

runtimes op de achtergrond niet problematisch zolang

alleen functies worden gebruikt die in de OCI-stan-

daarden beschreven zijn. Voor Docker is de inter face

naar de gebruiker meestal de Docker-CLI (dat wil

zeggen alle commando's die beginnen met docker).

De CLI praat met de containerd-API en prepareert de

terug geleverde informatie voor de commandoregel.

Ondanks alle standaardisatie op de achtergrond

proberen alle OCI-implementaties hun onafhankelijk-

heid te behouden en hebben ze een aantal bijzondere

kenmerken om zich te onderscheiden van andere. Niet

alle docker-commando’s kunnen daardoor zonder

aanpassingen door podman of rkt vervangen worden.

Bij het omgaan met netwerken of volumes kan de syn-

taxis iets afwijken. Iedereen die wil overstappen, moet

zich daar bewust van zijn.

COÖRDINATIE

Containers worden zelden alleen gebruikt. Om com-

pilaties te starten, heb je een beheersysteem nodig –

de eenvoudigste implementatie is Docker-Compose,

dat YAML-bestanden verwerkt en vervolgens recht-

streeks met de Docker-API communiceert. De feature

om meerdere Docker-servers als een cluster te laten

draaien werd Docker Swarm genoemd, maar is door

de nieuwe Docker Enterprise-eigenaar Mirantis dood-

verklaard. Het is niet langer de moeite waard om daar

tijd te investeren.

Zodra de projecten groter worden, is Kuber netes

de huidige standaard. In een Kubernetes-cluster wer-

ken meerdere servers samen, waarop een contai-

ner-runtime draait. De Kubernetes-master beslist aan

de hand van regels waar een container die de beheer-

der wil starten moet worden uitgevoerd. Kubernetes

is heel modulair. Zo kan containerd draaien als con-

tainer-runtime. Uit de Red-Hat-hoek komt CRI-O als

alternatief.

De grote populariteit van Kubernetes in de zakelij-

ke omgeving zorgt ervoor dat de projecten geld blijven

krijgen. Kubernetes zelf werd door Google gedoneerd

aan de Cloud Native Computing Foundation, dat net

als de OCI valt onder de paraplu van de Linux Foun-

dation. Alle cloudproviders, waaronder Google, Micro-

soft, AWS en Cisco, dragen financieel en met menselijk

kapitaal bij aan de opensourceprojecten.

KINDERZIEKTES

De uitwisseling van componenten verloopt echter niet

altijd zo soepel als de standaardisatie van alle com-

ponenten belooft. Dat komt doordat sommige onder-

delen nog niet volledig geïmplementeerd zijn en de

ontwikkelaars eerst alles hebben ingebouwd om het

met Docker te laten werken. Als je bijvoorbeeld con-

tainerd in Kubernetes gebruikt en probeert om Doc-

ker-images uit een privé-containerregistry van GitHub

te halen, mislukt dat momenteel met de foutmel-

ding ‘Error: ImagePullBackOff’. Het bijbehorende

GitHub-issue #3291 van containerd kun je terugvinden

via de link op deze pagina. Dergelijke incompatibili-

teiten zullen niet eeuwig duren, alle projecten zullen

beetje bij beetje proberen om zo goed mogelijk aan de

normen te voldoen.

WAT MOET IK DOEN?

Het wegvallen van de Enterprise-tak bij Docker Inc. is

geen reden om in paniek te raken en te stoppen uit

angst voor de toekomst. Bij de OCI zijn de standaarden

en de essentiële implementaties in veilige handen.

Voor het aanleren van de technologie, het ontwikkelen

en testen van je eigen containers en voor kleine pro-

jecten zijn Docker en Docker-Compose nog steeds een

levensvatbare keuze.

Als je containers in je bedrijf wilt gebruiken, kun

je niet om Kubernetes heen. Het is niet echt triviaal

om daar mee aan de slag gaan – een gedegen Docker-

kennis is op zijn minst aan te bevelen. Containerscep-

tici die graag de zwanenzang van deze technologie

zien, hebben dankzij de standaardisatie geen reden

tot juichen.

Achtergrond / Toekomst van Docker

www.ct.nl/softlink/

2004109

uitgave 4/2020 111

THREADRIPPER SUPER DE LUXE

High-end moederborden voor de Ryzen Threadripper 3000

nieuwe moederborden met de sTRX4-socket en een

TRX40-chipset. Je beschikt dan over allerlei nieuwe

functies en snelle interfaces, zoals PCI Express 4.0,

USB met 20 Gbit/s en 10-Gbit-ethernet.

Voor onze test hebben we vier TRX40-moeder-

borden geselecteerd: de Asrock TRX40 Creator, Asus

ROG Zenith II Extreme, Gigabyte TRX40 Aorus Mas-

ter en MSI Creator TRX40. Ze hebben allemaal acht

slots voor geheugenmodules, waarmee maximaal

256 GB DDR4-ram mogelijk is. Verder hebben ze

vier PEG-slots voor grafische kaarten, minstens 6 ×

SATA 6G, en drie of meer M.2-poorten voor NVMe-

ssd's. Alle geteste moederborden hebben twee

netwerk poorten en daarnaast een wifimodule die de

Met de moederborden voor de nieuwe high-end processors van AMD bouw je een extreem krachtige desktop-pc met 32 cores en meer. Je kunt er meerdere grafische kaarten en snelle ssd’s op aansluiten. En zijn de eerste moederborden met USB 3.2 Gen 2x2 en Wi-Fi 6 er.

Christian Hirsch en Daniel Dupré

AMD heeft met de Ryzen Threadripper 3000 de

performance van desktopprocessors niet al-

leen naar een verbluffend hoog niveau ge-

tild, maar meteen ook het hele platform flink bijge-

werkt. De derde generatie high-end cpu’s vergen wel

112 www.ct.nl

d

SATAUSB

DDR4 DDR4PCIe 4.0

CCD1

CCD3

I/O

-Die

CCD2

CCD4

4 x USB 2.0

8 x USB 3.2 Gen 2

chipsetTRX40

DDR4-RAM DDR4-RAM

8 x PCIe 4.0 of

8 x SATA 6G

8 x PCIe 4.0

48 x PCIe 4.0

4 x SATA 6G

8 x PCIe 4.0

Ryzen Threadripper 3000

TRX40-platform: Ryzen Threadripper 3000AMD heeft bij de derde generatie Threadripper-cpu's het platform volledig

gereviseerd: alle PCI-Express-lanes werken nu in de PCIe 4.0-modus. Dank-

zij acht PCIe 4.0-lanes is de datatransfer tussen de Threadripper-cpu en

TRX40-chipset verviervoudigd ten opzichte van de voorgangers.

nieuwste draadloze standaard 802.11ax (Wi-Fi 6) on-

dersteunt.

Spanningsconverters met 8 of 16 fasen leve-

ren voldoende energie om de Threadripper-cpu’s

van 280 watt Thermal Design Power stabiel te laten

draaien, ook als je ze overklokt. Alle geteste moe-

derborden beschikken bovendien over de inmiddels

verplichte rgb-ledstrips. Van meer praktische waarde

zijn de diagnosedisplays die ondersteuning bieden

als er bootproblemen zijn en vertellen of die veroor-

zaakt worden door de cpu, het geheugen, de grafi-

sche kaart of de opslagmedia.

Voor die uitgebreide uitrusting moet je wel be-

hoorlijk diep in de buidel tasten. De prijzen van de

moederborden liggen tussen de 500 en 815 euro.

Daarmee zal de doelgroep voor deze moederborden

met uit name hardware-fans en (semi)professionele

gebruikers bestaan. Sinds kort wordt die doelgroep

door pc-fabrikanten omschreven als ‘creators’.

GEEN NVME-BOTTLENECK MEER

Met de Threadripper 3000 en de TRX40-chipset heeft

AMD praktisch alles vernieuwd: alle 64 PCIe-lanes

van de cpu samen met de 24 lanes van de chipset, die

ook wel als Platform Controller Hub (PCH) wordt om-

schreven, werken nu in de PCI-Express 4.0- modus.

De eerste ssd’s en grafische kaarten die dat onder-

steunen zijn inmiddels al verkrijgbaar, zoals de Ra-

deon RX 5700 (XT) en RX 5500 (XT). De interface is

back wards compatibel, zodat apparaten met een

oudere PCIe-versie ook zonder problemen op TRX40-

moederborden draaien.

Alle Threadripper-processors hebben naast een

PCIe-root-hub een andere controller voor chipset-

functies zoals usb en sata 6G. Bij de Threadripper

3000 zijn die samen met de geheugencontroller naar

een aparte chip in de processor verplaatst (I/O-die).

De snelheid van de vier usb-poorten in de cpu en de

acht poorten in de chipset stijgt naar 10 Gbit/s, wat

ook wel USB 3.2 Gen2 wordt genoemd. De moeder-

bordfabrikanten verbinden echter niet altijd alle

poorten daarmee, waardoor die maximaal maar 5

Gbit/s halen.

De TRX40-chipset is geen directe opvolger van

de X399-chipset van het oude Threadripper-plat-

form, maar is volledig nieuw ontwikkeld. Om resour-

ces te besparen, gebruikt AMD een 14nm-variant van

de I/O-die van de Ryzen 3000 met uitgeschakelde

geheugen controller. In tegenstelling tot de nauw ver-

wante X570-chipset van het AM4-platform, activeert

de chipsetfabrikant echter alle 24 PCIe 4.0-lanes.

Acht van die lanes dienen voor het koppelen van de

chipset met de processor. Vergeleken met zijn voor-

ganger waarbij de data-uitwisseling nog over vier

PCIe 3.0-lanes liep, resulteert dit bij het nieuwe plat-

form in een verviervoudiging van de overdracht van

4 naar 16 GB/s.

Als representant van het TRX40-platform hebben

we met de Asus ROG Zenith II Extreme onderzocht

hoe snel de cpu en chipset in de praktijk data uitwis-

selen. De gecombineerde transferrate van drie PCIe

4.0-ssd’s die met de chipset zijn verbonden, kwam

uit op 11 GB/s, terwijl ze individueel 5 GB/s halen. We

hebben ook een test uitgevoerd met zes NVMe-ssd’s,

waarbij de data via de PCIe-aansluitingen naar de

processor lopen. Daar haalden we een cumulatieve

doorvoer van 30 GB/s. Het is mogelijk dat daar nog

meer uit te halen is, maar we hadden slechts zes PCIe

4.0-ssd’s tot onze beschikking.

De TRX40-chipset stelt ook vier SATA-6G-poorten

ter beschikking en acht USB 3.2 Gen2-poorten voor

randapparaten. Daarnaast zijn er ook nog twee USB

2.0-poorten. Van de 16 PCIe 4.0-lanes voor aanvul-

lende chips en uitbreidingskaarten kunnen de moe-

derbordfabrikanten er acht naar keuze voor PCIe 4.0

of SATA 6G gebruiken, om bijvoorbeeld beide typen

voor M.2-ssd’s te kunnen ondersteunen.

Afhankelijk van de constructie van het moeder-

bord werkten beide opties echter niet tegelijkertijd.

In sommige gevallen waren de sata-poorten niet

meer beschikbaar zodra we een schijf op een M.2-

slot aansloten. Enkele M.2-slots moeten PCIe-lanes

delen met uitbreidingspoorten. Als die laatste ge-

bruikt worden, hebben de M.2-ssd’s nog maar twee

in plaats van vier PCIe-lanes. Als je een Threadripper-

systeem bouwt, kom je er daarom niet omheen

Test / Ryzen Threadripper-moederborden

uitgave 4/2020 113

Asrock hoopt met de TRX40 Creator

game designers, filmproducenten en ar-

chitecten aan te spreken. Het moeder-

bord biedt de mogelijkheid om vier

grafische kaarten te gebruiken, om bij-

voorbeeld veeleisende renderprojec-

ten te versnellen. Het uitwisselen van

data met een NAS of server gaat snel

omdat de fabrikant meteen twee snel-

le netwerkchips met een capaciteit van

10 en 2,5 Gbit/s op het moederbord

heeft geplaatst. Bij de 10-Gbit-poort van

de Aquantia-chip lukte het ons echter

niet om de pc wakker te krijgen via Wa-

ke-on-LAN. Voor grote externe opslag-

media is er USB 3.2 Gen 2x2. Ondanks

zijn goede uitrusting behoort de As-

rock tot de ‘goedkopere’ Threadripper

3000- moederborden.

Na de eerste keer starten werd bij ons

exemplaar het wifi niet meteen herkend.

Dat werkte pas na het verwijderen en op-

nieuw plaatsen van de WiFi 6-module.

Waarschijnlijk was de kaart niet goed in

het bijbehorende M.2-slot onder het dek-

sel van het I/O-panel gestoken. Voor ou-

dere toetsenborden en muizen is er een

PS/2-aansluiting. Aan de bovenrand van

de printplaat zit naast de cpu-aansluiting

een koeler met ventilator voor de span-

ningsomvormers. Die kan in de weg ko-

men te zitten met een waterkoel systeem

onder de bovenkant van de kast .

De TRX40 Creator bereikt gemiddel-

de waarden voor de opstarttijd en het

energieverbruik tijdens gebruik. In de

stand-by- en soft-off-modus was hij zui-

niger dan de andere drie.

Asrock TRX40 Creator

twee snelle ethernetpoorten

laag stand-byverbruik

matige wifiprestaties

om de handleiding door te nemen. De

moeder bordfabrikanten stellen die hand-

leidingen gratis ter beschikking om te

downloaden.

ALTERNATIEVE AUDIO

Voor de verbinding van de audiochip

moesten de moederbordfabrikanten iets

nieuws bedenken. De Ryzen Thread ripper

3000-cpu's beschikken namelijk niet over

een high-definition (HD) audiocontroller.

Vermoedelijk is die niet aanwezig in de

grote I/O-die, die origineel voor de Epyc

server-cpu werd ontwikkeld. Daarom is

er ook geen HD-audio-link beschikbaar

waar de fabrikanten een Digital Ana-

log Converter (DAC), zoals de Realtek

ALC1220, mee kunnen verbinden.

De fabrikanten bewandelen daar-

om een kleine omweg en solderen de

ALC4050H-audiochip op het moederbord,

die ze via usb 2.0 met de TRX40-chip-

set verbinden. Die biedt niet alleen een

audio- uitgang en microfooningang, maar

kan ook via de I2S-interface (inter-IC

sound) een extra DAC aansturen, zoals de

Realtek ALC1220 7.10-audiochip, die je op

veel high-end moederborden ziet. Asus

en Gigabyte voorzien hun moederborden

bovendien van ESS-chips, die eveneens

een zeer hoge signaalruisverhouding van

120 dB bieden.

De geteste moederborden van Asus,

Asrock en MSI zijn voorzien van de eer-

ste usb-controller die via USB 3.2 Gen 2x2

een dubbele snelheid van 20 Gbit/s le-

vert. De Asmedia ASM3242 is verbonden

via vier PCIe 3.0-lanes en stelt een USB-

C-poort beschikbaar. In tegenstelling tot

de usb-snelheidsklassen tot nu toe, wor-

den bij 20 Gbit/s-USB beide USB-C-data-

leidingen parallel ingezet.

Terwijl we de moederborden aan het

testen waren, kwam er een WD Black

P50 binnen, de eerste ‘SuperSpeed USB

20 Gbps’ externe ssd. De snelheid kwam

Bij een Threadripper 3000 is een voeding met twee achtpolige ATX12V-stekkers een een vereiste: de cpu verbruikt ook zonder overklokken al 280 watt.

tijdens het schrijven bij alle vier de

moeder borden uit op rond de 2 GB/s. Bij

het lezen levert de schijf gegevens met 1,8

GB/s een klein tikje trager. Daarmee is de

usb-interface inmiddels vier keer zo snel

als SATA 6G.

HEEL VEEL GEHEUGEN

Voor onze test hebben we de TRX40-

moederborden voorzien van een Ryzen

Threadripper 3970X, de snelste cpu voor

desktops die momenteel beschikbaar is.

Zijn 32 cores halen een kloksnelheid van

4,5 GHz. De processors uit die serie – in-

clusief de 64-core Ryzen Threadripper

3990X die begin 2020 moet verschijnen

– hebben een Thermal Design Power van

280 watt. Op alle moederborden blijft

de cpu tijdens de zogenaamde Package

Power maar net binnen die maximale

waarde.

Omdat de Threadripper-cpu’s geen

grafische unit bevatten, hebben we voor

de test een zuinige Nvidia GeForce GT

1030 gebruikt. AMD heeft bij de Threadrip-

per 3000 onder andere de RAM-controller

vernieuwd. Die heeft zoals voorheen vier

kanalen. Als je maar één module per ka-

naal wilt plaatsen, kun je ook DDR4-3200-

geheugen gebruiken. Vanaf april moeten

de eerste DIMM’s beschikbaar zijn die

deze snelheid JEDEC-conform met ti-

mings op 1,2 volt bieden. Die hebben we

ook voor deze test gebruikt.

Als je alle geheugenslots van modu-

les voorziet, hangt de snelheid mede af

van de manier waarop de DIMM’s geor-

ganiseerd zijn. Als je acht single-rank-

modules gebruikt, specificeert AMD een

geheugensnelheid van DDR4-2933. Met

acht dual-rank-modules is dat DDR4-

2666. Inmiddels zijn er ongebufferde mo-

dules (UDIMM's) met een capaciteit van

32 GB. Daarmee kun je een Threadripper-

systeem dan voorzien van 256 GB werk-

geheugen.

De sTRX4-processors ondersteunen

ECC-RAM, dat veel bij servers en work-

stations gebruikt wordt. Als je profes-

sionele toepassingen gebruikt, kun

je overwegen dat geheugen op een

TRX40-systeem met Error Correction

Code (ECC) te gebruiken.

TERUGKEER VAN DE

CHIPSETKOELER

De TRX40-chipset verbruikt meer energie

dan zijn voorganger X299, waardoor de

moederbordfabrikanten gedwongen zijn

om hem actief te koelen. Zolang de tem-

peratuur van de chipset echter onder een

114 www.ct.nl

Test / Ryzen Threadripper-moederborden

De Asus ROG Zenith II Extreme moet

meerdere gebruikersgroepen tegelijk

tevreden stellen: overklokkers kunnen

via meetpunten de spanning controle-

ren, professionele gebruikers kunnen

vier grafische kaarten inpluggen en voor

hardwareliefhebbers is er een lichtshow

met een oled-display. Dit display toont

de foutcodes bij het opstarten of infor-

matie zoals de cpu-temperatuur. In soft-

off verbruikt het moederbord daardoor

zo’n 6 watt als het display actief is. Als de

ErP-modus in de BIOS-instelling geacti-

veerd is, gaan de lichten volledig uit en

daalt het energieverbruik tot 0,2 watt.

De Asus beschikt over twee con-

nectors voor USB-C-aansluitingen aan

de voorzijde van de kast en een tweede

LAN-aansluiting met 10-Gbit/s-ether-

net. Door al die interfaces heeft Asus veel

compromissen moeten sluiten, waarvan

we er een paar uitpikken: als het twee-

de M.2-slot bezet is, wordt voor het on-

derste PEG-slot slechts vier in plaats van

acht PCIe-lanes ter beschikking gesteld.

De derde M.2-poort schakelt terug naar

twee lanes als je de onderste vier SATA-

6G-poorten wilt gebruiken. Alle acht USB

3.0-poorten zijn via hubchips verbon-

den met de TRX40-chipset en moeten de

doorvoer daarom delen.

De vele mogelijkheden eisen niet al-

leen hun tol wat de prijs van 815 euro be-

treft, maar ook qua energieverbruik: als

Windows niets aan het doen is, verbruikt

de Zenith II Extreme 70 watt, ongeveer 15

watt meer dan het TRX40-moederbord, de

zuinigste in deze test.

Asus ROG Zenith II Extreme

Bij het ontwerp van de TRX40 Aorus Mas-

ter blijkt uit kleine dingetjes dat de in-

genieurs goed rekening hielden met pc-

hobbyisten: het I/O-paneel is bevestigd

aan de printplaat, zodat het vervelen-

de bevestigen van het meestal scher-

pe plaatwerk niet meer nodig is. Boven-

dien heeft Gigabyte de ATX-stekker in

een hoek van 90 graden aangebracht.

Dat is erg handig als je de kabels in de

pc- behuizing langs de achterzijde van de

moederbordbevestiging laat lopen.

De TRX40 Aorus Master is het enige

van de geteste moederborden die naast

de vier PEG-slots een PCIe x1-slot heeft.

De tweede LAN-poort biedt 5-Gbit/s-

ethernet. De andere fabrikanten heb-

ben hun moederborden van een twee

keer zo snelle chip van Aquantia voor-

zien. Bovendien ontbreekt USB 3.2 Gen

2x2, zodat snelle externe ssd’s data met

maximaal 1 GB/s kunnen lezen en schrij-

ven. Als er bij het updaten van het BIOS

iets mocht misgaan, zit er nog een twee-

de flashchip op het moederbord waar

de TRX40 Aorus Master dan van kan op-

starten.

In de ruststand neemt het moeder-

bord van Gigabyte genoegen met 55

watt. Met het inschakelen van het PCIe

Link Power Management konden we 4

watt besparen onder Windows 10. Tij-

dens het opstarten deed het moeder-

bord er enkele seconden langer over dan

de andere moederborden: het duurde

na het inschakelen in totaal 37 seconden

voordat het bureaublad van Windows op

het scherm verscheen.

Gigabyte TRX40 Aorus Master

De MSI Creator TRX40 is voorbestemd

voor systemen met veel NVMe-ssd's.

Naast de drie poorten op het moeder-

bord levert de fabrikant de M.2 XPan-

der-Aero Gen4 uitbreidingskaart. Die

past in een PEG-slot, je kunt er vier extra

PCIe 4.0-ssd's in M.2-formaat op kwijt.

Om te voorkomen dat de ssd's te heet

worden, is de uitbreidingskaart voor-

zien van een ventilator. Daardoor gaat

het geheel nogal op een grafische kaart

lijken. Met de momenteel beschikbare

PCIe 4.0 ssd's kan een snelheid van 20

GB/s worden gehaald.

Door de talloze M.2-slots heeft het

moederbord van MSI echter maar zes in

plaats van acht SATA-6G-poorten voor

harde schijven, 2,5-inch ssd's en opti-

sche schijven.

Het onderste M.2-slot op het moe-

derbord bevindt zich direct naast de

chipsetventilator en krijgt dus ook een

deel van de warmte van de spanning-

somvormers mee, die daar via een heat-

pipe naartoe wordt geleid. Dit had wel

als resultaat dat een van de ssd's tijdens

onze test te heet werd.

Met het systeem in idle had het

moederbord een energieverbruik van

56 watt. Daarmee was de MSI Creator

TRX40 een van de zuinigere Thread-

ripper 3000-moederborden. Als enige

van de geteste moederborden bieden

de 19-polige pinaansluitingen voor de

usb-frontaansluitingen een USB 3.2

Gen 2-snelheid met 1 GB/s. De andere

moederborden komen slechts tot 400

MB/s.

MSI Creator TRX40

kortste bootduur

veel M.2-aansluitingen

hoog energieverbruik

relatief zuinig

8 × SATA 6G

geen USB 3.2 Gen 2x2

relatief zuinig

adapterkaart voor M.2-ssd's

slechts 6 × SATA

uitgave 4/2020 115

Op het moederbord van MSI kun je geen M.2-ssd’s met een koellichaam kwijt omdat de bevestigingsbeugel met warmtegeleidende pads dan in de weg zit.

drempelwaarde blijft, draaien de geregelde ventila-

toren bij Asus, Gigabyte en MSI niet, zodat je ze ook

niet hoort. Als er echter vlak bij de ventilator een gra-

fische kaart zit die zijn warme lucht richting de chip-

set blaast, heb je kans dat de ventilator aanslaat.

Op de moederborden van Asrock, Asus en Giga-

byte zitten ook extra ventilatoren op de koellichamen

van de spanningsomvormers. MSI bewandelt een an-

dere weg en heeft een heatpipe geplaatst die naar de

chipsetventilator loopt. De fabrikanten bevestigen

ook koellichamen met warmtegeleidende pads boven

de M.2-slots om oververhitting van de ssd's te voor-

komen. Veel moderne M.2- ssd's, met name die met

PCIe 4.0-interfaces, beschikken echter al over hun ei-

gen koellichamen. Afhankelijk van het moederbord is

het dan niet meer mogelijk om de ssd vast te schroe-

ven – of hij past door zijn afmetingen niet in het slot.

Ondanks het verhoogde energieverbruik van de chip-

set verbruiken de TRX40-moederborden in ruststand

minder energie dan hun TR4-voorgangers. Dat is

waarschijnlijk te wijten aan het gewijzigde processor-

ontwerp. Bij Threadripper 2000 waren er tot vier dies

met I/O-functies, die idle nog gedeeltelijk actief wa-

ren. Bij de Threadripper 3000 bevinden de I/O-func-

ties zich in de I/O-die van de processor. Daardoor

kunnen de CPU Core Dies (CCD's) volledig uitgescha-

keld worden.

Het energieverbruik kan nog steeds met een paar

watt worden verminderd door het Active State Power

Management (ASPM) van PCI Express bij Windows

10 in te schakelen. De lagere vermogensstanden

kunnen worden ingeschakeld in het Configuratie-

scherm bij ‘Hardware en geluiden / Energiebeheer /

Energie besparing / De schema-instellingen wijzigen

/ Geavanceerde energie-instellingen wijzigen / PCI

Express / Link State Power Management activeren’,

door de optie 'Maximale energiebesparing' te selec-

teren. Gemiddeld daalde het energieverbruik van de

vier moederborden met ongeveer 5 watt.

Bij volle belasting verschilde het energieverbruik

tussen de vier TRX40-moderborden slechts een paar

watt, omdat ze allemaal voldoen aan de door AMD

vastgestelde cpu-vermogenslimiet. Ook op de snel-

heid van de interfaces hadden we niets aan te mer-

ken. De M.2-slots en usb-aansluitingen leveren de te

verwachten snelheid.

Alleen de SATA 6G-poorten van het Asus-moeder-

bord, die via de Asmedia sata-chip aangesloten zijn,

zijn met 400 MB/s ongeveer 150 MB/s langzamer dan

die van de chipsets. Die poorten kun je dan ook beter

Overklokken van de Threadripper 3000

Wat overklokken betreft, lijkt de derde ge-

neratie van AMD's high-end processors sterk

op de nauw verwante Ryzen 3000 [1]. Er zijn

drie verschillende modi beschikbaar, die je

kunt activeren in het BIOS of via het Win-

dows-programma Ryzen Master van AMD

(zie de link op de volgende pagina).

Bij de Precision Boost Overdrive (PBO)

ben je niet meer beperkt tot de limiet die

AMD heeft gesteld voor de Package Power

Tracking (PPT) van 280 watt, Thermal De-

sign Current (TDC) van 215 ampère en Elec-

trical Design Current (EDC) van 300 ampère.

Het is nu mogelijk om die limieten te verho-

gen tot de specificaties van de moederbord-

fabrikant. Voor het moederbord van Asus

waren dat PPT 1000 W, TDC 490 A en EDC 630

A. De cpu mag bij de PBO tot de maximale

turbokloksnelheid gaan.

Met die instellingen rekende de 32-core

Threadripper 3970X met de Cinebench R20

rendering-benchmark slechts 1,2 procent

sneller. Het energieverbruik van het hele

systeem steeg daarbij echter met maar liefst

29 procent van 389 naar 503 watt.

Een nieuwe toevoeging is het ‘auto over-

klokken’. Dat werkt net als PBO, maar de

maximale frequentie is vrij instelbaar tot 200

MHz boven de maximale boostkloksnelheid.

Ook daar was de prestatiewinst van 2,1 pro-

cent wel meetbaar, maar in de praktijk niet

merkbaar. Het systeem verbruikte daarbij

532 watt.

In de handmatige modus is het moge-

lijk de frequentie van elke kern afzonderlijk

in te stellen, of in groepen van losse CCX’en

en CCD’s, of van alle cpu-kernen samen. Ons

32-core exemplaar bereikte slechts circa 4,0

GHz onder belasting op alle kernen, wat on-

geveer op hetzelfde niveau zit als met de

auto matische overklokfunctie.

AMD put bij de Ryzen Threadripper 3000

de maximale kloksnelheid in nominaal be-

drijf al grotendeels uit. De kleine prestatie-

winst vertaalt zich daarbij met name in een

wel aanzienlijk hoger energieverbruik en

is daarom eigenlijk nauwelijks de moeite

waard.

Met de Ryzen Master Tool is het mogelijk om de kloksnelheid van alle 32 kernen van een Threadripper 3970X apart in te stellen.

116 www.ct.nl

Test / Ryzen Threadripper-moederborden

gebruiken voor langzame opslagmedia, zoals harde

schijven en optische drives.

CONCLUSIE

Elke hardwareliefhebber zal al gelukkig worden van

alleen het kijken naar de TRX40-moederborden.

De vele functies en talloze poorten voor het werk-

geheugen en uitbreidingskaarten tonen wat er mo-

menteel mogelijk is op het gebied van pc-techno-

logie. Ze werken ook nog eens goed en stabiel en

bieden alle mogelijkheden die je maar kunt wensen.

De ontwerpers van de moederborden hebben

zich flink kunnen uitleven, maar daarbij hebben de

fabrikanten wel de prijs uit het oog verloren. Zelfs

de goedkoopste Threadripper 3000-moederborden

zitten flink boven de 400 euro. Dat is ruim 100 euro

meer dan het gemiddelde TR4-moederbord voor

voorganger Threadripper 2000. Als je niet een enorm

aantal PCI-Express-lanes nodig hebt en je genoeg

hebt aan maximaal 16 cores, kun je beter gaan voor

een AM4-platform met X570-moederbord en een

Ryzen 3000-cpu. Daarmee kun je enkele honderden

euro's besparen.

Literatuur

[1] Christian Hirsch en Noud van Kruysbergen, Need for Speed, Ryzen 3000 overklokken, c't 12/2019, p.88

www.ct.nl/softlink/

2004112

Fabrikant, model Asus ROG Zenith II Extreme Asrock TRX40 Creator Gigabyte TRX40 Aorus Master MSI Creator TRX40

Cpu- of cpu-socket / chipset sTRX4 / TRX40 sTRX4 / TRX40 sTRX4 / TRX40 sTRX4 / TRX40

Format (afmetingen) E-ATX (310 × 278 mm) ATX (305 × 244 mm) E-ATX (305 × 269 mm) E-ATX (305 × 277 mm)

Chipset SATA-6G 4 8 8 6

SATA-chips (eigenschappen) 2 × ASM1062 (PCIe; 2 × SATA 6G) n. a. n. a. n. a.

LAN-chip(s) (eigenschappen) AQC-107 (10 Gbit/s), i211 (1 Gbit/s) AQC-107 (10 Gbit/s), RTL8125AG (2,5Gbit/s) AQC-108 (5 Gbit/s), i211 (1 Gbit/s) AQC-107 (10 Gbit/s), i211 (1 Gbit/s)

Wifi-chip (eigenschappen) AX200 (PCIe; Wi-Fi 6, 2×2, 2,4 Gbit/s) AX200 (PCIe; Wi-Fi 6, 2×2, 2,4 Gbit/s) AX200 (PCIe; Wi-Fi 6, 2×2, 2,4 Gbit/s) AX200 (PCIe; Wi-Fi 6, 2×2, 2,4 Gbit/s)

Audio-chip (eigenschappen) S1220 + ESS9018Q2C (USB) ALC1220 (USB) ALC1220 + ESS9218 (USB) ALC1220 (USB)

Usb-chip(s) (eigenschappen) ASM3242 (PCIe; 1 × USB 3.2 Gen 2x2), 2 × USB-hub (USB 3.0), 1 × USB-hub (USB 2.0)

ASM3242 (PCIe; 1 × USB 3.2 Gen 2x2) 1 × USB hub (USB 2.0) ASM3242 (PCIe; 1 × USB 3.2 Gen 2x2)

Foutdiagnose OLED-display, 4 status-leds segment-display segment-display, 4 status-leds segment-display, 4 status-leds

Geheugenpoorten / max. RAM 8 × DDR4-3200 / 256 GB 8 × DDR4-3200 / 256 GB 8 × DDR4-3200 / 256 GB 8 × DDR4-3200 / 256 GB

Uitbreidingspoorten 4 × PEG (x16, x8, x16, x8), 3 × M.2-2280/60/42, kaart met 2 × M.2-22110/80/60/42

4 × PEG (x16, x8, x16, x8), 2 × M.2-2280/60, 1 × M.2-22110/80/60/42/30

4 × PEG (x16, x8, x16, x8), 1 × PCIe x1, 2 × M.2-2280, 1 × M.2-22110/80/60/42/30

4 × PEG (x16, x8, x16, x8), 2 × M.2-2280/60/42, 1 × M.2-22110/80/60/42, kaart met 4 × M.2-22110/80/60/42

Interne aansluitingen 8 × SATA 6G, 2 × USB 3.0 type A1, 2 × USB 3.2 type C, 2 × USB 2.01, 1 × HD-audio, TPM, 4 × RGB-led

8 × SATA 6G, 2 × USB 3.0 type A1, 1 × USB 3.2 type C, 1 × USB 2.01, 2 × HD-audio, TPM, 4 × RGB-led

8 × SATA 6G, 2 × USB 3.0 type A1, 1 × USB 3.2 type C, 2 × USB 2.01, 1 × HD-audio, TPM, 4 × RGB-led

6 × SATA 6G, 2 × USB 3.0 type A1, 1 × USB 3.2 type C, 2 × USB 2.01, 1 × HD-audio, TPM, 3 × RGB-led

Ventilatoraansluitingen 2 × cpu (4-pins), 2 × waterkoeling (4-pins), 2 × behuizing (4-pins), 1 × VRM (4-pins)

2 × cpu (4-pins), 3 × behuizing (4-pins) 2 × cpu (4-pins), 6 × behuizing (4-pins) 1 × cpu (4-pins), 1 × waterkoeling (4-pins), 6 × behuizing (4-pins)

ATX-backplate 5 × analoog audio, 1 × SPDIF Out optisch, 1 × USB C (20 Gbit/s), 1 × USB C (10 Gbit/s), 6 × USB A (10 Gbit/s), 4 × USB A (5 Gbit/s), 2 × LAN, 2 × wifi, knop: Clear CMOS, BIOS Flashback

5 × analoog audio, 1 × SPDIF Out optisch, 1 × USB C (20 Gbit/s), 2 × USB A (10 Gbit/s), 4 × USB A (5 Gbit/s), 2 × LAN, 1 × PS/2, 2 × wifi, knop: Clear CMOS, BIOS Flashback

5 × analoog audio, 1 × SPDIF Out optisch, 1 × USB C (10 Gbit/s), 5 × USB A (10 Gbit/s), 2 × USB 2.0, 2 × LAN, 2 × wifi, knop: Clear CMOS, BIOS Flashback

5 × analoog audio, 1 × SPDIF Out optisch, 1 × USB C (20 Gbit/s), 5 × USB A (10 Gbit/s), 4 × USB A (5 Gbit/s), 2 × LAN, 2 × wifi, knop: Clear CMOS, BIOS Flashback

Meegeleverd 8 × SATA-kabel, wifi-antenne, tempera-tuursensoren, ventilatorkaart

4 × SATA-kabel, SLI-brug, wifi-antenne 4 × SATA-kabel, wifi-antenne, tempera-tuursensoren, RGB-kabel

4 × SATA-kabel, wifi-antenne, tempera-tuursensoren, RGB-kabel

Energieverbruik, datatransfer

Soft-off (met ErP) / zuinige modus / idle / belasting

6,0 W (0,2 W) / 7,7 W / 70 W / 404 W 2,5 W (0,4 W) / 3,9 W / 62 W / 400 W 3,6 W (0,2 W) / 4,9 W / 55 W / 402 W 3,9 W (0,2 W) / 6,1 W / 56 W / 395 W

PCIe 4.0 x4 SSD chipset / cpu: lezen (schrijven)

5016 (4267) / 5036 (4287) MB/s 5036 (4280) / 5034 (4271) MB/s 5030 (4290) / 5025 (4280) MB/s 5021 (4270) / 5021 (4270) MB/s

I/O-backplate: USB 3.0 / USB 3.2 Gen 2 / USB 3.2 Gen 2x2: lezen (schrijven)

435 (408) / 1030 (944) / 1828 (2047) MB/s 419 (419) / 1031 (945) / 1821 (2022) MB/s n. a. / 1030 (944) MB/s / n. a. 436 (408) / 1027 (961) / 1812 (2022) MB/s

Front-aansluitingen: USB-3.2 Gen 2 / USB 3.0: lezen (schrijven)

1030 (944) / 435 (408) MB/s 1031 (943) / 443 (411) MB/s 1030 (945) / 443 (412) MB/s 1031 (943) MB/s / n. a.

LAN 1/2: ontvangen (zenden) 119 (119) / 1184 (1185) MB/s 297 (298) / 1184 (1185) MB/s 119 (119) / 592 (595) MB/s 119 (119) / 1183 (1184) MB/s

Wifi 5 GHz / 2,4 GHz (20 m) 102 / 313 Mbit/s 198 / 176 Mbit/s 77 / 220 Mbit/s 87 / 219 Mbit/s

Functietests

Secure-booten in- / CSM-uitschakelbaar v / v v / v v / v v / v

Wake on LAN: stand-by / soft-off v / – v / v2 v / v v / v

USB: 5V in soft-off / wekken via usb- toetsenbord uit stand-by (soft-off)

v / v (–) v / v (–) v / v (–) v / v (–)

Duur booten tot welkomstscherm 29 s 33 s 37 s 32 s

Analoog multichannel geluid (soort) / 2e audiostream

v (7.1) / v v (7.1) / v v (7.1) / v v (7.1) / v

Audio: weergave / opname ++ / + ++ / + ++ / + ++ / +

Ventilatorregeling: cpu/ behuizing: 3-pin / 4-pin

20 … 100 % / 8 … 12 V / 20 … 100 % 0 … 100 % / 0 … 12 V / 0 … 100 % 0 … 100 % / 0,8 … 12 V / 0 … 100 % 0 … 100 % / 0 … 12 V / 0 … 100 %

Prijs / garantie € 815 / 36 maanden € 500 / 36 maanden € 630 / 36 maanden € 760 / 36 maanden

1 telkens twee poorten per header 2 niet via 10 Gbit-LAN ++ zeer goed + goed ± voldoende - slecht -- zeer slecht v aanwezig – werkt niet n.a. niet aanwezig

TRX40-moederborden voor Ryzen Threadripper 3000

uitgave 4/2020 117

ALLES OVER DIT ONDERWERP

Inleiding en overzicht 118

Opensource-licenties 124

VCV Rack: verdienen met add-ons 126

Krita: gefinancierd door gi� en 128

LibreOff ice: profijtelijk project 130

WIE BETAALT DAT?

Businessmodellen met opensource-software

* Software 55,-

* Support 10,-

* Add ons 5,-

* Bugfi xes 12,-

* Extra's v.a. 3,-

118 www.ct.nl

Achtergrond / Opensource businessmodellen

Linux-distributies zoals die van SUSE zijn geenszins fundamenteel gratis. Ze zijn toch opensource.

code in te zien is, maar niet vrij kan worden gewijzigd.

Dat onderscheid wordt echter niet altijd strikt aange-

houden, ook vanuit marketingoverwegingen. Daar-

naast is er de ‘officiële’ definitie van Open Source die

wordt beheerd door het Open Source Initiative (OSI),

die je vindt via de link op de laatste pagina van dit ar-

tikel. De definitie van het OSI omvat bovenstaande

punten, maar specificeert ook andere dingen, zoals

verbodsbepalingen om groepen mensen of bepaalde

gebruiksdoeleinden van de software te discrimineren.

Er wordt ook gesproken over ‘vrije software’, een

veel meer politieke woordkeuze. Voorstanders van

‘vrije software’ –vooral de Free Software Foundati-

on (FSF) – zien niet-vrije software als een sociaal pro-

bleem. Naar hun mening is de ontwikkeling van vrije

software moreel noodzakelijk en moet die worden ge-

dreven door sociale overwegingen. Voorstanders van

‘open source’ – het OSI is daar de maatgevende orga-

nisatie – zien meer de praktische aspecten op de voor-

grond en pleiten voor opensource omdat daarmee

betere programma’s kunnen worden geschreven. Zij

hebben liever geen politieke of ideologische impli-

caties, in tegenstelling tot het FSF – zie de link. Zo ver-

schillend als de filosofieën zijn: vrije software is bijna

noodzakelijkerwijs opensource software in de zin van

het OSI, en opensource software is in de meeste geval-

len ook vrij volgens de regels van de FSF. In het Engels

wordt dergelijke software daarom vaak ‘free and open

source software’ genoemd – FOSS.

Helaas is de term ‘free’ ook het uitgangspunt voor

een veelvoorkomend misverstand: ‘vrij’ kan worden

opgevat als een synoniem voor ‘gratis’, waar in het En-

gels natuurlijk hetzelfde woord voor gebruikt wordt.

Maar vrije software hoeft helemaal niet gratis te zijn.

Toch blijft het misverstand bestaan, terwijl er al jaren

geprobeerd wordt dat duidelijk te krijgen met onder

meer slogans als "free as in freedom of speech, not as

in free beer".

In reactie op de dubbele betekenis van ‘free’ werd

de term FLOSS bedacht, ‘free/libre open source soft-

ware’, omdat het Latijnse ‘libre’ niet de connotatie

‘gratis’ heeft. Maar uiteindelijk hebben die misverstan-

den en de pogingen om daar duidelijkheid in te krij-

gen, alleen maar geleid tot een relatief verwarrende

situatie. Je moet er op letten wie een bepaalde term

gebruikt om hem te kunnen classificeren. In dit artikel

zullen we het simpelweg hebben over ‘opensource’,

hoewel de softwareprojecten waar we het over heb-

ben ook ‘vrij’ zijn in de zin van de FSF.

GRATIS BIER

Maar als de broncode zichtbaar is en kan worden aan-

gepast, betekent dat dan niet dat de software ook echt

gratis is? Wie koopt het dan als je het gratis kunt krij-

gen? Die vraag is gebaseerd op een onjuist uitgangs-

punt: het product en de broncode zijn niet noodzake-

lijkerwijs gratis te verkrijgen.

Zoals we al zeiden, betekent opensource software

dat de broncode veranderd kan en mag worden. De

broncode hoeft echter niet openbaar of gratis ter be-

schikking te worden gesteld. Alleen de ontvangers van

Opensourcesoftware is allang niet meer alleen iets van hobbyistische vrijetijdsprogrammeurs – als dat al ooit zo was. Toch blijft het beeld bestaan bij vrije software dat dit niet in de buurt komt van ‘commerciële’ producten, maar wel gratis is. We laten zien hoe verkeerd dat beeld is

Sylvester Tremmel en Noud van Kruysbergen

De ontwikkeling van software kost tijd en geld,

en die zullen toch op de een of andere manier

ergens vandaan moeten komen. Of je voor een

product moet betalen heeft weinig te maken met de

vraag of het opensource software is of niet. Er bestaat

zowel propriëtaire freeware als dure opensource soft-

ware. Ook welke producten miljoenen waard zijn en

welke een beetje voor de hobby zijn, kun je niet af-

lezen aan de licentie.

Hieronder geven we een overzicht van waar het

geld voor opensource-ontwikkeling vandaan komt

en welke verschillende financieringsmodellen er be-

staan. Maar eerst moeten we enkele misverstanden

en onduidelijkheden uit de weg ruimen die er mede

verantwoordelijk voor zijn dat het genoemde scheve

beeld zo hardnekkig is.

FOSS EN FLOSS

De term opensource-software wordt soms gebruikt

om software te beschrijven waarvan de broncode toe-

gankelijk is. Dat ligt voor de hand, want ‘opensource’

betekent ‘openbare code’, maar meestal betekent

‘open’ meer dan alleen maar ‘leesbaar’. De code van

een product moet – in ieder geval door de koper –

ook aan te passen zijn. Dat is een kwestie van zowel

het recht hebben om dat te mogen als de praktische

mogelijkheid om de code te wijzigen. Men wil er on-

der meer voor zorgen dat het product permanent

en naar believen kan worden gebruikt en verbeterd.

Opensource software is dus software die naar believen

kan worden gebruikt, waarvan de broncode toeganke-

lijk is en waarvan de broncode kan worden aangepast.

Om een onderscheid te maken, spreekt men ook

van ‘source available’ of ‘shared source’ als de bron-

Illustratie

Alb

ert

Hu

lm

uitgave 4/2020 119

Betaal wat je wilt. Bij ‘Custom’ kun je ook nul dollar invoeren en dan krijg je elementary OS gratis.

Donkere wolken

Vorig jaar hebben sommige aanbieders

van databasesystemen van zich doen spre-

ken door hun producten, die voorheen als

opensource werden aangeboden, geheel

of gedeeltelijk om te zetten naar eigen li-

centies. Bekende voorbeelden zijn Redis –

waarbij het slechts om enkele modules en

niet om het kernproduct zelf gaat –, Cock-

roachDB en MongoDB.

Het probleem is dat grote cloudleve-

ranciers zoals Amazon de opensource-pro-

ducten van die leveranciers hebben over-

genomen en die ‘as a service’ beschikbaar

hebben gesteld aan hun eigen klanten. Der-

gelijke Software-as-a-Service-aanbiedingen

zijn echter de strategie die Redis en aanver-

wanten zelf gebruiken als financiering. De cl-

oudaanbieders concurreren dus niet alleen

rechtstreeks met die bedrijven, maar kun-

nen – dankzij een uitgekiende integratie met

hun eigen cloudproducten – veel klanten

ook een beter product bieden.

Door het herzien van de licenties van

hun producten, verbieden de database-

producenten dat gedrag meestal. Maar dat

is genoeg om de opensource-definitie van

het OSI te schenden. De softwareontvanger,

bijvoorbeeld Amazon, heeft niet langer het

recht om de software te gebruiken zoals hij

dat wil. De producenten stellen dat zij daar-

mee een probleem in de opensource-defini-

tie oplossen. Tegenstanders vinden echter

dat dergelijke licenties niet als opensource

mogen worden beschouwd en dat het pro-

bleem eerder de marktmacht is van cloud-

aanbieders – ongeacht het licentiemodel.

het product moeten toegang hebben, bijvoorbeeld

door de code bij het product te leveren. Die ontvan-

gers kunnen wel degelijk betalende klanten zijn. Het

is zeker niet nodig om een gecompileerde uitvoer-

bare applicatie gratis aan te bieden om opensource te

worden.

PRODUCTEN VERKOPEN

In de opensource-wereld is het dus heel gewoon om

van softwareontwikkeling te leven door simpelweg de

ontwikkelde software te verkopen. Vooral bij grotere

softwareprojecten neemt de inspanning om vanuit

de broncode te compileren al snel enorme proporties

aan, vooral omdat elke update en patch gecompileerd

en toegepast moet worden. Daarom passen zelfs gro-

tere softwareprojecten het businessmodel toe om

hun product rechtstreeks aan (eind)klanten te verko-

pen. Bekende voorbeelden zijn Linux-distributies, met

name die zich richten op bedrijven, zoals Red Hat En-

terprise Linux en SUSE Linux Enterprise Server. Er

zijn ook betaalde versies van het veelgebruikte Libre-

Office, die vooral bedoeld zijn voor bedrijven (zie pa-

gina 130).

In dit business-to-business-segment zijn klanten

in verhouding ook meer bereid te betalen, omdat er

zelden gratis alternatieven zijn. Moeilijker hebben

het bijvoorbeeld Linux-distributies die gericht zijn op

particuliere klanten. Niet alleen zijn er veel gratis al-

ternatieven, maar het overgrote deel van alle compu-

ters wordt sowieso met een besturingssysteem aange-

schaft, namelijk met Microsoft Windows of macOS. Die

zijn op zich niet gratis, maar bij de aanschaf van een

pc zijn de kosten van het besturingssysteem meestal

al in de prijs inbegrepen. Welk deel van de aankoop-

prijs dan gaat zitten in de gebruikerslicentie voor het

besturingssysteem, is vaak niet transparant. Die kos-

ten worden niet gezien als een afzonderlijke prijs voor

een afzonderlijk product.

Dat is een obstakel voor alle alternatieve bestu-

ringssystemen, maar voor pc’s zijn ze in ieder geval

bijna allemaal opensource. Toch kunnen opensource

besturingssystemen ook aan particuliere gebruikers

verkocht worden: de Linux-distributie elementary OS

gebruikt bijvoorbeeld een ‘betaal wat je wilt’-model.

Klanten kopen het product en kunnen de aankoop-

prijs zelf bepalen. De voorgestelde prijzen zijn 10, 20

of 30 dollar, maar je kunt ook 0 dollar als aankoopprijs

invoeren. In de praktijk doet het overgrote deel van de

klanten dat laatste ook, maar de rest genereert vol-

doende inkomsten om de distributie te financieren.

In principe is dat verkoopmodel vergelijkbaar met een

permanente reclamecampagne die het product als

een geschenk geeft aan sommige klantgroepen – al-

leen al om de klanten te laten aangeven of ze behoren

tot de groep ‘bereidwillig om te betalen’ of ‘niet bereid

om te betalen’.

Iets vergelijkbaars geldt ook voor het business-

model om verschillende verkoopkanalen te gebruiken

en hetzelfde product tegen een vergoeding op het ene

kanaal aan te bieden en gratis op het andere kanaal.

Dat lijkt misschien vreemd, maar komt veel voor in de

app-stores. De schildersoftware Krita is bijvoorbeeld

tegen betaling verkrijgbaar via Steam en Microsofts

store, hoewel de producent ook gratis installers aan-

biedt op zijn website. Het artikel op pagina 128 gaat

dieper in op dat concept.

VRIJWILLIGE GIFTEN

Van dergelijke pay-what-you-want-modellen is het

slechts een kleine stap naar financieringsmodellen die

volledig gebaseerd zijn op vrijwillige giften. Dat wordt

vaak geassocieerd met de clichématige (af)zonder-

lijke programmeur in een kelder, die daar zijn brood

niet eens mee kan verdienen. Ook dat is een vertekend

beeld. Er zijn veel projecten, vooral kleinere, die vooral

bestaan door de inzet van liefhebbers en hun vrije tijd.

Maar dat betekent niet dat de op donatie gebaseerde

120 www.ct.nl

Achtergrond / Opensource businessmodellen

De meeste mensen weten wel dat Wikipedia afhankelijk is van donaties. Zelfs dergelijke gigantische projecten kunnen op de lange termijn gefinancierd worden met behulp van vrijwillige donaties.

financieringsmodellen niet kunnen worden opge-

schaald of op de lange termijn niet duurzaam zouden

zijn. Een bekend voorbeeld van grote projecten die

door donaties worden gefinancierd is Wikipedia en de

bijbehorende verschillende zusterprojecten. Die wor-

den ondersteund door de Wikimedia Foundation, die

ruim 100 miljoen dollar waard is en grotendeels wordt

gefinancierd door donaties – met gemiddeld 15 dollar

per donatie.

Het 3D modelleer- en animatieprogramma Blen-

der, waarover in deze c’t het derde artikel uit een

serie workshops staat, is een ander voorbeeld. Dat

programma, dat veel gebruikt wordt in de media-in-

dustrie, wordt grotendeels gefinancierd door het Blen-

der Development Fund. Dat fonds wordt gefinancierd

door particulieren en grote industriële donoren. Op

die manier ondersteunen ze een programma dat ze

gebruiken in hun workflow of waarvan ze op een ande-

re manier profiteren. Elke maand wordt bijna 100.000

euro ingezameld, wat voldoende is om onder meer 15

ontwikkelaars in dienst te hebben.

Dergelijke financieringsmodellen staan ook open

voor kleinere projecten. In plaats van zelf donaties te

verzamelen of sponsors te werven, vaak met een be-

perkt bereik, kunnen ze worden gefinancierd via een

fonds, vergelijkbaar met Blender en Wikipedia. Die

hebben meestal een grotere reikwijdte en bieden

meer zekerheid voor de gefinancierde projecten.

GEMEENSCHAPSGEEST

Alle tot nu toe genoemde financieringsmodellen kun-

nen ook door closedsource-projecten gebruikt wor-

den. Waarom zijn projecten dan opensource? Een van

de redenen is dat opensource-software het veel mak-

kelijker en beter mogelijk maakt om een community

op te bouwen. Het feit dat iedereen zelf verbeterin-

gen aan de code kan aanbrengen, trekt vaak geïnte-

resseerden aan, moedigt pure gebruikers aan om deel

te nemen aan het project en stelt derden in staat om

het project te verbeteren op manieren die voor hen

belangrijk zijn. Een dergelijke groeiende gebruikers-

gemeenschap is meestal gunstig voor projecten, on-

geacht de wijze waarop ze gefinancierd worden.

Maar bovenal geeft opensource de community be-

paalde garanties. Als een applicatie bijvoorbeeld een-

maal als broncode met de community gedeeld is, kan

die niet daar niet zomaar weer uit weggenomen wor-

den. Een verkoper van propriëtaire software kan zijn

software gratis weggeven om een gebruikersgemeen-

schap op te bouwen en er dan van de ene op de andere

dag geld voor in rekening brengen. Gebruikers worden

dan gedwongen te betalen of op zijn minst afgesneden

van verdere ontwikkeling. Bij een community rondom

opensource software kan dat niet gebeuren.

Vanaf de laatste versie die als opensource is uitge-

bracht, is de broncode beschikbaar en op basis daar-

van kan de software onafhankelijk van de oorspronke-

lijke producent verder ontwikkeld worden. Bovendien

is het bij opensource-licenties vaak nodig om toekom-

stige versies van de software als broncode beschik-

baar te stellen voor de community. In het artikel op

pagina 124 worden de details van dat concept, dat

‘copy left’ wordt genoemd, uitgelegd.

Dergelijke zekerheden maken de community aan-

trekkelijker voor alle deelnemers, omdat ze weten

dat hun werk niet op een bepaald moment eenzijdig

wordt verkocht of volledig nutteloos wordt. Dat is ook

een van de redenen waarom organisaties die zich rich-

ten op het algemeen belang vaak de voorkeur geven

aan opensource, dit promoten of zelfs afdwingen. Je

ziet dan ook regelmatig dat overheidsinstanties over-

stappen op opensource-oplossingen – en vaak de

overstap terug weer maken, maar dat is een verhaal

dat zich op een ander niveau afspeelt.

CONCURRENTIE IS GOED

Bovendien maken dergelijke zekerheden de communi-

ty aantrekkelijk voor andere commerciële aanbieders.

Enerzijds kunnen derde partijen diensten en produc-

ten, zoals add-ons en ondersteuning, aanbieden op de

horizontale markt rondom de software. En ze kunnen

hun eigen producten ontwikkelen en verkopen op ba-

sis van de software, de zogenaamde verticale markt.

Beide zouden met een aanzienlijk ondernemersrisico

gepaard gaan als opensource niet de beschikbaarheid

van het kernproduct op lange termijn zou garanderen.

Veel softwareprojecten nemen dit principe ook als

businessmodel: een kern die op zichzelf functioneel is,

wordt ontwikkeld als – vaak gratis – opensource soft-

ware. Inkomsten worden daarbij gegenereerd met

diensten die hier omheen worden aangeboden en –

mogelijkerwijs propriëtaire – add-ons. Het in het arti-

kel op pagina 126 beschreven VCV Rack is een voor-

beeld van een dergelijke ontwikkeling. Veel van de in

het begin genoemde Linux-distributies hebben ook

gratis versies die op zichzelf gebruikt kunnen worden

en die een groot deel van de community binden, zoals

Fedora Linux voor Red Hat en openSUSE.

Door de open kern kunnen concurrenten ook gaan

concurreren met het eigen commerciële aanbod, maar

uitgave 4/2020 121

Ook de Linux-distributie Ubuntu wordt gefinancierd door donaties. Je kunt zelf aangeven aan welk doel je je geld wilt besteden.

Industrie-reuzen verenigd: voor de meer dan duizend zakelijke leden van de Linux Foundation is het economisch gezien zinvol om samen Linux te promoten.

vaak geldt daarbij dat concurrentie goed is voor het

bedrijf. De open kern en de verbeteringen van derden

voeden de community zozeer dat die groei opweegt

tegen de negatieve effecten van extra concurrentie.

Een uitzondering wordt beschreven in het kader op

pagina 120.

Onder bepaalde omstandigheden kan het beheer

van de kern zelfs volledig in handen van een neutra-

le instantie gelegd worden, zoals het geval is met de

Linux-kernel, die onder de hoede staat van de Linux

Foundation. Het LibreOffice-project wordt ook op die

manier beheerd. Het artikel op pagina 130 beschrijft

dat systeem in meer detail.

Een community kan nog op een veel indirectere

manier geld in het laatje brengen. De Mozilla Founda-

tion, die onder andere grotendeels de ontwikkeling fi-

nanciert van de browser Firefox, haalt een groot deel

van de inkomsten uit contracten met zoekmachines.

Die betalen om de standaard zoekmachine in Firefox

te worden. Dat is voor zoekmachines alleen aantrek-

kelijk – en winstgevend voor Mozilla –zolang Firefox

een grote community van gebruikers heeft.

De voordelen zijn nog meer indirect voor projecten

als de browser Chrome van Google en het besturings-

systeem Android. Beide hebben een opensourcepro-

ject als kern, respectievelijk de Chromium-browser en

het Android Open Source Project (AOSP). Maar ook

de daarop gebaseerde projecten zijn gratis beschik-

baar voor consumenten en stimuleren daarmee – sa-

men met hun opensource-kern – grote community’s

van gebruikers en ontwikkelaars. Chrome en vooral

de browser-engine Blink domineren de browsermarkt

net zo sterk als Android de markt voor mobiele bestu-

ringssystemen.

Voor Google loont dat al meer dan genoeg om-

dat het bedrijf zo veel invloed heeft op grote delen

van de voor hen relevante IT-infrastructuur. Het kan

daarmee de distributie en het gebruik van de eigen

producten promoten, zoals het zoeken in de browser

met Google of de eigen apps op smartphones. Goog-

le profiteert ook van producten zoals de Play Store.

Derde partijen die het gecreëerde ecosysteem ge-

bruiken om hun eigen producten op aan te bieden,

betalen een vergoeding aan Google voor het verwer-

ken van de verkopen.

CONCLUSIE

Opensource software verdient uiteindelijk altijd geld

via de community. Dat kan doordat gebruikers er ge-

woon voor moeten betalen, of omdat de community

andere bronnen van inkomsten aanbiedt. Dit kan va-

riëren van directe donaties en subsidies tot commer-

ciële extra aanbiedingen, die de opensource-ontwik-

keling weer helpen financieren. Veel projecten maken

gebruik van gemengde financiering. Je kunt aan veel

projecten geld doneren, zelfs als ze andere primai-

re bronnen van inkomsten hebben. In ieder geval is

de omvang en de dynamiek van de vaak wereldwijde

community’s een cruciale factor voor het succes van

software – en opensource is vaak erg afhankelijk van

dergelijke community’s

www.ct.nl/softlink/

2004118

122 www.ct.nl

MakerMagazine

PROJECTEN VOOR

JONG EN OUD

ALLES OVER DE

RASPBERRY PI 4,

ARDUINO, NANOPC

EN MEER

BOUW JE

EIGEN ROBOT

BESTEL JOUW EXEMPLAAR VIA

WWW.FNL.NL/MAKERMAGAZINE

ALLES OVER DIT ONDERWERP

Inleiding en overzicht 118

Opensource-licenties 124

VCV Rack: verdienen met add-ons 126

Krita: gefinancierd door gi� en 128

LibreOff ice: profijtelijk project 130

LICENTIE-CODE

Verschillen bij opensource-licentiesEr zijn honderden manieren om opensource-soft ware te licentiëren. Maar wat zijn de belangrijkste verschillen tussen de licenties en waarom zijn er zo veel?

Sylvester Tremmel en Noud van Kruysbergen

De Europese Unie, IBM, Microsoft , Nokia, Sun –

elke organisatie die iets voorstelt, lijkt zijn eigen

opensource-licentie te hebben ontworpen. Der-

gelijke ijdelheden komen wel vaker voor, maar de gang-

bare opensource-licenties zijn niet voor niets in het le-

ven geroepen. In principe worden dergelijke licenties

geacht de samenwerking tussen soft wareontwikke-

laars te vergemakkelijken. De daaruit voortkomende,

deels wereldwijde ontwikkelaarscommunity’s zijn een

van de sterkste punten van opensource soft ware ten

opzichte van closedsource-ontwikkelingen.

Er zijn echter honderden opensource-licenties,

die vooral bij code-integratie en soft waredistributie in

het oog gehouden moeten worden. Het wordt moei-

lijk wanneer verschillende gelicentieerde codes in één

product moeten worden gecombineerd. Vaak is dat wel

mogelijk, maar de details zijn niet triviaal – en sommige

licenties hebben nu eenmaal tegenstrijdige eisen, zodat

ze niet samen voor kunnen komen.

Er zijn verschillende redenen voor het grote aantal

verschillende licenties. Ten eerste weerspiegelt dat de

verschillende ideeën over ‘opensource’ en ‘vrije’ soft -

ware (zie het vorige artikel). Hier gebruiken we ‘open

source’ als een – niet geheel correcte – generieke term.

Daarnaast zijn er verschillende versies van veel licen-

ties, die onder andere onduidelijkheden van hun voor-

gangers oplossen, ongewenste mazen in de wet dichten

of rekening houden met nieuwe ontwikkelingen op het

gebied van soft waretechnologie.

Sommige licenties komen veel vaker voor dan alle

andere, die voornamelijk bestaan uit relatief zelden ge-

bruikte exoten. Vaak worden versies gebruikt van de

GNU General Public License (GPL) of een moderne va-

riant van de BSD-licentie. Ook Apache- en MIT-licenties

kom je veel tegen, net als de Mozilla Pub License (MPL)

en varianten van de GPL, zoals de LGPL (GNU Lesser Ge-

neral Public License).

WAT IS TOEGESTAAN?

Licenties kunnen globaal worden onderverdeeld in

‘permissieve’ en ‘copyleft ’ licenties. Licenties met copy-

left vereisen het volgende: als de programmacode

wordt gewijzigd of geïntegreerd in andere program-

ma's, wordt de resulterende broncode ook gelicenti-

eerd onder dezelfde licentie. Daardoor blijft het project

open source en kunnen verbeteringen en aanpassingen

weer ten goede komen aan de opensource-beweging.

Om dat te laten werken, dwingen copyleft -licenties

naast hun eigen voortgezette gebruik nog iets anders

af: soft ware die op die manier gelicentieerd is, mag al-

leen worden doorgegeven als de broncode ervan ook

beschikbaar wordt gesteld – in ieder geval aan de ont-

vangers van de soft ware.

De bekendste copyleft -licentie is de GPL, die ge-

bruikt wordt om bijvoorbeeld de Linux-kernel in licentie

te geven. Als een bedrijf verbeteringen aan de broncode

aanbrengt, mag het die aangepaste kernel en zijn code

ook alleen onder de voorwaarden van de GPL doorge-

ven. De kernel mag bijvoorbeeld alleen gedistribueerd

worden als de kopers ook toegang krijgen tot de bron-

code –zodat de kopers zelf verdere verbeteringen kun-

nen aanbrengen.

COPYLEFT EN COPYRIGHT

Binnen de copyleft -licenties zijn er fijnere onderverde-

lingen, die meestal sterke en zwakke copyleft worden

genoemd. Zwakke licenties zoals de LGPL en MPL ma-

ken het bijvoorbeeld mogelijk om open source soft ware-

bibliotheken te gebruiken in een propriëtair program-

ma. Sterke copyleft -licenties zoals de GPL beschouwen

dat als een ontoelaatbare combinatie. De Aff ero GPL

(AGPL) vereist een copyleft die sterk en bijzonder ver-

gaand is. Zelfs als gebruikers alleen via een netwerk met

AGPL-soft ware communiceren, oft ewel ‘Soft ware-as-a-

Service’ gebruiken, moet de broncode van die soft ware

aan hen worden doorgegeven. Copy left heeft niets te

maken met de afwezigheid van copy right. Integendeel:

copyleft -licenties werken alleen dankzij het auteurs-

recht. Ze krijgen die naam omdat ze het doel van het au-

teursrecht omkeren, niet omdat ze ermee in strijd zijn.

Het daadwerkelijk afstaan van het copyright valt onder

het begrip ‘public domain’. Dat is een stap die ver gaat en

juridisch soms helemaal niet eens mogelijk is.

De andere grote categorie van licenties zijn de li-

centies die geen copyleft afdwingen. Dergelijke ‘per-

missive’ licenties maken het mogelijk om wijzigingen

en combinaties van programma's te publiceren onder

elke licentie – zelfs een propriëtaire. Ze vereisen ook niet

dat soft ware geleverd wordt met de broncode erbij. Een

124 www.ct.nl

Achtergrond / Opensource businessmodellen: licenties

Varianten van de GPLv3 hebben zelfs eigen logo's om ze te promoten.

Oude garde: Richard Stallman is onder meer oprichter van de FSF, de oorspronkelijke auteur van de GPL en grondlegger van het copyleft-concept.

www.ct.nl/softlink/

2004124

dergelijke eis zou sowieso niet effectief zijn onder een

permissive licentie: het programma zou eenvoudigweg

iets kunnen worden aangepast en vervolgens geleverd

worden onder een andere licentie die niet het delen ver-

eist van de broncode.

Ontwikkelaars geven dus meer controle over hun

code uit handen als ze permissive licenties gebruiken.

Bekende voorbeelden van dat type licentie zijn de BSD-

en Apache-licenties. De eerder genoemde release van

software in het public domain is ook een extreme vorm

van permissive ‘licentie’.

GAAT HEEN EN VERMENIGVULDIGT U

Daarnaast zijn er verschillende versies van veel licenties.

Die ontstaan meestal omdat na verloop van tijd bepaal-

de tekortkomingen bij bestaande licenties aan het licht

komen of er nieuwe gebruiksmogelijkheden ontstaan

waar licenties geen rekening mee hebben gehouden.

Een bekend voorbeeld daarvan zijn de digitale video-

recorders van het bedrijf TiVo. Die maakten gebruik van

open source software onder versie 2 van de GPL en stel-

den de broncode beschikbaar aan klanten. De gebrui-

kers konden zo hun eigen varianten van de TiVo software

maken –zoals de GPL het bedoeld heeft. De TiVo hard-

ware weigerde echter om dergelijke varianten uit te voe-

ren, waardoor ze praktisch nutteloos zijn. Dat werd vaak

gezien als een schending van de geest van de GPL en

werd door de tegenstanders aangeduid als ‘tivoization’.

Versie 3 van de GPL bevat daarom clausules die der-

gelijk gedrag voorkomen – naast andere aanpassingen

om bijvoorbeeld te beschermen tegen de gevolgen van

softwarepatenten. Nieuwe versies van een licentie ma-

ken de oude versies echter niet noodzakelijkerwijs over-

bodig, maar zijn slechts een alternatief. Terwijl oude

versies van software min of meer snel van het toneel ver-

dwijnen door gebrek aan ondersteuning, blijven licen-

ties bruikbaar en geldig. Linus Torvalds, als hoeder van

de Linux-kernel vrij invloedrijk, heeft bijvoorbeeld niet

veel met de GPLv3 en geeft de voorkeur aan versie 2.

COMPATIBILITEITSPROBLEMEN

Het grootste probleem met het groeiende aantal li-

centies en licentievarianten is dat ze niet noodzakelij-

kerwijs compatibel zijn met elkaar. Zo kunnen bijvoor-

beeld pure GPLv2- en pure GPLv3-programma's niet

worden gecombineerd binnen één software project:

beide versies van de licentie vereisen dat ze voor het

hele project worden gebruikt. Een combinatie zou

een wijziging van de licentie vereisen en daarmee toe-

stemming van alle auteursrechthouders die code heb-

ben bijgedragen aan ten minste één van de projecten

– schier onmogelijk bij grote, oude projecten.

Ironisch genoeg is een van de manieren om dat

probleem aan te pakken, het bieden van extra licen-

tie-varianten. Een voordeel van de GPLv3 ten opzichte

van de GPLv2 is de compatibiliteit met meer licenties

van derden. De op dit moment veel gebruikte b2- en

3-clausulevarianten van de BSD-licentie zijn compati-

bel met de GPL (in beide versies), in tegenstelling tot

de 4-clausulevariant die je bijna niet meer tegenkomt.

Als alternatief kan de code vanaf het begin onder

meer dan één licentie gepubliceerd worden, wat be-

kend staat als multi-licentie. Om een multi-licentie-

programma te combineren volstaat het als slechts

één van de gebruikte licenties compatibel is met de li-

centie van het andere programma. Een bijzonder ge-

bruikelijke variant van een dergelijke meervoudige li-

centie is het vrijgeven van code onder de GPLv2 of v3

met de toevoeging ‘of later’. De software wordt dan bij

wijze van spreken automatisch meervoudig gelicen-

seerd met de volgende versies van de GPL, en com-

binaties van code met verschillende versies zijn geen

probleem.

OVERZICHT VERSCHAFFEN

De Free Software Foundation (FSF), de organisatie

achter de GPL-licenties, houdt lijsten bij om de situa-

tie overzichtelijk te houden. Het Open Source Initiative

(OSI), als de centrale bewaker van het ‘open source’

label, biedt ook relevante informatie, en daarnaast

diverse Linux-distributies (zie de link op deze pagina).

De organisaties geven een inschatting van welke

licenties compatibel zijn met welke andere en onder

welke licentie nieuwe projecten in principe zouden

moeten worden geplaatst. Bovendien zijn dergelijke

lijsten bedoeld om een wildgroei te voorkomen aan

nieuwe licenties die enkel ontstaan uit onwetendheid

over bestaande licenties.

De hele situatie is uiteindelijk niet ideaal, maar –

en dat mag niet worden vergeten – wel duidelijk beter

dan bij de closed-source-wereld. Dankzij open source

licenties kunnen bedrijven zonder voorafgaande con-

tractonderhandelingen samenwerken en kunnen par-

ticulieren vrijelijk experimenteren met producten die

zij hebben aangeschaft – inclusief de software van die

producten

Br

on

Fre

e S

oft

wa

re F

ou

nd

ati

on

(P

ub

lic

Do

ma

in)

uitgave 4/2020 125

In VCV Rack zet je verschillende synthesizermodules in rijen naast elkaar en verbind je ze met elkaar door met je muis te klikken.

Hartmut Gieselmann en Noud van Kruysbergen

Modulaire synthesizers zijn tegenwoordig weer

enorm populair. Honderden kleine hardware-

makers verkopen hun modules in soms zeer

kleine oplages. Die worden door de kopers in grote

kasten geschroefd en gekoppeld tot gigantische syn-

thesizers. Dat die modules allemaal samenwerken,

is aan Dieter Döpfer te danken. Hij ontwierp in het

midden van de jaren 90 het zogenaamde Eurorack-

formaat. Daarbij gelden uniforme specificaties voor

de stroomvoorziening, de overdracht van de audio-

signalen en stuurspanningen en de afmetingen.

Döpfer maakte met die specificaties de eerste mo-

dules en behuizingen voor de Eurorack-synthesizer

A-100. Andere fabrikanten mogen dat open formaat

naar wens gebruiken, zonder royalty’s aan Döpfer te

hoeven betalen. Naast de doe-het-zelf-scene van hob-

byisten en eenmanszaken zijn grote fabrikanten zoals

Moog en Behringer op de Eurorack-trein gesprongen.

Maar al zijn Eurorack-synthesizers populair, de

kosten schrikken menigeen af. Met gemiddelde prijzen

voor een enkele module van 200 tot 500 euro betaal

je zelfs voor een klein basissysteem makkelijk 2000

Euro. Er is daarom erg veel interesse in een soft ware-

ALLES OVER DIT ONDERWERP

Inleiding en overzicht 118

Opensource-licenties 124

VCV Rack: verdienen met add-ons 126

Krita: gefinancierd door gi� en 128

LibreOff ice: profijtelijk project 130

GELUID MAKEN

Geld verdienen met virtuele synthesizer-modulesHet begon ooit als een hobbyproject, maar inmiddels is synthesizersoft ware VCV Rack met meer dan 150.000 gebruikers een van de snelst groeiende muziekprogram-ma’s. Om het economische succes te garanderen, moest ontwikkelaar Andrew Belt echter de opensource-licentie van het programma veranderen – en dat had gevolgen.

implementatie waarmee je nieuwe modules kunt

uitpro beren of een hardware-rack kunt uitbreiden.

Daarbij speelt Andrew Belt, oprichter van VCV,

een grote rol. De soft ware-ontwikkelaar is in 2016 be-

gonnen met het opensource-project VCV Rack, dat

Eurorack-synthesizers simuleert op een computer met

Windows, macOS of Linux. Daar is inmiddels een snel-

groeiende onderneming uit voortgekomen: volgens

Belt heeft VCV Rack nu meer dan 150.000 geregistreer-

de gebruikers. Er zijn ook ongeveer 150 externe pro-

grammeurs die tot nu toe meer dan 1600 soft ware-

modules voor VCV Rack ontwikkeld hebben – elke dag

worden er twee tot drie nieuwe modules toegevoegd.

Ongeveer 90 procent van die modules kan gratis in het

VCV-rack worden geladen. Ongeveer 10 procent wordt

verkocht tegen prijzen van 10 tot 30 euro.

LICENTIEMODEL

Belt heeft VCV Rack onder de GNU Public License 3.0

(GPLv3) geplaatst. Andere programmeurs kunnen zijn

C++-code, gepubliceerd op GitHub, en de bijbehoren-

de Application Programming Interface (API) van VCV

Rack gebruiken om eigen soft waremodules te ontwik-

kelen. Die moeten zij dan ook onder de GPLv3 aanbie-

den, samen met de broncode (gratis of betaald).

Als je geen code van Belt gebruikt, dan zit je

ook niet vast aan de GPLv3, maar wordt elke ande-

re licentievorm toegestaan – inclusief de propriëtaire

closed source – zolang de module maar gratis wordt

aangeboden. Er is altijd de mogelijkheid van ‘donation-

ware’, waarbij de ontwikkelaar vraagt om vrijwillige

donaties.

Om de modules met een andere licentie te mo-

gen verkopen, moet je met Belt onderhandelen over

een commerciële licentie – inclusief de toestemming

om de grafische bibliotheek Grayscale commer cieel

te mogen gebruiken, die afbeeldingen bevat voor

knoppen, aansluitingen en faders. Anders wordt de

Grayscale-bibliotheek beschermd door de CC BY-NC-

ND 4.0-licentie, die commercieel gebruik verbiedt.

Module- ontwikkelaars zijn wel vrij om hun eigen

graphics te gebruiken, wat in het VCV-rack dan ook

leidt tot een kleurrijke mix.

GEÏNTEGREERDE ONLINE SHOP

Om gebruikers direct te bereiken, heeft VCV een online

winkel aan het rack gekoppeld. Gebruikers loggen in

met hun account op de website van VCV Rack en kun-

nen alle beschikbare modules selecteren in een lijst in

de VCV-bibliotheek. Betaalde modules kunnen in een

winkelwagen worden geplaatst en vervolgens worden

126 www.ct.nl

Achtergrond / Opensource businessmodellen: add-ons

De bibliotheek barst inmiddels uit zijn voegen. De modules zijn gesorteerd op categorie en fabrikant. Daar is 90 procent gratis van beschikbaar, de rest is te koop in de geïntegreerde onlineshop.

betaald met PayPal, Apple Pay of Google Pay. De vol-

gende keer dat VCV Rack wordt gestart, logt de soft-

ware in met het account van de gebruiker en down-

loadt de updates en nieuw aangeschafte modules in

één keer – wat erg handig is.

Voor module-ontwikkelaars is het daarom es-

sentieel om vertegenwoordigd te zijn in de officiële

VCV-bibliotheek, omdat gebruikers hun modules an-

ders nauwelijks zullen vinden. Er worden alleen leve-

ranciers geaccepteerd die zich houden aan de ‘Plugin

Ethics Guidelines’ van Belt, die bijvoorbeeld het kopi-

eren van hardwaremodules verbiedt zonder toestem-

ming van de fabrikant.

Matthew Friedrichs moest bijvoorbeeld stoppen

met de verkoop van de softwaremodule Floats omdat

die de hardwaremodule Maths kopieerde zonder toe-

stemming van fabrikant Make Noise. “Het is voor mij ui-

terst belangrijk dat VCV Rack niet de reputatie krijgt van

piraterijsoftware voor Eurorack-modules”, legt Belt uit.

Hij werkt zelf het liefst samen met de fabrikan-

ten. Zo heeft VCV officiële implementaties van Euro-

rack-modules van Audible Instruments en Befaco gra-

tis uitgebracht. Volgens Befaco is de verkoop van de

hardwaremodules sindsdien ook aangetrokken. VCV

Rack levert ook inkomsten op voor hardwarefabrikan-

ten zoals de Brit Andrew Ostler, die onder de naam

Expert Sleepers speciale audio-interfaces aanbiedt

die geschikt zijn voor het aansturen van Eurorack-

hardware met VCV Rack.

GESCHIL MET MIRACK

Hoewel de distributie via de eigen winkel goed werkt

op desktopbesturingssystemen, gaat dat op mobie-

le platforms niet samen met de bedrijfsmodellen van

Google en Apple. Aangezien de juridische en tech-

nische inspanningen hiervoor buitenproportioneel

groot zijn, heeft Belt nog niet op de planning staan om

VCV Rack naar iOS en Android te porten.

Er bestaat voor iPads echter een variant van VCV

Rack onder de naam miRack. Die werd uitgebracht

door de Nieuw-Zeelander Vitaly Pronkin, die de code

en honderden vrij beschikbare modules uit de ou-

dere bètaversie 0.5 van VCV Rack haalde en conver-

teerde naar iOS. Hij heeft Andrew Belt of de VCV-

Rack- community daar echter niet bij betrokken. Die

reageerden dan ook wat verbolgen toen Pronkin hun

code gebruikte om zijn commerciële applicatie in de

App Store te verkopen voor bijna acht euro.

Tot versie 0.6 stond VCV Rack nog steeds onder

een BSD-licentie, waardoor andere leveranciers zoals

Pronkin de code vrij konden kopiëren en gebruiken.

“Toen ik besloot om een BSD-licentie te gebruiken,

had VCV Rack 30 gebruikers, waarvan velen vrienden.

Destijds kon ik de gevolgen niet inschatten. Ik moest

juridisch advies inwinnen voordat ik de overstap naar

de GPLv3 maakte met de toevoegingen voor commer-

cieel en niet-commercieel gebruik”, legt Belt uit. Belt

heeft de licentievoorwaarden bij VCV Rack versie 1.0,

dat in juni 2019 werd uitgebracht, daarom gewijzigd.

Pronkin heeft alle verwijzingen naar VCV Rack verwij-

derd en blijft miRack zelfstandig ontwikkelen.

VOORUITZICHTEN

Met de inkomsten uit de verkoop van betaalde modu-

les heeft Belt nu vijf ontwikkelaars in dienst kunnen

nemen bij VCV. Op die manier kan hij ervoor zorgen dat

de officiële versie van VCV altijd de meest geavanceer-

de is en dat geen enkele concurrent zijn code simpel-

weg kan kapen en er mee aan de haal gaan.

VCV Rack zal in de toekomst gratis blijven, inclusief

belangrijke basisfuncties zoals MIDI-ondersteuning,

gelijktijdige uitvoer naar meerdere audio-interfaces

en het wegschrijven van wave-bestanden naar de har-

de schijf door een recordermodule. Ontwikkelaars die

niet in C++ willen programmeren, kunnen de proto-

type-module gebruiken om nieuwe functies eerst in

Javascript en Lua te implementeren.

Voor de host-module, waarmee VST-2 plug-ins in

het rack geïntegreerd kunnen worden, moet wel wor-

den betaald. Die plug-ins zijn handig als je het geluid

wilt oppeppen met galm, echo, equalizers en com-

pressors. Als je dit leest moet ‘VCV Rack for DAWs’ zijn

verschenen, waarmee het rack zelf een VST-plug-in

wordt. Die kun je dan integreren in programma’s als

Ableton Live, Bitwig Studio en Cubase. VCV wil dat

gaan verkopen voor 99 dollar.

Tegelijkertijd zal VCV Rack 2.0 verschijnen. Belt be-

looft prestatieverbeteringen en een betere shop-inte-

gratie. Inmiddels is er namelijk een kritische massa be-

reikt, waardoor het voor muzikanten steeds moeilijker

wordt om uit de honderden beschikbare modules de

juiste te vinden.

De hele ontwikkeling van VCV Rack zou echter niet

werken zonder de community van programmeurs, mu-

zikanten en YouTube-kanalen, die actief ideeën uitwis-

selen en beginners voorzien van tutorials op het forum

van de website vcvrack.com. Er zijn YouTube-kanalen

die regelmatig nieuwe modules presenteren en tips

geven over patches. Belt communiceert heel open-

lijk met de community en wordt voor zijn vertrouwen

beloond. Daardoor kan hij ook in de toekomst even-

tuele botsingen met concurrenten met een gerust hart

tegemoet zien.

uitgave 4/2020 127

Hoewel de Kickstarter-campagnes geld opbrachten voor het Krita-project, vroeg dat aardig wat inspanningen van het kleine team.

Keywan Tonekaboni en Noud van Kruysbergen

Als je de website van Krita bezoekt, valt je oog

meteen op de donatieknop. Daarnaast staat in-

formatie over hoeveel mensen die maand een

donatie gedaan hebben. Als je Krita wilt downloaden,

komt prominent in beeld dat je het voor Windows in de

App-Store van Microsoft of bij Valves Steam kunt ko-

pen voor iets minder dan tien euro. Hoewel zowel de

gratis Linux-versies als een gratis installatieprogram-

ma voor Windows slechts één klik verwijderd zijn,

draagt de verkoop van apps wezenlijk bij aan de ont-

wikkelkosten van de gratis soft ware.

Boudewijn Rempt leidt op dit moment een team

van vier betaalde ontwikkelaars. Hij kan inmiddels

leven van het werken aan Krita. En dat is ook goed

voor de Krita-community: “De betaalde ontwikkelaars

hebben de vrijwilligers niet verdrongen,” benadrukt

Rempt, “We hebben meer vrijwilligers dan ooit.”

Hij en zijn team hebben een moeizame weg afge-

legd naar de huidige situatie, hoewel of misschien juist

omdat Krita een speciale niche inneemt. Toen Rempt

15 jaar geleden op vrijwillige basis de rol van main-

tainer – oft ewel projectmanager en hoofdontwikke-

laar tegelijk – overnam, was die ontwikkeling nog niet

te voorzien. In die tijd was Krita nog voornamelijk be-

doeld als een beeldbewerkingsprogramma voor de

Linux- desktop KDE en maakte het deel uit van KOff ice.

ALLES OVER DIT ONDERWERP

Inleiding en overzicht 118

Opensource-licenties 124

VCV Rack: verdienen met add-ons 126

Krita: gefinancierd door gift en 128

LibreOff ice: profijtelijk project 130

AFHANKELIJK VAN GIFTEN

Krita: gefi nancierd door giften en app-verkopen

Achter het tekenprogramma Krita, dat oorspronkelijk voor KDE is ontwikkeld, zit geen vaste sponsor. Toch slaagt het project erin zijn eigen hoofdontwikkelaars te betalen.

BETAALD PROJECTWERK

De verandering begon ruim tien jaar geleden, toen

Krita- ontwikkelaar Lukáš Tvrdý aan het eind van zijn

studie was en op zijn diploma-uitreiking aan het wach-

ten was. Hij bood aan om al die saaie bugfixes aan te

pakken waar hobbyprogrammeurs in hun vrije tijd

niet veel zin in hadden. Krita hoefde alleen zijn onder-

houdskosten te regelen, dan kon hij dat noeste werk

drie maanden lang voor zijn rekening nemen. “Lukáš

had net zijn scriptie geschreven over de penseel-engi-

nes in Krita en kende de broncode heel goed,” herin-

nert Boudewijn Rempt zich. “We organiseerden toen

onze eerste fondsenwerving en hij werkte geen drie

maanden aan Krita, maar een jaar lang. We konden de

meeste bugs wegwerken en Krita werd stabiel.”

In die periode is een andere strategische koers

uitgezet. Krita probeerde altijd Photoshop en GIMP

na te bootsen, maar kon het opensource GIMP niet

bijhouden. “We besloten ons te concentreren op het

schilderdeel,” vervolgt Rempt. “Je kunt niet voor alles

zorgen, je moet een focus hebben. Dat is mijn motto.”

Krita werd daardoor in de eerste plaats een program-

ma om digitaal mee te schilderen. Het vulde daarmee

een gat tussen de beeldbewerkingssoft ware GIMP en

het vectorafbeeldingsprogramma Inkscape. Dat gaf de

ontwikkelaars een richting en hielp bij het opbouwen

van een loyale gebruikersbasis.

Ondanks incidentele opdrachten of door bedrij-

ven gesponsorde beurzen voor studenten, bleef de

ontwikkeling in eerste instantie grotendeels onbe-

taald. De Russische student Dmitry Kazakov had deel-

genomen aan meerdere “Summer of Code” genoem-

de beurzen. Toen hij in 2014 zou gaan afstuderen, was

het voor Boudewijn Rempt duidelijk: “Als deze man

op een andere plek gaat werken, verliezen we hem

als Krita- ontwikkelaar en dat zou een ramp zijn. Om

genoeg geld in te zamelen voor het salaris van Kaza-

kov, startte het project een campagne via de crowd-

fundingsite Kickstarter onder de paraplu van de in-

middels opgerichte Krita Foundation. Dat leverde

uiteindelijk iets minder dan 20.000 euro op. De cam-

pagnes in de daaropvolgende jaren bleven stijgen met

respectievelijk 30.000 en 38.000 euro.

KICKSTARTER DOOD SPOOR

Maar zo'n oproep tot donaties op Kickstarter loopt

niet bepaald vanzelf. Rempt stelde gezamenlijk met

zijn vrouw Irina en de Krita-ontwikkelaar Wolthera van

Hövell tot Westerflier een plan op om potentiële do-

nateurs tevreden te stellen en het campagnedoel te

bereiken. Daar kregen ze in de jaren die volgden wel

128 www.ct.nl

Achtergrond / Opensource businessmodellen: donaties

Computerwetenschapper Agata Cacko was af en toe actief in de community totdat Krita-maintainer Boudewijn Rempt haar in dienst nam.

De Krita Foundation geeft op haar website informatie over de actuele donaties.

meer ervaring in, maar dat vergde ook wel wat van

hun krachten. “Kickstarter is bijna dood deze dagen,”

zegt Rempt ontnuchterd. “Er wordt verwacht dat je

het doel in een mum van tijd zult bereiken.” Het is ech-

ter nauwelijks realistisch om onder dergelijke voor-

waarden de ontwikkeling van software te financieren.

Ondertussen is het Krita-team overgestapt op een

zelf beheerd platform en heeft daar in 2018 de laatste

fondsenwervingscampagne gevoerd, die bijna 30.000

euro opleverde. “We hebben meer geld opgehaald

dan met Kickstarter,” benadrukt Rempt. “Niet wat de

omzet betreft, maar uiteindelijk wel omdat Kickstarter

een aanzienlijk deel daarvan inhoudt.” Het Krita-team

heeft de dure beloningen voor crowdfunders, die ge-

bruikelijk zijn bij Kickstarter, achterwege gelaten. In

plaats daarvan konden donateurs aangeven aan wel-

ke onderdelen zij graag hadden dat de ontwikkelaars

gingen werken.

De nadruk ligt op transparantie. De stichting pu-

bliceert regelmatig financiële verslagen. Je kunt ook

zien waar de huidige donaties aan gespendeerd wor-

den. Volgens Rempt hebben op dit moment zo'n vijftig

mensen een doorlopende donatie ingesteld. De afge-

lopen maanden sprokkelde de website gemiddeld bij-

na 2300 euro aan donaties bij elkaar. Daarnaast wor-

den volgens Rempt maandelijks meer dan 10.000 euro

aan inkomsten geïnd via de App Stores.

In het verleden zijn verschillende andere vormen

van financiering uitgeprobeerd, zoals het verkopen

van een Krita Artbook en trainingsmateriaal. Maar

beide bleken verliesmakende zaken te zijn. Het pro-

duceren en verzenden van het Artbook was vrij duur

en bij het commerciële trainingsaanbod kwam de Be-

lastingdienst aankloppen. De Krita Stichting liep als

non- profit-stichting tegen beperkingen aan en ook

de tewerkstelling van Dmitry Kazakov in Rusland was

fiscaal gezien complexer dan verwacht. De Belasting-

dienst eiste aanvankelijk 25.000 euro belastinggeld en

bracht de stichting bijna aan het faillissement. Toen

dat bekend werd, leidde een genereuze individuele

donatie ertoe dat de Krita Foundation die tegenslagen

overleefde. Belangrijke omzet wordt nu via Rempts

eigen bedrijf afgehandeld en verrekend met de Krita

Foundation. De stichting vermijdt na deze wijze lessen

belastingtechnische valkuilen.

DONATIES, VERKOOP EN SUBSIDIES

In de loop der jaren is er een gemengde financiering

ontstaan. Naast donaties en verkoop in de App Store

maken ook projecten met andere bedrijven daar deel

van uit. Intel financiert bijvoorbeeld een project waar-

bij Krita-ontwikkelaars hun software aanpassen aan

de huidige Intel-hardware. Daarnaast zijn er subsidies,

zoals de recente 25.000 dollar in het Megagrant-pro-

gramma, waarmee gameproducent Epic opensource-

projecten met betrekking tot de Unreal-engine wil on-

dersteunen.

Krita is er nog niet in geslaagd om een permanen-

te financiering op te zetten die vergelijkbaar is met

het Blender Development Fund voor die succesvol-

le opensource 3D-modelleringssoftware. “Ik moet er

meer werk en tijd in investeren om dat aantrekkelijker

te maken,” geeft Rempt toe. Het grootste deel van de

bijdragen komt nog steeds van particulieren die Krita

niet alleen op Linux, maar ook op macOS en Windows

gebruiken.

Toch is het aantal betaalde programmeurs ge-

groeid van incidentele banen voor studenten naar vijf

vaste functies. Naast Kazakov en Wolthera van Hövell

tot Westerflier zijn dat Ivan Yussi en Agata Cacko. Dat is

geen software-imperium te noemen, maar het is toch

respectabel voor een klein project zonder een groot

bedrijf erachter.

Bij de fondsenwerving in 2018 rekende het project

voor de kosten van een fulltime baan gemiddeld 3500

euro per maand. De Krita-ontwikkelaars worden dus

niet rijk van hun werk, maar ze kunnen er wel de kost

mee verdienen – en het werken aan een zinvol project

is ook wat waard. “Aan de cijfers kun je zien dat we

geen salaris krijgen zoals in Silicon Valley”, grapt Bou-

dewijn Rempt echter tevreden.

uitgave 4/2020 129

Bugfixing en features als een dienst, ook ten behoeve van de community – opensource maakt het mogelijk.

Thorsten Behrens en Noud van Kruysbergen

De meeste mensen hebben wel eens van Libre-

Off ice gehoord. De opensource, gratis off ice-

suite heeft een lange, soms turbulente geschie-

denis, die teruggaat tot 1985 en begint bij het Duitse

bedrijf Star Division. Vandaag de dag is LibreOff ice de

opvolger van OpenOff ice en een uitstekend voorbeeld

van een succesvol opensource-project. Sinds 2011

staat het onder hoede van de Duitse non-profit-stich-

ting The Document Foundation. De doorontwikkeling

van de off ice-suite wordt ondersteund door een com-

munity van vrijwillige en betaalde ontwikkelaars. Die

laatste zijn meestal in dienst van bedrijven die com-

merciële producten en diensten aanbieden rondom

het vrije Off ice, en die ook met elkaar concurreren.

Op het eerste gezicht lijkt het misschien vreemd

dat concurrerende bedrijven samenwerken aan een

gratis product. Het feit dat de ondersteunende stich-

ting LibreOff ice-versies gratis publiceert, bevordert in

elk geval wel de verspreiding van de suite: er zijn we-

reldwijd vele miljoen installaties van LibreOff ice en

het verwante OpenOff ice. Maar dat betekent niet dat

er een overeenkomstig grote markt voor commercieel

aanbod is – veel mensen gebruiken LibreOff ice nou

net omdat het niets kost.

ALLES OVER DIT ONDERWERP

Inleiding en overzicht 118

Opensource-licenties 124

VCV Rack: verdienen met add-ons 126

Krita: gefinancierd door gi� en 128

LibreOff ice: profijtelijk project 130

OPEN OFFICE

Geld verdienen met

LibreOffi ce

IT-bedrijven die kun klanten off ice-producten willen aanbieden, hebben in principe twee mogelijkheden: het ontwikkelen van een eigen off ice-pakket of ondersteuning leveren voor het off ice-pakket van een andere leverancier. Maar er is een derde optie.

PRODUCT GRATIS, ONDERSTEUNING

TEGEN BETALING

In feite is een van de belangrijkste argumenten voor

bedrijven om de opensource off ice-suite in te voeren

dat het niets kost. Toch is er bereidheid om te betalen

wanneer de kosten worden gecompenseerd door di-

recte positieve eff ecten op de dagelijkse gang van za-

ken. Dat is bijvoorbeeld het geval bij de aankoop van

trainingen of consultancy. Net als bij support voor pro-

priëtaire producten kunnen externe bedrijven onder-

steuning bieden aan eindgebruikers, hulp bij migraties

en integraties, service-level-agreements, enzovoort.

Dergelijke kosten kunnen dan makkelijk aan afzon-

derlijke afdelingen of eenmalige budgetten worden

toegewezen en belasten daarmee niet de algemene,

vaak krappe IT-begroting. Bij een opensource com-

munity-project als LibreOff ice kunnen dienstverleners

nog meer bieden door direct betrokken te raken bij

de ontwikkeling. Zo kunnen ze aanbieden om bugs in

LibreOff ice waar een bepaalde klant last van heeft te

verhelpen binnen de gemaakte klantafspraken. Klan-

ten met speciale eisen kunnen ook opdracht geven

voor het ontwikkelen van individuele functies om het

off ice-pakket aan hun eigen behoeft en aan te passen.

Dergelijke diensten zijn door hun unieke karakter po-

pulair in de wereld van off ice-suites. De aanbieder CIB

is daar een van de grootste in. Dergelijke klantspeci-

fieke ontwikkeling komt vanzelfsprekend het meest

voor bij grote installaties bij bedrijven en in de publie-

ke sector.

Dergelijke features en bugfixes worden echter

niet intern en alleen voor de betreff ende klant geïm-

plementeerd, maar ook ‘upstream’, oft ewel in het ge-

zamenlijke LibreOff ice-project. Dat biedt voordelen

voor alle partijen: de klant ontvangt automatisch ‘zijn’

functie in alle volgende LibreOff ice-versies, de Libre-

Off ice-community profiteert van de continue ontwik-

keling, en de bedrijven die bijdragen krijgen snel feed-

back en verdere verbeteringen van de code vanuit de

community.

Het is dan ook van essentieel belang dat bedrij-

ven die dergelijke diensten verlenen, een goed con-

tact hebben met de upstream-projectcommunity en

daar op goede voet mee staan. Anders bestaat het ri-

sico dat informatie die in het project beschikbaar is,

zoals geplande beveiligingspatches, niet of niet tijdig

beschikbaar is voor klanten. Het is ook in het belang

van de bedrijven die betrokken zijn bij LibreOff ice om

ervoor te zorgen dat de community bloeit en dat het

eco systeem samen met de ondersteunende The Docu-

ment Foundation blijft bestaan.

130 www.ct.nl

Achtergrond / Opensource businessmodellen: support

Een klein deel van de wereldwijde community achter LibreOffice. De kaart toont alleen de meer dan duizend medewerkers die al op de LibreOffice-blog hebben gestaan.

BEWIJS VAN BEKWAAMHEID

De gemeenschappelijke en vooral open codebasis

zorgt ook voor grote transparantie en vergelijkbaar-

heid. Klanten hoeven niet te vertrouwen op (reclame)

beloftes, maar kunnen – als ze voldoende technische

kennis in huis hebben – op elk moment zelf een kijk-

je nemen in de bugtracker of Git-repository. Daar kun

je zien hoe de respectievelijke dienstverleners in het

verleden hebben bijgedragen en waar zij een contro-

leerbare competentie hebben die in het project wordt

erkend. Een goede ontwikkelafdeling kan dus een di-

recte, positieve uitwerking hebben.

De Document Foundation heeft ook certificerings-

programma's ontwikkeld voor ontwikkelaars, trainers

en migratie-experts. Net als elders in de IT-sector be-

wijzen dergelijke certificaten de competentie in zwart-

wit en zijn ze ook begrijpelijk voor klanten die minder

technisch onderlegd zijn. Momenteel voeren vrijwilli-

gers van The Document Foundation die certificeringen

op verzoek gratis uit, om de vergelijkbaarheid binnen

het ecosysteem te waarborgen.

PRODUCT TEGEN BETALING,

ONDERSTEUNING INBEGREPEN

De gratis versies van LibreOffice worden bijna een

jaar lang voorzien van met bugfixes en beveiligings-

updates. Het is echter mogelijk dat derde partijen ook

na die periode verdere updates verstrekken als een

klant een dergelijke versie voor een langere periode

wil gebruiken. Er zijn dus geen definitief stopgezette

versies of verplichte updates. Desondanks nemen de

kosten en de inspanningen van dergelijke diensten

snel toe: de kloof tussen de verouderde klantversie en

het upstreamproject wordt immers steeds groter.

Een uitweg daaruit is om minstens één keer per

jaar een grote versie-update te installeren. Vooral bin-

nen bedrijven worden dergelijke frequente versie-up-

dates vaak overgeslagen omdat ze kosten met zich

meebrengen voor tests en instrueren van het perso-

neel. Bovendien zijn er risico’s aan verbonden en kan

het onrust onder werknemers veroorzaken. Aanbie-

ders als CIB en Collabora vullen die leemte dan ook

met hun eigen versies van LibreOffice, zoals ‘Libre-

Office powered by CIB’ en ‘Collabora Office’. Hoewel

die niet gratis zijn, worden ze geleverd met aanzien-

lijk langere ondersteuningsperiodes. Daarom worden

ze ook wel LTS-versies genoemd (Long Term Support).

Tijdens de ondersteuningsperiode worden nieu-

we beveiligingsupdates altijd opgenomen in een LTS-

versie. Bugfixes zijn ook inbegrepen, vooral als ze van

invloed zijn voor LTS-klanten. Daarom kan het zakelijk

gezien zinvol zijn om na enkele jaren met de gratis ver-

sie over te stappen naar zo'n LTS-versie waar licentie-

kosten voor moeten worden betaald – zelfs als je oor-

spronkelijk naar LibreOffice bent overgestapt omdat

dat niets kost.

LICENTIEVRAGEN

Maar wat koop je dan eigenlijk – afgezien van de in-

begrepen ondersteuning – wanneer je een versie met

een betaalde licentie koopt van een open en gratis

product? Gelicentieerd wordt daarbij (naast de merk-

bescherming van de productnaam) de selectie, con-

trole en verfijning van de vele duizenden wijzigingen

uit het upstream-project van LibreOffice, toegepast op

de respectievelijke LTS-versie. Op het totaal rust dan

een auteursrechtelijke bescherming.

De individuele wijzigingen in de broncode blijven

echter opensource onder de respectievelijke project-

licentie, alleen de samenstelling en de gecompileerde

binaire uitvoerbare versie zijn onderworpen aan de

betreffende licentievoorwaarden. Dat wordt veiligge-

steld door de Mozilla Public License als algemeen aan-

vaarde projectlicentie van LibreOffice, die zogezegd

minder sterke copyleft-eigenschappen heeft. In het

artikel op pagina 124 is dat concept nader toegelicht.

GROOT DENKEN

Naast al deze directe diensten biedt het Libre Office-

project bedrijven ook de mogelijkheid om overstij-

gende producten te ontwikkelen op basis van het

Libre Office-project. In tegenstelling tot bij proprië-

taire software worden de mogelijkheden hierbij niet

beperkt door de beschikbare (of zelfs ontbrekende)

interfaces, maar kan ontbrekende functionaliteit een-

voudigweg achteraf ingebouwd worden.

Projecten als LibreOffice zijn daarmee dus niet alleen

een community waar particuliere en commerciële ont-

wikkelaars met elkaar van gedachten kunnen wisselen,

omdat dit direct in hun eigen voordeel is. Het belangrijk-

ste, gemeenschappelijke doel is veeleer het creëren van

een opwaartse spiraal van producten die op elkaar voort-

bouwen en elkaar verbeteren. Bedrijven kunnen hun ei-

gen werk te gelde maken en worden aangemoedigd om

ten minste een deel van hun winst te herinvesteren in het

opensource-project. De vooruitgang die met LibreOffice

is geboekt, stelt de deelnemende bedrijven in staat om

hun producten verder te verbeteren. En over het geheel

genomen komen die herinvesteringen ook ten goede

aan andere belanghebbenden, zoals particuliere Libre-

Office-gebruikers. De particuliere gebruiker is blij met de

nieuwe functies, beveelt de office-suite aan zijn vrien-

den aan – of zijn baas – waardoor het totale project blijft

groeien.

uitgave 4/2020 131

TEGELS OPPOETSEN

Tips voor het startmenu van Windows 10

Hajo Schulz en Noud van Kruysbergen

Het startmenu van Windows 10 heeft geen goede

reputatie: te rommelig, lelijk, en voortdurend

knipperende live-tegels met overbodige infor-

matie. Je kunt het menu op veel gebieden aanpassen

aan je eigen voorkeuren, maar Microsoft heeft enkele

noodzakelijke stappen onnodig ingewikkeld gemaakt.

Toch is het op de lange termijn zinvoller om je daar

even mee bezig te houden dan om je meerdere keren

per dag te ergeren aan het weinig populaire lanceer-

platform.

Bij een nieuw geïnstalleerde Windows 10 is het startmenu

een vrij rommelige verzameling van tegels. Met een beetje

onderhoud wordt het echter een handige manier om toe-

gang te krijgen tot je regelmatig gebruikte programma's.

Het startmenu is grofweg verdeeld in drie gebieden

die naast elkaar staan: om te beginnen een smalle ko-

lom helemaal links met een knop voor de instellingen

en daarboven enkele links naar persoonlijke mappen

en een knop voor afmelden of aanmelden als andere

gebruiker. In de kolom rechts daarvan heeft het klas-

sieke startmenu zijn thuisbasis, met een alfabetisch ge-

sorteerde lijst van alle geïnstalleerde apps en applica-

ties. Het grootste gebied uiterst rechts bevat de tegels:

pictogrammen van verschillende grootte die verwijzen

naar programma's of apps, die ook kunnen verschij-

nen als ‘live tiles’. Dat zijn velden die op de achtergrond

worden bijgewerkt en korte informatie presenteren –

afhankelijk van de app eventueel ook geanimeerd.

Vanuit de bedieningsfilosofie is het klassieke start-

menu het centrale deel. Het wordt door het systeem

beheerd en heeft een volledige lijst van geïnstalleerde

toepassingen. Het tegelgebied behoort daarentegen

aan de gebruiker: daar kun je tegels verwijderen, snel-

koppelingen naar je favoriete programma's toevoegen

en de items naar eigen smaak rangschikken.

KLASSIEK STARTMENU

Het deel met het klassieke startmenu is min of

meer hetzelfde als wat je waarschijnlijk al ken-

de van Windows 7 en eerder. Het bevat alle items

die set-up programma's aanmaken bij het installe-

ren van normale toepassingen, plus de Universal

Windows Platform-apps die zijn geïnstalleerd vanuit

de Microsoft Store. Windows sorteert de items alfabe-

tisch en voegt een kopregel toe voor elke beginletter.

132 www.ct.nl

Praktijk / Windows Startmenu

Enkele knoppen waarmee je het gedrag van het startmenu in detail kunt aanpassen, staan bij de instellingen onder ‘Persoonlijke instellingen / Start’.

Een klik op een van die regels opent een lijst met alle

beschikbare beginletters. Door daarin te klikken ga je

naar de bijbehorende letter.

Standaard voegt Windows een sectie in met de

items waarvan het denkt dat je ze binnenkort zult wil-

len gebruiken. Dat is meestal de plaats waar de zes

meest recentelijk gebruikte programma’s staan. Als er

net een of meer nieuwe applicaties geïnstalleerd zijn,

worden hun startmenu-items daar een paar dagen

lang in het zonnetje gezet. Dat dynamische gebied kan

worden gedeactiveerd bij de Instellingen onder ‘Per-

soonlijke instellingen / Start’. De bijbehorende knop-

pen heten ‘Meestgebruikte apps weergeven’ en ‘Re-

cent toegevoegde apps weergeven’ – Microsoft bedoelt

met ‘apps’ hier zoals gewoonlijk niet alleen UWP-apps,

maar alle applicaties.

De items in het klassieke deel van het startme-

nu worden onder meer gebruikt voor de resultaten

van het zoekveld op de taakbalk. Dezelfde zoekre-

sultaten krijg je door het startmenu te openen met

een klik op de Start-knop of eenvoudigweg met de

Windows-toets en vervolgens een zoekterm te typen

in de lege ruimte. De apps-sectie met klassieke appli-

caties en UWP-apps verschijnt bovenaan de lijst. Dat

is de snelste manier om een programma te starten

waar je op het bureaublad, op de taakbalk of op het

tegelgedeelte van het startmenu geen snelkoppeling

voor hebt aangemaakt.

Wat betreft de bestanden en mappen op de har-

de schijf, gedraagt de klassieke startmenu-kolom zich

groten deels zoals gebruikelijk bij oudere Windows-

versies. De items en submenu's voor normale pro-

gramma’s bestaan uit snelkoppelingen of submappen

die afkomstig zijn uit twee verschillende mappen op de

harde schijf, namelijk een systeembreed en een gebrui-

kersspecifiek deel. De systeembrede startmenu- items

worden opgeslagen in %ProgramData%\Microsoft\

Windows\Start Menu\Programs en de submappen

daarvan, en de gebruikersspecifieke items worden op-

geslagen in de map %AppData%\Microsoft\Windows\

Start Menu\Programs. Voor wijzigingen aan de glo-

bale items zijn administratorrechten nodig. De afkor-

ting %AppData% staat voor een map in het gebruiker-

sprofiel, meestal C:\username\AppData\Roaming. De

bijbehorende gebruiker heeft daar schrijfrechten voor.

Je kunt niet zien in welke van de twee mappen

een bepaald startmenu-item op de harde schijf staat.

In het contextmenu van de items die bij normale toe-

passingen horen (dus niet bij UWP-apps), kun je ech-

ter bij ‘Meer’ de opdracht ‘Bestandslocatie openen’

vinden. Daarmee open je een Verkenner-venster in de

map waar de bijbehorende snelkoppeling zich bevindt.

Uitgaande van de juiste rechten, kun je die verwijderen

om hem niet meer te zien in het startmenu – als je het

overzichtelijk wilt houden, kun je je meteen ontdoen

van de readme- en uninstall-links, die sommige in-

stallatieprogramma’s onnodig aanmaken. Om snel te

achterhalen waar een link naar verwijst, kun je in het

snelmenu voor die link het item ‘Bestandslocatie ope-

nen’ gebruiken. Daarmee kom je in één keer bij de map

waar het programma in staat.

De labels van de startmenu-items komen over-

een met de bestandsnamen van de desbetreffende

snelkoppelingen. Je wijzigt ze door die een andere

naam te geven. Je kunt dat niet alleen voor cosmeti-

sche doeleinden gebruiken, maar ook uit praktische

overwegingen: stel dat je de hex-editor HxD hebt ge-

installeerd, maar die niet vaak gebruikt en daardoor

zijn naam niet meer weet. Als je ‘Hex’ in het zoekveld

intypt, zul je hem niet vinden. Je kunt dat veranderen

door de snelkoppeling te hernoemen naar ‘Hex-Editor

HxD’. Open daarna het startmenu en typ de eerste paar

letters in, en de tool zal snel gevonden worden.

De bovengenoemde mappen kunnen ook worden

gebruikt om items toe te voegen aan het startmenu

voor programma's die geen eigen installatieroutine

hebben. Vooral kleine tools hebben vaak geen set-up

nodig, maar worden eenvoudigweg gekopieerd naar

een willekeurige map op de harde schijf en kunnen

direct worden gebruikt. Om dergelijke programma's

comfortabel te kunnen benaderen, kun je ze snel een

tegel geven. Als je in plaats daarvan alleen een start-

menu-item wilt maken, klik je met de rechtermuisknop

op het EXE-bestand in Verkenner en selecteer je de op-

tie ‘Kopiëren’. Typ vervolgens %AppData%\Microsoft\

Windows op de invoerregel van Verkenner in of klik

door naar die map, klik met de rechtermuisknop in een

vrij gebied en selecteer ‘Nieuw / Snelkoppeling’. Door

de snelkoppeling te hernoemen, kun je de tekst voor

het startmenu-item naar wens aanpassen.

De items voor UWP-apps die met Windows wor-

den meegeleverd of uit de winkel van Microsoft komen,

kunnen niet worden verwijderd of bewerkt in het klas-

sieke startmenu. Om er vanaf te komen, moet je de be-

treffende app verwijderen.

TEGELS

Dat is anders bij het tegelgedeelte van het startmenu:

Elke tegel – ongeacht of die bij een app of een normaal

programma hoort – heeft het contextmenu-item ‘Van

Start losmaken’ en kan daarmee worden verwijderd.

Word je alleen gestoord van het knipperen van een

tegel, zoals die van de weer-app, dan moet de optie

‘Live-tegel uitschakelen’ in het submenu ‘Meer’ van het

snelmenu voldoende zijn

Zoals hierboven al gezegd: het tegelgedeelte van

het startmenu is helemaal van en voor jou als gebrui-

ker. Je hebt de volledige controle over welke symbolen

uitgave 4/2020 133

daar verschijnen en hoe ze gesorteerd worden. Hoewel

het gebied gevuld is met Microsofts voorselectie bij een

pas geïnstalleerde Windows of een nieuw aangemaakt

gebruikersaccount, kun je die als gebruiker naar be-

lieven wijzigen. Klassieke toepassingen en UWP-apps

zullen daar nooit vanzelf verschijnen. Dat is een goede

zaak – Microsoft heeft geleerd van het verleden: in de

tijd van Windows XP waren er massa's rondzwerven-

de programma's die zichzelf vereeuwigden met één of

zelfs meer pictogrammen op de snelstartbalk tijdens

de installatie. Dat is met de tegels van het startmenu

niet mogelijk: er is eenvoudigweg geen gedocumen-

teerde programmeerinterface waarmee applicatie-

ontwikkelaars daar wijzigingen kunnen aanbrengen.

De andere kant van de medaille: om de tegels ver-

standig te gebruiken, moet je ze handmatig aanpassen

aan je voorkeuren en gewoontes. En ja, dat kost tijd.

Maar die win je terug door sneller toegang te krijgen

tot je veelgebruikte programma's. Je kunt de indeling

van de tegels wijzigen door ze simpelweg naar de ge-

wenste positie te slepen terwijl je de muisknop inge-

drukt houdt. Als je de muisknop loslaat, valt een tegel

altijd in een door het systeem gedefinieerd raster. De

tegels zijn onderverdeeld in groepen met koppen, die

je bijvoorbeeld kunt gebruiken om ze te categorise-

ren. Je kunt de kopregel bij een groep wijzigen door er

eenvoudigweg op te klikken. Als je een tegel verplaatst

naar een positie die niet bij een groep hoort, wordt een

nieuwe regel gemaakt met een aanvankelijk lege kop.

Als je de laatste tegel van een groep verwijdert, ver-

dwijnt hij samen met zijn kop. Met de twee horizon-

tale lijnen die verschijnen wanneer de muisaanwijzer

op een kopregel staat, kun je een hele groep oppakken

en naar een nieuwe positie slepen. Een rechtermuisklik

op een kopregel opent een menu met als enige vermel-

ding ‘Groep van Start losmaken’. Let op: dat comman-

do verwijdert niet alleen de groepskop, maar ook alle

tegels in de groep.

TEGELGEBIED

De grootte van het tegelgebied kan worden gewijzigd

door de boven- of rechterrand ervan met de muis vast

te pakken en naar wens te verplaatsen. Daardoor kun

je de hoogte traploos aanpassen en kun je afzonderlijke

Zonder handmatig een XML-bestand te hoeven aanpassen, voert TileIconifier de stappen uit die nodig zijn om het uiterlijk van de tegels op te poetsen.

kolommen in de breedte toevoegen of verwijderen.

Je kunt de breedte van de kolommen vergroten door

‘Meer tegels weergeven in het Startmenu’ aan te vinken

bij de instellingen ‘Persoonlijke instellingen / Start’. Het

selectievakje ‘Start in volledig scherm gebruiken’ cre-

eert nog meer ruimte voor tegels en herstelt het start-

menugedrag dat sommige gebruikers misschien nog

wel kennen van Windows 8. Het opent niet alleen een

menu, maar de tegels vullen het hele scherm.

Windows laat minder dan één tegelkolom niet

toe bij het slepen van de rechterrand van het start-

menu. Als je helemaal geen tegels wilt, moet je ze al-

lemaal verwijderen met ‘Van Start losmaken’ of door

alle groepen te verwijderen. Het klassieke startmenu

kan worden uitgeschakeld met de knop ‘Lijst met apps

in Startmenu weergeven’ bij de hierboven genoemde

instellingspagina. Als je dat doet, verschijnen er twee

nieuwe knoppen in de linkerbovenhoek van het start-

menu, waarmee je kunt schakelen tussen het klassieke

startmenu (‘Alle apps’) of een weergave met alleen te-

gels (‘Vastgemaakte tegels’).

Over instellingen gesproken: op de genoemde pa-

gina staat onderaan ook een link met de naam ‘Kie-

zen welke mappen in Start worden opgenomen’. Daar

kun je bepalen welke pictogrammen er in de linker-

kolom van het startmenu boven het ‘Aan/uit’-picto-

gram worden weergegeven. Naast de instellingen en

de bestandsverkenner kun je je gebruikersprofiel en

enkele persoonlijke mappen kiezen zoals Documen-

ten, Downloads of Muziek. Je kunt dezelfde lijst ope-

nen door met de rechtermuisknop op een van de be-

staande menu-items te klikken en de opdracht ‘Deze

lijst aanpassen’ te selecteren.

Je kunt het tegelgebied uit twee verschillende

bronnen vullen. Aan de ene kant bevat elk item van het

klassieke startmenu de snelmenuopdracht ‘Aan Start

vastmaken’. Als alternatief kun je een startmenu-item

ook naar het tegelgebied slepen.

Vanuit Verkenner kunnen uitvoerbare bestanden

direct als tegels in het startmenu worden gezet. Ze bie-

den ook het commando ‘Aan Start vastmaken’ in hun

rechtermuisklikmenu. Op de achtergrond maakt Win-

dows bij deze opdracht ook een snelkoppeling in de

hiervoor beschreven map met het klassieke start menu

van de gebruiker, maar die wordt niet getoond in de

alfabetische programmalijst. Met de snelmenu-optie

‘Bestandslocatie openen’ kun je wel naar deze snel-

koppeling navigeren, om de tegel bijvoorbeeld te her-

noemen.

Met een tegel kun je veelgebruikte programma’s

niet alleen snel starten via twee muisklikken, rechts-

klikken op de tegel biedt ook toegang tot hun Jump-

lists. Net als bij een taakbalkpictogram bevat het

snelmenu voor een tegel een lijst met bestanden die

recent geopend zijn met het betreffende program-

ma (de Jumplist). Sommige toepassingen verbergen

daarin ook ‘Taken’: daarmee kies je direct popu laire

programmafuncties zoals ‘Nieuw venster openen’ bij

browsers of het starten van de Integrated Scripting

Environment (ISE) bij Windows PowerShell. Daar-

naast zit de optie ‘Als administrator uitvoeren’ in het

134 www.ct.nl

submenu ‘Meer’ bij het tegelsnelmenu van gewone

toepassingen.

TEGELUITERLIJK

Elke tegel heeft een submenu met de naam ‘Formaat

wijzigen’ in het snelmenu. De opties bestaan uit de

items ‘Klein’ en ‘Middelgroot’ voor klassieke toepas-

singen. ‘Breed’ en ‘Groot’ zijn extra opties bij UWP-ap-

ps. Een ‘kleine’ tegel beslaat één veld in het tegelraster,

een ‘middelgrote’ tegel beslaat twee keer twee velden.

Een ‘brede’ tegel is ook twee velden hoog, maar vier

breed en een ‘grote’ tegel beslaat vier keer vier velden.

Nieuw gecreëerde tegels hebben de grootte ‘medium’

voor traditionele toepassingen. Een ontwikkelaar kan

de initiële grootte voor een app instellen.

Middelgrote tegels voor normale toepassingen zien

er meestal niet erg mooi uit. Windows maakt hun pic-

togram namelijk niet groter dan het bureaubladpic-

togram van dezelfde toepassing. Zo’n tegel bevat dus

veel ongebruikte ruimte. Het omschakelen van alle te-

gels naar ‘klein’ is ook geen oplossing, omdat de labels

dan verloren gaan en veel kleine tegels al snel verwar-

rend worden.

Maar er is een manier om het standaard pictogram

dat bij een tegel wordt weergegeven te vervangen door

iets van je eigen hand. Dat is eigenlijk alleen bedoeld

voor apps, maar dat werkt ook voor normale toepas-

singen. Om dat helemaal handmatig te doen is echter

een heel gedoe. We raden daarom aan om dat over te

laten aan een tool zoals het programma TileIconifier

(zie de link op deze pagina). Die tool heeft altijd al per-

fect gewerkt, is gratis beschikbaar en staat onder een

opensource-licentie.

Als je geen speciaal gereedschap wilt gebrui-

ken, moet je eerst minstens één, maar liever twee af-

beeldingen maken en die in de map zetten waar het

EXE-bestand van de applicatie is opgeslagen. Je kunt

GIF-, PNG- of JPG-bestanden gebruiken in de forma-

ten 150 × 150 en 70 × 70 pixels. Als alleen de grotere be-

schikbaar is, zal Windows die schalen om een kleine te-

gel weer te geven. Als startpunt kun je een screenshot

maken vanuit verkenner, in de map van het applicatie-

bestand met een van de grotere pictogramweergaven.

Je moet de bitmaps in een XML-bestand invoe-

ren, dat in dezelfde directory als het EXE-bestand

thuishoort en dat de naam moet hebben van het

programma bestand. Daarbij vervang je de extensie

‘.exe’ door ‘.VisualElementsManifest.xml’. De indeling

van dat XML-bestand kun je onderaan deze pagina

zien. De namen van de twee bitmaps horen thuis bij

de attributen Square70x70Logo en Square150x150-

Logo van de <VisualElements>-tag. Als er maar één

afbeelding aanwezig is, dan hoort die bestandsnaam

in beide velden thuis. Het attribuut ShowNameOn-

Square150x150Logo kan aan of uit staan en bepaalt

of de naam van het programma wordt weergegeven als

het tegelformaat op Middelgroot staat. Als het weerge-

ven ervan ingeschakeld is, bepaalt het Foreground-

Text-attribuut of Windows daar een licht of een donker

lettertype voor gebruikt. Het BackgroundColor-attri-

buut bevat een van de voorgedefinieerde kleurnamen

of een RGB-code voor een kleur die bekend is uit de HT-

ML-syntaxis. Zo staat #800080 voor een donkerpaarse

kleur. Om ervoor te zorgen dat Windows de verande-

ringen accepteert, moet je de snelkoppeling aanpas-

sen die ten grondslag ligt aan de tegel. Het is voldoen-

de om de datum van de laatste wijziging te updaten

met een tool als touch, die meestal beschikbaar is

voor C++-ontwikkelaars, zodat Windows de oude tegel

uit de cache verwijdert. Hetzelfde kun je doen met een

PowerShell-commando volgens het patroon

(gi Prog.lnk).LastWriteTime = Get-Date

waarbij je Prog.lnk moet vervangen door de bestand-

snaam van de snelkoppeling die bij de tegel hoort.

Het zou mooi zijn als de mogelijkheden van het

tegeluiterlijk bekend zouden zijn bij alle program-

ma-ontwikkelaars. Dan zouden ze de hier beschre-

ven bestanden standaard met hun applicaties kunnen

meeleveren, zeker als die toch al door een set-up-

programma geïnstalleerd worden. Een mooie tegel is

een leuke gimmick voor veel Windows 10-gebruikers.

AAN HET WERK!

Het aanpassen van het startmenu van Windows 10 aan

je eigen voorkeuren vergt even wat werk. Maar de tijd

die je daaraan besteedt is goed geïnvesteerd. Het be-

spaart je onder andere meerdere muisklikken en het

zoeken naar minder vaak gebruikte programma's in

de door Microsoft bedachte structuur. Bovendien is het

startmenu een onderdeel van Windows dat je normaal

gesproken meerdere keren per dag ziet. Het is daarom

een goed idee dat zo in te richten dat je makkelijk je

weg erin kunt vinden, in plaats van je telkens weer te

ergeren aan het feit dat je niet kunt vinden wat je zoekt.

Als je na je eigen experimenten tot de conclusie komt

dat je niet kunt opschieten met wat Windows je op dit

vlak te bieden heeft, heb je nog steeds de mogelijkheid

om een alternatief startmenu te installeren. Als je daar

onze laatste vergelijkende test van startmenu-pro-

gramma’s op naleest [1], moet je er rekening mee dat

het programma Classic Shell, waar we redelijk positief

over waren, nu Open-Shell heet (zie ook de link op deze

pagina).

www.ct.nl/softlink/

2004132

Literatuur

[1] Jan Schüssler, Terug naar vroeger, Klassieke startmenu's voor Windows 10, c’t 7-8/2018, p.80

<?xml version="1.0" encoding="utf-8"?>

<Application xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

<VisualElements Square150x150Logo="MyAppLarge.png"

Square70x70Logo="MyAppSmall.png"

ShowNameOnSquare150x150Logo="on"

ForegroundText="dark"

BackgroundColor="silver"

/>

</Application>

Met behulp van een XML-bestand en twee bitmaps kun je het uiterlijk van de tegels in het startmenu aanpassen aan je eigen esthetische voorkeuren.

Praktijk / Windows Startmenu

uitgave 4/2020 135

Veel configuratiedialogen voor Windows zijn eigenlijk snap-ins voor de beheerconsole. Ze kunnen worden gecombineerd in een enkel venster.

Axel Vahldiek en Noud van Kruysbergen

De meeste dialoogvensters voor de configuratie

van Windows bevinden zich in het Configuratie-

scherm en sinds Windows 8 bij de Instellingen.

Maar er is nog een derde plaats: de Microsoft Manage-

ment Console (MMC). Veel gebruikers weten niet eens

van het bestaan ervan, hoewel ze er af en toe toch mee

te maken hebben, maar het niet als MMC herkennen.

In plaats daarvan hebben ze het gevoel dat ze te ma-

ken hebben met Computer-, Schijf- of Apparaatbeheer,

Hyper-V Manager, Groepsbeleid enzovoort – maar dat

zijn allemaal niet meer dan ‘snap-ins’ van de MMC.

Dat ze vaak niet als zodanig worden ervaren, is

ook te wijten aan het feit dat ze meestal niet op een

uniforme manier gestart worden. Sommige zijn te

vinden in het Windows+X-menu. Bij andere, zoals het

Groeps beleid, moet je de bestandsnaam (gpedit.msc)

typen in het vak Uitvoeren (Windows+R) en veel men-

sen starten het Apparaatbeheer via het Configuratie-

scherm onder Systeem (Windows+Pause).

Je kunt met een paar muisklikken echter ook een

eigen MMC-snap-in maken. Die kun je daarna dan met

twee keer klikken oproepen. De snap-in kan bijvoor-

beeld alle modules bevatten die je in het dagelijks le-

ven nodig hebt.

ALLES ONDER ÉÉN DAK

Tips voor de Management Console van WindowsWat hebben logboeken, schijfbeheer, apparaatbeheer en taakplanning met elkaar gemeen? Het zijn allemaal snap-ins voor de Microsoft Management Console. Die kun je ge-bruiken om met een paar muisklikken alle verspreide tools in één venster te combineren.

MMC EN SNAP-INS

Wat je ook configureert bij een snap-in, de instellingen

komen niet in de snap-in zelf terecht. Je kunt snap-ins

zien als een soort sjabloonbestand dat je in de MMC

laadt – meer precies in mmc.exe. In werkelijkheid

bevatten snap-ins zelfs geen configuratiedialogen,

omdat het slechts XML-bestanden zijn. De XML-code

verwijst daarbij naar GUID's die ook in het register te

vinden zijn – dat is immers de plek waar de infor matie

wordt opgeslagen over welke DLL-bestanden het ei-

genlijke werk doen.

De snap-ins worden meestal opgeslagen in C:\Win-

dows\System32, herkenbaar aan de bestandsextensie

.msc (MMC Snap-in Control). De snelste manier om ze

te vinden is door die map te openen met Verkenner,

de weergave om te schakelen naar Details met de klei-

ne knop rechtsonder en dan te klikken op het kleine

pijltje in de kolomkop Type. Selecteer ‘Microsoft Com-

mon Console-document’ in het uitklapmenu. Hoeveel

er daar staan is afhankelijk van de editie van je Win-

dows-installatie. Windows Home heeft er minder dan

Pro en Enterprise, omdat Home onder andere Groeps-

beleid mist. Het hangt ook af van welke Windows-

functies zijn ingeschakeld: Als Hyper-V bijvoorbeeld

niet is geïnstalleerd, ontbreekt ook virtmgmt.msc

(Hyper-V Manager). Extra snap-ins kunnen op de com-

puter terechtkomen door het achteraf installeren van

applicaties. De tabel bij dit artikel toont een selectie

van de meest voorkomende snap-ins.

ALLES IN ÉÉN

In plaats van het moeizaam onthouden van alle na-

men in de tabel, is het veel handiger om je eigen snap-

in te maken. Zoals eerder vermeld, kunnen snap-ins

andere snap-ins bevatten, en het meest voorkomende

voorbeeld daarvan is waarschijnlijk Computerbeheer:

die bevat de Task Scheduler, Logboeken, Apparaat-

beheer en nog meer snap-ins.

Het samenstellen van een eigen snap-in is vrij een-

voudig: druk op de Windows-toets en typ mmc.exe in.

Daarmee start je een leeg venster genaamd ‘Con sole1’

– Microsoft noemt snap-in-compilaties een con sole.

Klik in het menu op ‘Bestand / Module toevoegen/

verwijderen’. Er wordt een selectiedialoogvenster ge-

opend waar je snap-ins aan je console kunt toevoegen

die je handig vindt of nodig hebt. Je moet de modu-

les die je niet kent of die je niets zeggen gewoon over-

slaan, en ze niet uit nieuwsgierigheid toch activeren.

Sommige snap-ins zijn namelijk zo krachtig dat je iets

kapot kunt maken als je ze verkeerd gebruikt. Je kunt

je selectie later altijd nog aanpassen.

Om er een te selecteren, markeer je de snap-in en

klik je op Toevoegen. In sommige gevallen wordt ge-

vraagd of je de snap-in wilt gebruiken om je lokale

computer te beheren of een andere computer. Voor je

eigen pc is ‘De lokale computer’ de juiste keuze.

Soms kun je een vinkje zetten voor "Er mag een

andere computer worden gekozen wanneer de con-

sole vanaf de opdrachtregel wordt gestart’. Je kunt

dat negeren, want als je een snap-in toevoegt die deze

functie niet ondersteunt, zal dat toch niet werken.

136 www.ct.nl

Praktijk / Microsoft Management Console

Snap-ins kun je met de muis samenstellen en naar believen rangschikken.

Snap-ins voor de Management Console (selectie)

Bestandsnaam Functie Home Pro/

Enterprise

compmgmt.msc Computerbeheer v v

devmgmt.msc Apparaatbeheer v v

diskmgmt.msc Schijfbeheer v v

eventvwr.msc Logboeken v v

fsmgmt.msc Gedeelde mappen v v

gpedit.msc Groepsbeleid – v

lusrmgr.msc Lokale gebruikers en groepen –1v

perfmon.msc Broncontrole v v

printmanagement.msc Afdrukbeheer – v

secpol.msc Lokaal beveiligingsbeleid – v

services.msc Services v v

taskschd.msc Taakplanner v v

virtmgmt.msc Hyper-V-Manager – v

WF.msc Windows Defender Firewall met geavanceerde beveiliging

v v

1 aanwezig, maar functieloos

Bovendien is er ook een meer betrouwbare manier om

een console later te veranderen – waarover zo meer.

De snap-ins verschijnen later in de console als een

lijst aan de linkerkant van het venster. Je kunt de volg-

orde waarin de snap-ins op de lijst verschijnen aan-

passen. Selecteer gewoon een snap-in in het selectie-

dialoogvenster en klik op Omhoog of Omlaag om hem

een positie in de betreffende richting te verplaatsen.

Voor veel snap-ins kun je ook klikken op de knoppen

‘Uitbreidingsmod. bewerken’ en ‘Geavanceerd’. Als

het slechts een snap-in is om een enkele pc te behe-

ren doen die verder weinig, dus die moeite kun je je-

zelf besparen.

Wanneer je selectie voltooid is, klik je op OK onder-

aan het venster, waarna de snap-ins verschijnen in een

boomstructuur aan de linkerkant. Klik op ‘Opslaan

als’ in het menu Bestand. Selecteer bijvoorbeeld het

bureau blad en een naam naar keuze als bestemming.

Alleen de bestandsextensie is al ingesteld op .msc.

AUTEURSMODUS

Je kunt je console nu al gebruiken, maar die heeft nog

één klein nadeel: zodra je het venster sluit, wordt je ge-

vraagd of je de console-instellingen in je MSC-bestand

wilt opslaan. In het dagelijks leven wordt dat al snel

vervelend, want wat je ook wilt configureren met je ei-

gen MSC-bestand, je eigen console hoort daar meestal

niet bij.

De achtergrond van dat alles is dat de MMC con-

soles kan openen in verschillende modi, en voor jouw

console is dat standaard de ‘Auteursmodus’ waarin

hij kan worden geconfigureerd. Maar als dat eenmaal

gedaan is, heb je die modus niet meer nodig, dus kun

je deze wijzigen: klik in het Bestand-menu van je con-

sole op Opties. Daar verander je de Consolemodus in

‘Gebruikersmodus - volledige toegang’ en verwijder je

het vinkje bij ‘De gebruiker kan weergaven aanpassen’.

Klik op Toepassen, sluit het venster en beantwoord

voor de laatste keer de vraag of de instellingen moeten

worden opgeslagen – maar deze keer met Ja! Vanaf de

volgende keer dat je de console opent, blijft die vraag

bij het afsluiten achterwege.

Als je later iets aan je console wilt veranderen, roep

hem dan op met een Opdrachtregel-commando (ge-

bruik het juiste pad en de naam voor je MSC-bestand):

mmc m:\mmc\axv.msc /a

De toegevoegde parameter /a zorgt ervoor dat MMC je

console weer opent in de auteursmodus, zodat de be-

werkingscommando's weer beschikbaar zijn.

OVERDRAAGBAAR?

Aangezien snap-ins alleen XML-code bevatten met ver-

wijzingen naar lokale bibliotheken, zou je verwachten

dat ze overdraagbaar zijn – wat dan ook zou moeten

opgaan voor je zelfgemaakte consoles. Dat is ook zo,

maar met enkele beperkingen. Een snap-in kan alleen

werken als op een pc alles daarvoor beschikbaar is.

Het heeft dus geen zin om bijvoorbeeld de snap-ins

voor het Groepsbeleid of de Hyper-V Manager over te

zetten naar een Windows 10 Home-installatie via een

MSC-bestand. Het oproepen daarvan leidt dan alleen

tot een foutmelding omdat op die pc geen Groeps-

beleid en Hyper-V beschikbaar zijn. Andere snap-ins

daarentegen werken zonder problemen, zelfs na het

overzetten op een andere pc.

Soms kunnen echter ook andere problemen ertoe

leiden dat een snap-in niet werkt. De snap-in ‘Lokale

gebruikers en groepen’ bevat informatie over op welke

pc de console is toegevoegd. Op elke andere pc zal die

snap-in van je console dan klagen over een ongeldig

netwerkadres waardoor hij geen toegang tot de bron-

computer kan krijgen. Dat houdt overigens dus ook in

dat MSC-bestanden persoonlijke informatie kunnen

bevatten, zoals hier de computernaam van de machi-

ne. Je kunt die snap-in daarom beter niet verspreiden.

In de praktijk is dit geen serieus probleem: als je

het concept eenmaal begrijpt, is het bij elkaar klikken

van een nieuwe console zo snel voor elkaar dat je het

makkelijk op al je eigen pc's kunt doen.

uitgave 4/2020 137

RISC-V IN DE PRAKTIJK

Werken met RISC-V-microcontrollerboard Sipeed Longan Nano

Een instap in de wereld van de opensource technologie RISC-V hoeft niet meer te kosten dan een euro of tien – exclusief verzendkosten. We hebben het RISC-V-board Longan Nano eens uitgeprobeerd met PlatformIO onder Windows 10.

Christof Windeck en Noud van Kruysbergen

De instructieset-architectuur RISC-V belooft

open chipontwerpen zonder achterdeu-

ren. Maar tot nu toe zijn er nog maar wei-

nig RISC-V-processors beschikbaar om die gloed-

nieuwe technologie uit te proberen. Een van de

eerste RISC-V-chips is de 32-bit GD32V-microcon-

troller van de Chinese fabrikant Gigadevice. Die chip

wordt door de firma Sipeed uit Shenzhen op het

controllerboard Longan Nano gesoldeerd. Dit mi-

crocontrollerboard is voor tien euro te koop in Ne-

derland of voor vijf dollar in China. Het mooie eraan:

de kleine printplaat in het duimlange Arduino-Nano-

formaat wordt geleverd met een klein LC- display

dat met een foliekabel verbonden is. Daar kunnen

teksten en foto's op weergegeven worden met 160

× 80 gekleurde pixels, en met een trucje kun je se-

quenties van foto’s ook als video laten afspelen.

De Longan Nano leest dergelijke gegevens van een

microSD-kaart, waarvoor aan de onderkant van de

printplaat een insteekslot beschikbaar is. Daarnaast

wordt de Longan Nano geleverd met een eenvoudige

kunststof behuizing en twee pinheaders, die je even-

tueel zelf moet vastsolderen.

Op de Longan Nano zit de GD32V-variant GD-

32VF103C met 20 kB SRAM en 64 kB flashgeheugen.

De RV32IMAC-processorkern kan tot 108 MHz. Hij is

afkomstig van het Chinese bedrijf Nuclei Systems

en is gedocumenteerd onder de naam Bumblebee.

Naast USB-C heeft de Longan Nano 34 aansluitin-

gen die niet alleen gebruikt kunnen worden als GPIO-

pinnen, maar ook als analoge in- en uitgangen, ti-

mers en interfaces voor SPI, I2C, UART en CAN-bus.

De GPIO-pinnen kunnen maximaal 3,6 volt aan.

Om de Nano te programmeren, adviseert Sipeed

de gratis ontwikkelingomgeving PlatformIO, waar-

voor ook vier Longan-Nano-probeerprojecten be-

staan. Om die aan de gang te krijgen, moet je echter

enkele hindernissen overwinnen en informatie ver-

zamelen uit verschillende bronnen, waarvan som-

mige in het Chinees. We hebben drie programma-

voorbeelden uitgeprobeerd onder Windows 10. Meer

informatie en verwijzingen zijn te vinden via de link

op de laatste pagina van dit artikel.

HORDENLOOP

Het bedrijf Sipeed onderhoudt een wiki over de Lon-

gan Nano en verschillende branches in het open

codemanagementsysteem GitHub. Maar zonder

voorafgaande kennis en ervaring is het moeilijk om

alle benodigde informatie te vinden. Daarom hier

een overzicht van de belangrijkste concepten.

PlatformIO (PIO) maakt het eenvoudiger om

hobby boards te programmeren, omdat de betreffende

fabrikanten – of een ontwikkelaars community – daar

voor GitHub geschikte configuratie gegevens voor op-

slaan. De PIO-kern is geschreven in de programmeer-

taal Python, die geïnstalleerd moet worden op de

laptop of de pc waar je op wilt programmeren. Maar

in theorie hoef je je daar niet zelf om te bekommeren

(meer daarover later), want PIO is weer een uitbrei-

ding van de gratis code- editor Microsoft Visual Studio

Code ( VSCode) en kan van daaruit ook geïnstalleerd

worden. PIO transformeert VSCode in een Integrated

Development Environment (IDE) voor PIO-compa-

tibele boards. Daarmee kun je (voorbeeld)code uit

GitHub importeren, compileren, debuggen en via usb

op het gewenste ontwikkelbord zetten.

PIO heeft een wizard die de juiste configuratie-

bestanden en voorbeeldprojecten voor de Longan

Nano klaarzet. Om de uiteindelijk code van PIO naar

138 www.ct.nl

Praktijk / RISC-V-microcontroller programmeren

PlatformIO is een extensie voor Visual Studio Code die het programmeren van veel ontwikkel-borden door middel van configuratiebestanden en projectvoorbeelden vereenvoudigt.

de Longan Nano te schrijven, kan de USB type C-

interface worden gebruikt. Afhankelijk van de laptop

of pc heb je een USB-A-naar-C-adapterkabel nodig.

De usb-aansluiting voorziet de Longan Nano

met een van stroom. Hij heeft minder dan 50 mA no-

dig tijdens het gebruik, inclusief het display. Bij het

Apparaat beheer van Windows 10 verschijnt de Lon-

gan Nano in eerste instantie niet of alleen als ‘On-

bekend apparaat’. Om de usb-interface te kunnen

gebruiken, moet het gratis driverprogramma Zadig

handmatig geïnstalleerd worden.

JUISTE VOLGORDE

Met de bovenstaande voorkennis is het wel duidelijk

dat je eerst VSCode op je pc moet installeren. Daar-

na is een reboot nodig, omdat het later geïnstalleer-

de PlatformIO bepaalde informatie alleen kan vinden

als het in het zoekpad van Windows staat – en dat

werkt hier via de Windows-systeemvariabele PATH.

Maar voordat je PlatformIO als extensie instal-

leert in VSCode, moet je Python 3.8 apart installeren

– en de optie ‘Add Python to environment variables’

selecteren om Python aan de PATH-variabele toe te

voegen. En dan moet je nogmaals herstarten. Zonder

de PATH-verwijzing naar Python 3.8 stuitten we op

het probleem dat PlatformIO versie 1.10.0 onder VS-

Code 1.40.2 automatisch Python versie 3.7.5 instal-

leerde, maar niet correct draaide.

Het bleek ook dat Git op Windows apart moet

worden geïnstalleerd. Anders komt PlatformIO

zelf wel aan de benodigde branches in de GitHub-

repository, maar de Git-functies in VSCode zullen niet

werken. Die zijn handig voor het handmatig kopië-

ren van willekeurige codeprojecten van GitHub. Git is

makkelijk te downloaden via de link aan het eind van

dit artikel.

USB-DRIVERS INSTALLEREN

Voordat je begint met programmeren, kun je het bes-

te de usb-driver van Zadig voor de Longan Nano in-

stalleren. Download daar de Zadig-software voor,

maar start die nog niet. Open het Apparaatbeheer

van Windows – dat is het makkelijkst te doen via de

toetsencombinatie Windows+X. Sluit vervolgens de

Longan Nano aan op de pc met de USB-C- of adapter-

kabel. De Longan Nano verschijnt niet onmiddellijk

in het Apparaatbeheer, maar alleen wanneer je hem

via usb in de apparaatmodus voor Direct Firmware

Update (DFU) zet. Om dat te doen, moet je eerst de

kleine knop BOOT0 op de Longan Nano die via usb

aangesloten is ingedrukt houden, dan kort op de

RESET- knop drukken en tenslotte de BOOT0-knop

loslaten. Dan verschijnt er een ‘Onbekend apparaat’

in het Apparaatbeheer. Dat had bij ons de USB-ID

28E9/0189.

Start de Zadig-software, selecteer dat usb-appa-

raat (waarschijnlijk ‘Unknown device #1’) en klik op

‘Install driver’ – het zal dan een tijdje duren totdat

het stuurprogramma geïnstalleerd is. Indien gewenst

kun je de Longan Nano ook een usb-apparaatnaam

geven met Zadig (via de knop Edit).

Als je na het installeren van het stuurprogramma op-

nieuw op de resetknop op de Longan drukt, schakelt

die over naar de normale modus en verdwijnt hij uit

het Apparaatbeheer. Als je weer naar de USB-DFU-

modus overschakelt, zou hij opnieuw moeten ver-

schijnen.

PLATFORMIO STARTEN

Dan kun je beginnen met het voorbereiden van het

codevoorbeeld. Als de combinatie VSCode / Platform-

IO / Python eenmaal draait, werkt het vrij goed, maar

het spreekt allemaal niet voor zich.

De Longan Nano wordt geleverd met een firm-

ware die de led met verschillende kleuren laat knip-

peren. Die originele firmware kan echter nergens

gedownload worden. Als eerste eigen project heb-

ben we gekozen voor het gebruikelijke eenvoudige

knipper-project, waardoor de led van de Nano alleen

rood knippert.

Na het starten van VSCode start PlatformIO na de

standaard installatie automatisch, maar wel na een

korte wachttijd. Als het venster ‘PIO Home’ niet ver-

schijnt, klik dan op het kleine Home-pictogrammetje

in de linkerbenedenhoek van het VSCode- venster.

Rechts daarvan verschijnen later twee andere be-

langrijke pictogrammen: een vinkje, dat het com-

pilatieproces start, en een pijl die naar rechts wijst,

waarmee je de gecompileerde code als een firm-

ware-image via usb in het geheugen van de Longan

Nano kunt schrijven.

Maar daarvoor moet je eerst een project maken

in VSCode en wat code bewerken. In het venster ‘PIO

Home’ staat de knop "+ New Project" in de rechter-

bovenhoek onder ‘Quick Access’. Met een klik daar-

op start de Project Wizard. Daar geef je eerst een

naam aan het nieuwe project, bijvoorbeeld Longan-

Nano-01. Selecteer vervolgens ‘Sipeed Longan Nano’

uitgave 4/2020 139

In Apparaatbeheer van Windows 10 verschijnt de Longan Nano eerst als een ‘Onbekend apparaat’, maar met Zadig installeer je het stuurprogramma libwdi.

Bij de eenvoudige codevoorbeelden voor de Longan Nano hoef je alleen maar een regel toe te voegen voor het ‘upload_protocol’ in het platformio.ini-bestand via PIO.

onder ‘Board’, die bevindt zich in de categorie ‘Giga-

Device GD32V’. Laat de standaardinstelling ‘Giga-

Device GD32V SDK’ onder Framework zoals die is. Na

klikken op Finish, zal PlatformIO een directory aan-

maken in de Documenten-map van de ingelogde ge-

bruiker voor PlatformIO, oftewel in C:\Gebruikers-

naam\Documenten\PlatformIO\Projects.

Het is een beetje verwarrend dat het voorbeeld-

project niet in de zojuist aangemaakte map terecht-

komt, maar ernaast in dezelfde bovenliggende map

– maar dat is alleen visueel storend. Selecteer ‘lon-

gan-nano-blink’ als eerste voorbeeldproject door dit

te importeren bij ‘Project Examples’. PlatformIO ko-

pieert de code van GitHub dan naar een nieuwe lo-

kale directory. Het zal dan verschijnen in de linker

VSCode-kolom Explorer in de huidige ‘Workspace’.

Als je de broncode van het voorbeeld – geschreven

in C – wilt bekijken, klik dan op het bestand ‘main.c’

onder ‘src’ in de Explorer-kolom. Om het voorbeeld

via usb naar de Longan Nano te schrijven, is een extra

regel code in het bestand ‘platformio.ini’ nodig. On-

deraan de sectie [env:sipeed-longan-nano] moet je

‘upload_protocol = dfu’ toevoegen.

Compileer het project dan door op het vinkje in

de statusregel onder te klikken. Er wordt dan auto-

matisch een terminalvenster geopend onder de

codeweergave, waarin de voortgang en eventue-

le foutmeldingen worden getoond. Aan het einde

verschijnt ‘Terminal will be reused by tasks, …’ – de

firmware- image is dan klaar.

Sluit de Longan Nano vervolgens aan (indien nog

niet aangesloten) en activeer de usb-communicatie-

modus. Met een klik op het eerder genoemde pijl-

symbool start het flash-proces, dat enkele seconden

duurt – in het terminalvenster verschijnt een voort-

gangsbalk, gevolgd door een foutmelding over een

ontbrekende digitale handtekening, die je kunt nege-

ren. Ook kan het zijn dat je upload-error 74 krijgt, dan

is het flashen toch gelukt maar komt er geen status-

melding terug. Ook dat kun je negeren.

Na het succesvolle flashen schakelt de Lon-

gan Nano automatisch over naar de normale mo-

dus, voert een reset uit en vervolgens de nieu-

we code. Het voorbeeldproject laat nu alleen

nog maar de onboard-led boven de A1-pin knip-

peren. Het project ‘arduino-blink’, ook beschik-

baar als voorbeeld, verschilt van het eerste pro-

ject doordat het in C++ is geschreven en een

Arduino-bibliotheek voor de GD32V-chip bevat.

VIDEOVOORBEELD

Een project waarbij het display van de Longan Nano

eerst het logo van het bedrijf Sipeed toont en ver-

volgens de cartoon Bad Apple is veel complexer dan

de knipperende voorbeelden. Dat is interessant om-

dat het een aantal complexere I/O-functies laat zien

die je kunt gebruiken voor je eigen projecten. Daar-

bij worden de microSD-reader en het LC-display ge-

bruikt – dat laatste via SPI. De LCD-bibliotheek be-

vat ook lettertypes voor het tonen van letters op het

minidisplay. Om de microSD-kaart te kunnen lezen,

maakt een FAT16-stuurprogramma deel uit van het

codevoorbeeld.

De instructies voor het voorbeeld van de video-

code zijn geschreven in het Chinees, maar kunnen

op een redelijk begrijpelijke manier worden vertaald

met Google Translate. In de code zelf staan helaas

ook veel Chinese opmerkingen – toch is het voor-

beeld nuttig. Je leert bijvoorbeeld dat de GD32V de

160 × 80 pixels grote afbeeldingen in twee stroken

140 www.ct.nl

Praktijk / RISC-V-microcontroller programmeren

van elk 160 × 40 pixels opdeelt, die hij via SPI na

elkaar naar het display stuurt.

De GD32V-chip kan bitmapbestanden en ook vi-

deo’s echter niet rechtstreeks lezen, maar alleen een

speciaal binair formaat. Voorbeelden daarvan zijn

ook op GitHub te vinden. Het genoemde bedrijfslogo

staat in het bestand logo.bin en de video in bmp.bin.

Het voorbeeldprogramma toont eerst de afbeel-

ding logo.bin gedurende 1,5 seconde en dan de 2190

afbeeldingen in het bestand bmp.bin als een video.

Om dat uit te proberen, heb je een microSD-geheu-

genkaart, een kaartlezer en de bovengenoemde Git-

installatie op je systeem nodig. Kopieer het voorbeeld

bij de link op deze pagina eerst met het commando ‘git

clone’ naar de momenteel geselecteerde directory.

Gebruik daarvoor de toetsencombinatie Ctrl+Shift+P

in VSCode om een commandline-prompt te starten

waar je ‘git clone’ intypt. VSCode zal dan de url op-

vragen en de bestanden vervolgens kopiëren.

In de subdirectory ‘put_into_tf_card’ staan dan

de bestanden, die je in de hoofddirectory van de

microSD-kaart zet. Stop die in de kaartlezer aan de

onderkant van de Longan. De broncode hoeft niet

aangepast te worden, maar het bestand platformio.

ini wel. Ook daar ontbreekt de regel ‘upload_proto-

col = dfu’.

Herhaal vervolgens de stappen compileren (vink-

je), Longan in USB-DFU-modus zetten (druk op de

knoppen in de juiste volgorde) en de firmware via usb

schrijven (pijlsymbool). Na een korte pauze toont het

display het logo en vervolgens de film.

EIGEN VIDEO’S

Het uitgewerkte voorbeeldprogramma vertoont met

een minimale verandering ook je eigen foto's en

‘video's’ op het display van de Longan Nano. Daar-

voor hoef je ze alleen in het juiste bestandsformaat

en met de namen logo.bin en bmp.bin op te slaan op

de microSD-kaart. Sipeed levert een Python-script

(zie de link op deze pagina) dat bitmapbestanden

omzet in het juiste formaat.

Afbeeldingen moeten eerst worden bijgesne-

den of geschaald tot 160 × 80 pixels met een beeld-

bewerkingsprogramma zoals IrfanView en worden

opgeslagen als BMP-bestanden met 24-bit kleur-

diepte. Je kunt je eigen video omzetten naar een

serie BMP-screenshots van 160 × 80 pixels. Dat kan

bijvoorbeeld met PotPlayer. Daarna moet je alle BMP-

bestanden converteren naar 24-bit kleurdiepte met

behulp van batch-postprocessing met bijvoorbeeld

IrfanView. Als laatste zet het Python- script bmp2hex

de bitmaps in bestanden met de extensie .bin.

We hebben dat geprobeerd met ons c't logo en

een 16 seconden durende video van 344 frames (24

frames per seconde). Daar was slechts één wijziging

voor nodig in de broncode van main.c, namelijk bij de

frameteller (343 in plaats van 2189).

EXPERIMENTEREN MAAR

De Sipeed Longan Nano maakt praktische experimen-

ten mogelijk met een goedkope RISC-V-chip. Voor-

delen ten opzichte van een Arduino Nano zullen er ech-

ter maar bij een paar projecten zijn. Bovendien is de

Longan Nano nog gecompliceerder te programmeren

dan een Arduino. Dat is ook te wijten aan de onvolle-

dige documentatie die verspreid is over verschillen-

de websites – deels in het Chinees. websites. De pro-

grammeervoorbeelden lijken snel bij elkaar geklust,

maar het eerste contact met RISC-V kost niet veel en

bewijst dat de opensource technologie werkt.

De aansluitpinnen van de Longan Nano kunnen worden geconfigureerd als verschillende interfaces en kunnen maximaal 3,6 volt aan.

www.ct.nl/softlink/

2004138

uitgave 4/2020 141

Hotline

UNICODE-TEKENS IN WORD INVOEREN

? Onlangs wilde ik in een tekst een maalteken

voor vermenigvuldigen invoegen. Dat werkt

moei zaam via de ‘Speciale tekens’-optie. Op een

hulppagina van Microsoft las ik dat ik de Unicode

U+00D7 moest gebruiken. Maar hoe voeg ik die in? Dat

werkte in Word niet zoals beschreven met Alt+X.

! Een universele methode om Unicode-tekens

in Windows-programma’s in te voegen gaat

via een combinatie van een ingedrukte Alt-toets

en het intypen van de decimale tekencode met het

numerieke cijferblok. Wat die code is, kom je te weten

via de speciale tekens in Windows. Die open je door

in de zoekbalk van het startmenu van Windows de

naam van de tool ‘Speciale tekens’ in te typen. Open

de tool en zoek het gewenste teken op. In dit geval het

vermenigvuldigingsteken ‘×’. Rechtsonder in de hoek

van het venster zie je dan de juiste toetsencombinatie

verschijnen: Alt+0215. Bij Word kun je met die

combinatie het teken dan direct invoegen.

AUTOMATISCHE FRAMERATES BIJ SHIELD TV

? Ik gebruik de streamingbox Shield TV van

Nvidia om films op Netflix, YouTube en van mijn

persoonlijke bibliotheek te streamen. Helaas stotteren

veel video’s bij het bekijken. Bij de instellingen heb

ik 60 hertz al geactiveerd. Is er een manier om het

stotteren te verhelpen?

! Films van Netflix en video’s van YouTube hebben

verschillende framerates. Bioscoopfilms heb-

ben in het algemeen 23,976 beelden per seconde,

maar video’s op YouTube moeten veelal worden

afgespeeld met 60 beelden per seconde. Veel andere

mediabestanden hebben dan weer 25 beelden per

seconde. Helaas biedt Shield TV geen mogelijkheid

de videoweergave automatisch aan te passen aan de

framerate van videobestanden.

Gelukkig heeft iemand de moeite genomen om

daar een Android-app voor te programmeren. De app

‘Refresh Rate’ is gratis verkrijgbaar bij Google Play.

Nadat je de app geïnstalleerd hebt, kun je instellen

voor welke video-apps de videoweergave auto matisch

moet worden aangepast. Naar wens kun je ook je ei-

gen shortcuts maken om de framerate met een druk

op de knop zelf aan te passen. De installatiehandlei-

ding staat bij de link aan het eind van dit artikel.

Als je de mediacentersoftware Kodi gebruikt, hoef

je daar de refreshrate-app niet te activeren. Bij de uit-

gebreide instellingen van Kodi kun je instellen dat de

software de framerate automatisch moet aanpassen.

VIRUSSCANNERS TESTEN

? Op mijn Windows-pc heb ik een virusscanner

geïnstalleerd, maar ik heb het idee dat die al

tijden lang geen waarschuwingen meer geeft. Werkt

hij überhaupt nog wel? Is er een manier om dat te

testen – zonder meteen mijn systeem te infecteren?

! Om een virusscanner te testen zonder je systeem

in gevaar te plaatsen, heeft het European

Institute for Computer Anti-Virus Research (EICAR,

www.eicar.org) een korte codestring ontwikkeld in

de vorm van een uitvoerbaar DOS-programma. Dat

doet niets anders dan zijn naam ‘EICAR-STANDARD-

ANTIVIRUS-TEST-FILE!’ als output geven. Het is dus

volledig onschuldig, maar wordt desondanks door

alle virusscanners als virus herkend. De string is:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-AN-

TIVIRUS-TEST-FILE!$H+H*

Je kunt de string op de website eicar.org selecteren en

kopiëren. Plak hem in een nieuw tekstbestand en sla

dat op als eicar.com. Dan zou de virusscanner alarm

moeten slaan.

OFFICE-PROBLEEM MET

DROPBOX EN ONEDRIVE

? Wij werken met ons team samen aan Office-

bestanden in een Dropbox. Sommige team-

leden kunnen de bestanden zonder problemen

bewerken, maar anderen niet. Dat ligt niet aan de

toegangsrechten –hetzelfde probleem treedt op in

OneDrive.

! Mogelijk kan het bestandsformaat van de

Office-bestanden de oorzaak zijn, wellicht ge-

combineerd met gebruikers die de bestanden via

Android, iOS of via de browser benaderen. Als je

Dropbox en OneDrive via de browser benadert, open

je de Office-bestanden in Microsofts online-versie van

Office. Op smartphones en tablets met iOS en Android

draaien de mobiele versies van Office.Stotterende video’s draaien weer soepel: met de gratis Android-app Refresh Rate past de Nvidia-streambox Shield TV de videoweergave automatisch aan de framerate van een video aan.

142 www.ct.nl

De mobiele en de online versie van Office zijn beide

krachtige apps, maar vergeleken met de desktop versie

hebben ze hun beperkingen. Met name de schrijftoe-

gang werkt alleen met actuele bestandsformaten van

Office. Oudere bestandsversies van Office 2003 en eer-

der (met de extensies .ppt, .xls en .doc, dus zonder x

aan het eind) kunnen door die applicaties alleen gele-

zen worden. Onder sommige omstandigheden wordt

er een conversie aangeboden, maar dan heb je twee

bestandsversies in de cloud staan.

De makkelijkste oplossing is daarom die oude

Office- formaten niet meer gebruiken en alle bestan-

den naar de moderne formaten (met de extensies

.pptx, .xlsx en .docx) converteren. Die kun je ook met

alle recente officepakketten bewerken – het lukte ons

in ieder geval een .xlsx-bestand zonder problemen te

bewerken met een OpenOffice-versie uit 2009.

OUTLOOK: REGELS EX- EN IMPORTEREN

? Ik heb in Outlook regels opgesteld waarmee

ik e-mails volgens bepaalde criteria sorteer

en archiveer. Een collega van mij wil die regels ook

gebruiken. Is er een manier om mijn regels naar zijn pc

te kopiëren, of moet hij de regels opnieuw definiëren?

! Dat laatste hoeft niet, want daar is een methode

voor. Outlook biedt de mogelijkheid om een

hele regelset te in- en exporteren, alleen is de functie

om dat te doen enigszins verborgen. De onderstaande

instructies gelden voor Outlook 2013, 2016, 2019

en Outlook dat is geïnstalleerd met een Office

365-abonnement. Klik op het menu-item Bestand en

vervolgens op ‘Regels en waarschuwingen beheren’.

Rechts in het venster dat opent zit de knop Opties.

Klik daarop en er opent een dialoogvenster waarop de

knoppen ‘Regels exporteren’ en ‘Regels importeren’

staan. Met een druk op de eerste sla je de complete

regelset op als een bestand met de extensie .NWZ. Dat

bestand geef je aan je collega, die volgens dezelfde

stappen de regels dan kan importeren.

DOS-PROGRAMMA ONDER WINDOWS 10

? Op internet staan talloze tips over hoe je oude

DOS-games bij Windows 10 aan de praat kunt

krijgen. Ik heb enkele programma’s onder Windows 7

nog aan de praat gekregen, maar bij Windows 10 lukt

dat niet bij alle. Hebben jullie een goede tip?

! Er zijn inderdaad meerdere manieren om DOS-

programma’s onder Windows 10 uit te voeren,

die wij echter niet allemaal ook hebben getest. Bij de

32-bit versie van Windows 10 moet het mogelijk zijn

om NTVDM als legacy-component in te richten (via

de optionele onderdelen van Windows). NTVDM was

de uitvoerlaag in Windows NT en diens opvolgers,

waarmee het mogelijk was om 16-bit programma’s en

DOS uit te voeren.

Sommige virtualisatieprogramma’s zoals VirtualBox

en VMware kunnen DOS in een virtuele omgeving uit-

voeren. Daarvoor installeer je DOS in een virtuele pc

of kopieer je een bestaande installatie daar naartoe.

De tool DOSBox emuleert een DOS-omgeving.

Vooral gamers zijn lovend over die emulatie, maar hij

kan ook voor ‘serieuze’ programma’s worden gebruikt.

Vermoedelijk is dat nog de eenvoudigste oplossing.

BESTANDEN UIT SUBMAPPEN TONEN

? Ik heb veel foto's in allerlei onderliggende

submappen staan en ik wil ze graag allemaal

kopiëren naar één enkele map op een andere schijf.

Moet ik dan elke map afzonderlijk openen met

Windows Verkenner en de bestanden kopiëren?

! Nee, dat hoeft niet. Microsoft heeft Verkenner

wel nooit van een ‘flat view’-functie voorzien

waarmee je de inhoud van een hele mappenstructuur

in één lijst kunt weergeven, maar voor dat doel kun je

de zoekfunctie van Verkenner kan prima gebruiken.

Ga naar de bovenste map van de boomstructuur

waarin de bestanden in submappen staan. Klik dan

rechtsboven op het zoekveld. De menubalk van

Verkenner schakelt over naar ‘Hulpprogramma’s voor

zoeken’. Let erop dat onder Locatie de instelling ‘Alle

onderliggende mappen’ actief is. Typ in het zoekveld

dan ‘*.*’ in en druk op de Enter-toets. Vervolgens

worden alle bestanden in de submappen op een

lijst weergegeven. Op die lijst kunnen de bestanden

op de gebruikelijke manier worden geselecteerd

en vervolgens worden gekopieerd, verplaatst of

verwijderd. In plaats van ‘*.*’ kun je ook een meer

specifieke zoekopdracht opgeven, zoals het zoeken

op bestanden met een .jpg- extensie door ‘*.jpg’ in te

voeren. Je krijgt dan alle foto's in JPEG-formaat uit de

submappen als zoek resultaat te zien.

Hotline / De redactie aan het woord

Complete regelsets kun je vanuit Outlook exporteren om er een back-up van te maken of te delen met een andere gebruiker.

uitgave 4/2020 143

XBOX ONE S EN PS4-CONTROLLER

VOOR APPLE ARCADE

? Apple Arcade heeft enkele actiegames in het

aanbod die lastig te bedienen zijn met een

touchscreen. Is het ook mogelijk om een gamepad van

een Playstation 4 of Xbox One S te gebruiken?

! Ja, dat is mogelijk. In de nieuwste versies van het

besturingssysteem heeft Apple ondersteuning

voor console-gamepads toegevoegd. Voor het arcade-

abonnement moet op de iPhone iOS 13 draaien, op de

iPad iPadOS, op de Apple TV tvOS 13 en op een Mac

macOS Catalina.

Om de controllers via Bluetooth te koppelen, druk je

op de PS4-controller de Share en de PS-knop tegelijker-

tijd in totdat het gamepad-lampje knippert. Op de Xbox

One S-controller druk je kort op de grote X-knop en hou

je Connect-knop aan de voorzijde ingedrukt tot de X

snel gaat knipperen. Daarmee kun je beide controllers

via de bluetooth-instellingen van de Apple- apparaten

koppelen. De controllers kosten zo'n 50 euro per stuk

en zijn verkrijgbaar in de winkels als ‘Sony Playstation

4 – Dualshock 4 Wireless Controller’ en ‘Microsoft Xbox

Wireless Controller’. Let echter wel op: oudere draad-

loze Xbox-controllers ondersteunen geen bluetooth en

kunnen niet worden aangesloten op Apple- apparaten.

Bij die modellen zit de X-knop geïntegreerd in de plas-

tickap die deel is uitmaakt van de voorzijde van de con-

troller. Bij de bluetooth-modellen is de X-knop geïnte-

greerd in de bovenkant van de behuizing.

Alle Apple Arcade-spellen die we hebben getest,

herkenden de bluetooth-controllers auto matisch.

Vooral actiegames als ‘ceanhorn 2, Hot Lava en Shin-

sekai into the Depths zijn beter te bedienen met een

controller. Die zijn dermate goed afgesteld dat je het

gevoel hebt dat je op een echte console zit te gamen.

De spellen maken gebruik van beide analoge sticks, de

bedieningsknoppen voor de rechterduim en de knop-

pen aan de voor zijde. De vibratiemotoren en versnel-

lingsmeters, en het touchvlak van de PS4-regelaar

blijven echter ongebruikt. Voor andere games buiten

Apple Arcade hangt het maar net van de betreffende

titel af. Bij de spelbeschrijvingen in de App Store kun

je zien of een game met een controller kan worden ge-

speeld.

VINGERAFDRUK-BUG IN SMARTPHONE

? Ik heb gelezen dat de beschermfolie voor een

touchscreen storingen kan veroorzaken bij een

smartphone waar de vingerafdruksensor achter het

scherm is aangebracht. Kan mijn smartphone op die

manier gekraakt worden?

! Tot nu toe is er slechts één geval bekend met een

speciale folie en een bepaalde smartphone van

Samsung. En ook in dat geval was het daarmee niet

mogelijk achteraf nog bij de smartphone in te breken.

Het is niet mogelijk om de folie op een vergrendelde

mobiele telefoon te plakken en daarmee een soort

universele vingerafdruk te maken.

De fout trad alleen op wanneer de folie al voor de

eerste registratie van een vingerafdruk op het scherm

was aangebracht. De scan werd daardoor zozeer beïn-

vloed dat alle vingers voor de smartphone er hetzelfde

uitzien. Het kan zijn dat de scanner de structuur van de

folie registreerde, en niet die van de vinger.

Volgens Samsung gebeurde dat alleen bij de Ga-

laxy S10, S10+, Note 10 en Note 10+, die met een ultra-

sone vingerafdrukscanner werken. Voor zover bekend

is de fout tot nu toe alleen opgetreden bij een gel-folie

van een bepaalde derde partij. Het is onwaarschijnlijk

dat juist die folie ook bij andere smartphones de meer

gebruikelijke optische scanners stoort. Desondanks is

het denkbaar dat een andere folie dat wel doet.

Daarom is het aan te raden een vingerafdruksen-

sor te controleren – niet alleen wanneer je een be-

schermfolie gebruikt, maar ook als je denkt ongebrui-

kelijke vingerafdrukken te hebben, die bijvoorbeeld

flink afgeschuurd zijn of juist zeer diepe ribbels heb-

ben.

De test is eenvoudig: scan een vinger in en probeer

je smartphone met een andere te ontgrendelen of laat

iemand anders het proberen. Als dat lukt, moet je de

vingerafdruk verwijderen en het voortaan bij de pin-

code of wachtwoord houden.

IDENTIFICEREN VAN 32-BIT TOEPASSINGEN

! In c’t 1-2/2020 op pagina 98 staat een artikel

over het 32-bit subsysteem in een 64-bit

Windows-versie. In dat artikel zeggen we dat je bij

het Taakbeheer op het tabblad Details kunt zien of en

welke 32-bit toepassingen er op het systeem actief zijn

door op de kolom Platform te klikken. Daar hebben

we bij over het hoofd gezien dat je ook al op het eerste

tabblad Processen kunt zien of een proces 32-bit is.

Windows voegt daar dan namelijk eenvoudig ‘(32 bit)’

aan toe.

www.ct.nl/softlink/

2004142

Bij Xbox-controllers moet je opletten of het een actueel model is met bluetooth (onder).

144 www.ct.nl

F&LMEDIA

C'T IS EEN UITGAVE VAN

F&L MEDIA COMPUTER BV

in licenti e van Heise Medien

GmbH & Co. KG, Hannover

ALGEMEEN DIRECTEUR

Arjan Kropman

BR AND MANAGER

Noud van Kruysbergen

REDACTIE

Daniel Dupré, Marco den Teuling,

Alieke van Sommeren

MET MEDEWERKING VAN Ernst Ahlers, Jo Bager, Leo Becker, Thorsten Behrens,

Mirko Dölle, Liane M. Dubowy, Ronald Eikenberg,

Markus Feilner, Hartmut Gieselmann, Arne Grävemeyer,

Sven Hansen, Christi an Hirsch, Gottf ried Hofmann,

Nico Jurran, Lutz Labs, Piet-Jan Lentjes, Michael Link,

Jan Mahn, Urs Mansmann, Andrijan Möcker,

Oliver Mueller, Florian Müssig, Stefan Porteck,

Dennis Schirrmacher, Jürgen Schmidt, Hajo Schulz, Tim

Schürmann, Peter Siering, Carsten Spille,

Keywan Tonekaboni, Sylvester Tremmel, Axel Vahldiek,

Christof Windeck, Jörg Wirtgen, Stefan Wischner,

Christi an Wölbert, David Wolski

VORMGE VING

Tom Gerrits, Nick Groenewold,

Mylene Nales, Susan Gerbrands

SALES

Thijs de Hoogh

+31 (0)24 2404641

tdhoogh@fnl.nl

MARKETING

Marijn van Gelder

+31 (0)24 2404556

mvgelder@fnl.nl

DRUKKERIJ

Habo DaCosta bv, Vianen

NIEUWSREDACTIE / PERS

redacti e@ct.nl of adresgegevens

zie hieronder o.v.v.

redacti e c’t magazine

BEZOEK ADRES F&L MEDIA

Jonkerbosplein 52, 6534 AB Nijmegen

ISSN

ISSN 1388-0276

ABONNEMENTSINFORMATIE

C’t magazine kost €6,99 per nummer. Het

verlengtarief is in Nederland €62,- en in België

€64,50 voor 10 nummers. Deze prijs geldt bij

betaling per automati sche incasso. Voor betal-

ing via een (digitale) factuur geldt een toeslag

van €2,50.

Je kunt eenvoudig een machti ging afgeven via

www.fnl.nl/machti gen. Abonnementen worden

automati sch verlengd, tenzij anders vermeld.

Het opzeggen van een abonnement kan een-

voudig telefonisch via +31 (0)85 2250 505.

COPYRIGHTHet auteursrecht op deze uitgave en op de daarin verschenen arti kelen wordt door de uitgever voorbehouden. Het verlenen

van toestemming tot publicati e in deze uitgave houdt in dat de auteur de uitgever, met uitsluiti ng van ieder ander onherroe-

pelijk machti gt de bij of krachtens de auteurswet door derden verschuldigde vergoedingen voor kopiëren te innen en dat de

auteur alle rechten overdraagt aan de uitgever, tenzij anders bepaald, dat geldt ook als de arti kelen via een ander medium

gepubliceerd worden. Niets uit deze uitgave mag worden overgenomen, vermenigvuldigd of gekopieerd zonder uitdrukkelijke

toestemming van de uitgever. De uitgever stelt zich niet aansprakelijk voor eventuele onjuistheden, welke in deze uitgave

mochten voorkomen.

KLANTENSERVICE

WIL JE ABONNEE WORDEN OF HEB JE VRAGEN

OVER JE ABONNEMENT? JE KUNT ONS EENVOUDIG

BEREIKEN OP EEN VAN DE VOLGENDE MANIEREN:

ONLINE

Hier vind je de meest actuele informati e en

ook het antwoord op veelgestelde vragen.

W W W.FNL.NL/KL ANTENSERVICE

E-MAIL

Stel je vraag eenvoudig per e-mail aan een

van onze service medewerkers.

KL ANTENSERVICE@CT.NL

VR AGEN A AN DE REDACTIE

Heb jij opmerkingen, suggesti es of

vragen aan de redacti e?

REDACTIE@CT.NL

TELEFOON

We zijn er maandag tot en met vrijdag van 09.00

tot 17.00 uur om jouw vragen te beantwoorden.

+31 (0)85 2250 505

WWW.CT.NL

ACTIONCAMS GEEN SPEELGOED MEER

Actioncams maken video’s en foto’s op plekken waar je een gewone camera’s niet mee naar-

toe wilt nemen, waar het nat en drassig is en waar je beide handen al hard zat nodig hebt.

De overgang naar 4K stelt hoge eisen aan de hardware en de optica.

Meer lezen?Voor het laatste nieuws op ICT-gebied, extra

reviews, achtergronden en IT-vacatures kun

je terecht op onze website: www.ct.nl

twitter.com/ct_magazine

c't – IT-magazine voor de liefhebber

@

Het Ultieme Raspberry Pi Handboek – deel 2

in de winkel en online

Windows 10 Totaalgids

in de winkel en online

BOVENDIEN

DESKTOP-PC UPGRADEN

Hoe kun je een wat oudere pc zodanig opfrissen zodat hij weer fatsoenlijk mee kan komen? We

kijken naar de voornaamste bottlenecks die je pc kunnen vertragen en voor welke overzienbare

kosten je daar wat aan kunt doen om hem weer een boost te geven.

USB-STICKS MET 128 GB

Als je even een film op een usb-stick wilt zetten of je je werk daar naartoe wilt kopiëren, hoef je

niet lang meer te wachten. De snelle usb-sticks van vandaag de dag zijn met meer dan 100 MB/s

te beschrijven, en hoeven niet meer dan een paar tientjes te kosten.

OFFICE-DOCUMENTEN SAMEN BEWERKEN

Met de nieuwe versie van Microsoft Office kunnen meerdere gebruikers tegelijkertijd aan een

Word-document, een Excel-spreadsheet of een PowerPoint-presentatie werken. We laten zien

hoe je dat doet en wat de voorwaarden en beperkingen zijn.

STOORZENDERS IN

JE NETWERK

Als je huisgenoten klagen dat het

netwerk zo irritant traag is, moet je

als beheerder snel kunnen achter-

halen wat er precies aan de hand

is. Met een klein beetje degelijke

voorbereiding, de juiste switch en

de handige monitoring-tool ntopng

kun je snel zien wie of wat de boel

loopt op te houden.

Nummer 5 verschijnt op 7 april 2020

lezersvragen@ct.nl

In de volgende c't

146 www.ct.nl

Based on The New Intel® Xeon® processor E5-2600 v4 product family

• Accelerate Applications by up

to 30% and Run Demanding

Workloads with Record

Breaking Performance

The Industry’s Largest Portfolio of

Server and Storage Solutions

Simply Double NVMe Simply Double SAS3

GPUs/Intel® Xeon Phi™

MicroBlade

HyperScale Storage

1U TwinPro™

Intel Inside®. Powerful Productivity Outside.

03

_Q

3_

SM

_U

SP

_0

70

61

6_

Ma

ste

rFile

Learn more at supermicro.com/E5-2600v4

© Super Micro Computer, Inc. Specifications subject to change without notice. Intel, the Intel logo, the Intel Inside logo, Xeon, and Intel Xeon Phi are trademarks of Intel

Corporation in the U.S. and/or other countries.All other brands and names are the property of their respective owners. 0

3_

Q3

_S

M_

US

P_

07

06

16

_M

ast

erF

ile

SMBE Belgium

+32 495 533 245

www.smbe.be

sales@smbe.be

TWP Computer

+31 20 638 9057

www.twp.nl

info@twp.nl

NCS International

+31 544 47 0000

www.ncs.nl

info@ncs.nl

Server Storage Solution

+32 9 261 5310

www.s3s.be

sales@s3s.be

• Keep IT Green and Maximize Energy

Savings with up to 35% System

Power Efficiency Increase

• Accelerate Applications by up

to 30% and Run Demanding Workloads

with Record Breaking Performance