LAPTOP KOOPADVIES
-
Upload
khangminh22 -
Category
Documents
-
view
3 -
download
0
Transcript of LAPTOP KOOPADVIES
Exoskeletten: voorkom lichamelijke overbelasting
janu
ari 2020
4april2020
Samsung SSD T7met vingerafdrukscanner
www.ct.nl
GE
TE
ST
Snelle ssd’s vanaf 2 TB
Aruba Instant On mesh
Sonos Move netwerkspeler
Ryzen 3000-moederborden
Nvidia Shield TV Pro
OpenDingux-gameboy
Startmenu van Windows
Adblockers: de volgende ronde
Opensource-licenties
De toekomst van Docker
Windows Management Console
RISC-V-board Longan Nano
april 2020
LAPTOP-KOOPADVIES
Van klein en licht tot groot en krachtig
Windows, MacBook, Chromebook of iPad Pro?
FIDO2-stick vs. wachtwoordenTest 15 sticks vanaf 20 euro met USB-C, NFC en vingerafdrukken
Contraspionage in het netwerkLuister je eigen (slimme) LAN- en wifi-apparaten af met c’t-Raspion
AP
€ 6,99
Laptop-koopadvies • FIDO2-sticks • Ssd’s vanaf 2 TB • Contraspionage met c’t-Raspion • Opensource businessm
odellen • Window
s Startmenu
april 2020
SAFARI IN AFRIKA?
Tanzania
Kenia
Madagaskar
Oeganda
Rwanda
Zimbabwe
Namibië
Botswana
Zambia
Mozambique
Seychellen
Mauritius
Zuid-Afrika
Op jambo.nl en in onze brochure vindt u ruim 100 uitgekiende reizen of
bel met onze Afrika specialisten op 020-2012740 voor een reis op maat.
De mogelijkheden zijn eindeloos, privé reizen geheel conform uw wensen!
Al sinds 1979 dé Afrika specialist
JaarpassievoorAfrika
40
Voorwoord
Confl ict-grondstoffen: indicator voor armoede
Volgens Amnesty International zijn conflictgrondstof-
fen de grondstoft en waarvan de handel en verkoop
bijdragen aan gewapende conflicten. Het gaat daar-
bij bijvoorbeeld om goud, kobalt, koper, tantalium
(coltan), wolfraam en tin. Elk van die grondstoft en
wordt gedolven in Congo – en niet zo'n beetje ook.
Meer dan de helff van de wereldwijd gedolven kobalt
komt uit de Democratische Republiek Congo, en de
coltan-voorraad daar wordt door sommige partijen
geschat op meer dan 60 procent van de mondiale re-
serves. Dat land is letterlijk steenrijk.
In veel andere opzichten is Congo echter straatarm.
Keer op keer vinden er massale mensenrechten-
schendingen plaats bij de winning van de genoem-
de grondstoft en, en de bloedige winsten worden
gebruikt om gewapende conflicten te financieren.
Amerikaanse bedrijven zijn onderworpen aan wet-
telijke documentatieverplichtingen bij de verwer-
king van goud, tantalium, wolfraam en tin, expliciet
omdat die in Congo onder onmenselijke omstandig-
heden ontgonnen worden.
Congo is niet het enige land dat ondanks zijn rijk-
dom aan grondstoft en grote economische of sociale
problemen heeff . Het is niet altijd een zegen als een
dergelijk land veel van die resources heeff , en dat
geldt ook voor andere grondstoft en – zoals olie. De
oorzaak en het gevolg daarvan, en hoe dat van land
tot land verschilt, is controversieel. Het probleem is
in ieder geval complex.
En daardoor is het ook niet meteen duidelijk hoe we
daar mee om moeten gaan. Speciale regelgeving en
controle-eisen lijken daar vanuit onze kant een posi-
tief eft ect op te hebben, maar kunnen in de praktijk
ook averechtse bijwerkingen hebben: de legale en
wel humane mijnen en hun afnemers moeten dan
allerlei extra moeite doen om vooral aan te tonen
dat ze legaal en humaan zijn, en dat kan een moord-
dadige zwarte marktuitbuiting zelfs doen toenemen.
Hoe slechter de omstandigheden in een land politiek
gezien zijn, des te moeilijker het is om aan de docu-
mentatie- en controle-eisen te voldoen. Het is niet
alleen absurd, maar zeker ook pervers dat klanten en
bedrijven in rechtsstaten van die situatie kunnen pro-
fiteren.
Mede ook doordat zogenaamd schone bedrijven ge-
woon gebruik maken van de goedkope grondstoft en
uit de bloedmijnen. En als ze dat niet doen, komen
die middelen terecht in allerlei goedkope produc-
ten van no-name fabrikanten. Die betalen dan wel
minder, waardoor de druk op de mishandelde werk-
nemers alleen maar toeneemt.
De situatie is lastig, maar consumenten als jij en ik
zouden wat meer moeten nadenken over waarom
een nieuw gadget zo goedkoop kan zijn. Zelfs als de
kleine beetjes goud en tantalium die daarin zitten
niet meteen zichtbaar zijn.
Veel plezier
Noud van Kruysbergen
uitgave 4/2020 3
Thema's
Wat voor laptop gaat het worden
58 Koopadvies voor laptops
66 Tablet of Chromebook als laptop-vervanger
FIDO2-stick versus wachtwoorden
38 FIDO2-sticks getest
44 FIDO2-sticks instellen en gebruiken
48 PGP-sleutels op crypto-sticks opslaan
51 FIDO2 FAQ
Contraspionage binnen het netwerk
86 Hulp bij zelfhulp
88 Werken met c't-Raspion
92 c't-Raspion installeren
94 IP-camera bewaken
96 Wifi-stopcontact monitoren met Wireshark
98 c't-Raspion en je smart-tv
100 Hoe werkt c't-Raspion
Nieuws
6 Algemeen
8 Hardware
10 Streamingdiensten
12 Development
& security
14 Mobiel
16 Apple
17 Linux
18 Processors
19 Wetenschap
34 Lifestyle
37 Sur� ips
Software
28 scrcpy: remote display voor Android
28 GNU Rush 2.1: shell configureren
29 ff f2 2.1 snelle bestandsmanager
29 Calibre 4.8 e-bookbeheer
29 BabelMap lettertabellen voor Windows
35 Apps
36 Games: Lightmatter, the Blind Prophet
106 Browsers en adblockers versus de reclame-industrie
118 Opensource als businessmodel
124 Verschillen tussen opensource licenties
126 Gratis synthesizer-modules
128 Opensource tekenprogramma Krita
130 Geld verdienen met LibreOff ice
FIDO2-STICKS VS WACHTWOORDENMet een FIDO2-stick bescherm je je accounts.
Met sommige sticks kun je ook je e-mail ver-
sleutelen. We hebben enkele gangbare model-
len getest, leggen uit hoe je ze instelt en beant-
woorden de meest gestelde vragen.
LAPTOP-KOOPADVIESProcessors met twee tot acht cores, Wi-Fi 6: er
is veel veranderd in laptopland. We gaan in op
de huidige stand van zaken en geven alle infor-
matie die je nodig hebt om de juiste laptop te
vinden. En misschien is een tablet of Chrome-
book wel een prima vervanger voor een laptop.
38
58
4 www.ct.nl
Hardware
22 MSI Optix MAG272CQR 27-inch curved monitor
24 Samsung Portable SSD T7 Touch
24 Aruba Instant On-accesspoints
24 RG350 spelcomputer met OpenDingux
25 WD Red SA500 cache-ssd
25 Lenovo Yoga Smart Tab
25 Eizo FlexScan EV2460-WT 24"-monitor
26 WD Black P50 Game Drive externe ssd
26 Dygma Raise ergonomisch toetsenbord
26 Seagate Firecuda 520 PCIe 4.0-ssd
30 MSI GT76 Titan DT 9SG gaming-laptop
31 Sonos Move draadloze netwerkspeler
32 Nvidia Shield Pro mediaplayer
70 Ssd-koopadvies
73 Test van 14 ssd's vanaf 2 TB
112 Moederborden voor Ryzen Threadripper 3000
Achtergrond
54 Exoskeletten: spieren voor je spieren
85 Power-over-Ethernet-adapters
102 Zon stevent af op nieuwe piekactiviteit
109 De toekomst van Docker
Praktijk
80 Blender workshop deel 3
132 Tips voor startmenu van Windows
136 Windows Management Console
138 Longan Nano RISC-V microcontroller programmeren
142 Tips en trucs
Vaste rubrieken
3 Voorwoord
4 Inhoud
145 Colofon
146 Volgend nummer
Inhoud 4/2020
Zakelijk uitgelicht
28 GNU Rush 2.1 shell
24 Aruba Instant On AP's
25 WD Red SA500 cache-ssd
85 Power-over-Ethernet-
adapters
118 Opensource als
businessmodel
118 Windows Management
Console
Abonnement afsluiten?
Kijk voor actuele
aanbiedingen op lees.ct.nl
CONTRASPIONAGE BINNEN NETWERK
Alles is tegenwoordig voortdurend online en dat is een
reden om kritisch te zijn. We laten zien waarom je ap-
paraten niet blindelings moet vertrouwen en hoe je tot
op de bodem kunt uitzoeken wat ze precies doen. Het
project c't-Raspion helpt je daarbij.
86
uitgave 4/2020 5
Maar liefst 57 procent van de Nederlanders van 13 jaar
en ouder gee� aan dat ze vinden dat ze te veel naar
een beeldscherm kijken. Dat is een van de resultaten
van het jaarlijkseonderzoek naar trends in digitale me-
dia van GfK. Het onderzoek gaat in op hoe digitale me-
dia, sites en mobiele apparaten zoals smartphones en
tablets gebruikt worden. Het zal geen verrassing zijn
dat het bezit van smartphones blij� groeien. Eind vo-
rig jaar hadden ongeveer 13 miljoen Nederlanders een
smartphone, o� ewel 93 procent van alle Nederlan-
ders. Het bezit van tablet is aan het stabiliseren en ligt
op 9,9 miljoen bezitters (71 procent).
Naast de 57 procent die zichzelf te veel naar een
scherm vinden turen, is 41 procent bewust bezig om de
schermtijd terug te dringen. Een kwart maakt zich nog-
al zorgen over de impact van dat beeldschermkijken
voor de gezondheid. De lee� ijdsgroep die het meest
denkt dat ze te veel tijd achter een scherm doorbren-
gen en zich daar het meest druk over maken, ligt tus-
sen de 18 en 34 jaar.
Diezelfde doelgroep (met daarbij de hoger opgeleiden)
is ook de groep die het meeste adblockers inzet. Bijna
30 procent van de Nederlanders gebruikt zo’n adbloc-
ker, en het algemene gebruik daarvan neemt toe. Maar
op mobiele apparaten stabiliseert de groei. Magazine-
inhoud digitaal lezen gebeurt nog steeds het meeste op
de desktop of laptop (23 procent), op de voet gevolgd
door smartphones (18 procent) en tablets (15 procent).
Gemiddeld lezen we 96 minuten per week in tijdschrif-
ten: 55 minuten van papier en 41 minuten digitaal.
De meest populaire activiteit: internetten, gevolgd
door e-mailen en op plek 3 (jawel) bellen. Chatten
staat op 4, sociale media en foto’s bekijken of maken
op de plekken 5 en 6. Van de ondervraagden kent 68
procent een virtuele assistent, en 24 procent hee� er
wel eens eentje gebruikt. Het bezit van zo’n digitaal
hulpje is toegenomen van 8 procent in 2018 naar 14
procent in 2019. Google Home is de grootste. De meest
populaire taak voor zo’n assistent? Muziek (online en
radio) en het nieuws.
De Consumentenbond wil het iedereen makkelijker
maken om te kiezen voor bedrijven die je privacy se-
rieus nemen. Als je zelf door de privacyvoorwaarden
moet lezen en die volledig wilt begrijpen, ben je wel
even bezig – als je ze al kunt vinden – en vaak zijn ze
lastig leesbaar geformuleerd. De Consumentenbond
hee� daarom besloten je het uitzoekwerk uit handen
te nemen. De Consumentenbond beschrij� netjes wat
ze allemaal testen. De privacyvoorwaarden moeten
voldoen aan de regels van de AVG, en er wordt nage-
gaan of je een melding krijgt dat advertentiecookies
worden geplaatst – en kun je de site verlaten voordat
de cookies geparkeerd worden? Voor het testen wordt
een gebruikersaccount aangemaakt om te kijken wel-
ke persoonsgegevens er worden verzameld. Verder
is er de taal en vindbaarheid: is de privacyverklaring
goed te vinden en wordt gecheckt of de voorwaarden
wel betrekking hebben op de dienst. Inhoudelijk moet
de verklaring melden welke gegeven verwerkt worden,
voor welk doel en met daarbij de bewaartermijn. Een
andere controle is of er niet onnodig gegevens worden
gedeeld met derden. Er wordt gewerkt met een maxi-
male score (groen) en voor elk issue dat wordt gevon-
den, worden punten afgetrokken.
De Privacymeter is op drogisterij-sites losgela-
ten, en een eerdere test van dating-apps is ook in de
Privacy meter opgenomen. Later moeten daar meer
websites en ook apps bijkomen. De Consumenten-
bond gaat elke twee maanden een andere branche
doorlichten. De betrokken sites krijgen de aanbeve-
lingen toegestuurd en worden dan weer hertest. Bij de
eerste test kwamen 7 van de 15 websites met goede
privacyscores naar voren, en na de hertest waren dat
er 12. De aanbevelingen worden ook gedeeld met de
Autoriteit Persoonsgegevens, en daarbij wordt aange-
drongen op een strengere handhaving.
In de cijfers van Googles moederbedrijf Alphabet over
kwartaal vier van 2019 en het gehele fiscale jaar wer-
den voor het eerst ook de resultaten van YouTube en
de cloud opgenomen. Het vermoeden is dat die los
worden vermeld omdat ze het bijzonder goed hebben
gedaan.
YouTube zorgde namelijk voor een zeer nette net-
to reclame-omzet van 15 miljard, 36 procent meer dan
het jaar ervoor. De clouddiensten schoten ook met
een flink percentage omhoog (53 procent) en lever-
den een omzet van 9 miljard dollar op. De toename
van deze tak wordt mede veroorzaakt door de flinke
focus die Google daarop hee� gezet met betrekking tot
Enterprise- klanten.
De gans met de gouden eieren blij� echter de
good-old Google-zoekmachine met 98 miljard dollar.
Ter vergelijking: de totale omzet bedroeg 162 miljard.
Wel is te zien dat de groei daarbij wat begint af te rem-
men. De totale nettowinst lag bijna vier miljard hoger
dan in 2018 en kwam uit op 34 miljard dollar.
Nederlanders vastgeplakt aan beeldscherm
Privacymeter van Consumenten-bond
Cloud en YouTube zorgen voor leuke inkomsten
Nieuws / Algemeen
6 www.ct.nl
SANS Amsterdam
FOR610
Reverse-Engineering Malware: Malware Analysis Tools and
Techniques
FOR572
Advanced Network Forensics: Threat Hunting, Analysis,
and Incident Response
FOR 526
Advanced Memory Forensics & Threat
Detection
FOR508
Advanced Incident Response, Threat
Hunting, and Digital Forensics
FOR500
Windows Forensic Analysis
SEC599
Defeating Advanced Adversaries - Purple Team Tactics & Kill
Chain Defenses
SEC580
Metasploit Kung Fu for Enterprise
Pen Testing
SEC560
Network Penetration Testing and Ethical
Hacking
Book your place today atwww.sans.org/amsterdam-may-2020
“Everything learned can be directly applied in my work which is great! The practical stories shared by the instructor are really eye-opening and informative.” – VINCENT RUERS, MOD, SANS AMSTERDAM
1 1 - 1 6 M AY 2 0 2 0
SEC545
Cloud Security Architecture and
Operations
SEC542
Web App Penetration Testing and Ethical
Hacking
SEC511Continuous
Monitoring and Security Operations
SEC504Hacker Tools,
Techniques, Exploits, and Incident
Handling
SEC503
Intrusion Detection In-Depth
SEC487Open-Source
Intelligence (OSINT) Gathering and
Analysis
SEC401
Security Essentials Bootcamp Style
SEC546
IPv6 Essentials
DEV522
Defending Web Applications Security
Essentials
+44 203 384 3470 www.sans.org/emea [email protected] @sansemea
Experience world renowned Cyber Security training in Amsterdam
In april verschijnt de HardROCK64 van Pine64, een
concurrent voor de Raspberry Pi. Deze singleboard-
pc is compact en hee� GPIO-pinnen, SPI-flash,
een eMMC-slot, CSI- en DSI-connector, infrarood-
ontvanger en digitale video-out. Er zijn twee USB 3.0-
en twee USB 2.0-poorten en een microSD-slot. Naast
de Gigabit-netwerkpoort en wifi-ac is er Bluetooth 5.0.
Lancom brengt twee krachtige Wi-FI 6-accesspoints
op de markt, die de naam LX-6400 en LX-6402 hebben
gekregen. De beide accesspoints hebben twee IEEE
802.11ax-zendmodules voor simultaan dualband en
4x4 multi-user MIMO (MU- MIMO) om grote aantallen
clients aan te kunnen. Dankzij de 802.11ax-standaard
is een totale bruto doorvoersnelheid van 3550 Mbit/s
mogelijk.
Het verschil tussen de LX-6400 en LX-6402 zit
voornamelijk in het ontwerp van de antennes. De LX-
6400 hee� 180-graden-antennes die onzichtbaar in
de behuizing zitten bewerkt, de LX-60402 hee� vier
zichtbare ominidirectionele antennes. Die antennes
zijn te vervangen door sectorantennes. De twee
accesspoints hebben een 2,5-Gbit/s-PoE-poort (IEEE
802.3at tot 30 watt) en een Gigabit-netwerkpoort.
Pi-concurrent HardROCK64
Wi-Fi 6-AP’s van Lancom
Nieuws / Hardware
De cpu is een Rockchip RK3399-hexacore met twee
ARM Cortex-A72-cores en 4 Cortex-A53’s. De gpu is een
ARM Mali-T860 MP4. De voeding is 5V, maar zorg voor
een goede koeling. Pine64 gaat verschillende koel-
opties bieden, die matchen bij het doel waarvoor je
de kleine pc inzet. Je hebt de keuze uit 1, 2, of 4 GB
geheugen, net als bij de Raspberry Pi 4. De prijzen zijn
respectievelijk 35, 45 en 55 dollar.
Het bordje is de goedkopere en ook iets minder
fancy opvolger van de RockPro64, maar wel met een
vergelijkbaar design. Er is geen PCIe en geen USB-C-
ondersteuning.
De HardROCK64 draait alle RockPro64 OS-
images met geen of slechts minimale aanpassingen,
en de meeste versies van Pinebook Pro OS met een
eenvoudige tweak. Ubuntu MATE was een populaire
besturingssysteem-keuze voor de voorganger en zal
dat voor dit bordje waarschijnlijk ook zijn.
De veiligheid is helemaal up-to-date met WPA3-
Personal en IEEE 802.1x (WPA3-Enterprise), maar
de WPA2-versies zijn ook nog te configureren. De
twee apparaten ondersteunen multi-SSID en VLAN’s.
De stroomvoorziening is te regelen via PoE of een
normale adapter.
De adapters zijn via een webinterface te beheren
of centraal in te regelen via de cloud met de Lancom
Management Ckoud (LMC). Vanaf april wordt beheer
via een wificontroller mogelijk. De beide accesspoints
krijgen een prijskaartje van ongeveer 850 euro.
Google Glass Enterprise Edition 2
Op die manier wordt eff iciënter gewerkt en worden
trainingskosten aanzienlijk verminderd. Die branche is
ook gebaat bij de optie voor een veiligheidsmontuur-
en -glas. Ook artsen kunnen tijd besparen op het
tijdrovende papierwerk door dit te laten uitwerken
door Glass, en direct tijdens en na een consult te
dicteren. Dan blij� er meer tijd over voor de patiënt.
De Google Glass Enterprise Edition 2 hee� een
aantal verbeteringen gekregen, zoals een flinkere
accu, snellere SoC (Qualcomm Snapdragon XR1-
platform), verbeterd comfort en opladen via USB-C.
De camera is krachtiger en biedt de mogelijkheid voor
samenwerken via videostreaming. De nieuwe bril
hee� een langere accuduur, meer performance en
geavanceerde machine-learning-opties.
De veiligheidsversies van de bril worden gemaakt
in samenwerking met Smith Optics. Het is volgens
Google ook makkelijker geworden om so� ware te
ontwikkelen voor de Enterprise Edition 2. De basis
is Android, waardoor bestaande services en API’s
kunnen worden gebruikt. De bril hee� ondersteuning
Android Enterprise Mobile Device Management.
De originele Google Glass werd niet bepaald succes vol.
Google besloot het product aan de kant te schuiven.
De interesse in AR is echter weer in opmars, dus Google
gaf de Glass nog een aangepaste tweede kans. Het
gaat om een kleinere doelgroep dit keer: de Enterprise
Edition 2 is gericht op een zakelijk(er) publiek. Denk
aan monteurs die werken aan voertuigen en direct
via een stream een expert kunnen laten meekijken
of een reparatiehandleiding erbij kunnen pakken.
8 www.ct.nl
De USB Armory van F-Secure is een mini-pc van het
formaat van een flinke usb-stick, bedoeld voor taken
waar extra beveiliging bij komt kijken, zoals opslag
met automatische encryptie, zelfvernietigende data,
hardware-security-module, usb-firewall, hardware-
wallet voor cryptovaluta en meer. De USB Armory is
nu bijgewerkt naar versie 2. Z’n performance wordt
Zhaoxin uit Shanghai brengt zijn KX-6000-serie
cpu’s op de (eigen) markt. De cpu’s werden in 2018
geïntroduceerd, maar de meer high-end modellen
KX-U6780A en KX-U6880A komen pas dit kwartaal
uit. Zhaoxin is een joint-venture bestaande uit Via
Technologies en de Chinese overheid. Op het moment
dat je dit leest moeten de nieuwste cpu’s verkrijgbaar
zijn via onder meer de grote Chinese online webshop
Taobao, maar of en wanneer ze buiten China ver-
krijgbaar worden is niet bekend.
De KaiXian KX-U6780A is gebaseerd op LuJiaZu-
microarchitectuur. De TDP ligt op 70 watt en hij hee�
acht cores en acht threads met een kloksnelheid van
2,7 GHz. De processor hee� 8 MB L2-cache, maar geen
L3-cache. De KX-U6780A wordt geleverd in BGA-versie,
maar gelukkig is er een C1888 mini-ITX moederbord
ontwikkeld door Cjoyin Electronica. In die combinatie
wordt NVMe ondersteund en heb je twee DDR4 SO-
DIMM- slots om te vullen (maximaal DDR4 3200).
mSATA en SATA zijn ook beschikbaar. De bundel van
cpu met moederbord komt in China uit op ongeveer
620 dollar. De performance ligt volgens de eerste
tests nog onder die van de quadcore Intel Core i5-
2550U uit 2012. Intel en AMD zullen daar niet bepaald
Voor mensen met een kleinere computerkast en/
of geen behoe� e aan veel herrie maar wel een leuke
performance, hee� Palit een mooie optie met de Palit
GeForce GTX 1650 KalmX grafische kaart. Deze volledig
passief gekoelde kaart hee� geen hoge Thermal
Design Power, zoals de meeste GTX 1650’s en kan alle
benodigde energie (maximaal 75
watt) uit het PCIe-slot halen. De
kloksnelheid ligt op 1485 MHz, de
boostsnelheid ligt op 1665 MHz,
de standaardwaarden vanuit
Nvidia (referentiemodel).
De koeler bestaat uit twee
heat pipes met een nikkelcoating
die de warmte wegtrekken van
de koperen basis richting een
flinke hoeveelheid koelvinnen.
Het koellichaam bedekt ook de
VRM en het geheugen, dus die
USB Armory MkII
Chinese Zhaoxin-cpu verkrijgbaar
Palit GTX 1650 passief gekoeld
Zie pag
11, 13, en 147worden netjes meegekoeld.
Wel is het slim om er geen
andere warmteproducerende of
airflow-blokkerende hardware dichtbij
in de buurt te stoppen. Het koellichaam
hee� een nette koelperformance maar op
boostsnelheid draaien zal de kaart niet lang
volhouden. Maar als je complete stilte zoekt, is dat
geen groot off er om te maken.
Hoe flink hij zijn best kan doen, hangt ook af van
de kast die je gebruikt, de airflow en op welke manier
je de kaart in de kast gemonteerd hebt. Ondanks z’n
koelblok neemt de kaart maar een dualslot in beslag.
hij is 178 bij 138 bij 38 millimeter groot. De kaart hee�
4GB GDDR5 werkgeheugen. Je monitor(en) aansluiten
kan via twee DisplayPort 1.4a-aansluitingen of een
HDMI 2.0-poort. Over de prijs en wanneer de kaart in
de winkels ligt was op het moment van schrijven nog
niets bekend.
geregeld door een NXP i.MX6ULZ. Daar zit een ARM
Cortex A7-core in gestopt, met geïntegreerd power-
management, TRNG, een AES-encryptie-engine en
secure-boot en nog meer. Vanilla Linux-kernels en
Linux-distributies worden ondersteund.
De stick hee� 512 MB aan DDR3-geheugen en 16
GB eMMC plus een microSD-slot. Hij hee� twee USB-
C-poorten gekregen in plaats van de twee stuks USB
type A bij de vorige variant. Via de tweede vrouwelijke
aansluiting sluit je uitbreidingen aan of maak je
verbinding met een host. Wil je meer GPIO-pinnen,
dan is er het Debug Board als optie. De USB Armory
MkII is te koop voor zo’n 120 euro.
wakker van liggen, maar wie weet wat de Chinezen
de komende jaren nog aan performance tevoorschijn
kunnen toveren.
De grafische chip wordt zeer waarschijnlijk
door S3 gemaakt en is compatibel met DirectX 11.1.
De cpu wordt gebakken volgens TSMC’s 16nm-
proces, moderne instructiesets als SSE 4.2 en AVX en
virtualisatietechnieken en encryptie zijn aanwezig.
Voor 2021 staat de 7nm KX-7000-reeks op de planning,
met ondersteuning voor DDR 5 en PCIe-4.0 en
snelheden van boven de 3,5 GHz.
uitgave 4/2020 9
Nieuws / Videostreaming
GOLDRUSH
Concurrerende streamingdiensten
Nico Jurran en Noud van Kruysbergen
Netflix krijgt met Apple TV+ en Disney+
steeds meer concurrentie. Dat leidt
in theorie tot een toenemende kwa
liteit en dalende prijzen, maar de stroom
aan streamingdiensten heeft in de praktijk
een groot nadeel: het aanbod raakt
daarbij steeds meer versnipperd. Wil ik de
nieuwste tvprogramma’s en films kijken,
dan zou ik tientallen abonnementen moe
ten afsluiten – en daarmee dus aanzienlijk
meer betalen dan vandaag. Tot nu toe had
Netflix de naam om voor een flatratetarief
alle belangrijke films en series te brengen,
maar nu Disney daar zijn content weghaalt
en zelf gaat aanbieden, wordt het een
ander verhaal.
Disney lijkt zich te richten op pro
gramma’s rond zijn grote merken. De be
kendste voorbeelden zijn de exclusief
voor Disney+ geproduceerde StarWars
serie The Mandalorian en de Marvel
bewerkingen. Apple TV+ werkt met ver
schillende genres, maar probeert de
massa aan te spreken met producties met
beroemde acteurs. In Nederland probeert
Pathé Thuis sinds kort een graantje mee
te pikken. Ook bij sportuitzendingen is
het inmiddels duidelijk dat het streamen
daarvan een winstmodel kan zijn en niet
alleen een bijproduct.
Die ontwikkelingen kunnen voor de
diensten echter ook negatief uitwerken.
Klanten hebben waarschijnlijk niet zo’n
behoefte aan het meespelen van die
(machts)spelletjes, en het is de vraag of
Hollywood er goed aan doet om Netlix de
rug toe te keren. Kijkers gaan dan shoppen:
eerst inventariseren welke films en series
ze bij een aanbieder willen kijken, dan even
een abonnementje nemen, alles kijken en
abonnement weer opzeggen.
En er is nog een andere trend, die het
businessmodel in gevaar kan brengen: het
delen van familieaccounts met mensen die
feitelijk niet tot het gezin behoren. Dat mag
van de diensten op dit moment officieel al
niet, en zij zullen waarschijnlijk meer tech
nische en juridische maatregelen gaan
nemen om daar een einde aan te maken.
Series hebben dan de voorkeur, omdat je
kijkers daarmee langer aan je bindt. Apple
TV+ en Disney+ brengen nieuwe afleverin
gen dan ook op gezette tijden uit, zodat je
niet kunt bingewatchen. Op die manier
hopen ze het beperkte aanbod aan con
tent te compenseren. En Disney maakt de
dynamische HDRversies in Dolby Vision al
leen toegankelijk via zijn streamingdienst,
op de UHD Blurays is alleen een statisch
HDRbeeld te zien.
Daarnaast speelt een rol dat kijkers
op verschillende momenten en met
verschillende apparaten willen kijken: met
een smartphone met een minder snelle
internetverbinding in de trein of met alle
toeters en bellen in de thuisbioscoop. Geen
enkele dienst kan zich het veroorloven om
alleen nog maar op geïsoleerde apparaten
vertegenwoordigd te zijn – daar kwam zelfs
Apple TV+ niet onderuit. Consumenten
pikken het ook niet als hun smarttv geen
apps heeft voor populaire diensten als
Netflix en Videoland. En met elke nieuwe
dienst neemt de druk aan beide kanten toe.
Op dit moment kan niemand zeggen welke
dienst uiteindelijk met welke strategie
succes zal hebben. Het is denkbaar dat dit
uiteindelijk alleen wordt bepaald door de
vraag of bepaalde diensten over genoeg
geld kunnen blijven beschikken.
Door de versplintering van het aanbod zul
len er waarschijnlijk ook meer illegale ko
pieën komen. En dat leek net minder te
worden door het ‘all you can watch’ van
Netflix.
De tactiek van de diensten is op zich vrij
eenvoudig: ze willen dat je je abonneert
en daarna natuurlijk niet opzegt. Daarom
moeten ze je telkens wat nieuws bieden,
wat ook nog bij je past. Algoritmes zullen
dus belangrijker worden. Bovendien is
exclusiviteit het nieuwe toverwoord. Netflix
maakt dat waar met zijn ‘Originals’, die
zelfs na jaren nog nergens anders te zien
zijn. In 2019 werden 371 eigen producties
uitgebracht, een stijging van bijna 55
procent ten opzichte van het voorgaande
jaar. Dat overtreft de gehele Amerikaanse
televisieindustrie van voor het jaar 2006.
Dat aantal zal zonder meer hoger worden –
en daarmee de kosten voor Netflix.
Als Disney’s concurrenten proberen
de strijd aan te gaan tegen series als Star
Wars en Marvel, dan speelt dat in de kaart
van de rechthebbenden. CBS heeft onlangs
de internationale streamingrechten op
de StarTrekspinoff Picard aan Amazon
verkocht, na eerst voor Star Trek: Discovery
een vergelijkbare deal met Netflix gemaakt
te hebben. Met een licentie krijg je de
fanbase er natuurlijk ‘gratis’ bij.
Steeds meer videostreamingdiensten strijden om de kijkers. Er gaat steeds meer geld naar exclusieve series en films. Die trend heeft voor het publiek echter ook nadelen.
Disney produceerde de Star-Wars-serie The Mandalorian exclusief voor zijn streamingservice en leverde daarmee fanservice op hoog niveau. Een serie over Obi-Wan Kenobi volgt.
10 www.ct.nl
Learn more at www.supermicro.com/storage© Super Micro Computer, Inc. Specifications subject to change without notice.
Intel, the Intel logo, Xeon, and Xeon Inside are trademarks or registered trademarks of Intel Corporation in the U.S. and/or other countries.All other brands and names are the property of their respective owners.
Maximum Efficiency
High capacity 1U-4U form factors. Leading the industry
with up to 50% greater density. Highest rated - 95%
efficient Platinum power supplies
Maximum Performance and Expandability
All NVMe support with storage servers and direct attach
storage platforms delivering up to 20 GB/s throughput
Mission Critical Reliability
Capable of fully redundant and fault-tolerant operation
with hot swappable drive bays, power supplies, fans and
redundant server boards with remote management.2U 24 NVMe
2U 12 Bay 3.5”
2U 48 NVMe
1U 12 Bay 3.5”
4U 90 Bay
4U 24 Bay 3.5”
Over 50 Software Defined Storage Optimized Products to Choose From
60/90-Bay 4U Storage Servers and Enclosures with up to 9 Petabytes per 42U Rack
SC946ED-R2KJBOD (JBOD Enclosure)
SSG-6048R-E1CR90L (Server)
90-Bay
SC946SE2C/1C-R1K66JBOD (JBOD Enclosure)
SSG-6048R-E1CR60N/L (Server)
60-Bay
03
_Q
3_
SM
_U
SP
_0
70
61
6_
Ma
ste
rFile
_S
toa
ge
_P
g6
SMBE Belgium
+32 495 533 245
www.smbe.be
TWP Computer
+31 20 638 9057
www.twp.nl
NCS International
+31 544 47 0000
www.ncs.nl
Server Storage Solution
+32 9 261 5310
www.s3s.be
Intel Inside®. Powerful Productivity Outside.
Cambridge Analytica en het moederbedrijf SCL Group
zijn na het schandaal rond gegevensbescherming
en kiezersmanipulatie failliet, maar er bestaan nog
steeds verwante bedrijven. Dat doet de vraag doet rij-
zen in hoeverre de controversiële methoden om kie-
zers te beïnvloeden nog steeds in gebruik zijn. Hoe
wijd verbreid die invloed was, wordt nu iets duidelijker:
het Twitter-account @HindsightFiles publiceert inter-
ne documenten van de SCL Group.
Volgens de Britse krant The Guardian komen die
van Brittany Bretagne Kaiser, voormalig Director of
Business Development bij SCL. In totaal zou het archief
ten minste 65 landen bestrijken. Er waren half janua-
ri bijna 200 bestanden beschikbaar in vijf dossiers,
die betrekking hadden op Brazilië, Ghana, Iran, Kenia,
Maleisië en op John Bolton, voormalig nationaal vei-
ligheidsadviseur van Trump. De SCL Group bleek tus-
sen 2016 en 2019 geïnteresseerd te zijn in verkiezingen
in ten minste 55 landen wereldwijd.
De documenten bevestigen de verklaringen van
Kaiser dat het Cambridge-Analytica-schandaal slechts
het topje van de ijsberg is. De aff aire maakte deel uit
De bijzonder compacte Linux-versie OpenWrt voor
wifi- routers en embedded-apparaten komt met een
nieuwe grote release. OpenWrt 19.07 is de tweede gro-
te update nadat de fork LEDE en het moederproject
OpenWrt herenigd zijn. Voor de Linux-kernel wordt voor
alle varianten nu versie 4.14 gebruikt. De nieuwe build-
target ath79 voor Qualcomm/Atheros-apparaten zal de
branch ar71xx vervangen vanaf de volgende OpenWrt-
versie.
OpenWrt 19.07 is voor het eerst geschikt voor de
verbeterde wificodering WPA3. De module hee� met
zijn afhankelijkheden echter veel opslagruimte nodig
en zal niet draaien op routers met minder dan 8 MB
flashgeheugen. Als je WPA3 wilt testen op geschikte
hardware, installeer dan hostapd-openssl met de pak-
ketmanager. Versie 19.07 zal de laatste versie zijn voor
routers met weinig geheugen (32 MB RAM, 4 MB flash-
Nieuwe documenten in Cambridge-Analytica-schandaal
OpenWrt vernieuwd
Nieuws / Security
van een veel grotere, wereldwijde operatie om de be-
volking te manipuleren en te beïnvloeden. Het is nog
maar de vraag wat er later dit jaar bij de Amerikaan-
se verkiezingen zal gaan gebeuren. Daar kan de vrijge-
komen informatie wellicht bij helpen.
opslag). Op dergelijke systemen past het al alleen zon-
der het webfront-end LuCI.
De browserinterface verschui� het dynamisch ge-
nereren van de LUA-pagina’s van de routerprocessor
naar JavaScript in de browser, voor een snellere weer-
gave. Maar die implementatie is nog niet voltooid.
Amerikaanse politie gebruikt gezichts-herkennings-software
teerd, dus hij stond niet in onze databases”, zei een
off icier. Vanuit het oogpunt van gegevensbescher-
ming is Clearview een taboebreker. Het kan ertoe lei-
den dat mensen niet meer naar demonstraties gaan,
omdat ze moeten vrezen dat ze worden geïdentifi-
ceerd.
Clearview maakt volgens de New York Times ge-
bruik van een neuraal netwerk dat vergelijkbaar is
met dat van andere gezichtsherkenningssystemen.
Die zetten foto’s om in vectoren die de geo metrie van
het gezicht beschrijven, zoals de afstand tussen de
ogen. De vectoren van foto’s van dezelfde persoon
komen in de vectorruimte dicht bij elkaar te staan.
Als je een foto aan de so� ware meegee� , krijg je
foto’s van mensen die er vergelijkbaar uitzien, waar-
schijnlijk samen met de bijbehorende namen uit
online-profielen.
In de VS gebruiken politieagenten controversiële ge-
zichtsherkenningsso� ware om te zoeken naar ver-
dachten. Clearview vergelijkt foto’s met de meer dan
drie miljard foto’s die publiekelijk beschikbaar zijn op
internet. Meer dan 600 instanties in de VS gebruiken
die so� ware al. Vooral het integreren van foto’s van
onschuldige mensen in het systeem roept vragen op.
Volgens de New York Times hee� Clearview de
beelden automatisch van internet gedownload, ook
van platforms als Facebook die dat verbieden. Ieder-
een met een foto op internet kan dus in beeld komen.
Andere bekende gezichtsherkennings systemen zoe-
ken alleen in databases met foto’s van mensen die al
bekend zijn bij de politie, zoals van INPOL.
Zo vond de politie van Indiana een verdachte op
basis van een smartphonevideo op internet. “Hij had
geen rijbewijs en was als volwassene niet gearres-
OpenWrt 19.07 hee� als grootste vernieuwing WPA3.
SCL was in tientallen verkiezingen wereldwijd geïnteresseerd.
12 www.ct.nl
TM
Intel Inside®. Powerful Productivity Outside.
Desktop Solutions
SMBE Belgium
+32 495 533 245
www.smbe.be
TWP Computer
+31 20 638 9057
www.twp.nl
NCS International
+31 544 47 0000
www.ncs.nl
Server Storage Solution
+32 9 261 5310
www.s3s.be
C7Z270-CGC7Z270-PG C7Z270-CG-L C7H270-CG-ML
Samsung volgt de Galaxy S10-reeks niet op met een
S11, maar slaat meteen een hele serie nummers over
en komt met de Galaxy S20. De nieuwe topsmartphone
van Samsung is er in drie uitvoeringen: naast de
gewone S20 is er ook een S20+ en een S20 Ultra.
Een budgetmodel zoals bij de S10-reeks in de vorm
van de S10e of de later verschenen S10 Lite zit er bij
de lancering van de S20 (nog) niet tussen. Voor de
‘gewone’ S20 ben je minimaal 900 euro kwijt, de
S20+ en S20 Ultra beginnen bij 1100 en 1350 euro.
Alle modellen hebben de snelle Snapdragon 865
met standaard 8 GB RAM (12 GB bij de Ultra) en 128
GB opslag (uitbreidbaar via microSD). Er zijn ook
duurdere versies die 5G ondersteunen (met meer RAM
en opslagruimte).
Het meest zichtbare verschil tussen de modellen
is het formaat van het toestel en het scherm. De
S20 is 151,7 × 69,1 × 7,9 mm groot, met een scherm
van 6,2 inch. De Ultra hee� een 6,9-inch scherm en
buitenmaten van 166,9 × 76 × 8,8 mm en de S20+ zit
daar tussenin met een 6,7-inch scherm en 161,9 × 73,7
× 7,8 mm. De schermresolutie van 3200 × 1440 pixels is
bij allemaal hetzelfde. Het gaatje voor de frontcamera
zit net als bij de Note 10 in het midden van het scherm.
Standaard is de verversingsfrequentie van het scherm
60 Hz, maar 120 Hz kan worden ingesteld.
Ten opzichte van de S10-reeks zijn de camera’s
flink gewijzigd. De hoofdcamera bij de S20 en S20+ is
12 megapixel zoals bij de S10, en er is een 12 megapixel
groothoekcamera, maar de telecamera is 64 megapixel
in plaats van 12. Daarmee is 3× zoom mogelijk (en 30×
digitaal). De Ultra krijgt bovendien een 108-megapixel
Samsung van 10 naar 20
Nieuws / Mobiel
hoofdcamera (en een ToF-camera) en biedt tot 100×
‘Space Zoom’ (optisch en digitaal van meerdere lenzen
gecombineerd). Megapixels zeggen zeker niet alles, de
beeldsensor hee� ook grotere pixels om meer licht op
te vangen. Filmen kan in 8K. De meeste mensen zullen
in de praktijk nog geen beeldscherm hebben dat deze
resolutie kan weergeven, maar je filmpjes zijn dan wel
op de toekomst voorbereid.
De S20-reeks hee� verder flinke accu’s (4000,
4500 en 5000 mAh), maar wat dat betekent voor
de accuduur moet nog in de praktijk blijken. De
vingerafdrukscanner zit onder het scherm. Een
hoofdtelefoonaansluiting ontbreekt. Als accessoire
zijn wel de draadloze Galaxy Buds+ bluetooth-oortjes
beschikbaar. Bluetooth 5.0, Wi-Fi 6, gps (inclusief
Galileo) NFC enzovoort zijn allemaal aanwezig.
Samsung legt zelf vooral de nadruk op de nieuwe
camera’s en noemt het ‘de grootste verbetering sinds
de Galaxy S7’. Qua volgnummer loopt Samsung met
de S20 in elk geval weer voorop.
Galaxy Z Flip klaptelefoon
bij 167,3 mm groot, vergelijkbaar met de nieuwe
S20 Ultra, die een iets groter 6,9-inch scherm biedt.
Dichtgeklapt is het toestel echter maar 73,6 bij 87,4
mm groot, met een dikte tussen de 15,4 en 17,3 mm
bij het scharnier.
Het amoledscherm hee� een iets lagere reso lutie
dan sommige gewone toestellen met dit scherm-
formaat (2636 × 1080), maar dat levert nog steeds een
pixeldichtheid op van 425 ppi. Belangrijker is de vraag
hoe het scherm zicht houdt bij veelvuldig dicht- en
openvouwen. Volgens Samsung zou je het meer dan
200.000 keer open en dicht kunnen klappen. Samsung
hee� met Google samengewerkt om het Android-
besturingssysteem (standaard staat er Android 10
op) aan te passen voor dit speciale formaat. Als de
smartphone half opengeklapt is, dan splitst het
beeld zich automatisch in twee afzonderlijke (4-inch)
schermen.
Andere specificaties van het toestel zijn een
octacore-processor, 8 GB RAM en 256 GB opslagruimte,
dubbele 12-megapixelcamera (normaal en groothoek)
en een 3500mAh-accu. De vingerafdrukscanner zit aan
de zijkant. Een hoofdtelefoonaansluiting ontbreekt.
Opvallend is dat de prijs een stuk lager is dan die van
de Galaxy Fold. Laag is in dit geval wel relatief, de
Galaxy Z Flip hee� een adviesprijs van 1500 euro.
Behalve de S20-reeks, hee� Samsung ook de Galaxy
Z Flip geïntroduceerd. Net als de eerdere Galaxy
Fold is dat een telefoon met een opvouwbaar dis-
play. De smartphone is vormgegeven als de oude
bekende klaptelefoon: je kunt het toestel halverwege
omklappen en dichtvouwen. Het 6,7-inch scherm is
dan niet meer zichtbaar, maar op het coverdisplay van
1,1 inch worden dingen als oproepen en notificaties
getoond. Uitgeklapt is het toestel 7 mm dik en 73,6
14 www.ct.nl
024 - 356 56 77bel voor advies op maat
[email protected] uw vraag per email
TEC CADCollegeKerkenbos 1018 B 6546 BA Nijmegen
Cursussen &
HBO-opleidingen
TEC, het CAD College, is dé opleider tot CAD-specialist. Welk instapniveau u ook heeft, bij TEC leert u op een plezierige manier om te gaan met CAD. Naast het geven van kwalitatief hoogstaande cursussen, is het veelzijdige instituut uitgever van het standaard studieboek over CAD-tekenen en biedt haar website goede online support.
Studeren in een klein groepje
Officieel Certificaat Autodesk
Ruime doorgroeimogelijkheden
TEC CADCollegedé opleider in CAD
Mrt Apr Mei
Auto
CA
D
Basis2, 3,
9, 10
6, 7,
14, 15
4, 8,
11, 12
Update 30, 31
Gevorderd18, 19,
25, 26
14, 15,
20, 21
VB.NET Basis2,3,
5,6
AutoCAD 3D18, 19,
25, 26
Invento
r
Basis4, 5,
11, 12
1, 2,
8, 9
6, 7,
13, 14
Update 27, 28
Gevorderd16, 17,
23, 24
16, 17,
22, 23
Expert16, 17,
23, 24
iLogic2, 3,
9, 10
F Fusion 36016, 17
22, 23
Revit
Basis4, 5,
11, 12
1, 2,
8, 9
6, 7,
13, 14
Gevorderd18, 19,
25, 26
Installatie6, 7,
14, 15
Expert18, 19,
25, 26
Revit aanpassen2, 3,
11, 12
3d
s M
ax Basis
7, 8,
11, 12
Gevorderd19,20,
25,26,27
Renderen met
3ds Max30,31
www.CADCollege.nl/data
BEST
ATC OF
BENELUX
3x
AWARD
WINNER
Nieuws / Apple
iOS 13.4 is (binnenkort) beschikbaar. De bètaversie
gee� al een goed beeld van de veranderingen in die
update. Naar verwachting is 13.4 de laatste kleine
update voordat de overgang naar iOS 14 komt.
Toch zijn er naast de gebruikelijke bugfixes genoeg
kleine verbeteringen. Interessant is bijvoorbeeld dat
de beloofde deelfunctie voor mappen in iCloud nu
eindelijk lijkt te komen. Die zat oorspronkelijk in de
Beta voor iOS 13, maar werd daarna uitgesteld tot
de herfst en daarnana het voorjaar van 2020. Met die
deelfunctie kunnen gebruikers specifieke mappen in
Apples clouddienst vrijgeven zodat anderen daarin
kunnen lezen, wijzigen of schrijven. In de release-
notes voor iOS 13.4 wordt de functie nog niet vermeld.
Apple is door de Franse mededingingsautoriteit een
boete opgelegd voor het trager maken van oudere
iPhones. Volgens de toezichthouder werden klanten
daardoor gestimuleerd een nieuwe iPhone te kopen.
De toezichthouder stelde daar een onderzoek naar
in na een klacht van een advocatengroep. Het gaat
om de code die enkele jaren terug in iOS 10.2.1 werd
ingevoerd om de prestaties van de CPU in te perken en
de batterijduur te verlengen. Bij iOS 11.2 kwam deze
code ook op de iPhone 7 te staan.
De boete wordt opgelegd omdat Apple de
bezitters van de getroff en iPhones niet informeerde
over de prestatieverslechtering. Volgens Apple was
de maatregel nodig om uitval van apparaten te
voorkomen. Het bedrijf verlaagde eerder al de kosten
om de batterij te vervangen en sinds iOS 11.3 kan een
gebruiker de betreff ende instellingen zelf wijzigen.
Van het bedrag van de boete zal Apple overigens niet
wakker liggen: het moet 25 miljoen euro betalen.
Apple hee� het einde aangekondigd van kernel-
extensies in macOS. Het besturingssysteem gaat
gebruikers waarschuwen als dergelijke uitbreidingen
voor de kernel (kexts) worden gebruikt en adviseert
ze contact op te nemen met de ontwikkelaars. Apple
ging op soortgelijke wijze te werk bij het stopzetten
van de ondersteuning voor 32-bit so� ware in macOS.
Kernelextensies hebben verregaand toegang tot het
systeem en worden bijvoorbeeld gebruikt in so� ware
voor virtuale machines (VirtualBox).
Kleine update met iOS 13.4
Snelheids-boete
Einde aan extensies
Andere veranderingen zijn echter ook interessant,
zoals de betere ondersteuning voor externe toetsen-
borden. Die maakt het voor ontwikkelaars makkelijker
om zo’n toetsenbord als input voor hun app te onder-
steunen en ook het aansturen van het besturings-
systeem via het toetsenbord moet beter werken.
Verder wordt de status van (verbroken) VPN-verbin-
dingen beter gesignaleerd, werken navigatie-apps van
derden beter in CarPlay en wordt de knopindeling van
de Mail-app (wederom) gewijzigd. In iOS 13 kwam de
verwijderknop op de plaats die de antwoordknop had
in iOS 12, wat hee� geleid tot veel per ongeluk verwij-
derde berichten.
Alleen al in het laatste kwartaal van 2019 boekte Apple
een omzet van 91,8 miljard dollar, onder meer door de
goede iPhone-verkopen.
Al vanaf macOS 10.13 worden de kernel-extensies
van derden standaard geblokkeerd en kan een
gebruiker die pas installeren na het aanpassen van de
systeeminstellingen. Bovendien moeten ze digitaal
ondertekend zijn, en sinds ruim een jaar is ook authen-
ticatie door Apple vereist. Vanaf macOS Catalina
10.15.4 komen daar dus waarschuwingen bij. In een
toekomstige versie van macOS zullen kernelextensies
helemaal niet meer werken. Of dat al bij macOS 10.16
(gepland voor komend najaar) het geval is, is nog niet
bekend.
Een alternatief voor kernelextensies moeten de
nieuwe ‘System Extensions’ zijn. Die hebben minder
rechten en draaien in de userspace in plaats van in de
kernelspace. Dat is een van de maatregelen waarmee
Apple het platform wil moderniseren en waarmee
volgens het bedrijf ook de veiligheid en betrouwbaarheid
moet worden verhoogd. Met DriverKit en Endpoint
Security biedt Apple nog andere frameworks voor
ontwikkelaars, waarmee stuurprogramma’s en beveili-
gings so� ware ontwikkeld kunnen worden. Die draaien
ook in de userspace, maar krijgen extra rechten om hun
werk te kunnen doen.Bron
Ap
ple
16 www.ct.nl
Nieuws / Linux
CoreOS, de container-gebaseerde Linux-distributie die
Red Hat in 2018 heeft gekocht, heeft zijn eigen einde
aangekondigd. Na 26 mei zullen er geen updates meer
verschijnen. Gebruikers die het besturingssysteem na
eind mei 2020 nog willen gebruiken, zullen het zonder
updates, patches en security fixes moeten stellen.
In de End-of-Life-aankondiging wordt Fedora Core-
OS als officiële opvolger genoemd. Die versie is echter
nog niet geschikt voor alle inzetgebieden. Zo werken bij-
voorbeeld de native support voor Azure, Vagrant en rkt
nog niet. Bovendien waarschuwen de ontwikkelaars dat
er maximaal ‘best-effort’-stabiliteit haalbaar is. Heb je
hogere eisen, dan kan de CoreOS-fork Flatcar Container
Linux of RHEL CoreOS in Red Hat Openshift gebruiken.
In de aankondigingen adviseren de CoreOS-ontwik-
kelaars dat gebruikers zo snel mogelijk overstappen op
In de nieuwe versie 2.3.0 van Cryptsetup, de standaard
Linux-tool voor schijfversleuteling, is ondersteuning
voor Microsoft BitLocker voor Windows geïntrodu-
ceerd. Daarmee is het nu mogelijk om in combinatie
met een bestandssysteemdriver voor bijvoorbeeld
VFAT, exFAT of NTFS om met standaard middelen ver-
sleutelde Windows-schijven onder Linux te mounten.
Tot nu toe kon dat alleen met de nodige workarounds
of met software van derden.
De BitLocker-ondersteuning is vooralsnog expe-
rimenteel en beperkt in functionaliteit. Volgens het
ontwikkelingsteam kunnen er vooral bij het lezen van
metadata foutmeldingen optreden. Het team roept
dan ook de community op mee te helpen middels
tests en het doorgeven van foutmeldingen.
Momenteel ondersteunt Cryptsetup alleen het be-
naderen van bestaande partities of volumes via wacht-
woorden of herstelfrasen. Dat terwijl het compatibel is
met zowel BitLocker als BitLocker To Go. Cryptsetup
kan (nog) geen nieuwe BitLocker- apparaten aan-
maken. Ook kun je geen andere beveiligingssleutels
Het team achter elementary OS wil de back-end van
hun AppCenter vernieuwen. Ook gebruikers van ande-
re distributies zouden hiervan moeten profiteren. Het
plan is om het team naar Denver te halen en een week
lang te werken aan de nieuwe versie. De voornaamste
wijzigingen omvatten de overstap naar Flatpak en een
nieuw dashboard voor ontwikkelaars. Gebruikers van
CoreOS stopt
Cryptsetup ondersteunt BitLocker
Elementary OS crowdfunding voor nieuwe app-store
een ander besturingssysteem. Op 26 mei zullen de laat-
ste updates verschijnen, en na 1 september zullen alle
CoreOS-resources verdwijnen of niet meer worden ge-
updatet.
CoreOS stamde origineel van Gentoo Linux af. De
eerste stabiele versie verscheen in 2014. Red Hat nam
begin 2018 het bedrijf over om zijn eigen container- en
kubernetes-strategie te versterken. Begin 2020 ver-
scheen de eerste stabiele versie van Fedora CoreOS.
zoals TPM en smartcards gebruiken. Wat TPM betreft
vrezen de ontwikkelaars dat dit ook in de toekomst
niet beschikbaar zal zijn, omdat het principe achter
het systeem dit verhindert.
Tot nu toe kunnen alle metadata van de geco-
deerde apparaten alleen worden gelezen. Wijzigin-
gen (bijvoorbeeld van key-protectors) kunnen niet
worden aangebracht. Met uitzondering van oude ge-
gevensdragers, die bijvoorbeeld onder Windows Vista
zijn gemaakt, zou Cryptsetup in principe alle formaat-
varianten moeten ondersteunen en zonder proble-
men mounten.
De bestandssystemen zelf kunnen nadat Crypt-
setup ze ontsleuteld heeft gelezen en geschreven
worden. Het is tenslotte niet langer de BitLocker-
implementatie van Cryptsetup die hiervoor verant-
woordelijk is, maar het onderliggende bestands-
systeem. De bijbehorende drivers voor VFAT, exFAT of
NTFS zorgen dan voor de nodige compatibiliteit, net
zoals dat het geval zou zijn op een gegevensdrager die
niet versleuteld is.
andere Linux-distributies moeten ook software van
het AppCenter kunnen kopen. Gebruikers kunnen voor
de apps betalen, waarbij ze zelf de prijs bepalen.
Daar is onder opensourceontwikkelaars al langer
discussie over. Op de laatste Linux App-Summit in Bar-
celona werd een betalingssysteem voor Flathub aan-
gekondigd. Dat zou vergelijkbaar met het betaalmodel
van elementary OS op basis van een zelf te kiezen be-
drag moeten werken.
Het AppCenter vormt het centrale element van
elementary OS, een distributie die vooral gericht is
op beginners. Het AppCenter bevat alleen apps die
na een evaluatie voldoen aan de ontwerpspecificaties
van elementary. Daarmee willen de ontwikkelaars een
uniforme en dus eenvoudigere werking garanderen.
Naast de ontwikkelaars van elementary OS zelf,
zullen ook ontwikkelaars van de Linux-distributie
Endless en van Flathub en Gnome deelnemen aan de
sprint.bron
ele
me
nta
ry.i
o
uitgave 4/2020 17
Nieuws / Processors
DE BESTE BASISTECHNOLOGIE
Kwantumcomputer met lagere foutpercentage
Arne Grävemeyer en Daniel Dupré
Kwantumcomputers rekenen met
zogenaamde qubits (kwantumbits)
die kunnen schakelen tussen twee
kwantum toestanden. Bovenal kunnen qubits
ook beide toestanden tegelijk aannemen. In
de zogenaamde superpositie zijn twee toe-
standen overlappend aanwezig. De afgelopen
jaren zijn Google en IBM al regelmatig in het
nieuws geweest met qubits in de vorm van
supergeleidende lussen op halfgeleiderchips.
Het is hun kwantumcomputers gelukt om met
maximaal 72 qubits te rekenen. Dat lukt ech-
ter alleen bij temperaturen die het absolute
nulpunt (-273,15 graden Celsius) benaderen,
en dan ook alleen maar gedurende een fractie
van een seconde.
Qubits in de vorm van ionen in ionen vallen
hebben een decoherentietijd van enkele mi-
nuten, zo lang kunnen ze een super positie
vasthouden – maar dan wel bij kamertempe-
ratuur. Christian Ospelkaus en zijn team zijn
aan het sleutelen aan een complete reken-
eenheid van dergelijke qubits. Rond de jaar-
wisseling publiceerde dat team aan de Leibniz
University in Hannover en de labo ratoria van
de PTB in Braunschweig over hun doorbraak:
het was ze gelukt het fouten percentage bij het
combineren van twee qubits met een factor
100 te verbeteren tot tegen de 10-3. Ze maken
nu dus nog maar één fout per 1000 opera-
ties. Hun doel is om dat percentage met nog
minstens een orde van grootte te verbeteren.
Ospelkaus hoopt dat dit binnen twee jaar gaat
lukken.
MICROGOLFTECHNIEK
De wetenschappers gebruiken beryllium-
ionen als qubits. Ze maken hun ionenval-
len met zelfgemaakte microchips. Die creë-
ren elektrische velden die een paar micro-
meter boven de chip potentiële putten gene-
reren. De onderzoekers spreken hierbij van
“chip-achtige oppervlaktevallen”. Strikt ge-
nomen bevinden de ionen-qubits zich buiten
de chiparchitectuur. In de testopstelling werd
van de kwantumprocessor zijn dan nog een
rekenregister, waarin de microgolfgestuurde
rekenoperaties worden uitgevoerd, en een re-
gister voor het uitlezen van het resultaat. De
registers worden dan verbonden via een scha-
kelaar soort wissel, zodat er een soort trein-
station van wissels ontstaat voor individuele
qubits. Deze aanpak kan in de toekomst wor-
den uitgebreid door veel registers te koppelen
met extra wissels om een groter “station” te
vormen, aldus Ospelkaus. De onderzoekers
kunnen in de cleanroom in Braunschweig
binnen drie tot vier weken nieuwe chips voor
hun experimenten produceren met behulp
van een gepatenteerd proces dat ze zelf heb-
ben ontwikkeld. Dat uitgangspunt kan vol-
gens Ospelkaus dan in toekomst worden uit-
gebreid door veel registers via nog meer wis-
sels tot een groot ‘treinstation’ te koppelen. In
hun cleanroom kunnen de wetenschappers in
minder dan vier weken nieuwe chips voor hun
onderzoek fabriceren volgens een eigen gepa-
tenteerd procedé.
Ospelkaus noemt het onderling koppelen
van qubits in netwerken als het grote voor-
deel van zijn ionenvallen. Terwijl de qubits
in de super geleidende lussen van Google en
IBM primair met hun directe buren communi-
ceren, zijn ionenvallen veel flexibeler. “In
principe kunnen we individuele qubits ver-
plaatsen en elke qubit naar wens aan elke
andere qubit koppelen.” Bovendien hebben
ionen-qubits aantoonbaar het laagste fout-
percentage bij rekenoperaties. Tegelijkertijd
blijft de opgeslagen kwantuminformatie zeer
lang stabiel – bij temperaturen van een paar
Kelvin boven het absolute nulpunt zelfs jaren-
lang. Voor Ospelkaus is de race om de beste
basistechnologie voor de kwantumcomputer
van de toekomst dus open.
de chip omgeven door een vacuüm, zodat de
ionen-qubits niet worden verstoord door bot-
singen met andere atomen.
Een bijzonder kenmerk van de gebruikte
microchips zijn de brede geleiderlussen die
microgolfsignalen naar de elektroden dragen
en daar magnetische velden genereren. Als
twee ionen-qubits zich in dezelfde potenti-
ele put bevinden, kunnen met de microgolf-
pulsen verschillende rekenoperaties worden
aangestuurd. De ionenval wordt zo een zoge-
naamde kwantumpoort.
“Het mooie aan de microgolftechnologie
is dat deze al op grote schaal wordt gebruikt
en gemakkelijk te regelen is”, zegt Ospelkaus.
Andere onderzoekers gebruiken zeer nauw-
keurig gestuurde laserstralen voor kwantum-
poorten, wat een complex proces is. De micro-
golftechnologie daarentegen kan relatief een-
voudig in kwantumcomputers worden geïnte-
greerd. Met deze aanpak was het mogelijk om
de foutenpercentages aanzienlijk te verbete-
ren door de vorm van de microgolfpulsen te
veranderen.
Voor een volwaardige kwantumcomputer
is er een set van een- en twee-qubit-poorten
nodig, waaruit elke gewenste rekenkundige
bewerking kan worden samengesteld. Ospel-
kaus hoopt dat het lukt om binnen twee jaar
tijd het aantal qubitfouten aanzienlijk te redu-
ceren en om alle vereiste kwantumpoorten te
construeren.
20 QUBITS PER VAL
Om dit te realiseren, moeten de onderzoekers
de vereiste functies over verschillende po-
tentiële putten verdelen en de ionen- qubits
naar behoefte tussen deze verschuiven. In het
labo ratorium is aangetoond dat elke ionen-
val enkele ionen-qubits herbergt zonder
dat ze elkaar beïnvloeden. Een eenvoudige
kwantum processor zou twee van zulke vallen
als geheugenregister kunnen gebruiken, die
telkens tot 20 qubits kunnen bevatten. In de
geheugenregisters structureren de ionen zich
in een rij als parels aan een snoer. Die vormen
een Coulomb- kristal. Verdere componenten
Duitse onderzoekers ontwikkelen een kwantumcomputer met microgolfgestuurde ionenvallen en zijn er inmiddels in geslaagd om krachtige en efficiënte computeroperaties aan te tonen.
In een eigen cleanroom worden experimentele microchips voor het onderzoek naar quantum-computers ontwikkeld.
18 www.ct.nl
Nieuws / Wetenschap
bron
Air
bu
s
Showa Denko (SDK) heeft een technologie ontwikkeld
om platters te produceren die ge schikt zijn om data
op te slaan op basis van Heat Assis ted Magnetic Recor
ding (HAMR). De nieuwe magneetplaten worden voor
zien van een laag met een ijzer/platinumlegering, een
sterk magnetisch materiaal met een hoge corrosie
bestendigheid. De kristallen in deze laag hebben een
zeer kleine korrelgrootte, en door de structuur van de
kristalkorrels te optimaliseren, is het gelukt om hun
oppervlaktedichtheid te maximaliseren.
Ze zijn goed bestendig tegen de hoge temperaturen
die gepaard gaan met het schrijven via de HAMRtech
De Marsrover Rosalind Franklin (vernoemd naar de
weten schapster die een essentiële bijdrage leverde aan
het doorgronden van de moleculaire structuren van
DNA en RNA) verplaatst zich vooralsnog op de aarde. De
rover heeft zojuist een omgevingstest ondergaan in de
Airbusfaciliteit in Toulouse.
De ExoMarsmissie is een samenwerkingsproject
van de Europese Ruimtevaartorganisatie Esa en de
Rus sische tegenhanger, Roscosmos. Het eerste deel
onderzoekt de ExoMars Trace Gas Orbiter de invloeden
van de seizoenen op Mars. In het tweede deel, waarbij
Het verzamelen van whisky’s kan een slimme investering
zijn. Er gaan dan ook stevige bedragen om in de handel
van zeldzame flessen. En waar veel geld gemoeid is, volgt
ook de criminaliteit. Er zijn al gevallen bekend waarbij
een zeldzame whisky van zo’n eeuw oud na aankoop
bleek te zijn vervalst en in werkelijkheid tien jaar geleden
gedestilleerd werd. Het was tot nu toe relatief eenvoudig
de herkomst van een whisky te bepalen, maar de leeftijd
was lastiger. Een nieuwe methode ontwikkeld door de
University of Glasgow brengt daar nu verandering in,
zo meldt NewScientist. De onderzoekers gebruiken de
radioactieve iso toop koolstof14 (14C). Gedurende de
tests met nucleaire wapens vanaf de jaren vijftig, is er
veel van deze instabiele isotoop in de atmosfeer terecht
gekomen. Koolstof14 is na het vrijkomen in de lucht met
een bekende snelheid aan het vervallen tot stikstof14,
waardoor dat een goede tijdsaanduiding kan opleveren.
Koolstof14 wordt door alles wat leeft opgenomen,
zowel fauna als flora. Dat betekent dat die isotoop ook
80TB-schijven door nieuwe platters
Volgende etappe Europa’s Marsrover
Echtheid van whisky bepalen dankzij wapen-wedloop
nologie. Dat kan resulteren in harde schijven met 80
terabyte. SDK heeft nog geen concrete uitspraken ge
daan over daadwerkelijke capaciteiten, maar een in
dicatie gegeven via de opnamedichtheid van het ma
teriaal. Die dichtheid bij conventionele magnetische
schijven van dit moment is ongeveer 1,14 TB/inch2. Op
HAMR gebaseerde HD media zou in toekomst een op
namedichtheid van 56 TB/inch2 kunnen halen. Als dat
omgerekend wordt naar hetzelfde aantal schijven dat
momenteel wordt gebruikt, zou een 3,5inch HDD naar
schatting dan een opslagcapaciteit van ongeveer 7080
TB kunnen bereiken.
de rover naar het oppervlakte van de planeet zal
afdalen, staat de zoektocht naar tekenen van leven
centraal.
De Rosalind Franklin werd gedurende 18 maanden
in het Verenigd Koninkrijk geassembleerd. Daarna heeft
Airbus het voertuig naar Toulouse verscheept om het in
een thermische vacuümkamer te zetten. Die ruimte kan
de omstandigheden simuleren waar de rover aan zal
worden blootgesteld gedurende zijn reis door de ruimte
en op de oppervlakte van Mars.
De rover heeft de extreme hitte, kou en het vacuüm
waar hij aan werd blootgesteld daarbij met goed gevolg
doorstaan. Na die tests werd hij weer op reis gestuurd,
dit keer naar een faciliteit van Thales Alenia Space in
Cannes aan de Franse Riviera. Daar wordt de rover
ingebouwd in het ‘entry, descent and landing’systeem
(EDL), dat hem veilig op de oppervlakte van de planeet
moet brengen.
Ondertussen is de ESA nog druk bezig de parachutes
te testen die de Rosalind Franklin moeten vertragen
tijdens de EDLfase. Die hebben bij eerdere tests voor
problemen gezorgd, waarbij ze scheurden. Als de
laatste test goed worden doorstaan, zal het geheel
naar Kazachstan worden verplaatst, van waar hij onze
planeet uiteindelijk zal verlaten.
aanwezig is in de gerst waar whisky van wordt gemaakt.
Door het verval van koolstof14 in de whisky te meten,
kan worden bepaald uit welk jaar hij komt
De methode was al langer bekend, maar nog niet
erg nauwkeurig. Er waren meerdere milliliters nodig om
een whisky te dateren. Bij een fles die enkele duizenden
euro’s of meer kost, is dat een kostbare hoeveelheid.
De onderzoekers hebben de koolstofdatering geijkt
aan de hand van 231 singlemalts met bekende leeftijd.
Daarbij bleek dat de koolstofdatering er bijna altijd een
jaar naast zit. Dat komt waarschijnlijk omdat er tijd zit
tussen het oogsten van de gerst en het destillatieproces.
Daar zit dus vaak ongeveer een jaar tussen.
Voor de nieuwe methode is veel minder whisky
nodig, één milliliter is al genoeg. Daardoor is hij beter toe
te passen. Wel moet er redelijk diep in de buidel worden
getast: een test zal ruim 350 euro kosten. De methode
is daarnaast ook geschikt om andere dranken zoals
cognac of rum te dateren.
De thermische vacuümkamer in Toulouse simuleert de
omstandigheden gedurende een Mars-missie
uitgave 4/2020 19
Wil je buiten jouw gebaande IT-paden gaan?
ABONNEER JE NU VIA
OF BEL NAAR +31 (0)85 2250 505LEES.CT.NL
Deze acti e is geldig t/m 14 april 2020 of zo lang de voorraad strekt. Je abonneert tot wederopzegging en voor ten minste de acti eperiode van
10 nummers. Na de acti eperiode wordt het abonnement automati sch verlengd tegen het dan geldende standaardtarief. Opzeggen is heel eenvoudig en kan
via onze klantenservice.
ONTVANG 10X C’T
VAN € 69,90 VOOR
€ 50,-
De nieuwste uitgave
altijd als eerste in huis en
toegang tot de digitale
uitgaves.
Bespaar op de winkelprijs.
MSI Optix MAG272CQR
Volledig en kromNu 27 inch en 1440p zo'n een beetje de standaard aan het worden is, groeit het aantal goed uitgeruste gamingschermen lekker
mee. De MSI Optix MAG272CQR is daar een voorbeeld van.
Alieke van Sommeren
panel 27 inch, VA, 165 Hz, 2560 × 1440, 1 ms MPRTextra FreeSync (48 - 165 Hz), headsethouder, VESA-mount
compatible, 2 × USB 3.2 Gen1, USB 3.2 Gen1 type B, headset-aansluiting, Kensington-lock
video-in DisplayPort 1.2a, 2 × HDMI 2.0b, USB-C (DisplayPort)energieverbruik 61 W
nl.msi.com € 450
Via een gat in het staande deel van de
voet kun je de kabels wat minder opval-
lend naar hun plek geleiden. De dunne
randen links, rechts en boven, de strak
vormgegeven grippy voet en het subtiele
MSI- logo aan de voorkant bieden een voor
een gaming- accessoire zeer ingetogen
look, die prima bevalt. Het scherm biedt
als leuke handige gimmick een kleine uit-
schuifbare houder om je headset aan op te
hangen.
De powerknop is de enige losse knop
voorop, de overige bediening gebeurt via
een joystick rechtsonder achterop het
scherm. Dat werkt erg prettig, je kunt dan
bijvoorbeeld met een enkele beweging van
de joysytick meteen bij de inputselectie
uitkomen of bij de verschillende gaming-
presets. Als je de joystick indrukt, krijg je
het gehele menu te zien om te doorlopen,
en dat is best wat: van verschillende
gaming-modi en kleurpresets tot het
inschakelen van anti-motion-blur en het
instellen van een richthulp bij games. Bij
specifieke functies staat handig vermeld
wat de impact is op andere opties.
Het VA-panel zit qua kleurweergave
tussen een TN- en IPS-panel in, en dat is
voor gaming-toepassingen en wat taken
daar rondom helemaal prima. Hij haalt
100 procent van de sRGB-dekking en 90
procent van DCI-P3. De FreeSync-range is
lekker ruim (vanaf 48 Hz). Voor een prijs van
zo’n 450 euro biedt de Optix MAG272CQR
gamers een erg mooi totaalpakket.
Een 27-inch gamingscherm met
1440p-resolutie en voldoende snelle
refreshrate is heel prettig om mee te
werken. Je hebt daar wel een flinke grafi-
sche kaart voor nodig, maar dat hoe� niet
het duurste topmodel van de serie te zijn.
Heb je even geen tijd en zin om te gamen,
dan heb je aslnog lekker veel werkruimte
voor andere dingen.
MSI hee� de Optix MAG272CQR een
duidelijke kromming (1500R) gegeven,
maar de kleuren en de weergave in de
hoeken hebben dat bij een 27”-scherm ei-
genlijk niet echt nodig. Die kromming is
dan ook meer bedoeld voor het verster-
ken van het gevoel van immersie bij ga-
ming. MSI vermeldt een MPRT (Moving Pic-
ture Response Time) van 1 milliseconde.
De video-inputs zijn ruim vertegenwoor-
dig met een DisplayPort-aansluiting, twee
HDMI- poorten en een USB-C-ingang (met
DisplayPort-signaal). Via DisplayPort haal
je de volle 165 Hz, via HDMI is het maxi-
maal haalbare 144 Hz.
De monitor voelt en oogt degelijk
als je hem uit de doos haalt. Het matte
scherm hee� aan de achterkant een kleine
strook die met RGB verlichte is en die je
via so� ware mee kunt laten kleuren met
de rest van je RGB-hardware. Een deel van
de achterkant hee� een brushed look, en
het onderste deel is normaal matzwart. Er
worden vier afstandsbusjes meegeleverd
om het scherm met een optionele
wallmount-kit ook direct aan de muur te
kunnen schroeven. Dat is wel een goede
manier om de RGB-gloed nog een beetje
van via de muur te laten reflecteren.
22 www.ct.nl
processor, RAM JZ4770 1GHz / 512 MB opslag 16 GB microSD
scherm 3,5-inch IPS (320 × 240)meegeleverd usb-kabel, handleiding
retrogame300.com vanaf € 70
wifi Wi-Fi 4, Wi-Fi 5 (dualband)
bedieningselementen reset, 3 statusleds aansluiting 1 × RJ45 / 4 × RJ45 (gigabit)
arubainstanton.com vanaf € 100
model MU-PC1T0K energieverbruik 0,5 W (idle), 3,5 W
aansluiting USB-C meegeleverd 2 usb-kabels (type A
naar C, C naar C), handleiding
samsung.nl vanaf € 145 (500 GB)
RG350
Portable power
Aruba Instant-On
Snel wifi regelen
Samsung T7 Touch
Veilig draagbaar
De RG350 is een Chinese draagbare com-
puter met OpenDingux, een Linux-distri-
butie die vooral is gespecialiseerd in retro-
games en homebrew-spelletjes. De RG350
is in een aantal uitvoeringen beschikbaar,
van neutraal zwart tot een opvallende,
doorzichtige versie, met knoppen, sticks en
twee microSD-slots. Er zit zelfs een hdmi-
uitgang op, maar die werkt nog niet met de
huidige firmware.
De interne geheugenkaart met de firm-
ware zit onder de accu. De RG350 wordt
geleverd met opensource spelletjes, emu-
lators en programma’s. De versie die we via
Amazon kregen werd geleverd met een los-
se geheugen kaart die gevuld was met re-
trogames. De RG350 kan veel games spelen
uit het 16-bit tijdperk en eerder. Voor latere
games is hij niet altijd krachtig genoeg.
Bestanden zet je op de externe geheu-
genkaart vanaf je pc of via � p. Nieuwe pro-
gramma's kun je op die manier ook instal-
leren, maar dan moet je opletten dat je ze
wel in de juiste map zet. Het updaten van
de firmware is omslachtig.
Met een beetje moeite is het zelfs moge-
lijk om via wifi Quake 2 te spelen met vrien-
den. De interface is niet altijd duidelijk en
soms moet je in de online forums duiken
om erachter te komen waarom iets niet
werkt. Dat neemt niet weg dat de RG350
ontzettend leuk is om mee te ‘spelen’.
Met de Instant-On-accesspoints regel je in-
derdaad op een makkelijke manier een
draadloos netwerk met meerdere ge-
scheiden netwerken. Het nadeel is wel dat
het configureren alleen maar kan via de
Aruba-clouddienst over een al werkende
internetverbinding.
De accesspoints worden gevoed via PoE.
Een adapter daarvoor is tegen meerprijs be-
schikbaar, behalve voor de AP17 Outdoor.
Alle AP’s zenden zowel op de 2,4GHz- als de
5GHz-band. De AP11D en AP17 halen maxi-
maal 867 Mbit/s, de AP12 1300 Mbit/s en de
AP15 1733 Mbit/s. Ze verbruiken 5 tot 6 watt.
De meeste AP’s hebben één netwerk-
poort, de A11D hee� er vier. Meerdere
Instant-On-AP’s zijn via wifi aan elkaar te
knopen tot een meshnetwerk, mits een van
de apparaten verbinding hee� met internet.
Het instellen van extra netwerken is
zo geregeld. In de app voeg je een nieuw
netwerk toe en stel je een naam in. De authen -
ticatie gebeurt via een instelbare portal.
Bedrijven kunnen voor authenticatie om-
schakelen van WPA-PSK naar WPA-Enter-
prise (IEEE 802.x/Radius). De accesspoints
gebruiken DFS om de 5GHz-kanalen vanaf
52 te kunnen gebruiken. Voor ‘gewoon inter-
net’ voldoen de Instant-On-AP’s prima. Als je
in routermode IPv6 wilt, moet je (voorlopig)
nog even een andere set zoeken. Dat staat
bij Aruba wel op de roadmap.
De Portable SSD T7 Touch van Samsung is
de opvolger van de T5. Hij biedt ten opzichte
van zijn voorganger meer snelheid en bevat
een handige vingerafdrukscanner.
De matzwarte ssd weegt slechts 58 gram
en verdwijnt dankzij het formaat van een iet-
wat dikke bankpas makkelijk in een broek-
zak of in je tas.
We haalden ongeveer 1 GB/s bij het le-
zen en schrijven. Dat is mogelijk door USB
3.2 Gen 2 en is meteen het maximum van
die interface (10 Gbit/s). Bij random-access
haalt de Samsung SSD T7 Touch tegen de
40.000 IOPS.
Toen we hem op een snelle Android-
smartphone (Galaxy S10e) aansloten, haal-
den we met de benchmarktool Androbench
en de T7 Touch ongeveer 170 MB/s bij het le-
zen en schrijven.
De T7 Touch versleutelt in principe alle
data met AES-256. Om dat in te stellen, heb
je so� ware nodig die voor Android, macOS
en Windows beschikbaar is. Met de so� ware
stel je ook wachtwoorden in voor het ont-
grendelen plus je vingerafdrukken.
Je vingerafdruk gebruiken is erg prak-
tisch, omdat je de ssd aan welk apparaat
dan ook makkelijk kunt ontgrendelen door
je vinger even op de scanner te leggen.
De ssd is niet gecertificeerd, dus als je
zeer gevoelige data wilt opslaan kun je beter
naar een alternatief kijken.
Krijg je maar niet genoeg van oude
spelcomputers en homebrew-games?
Dan is de RG350betaalbare alleskunner
je op het lijf geschreven.
Aruba wil met de Instant-On-Access-
Points supersimpel wifi bieden. Start
de app, zoek het accesspoint, tik een
paar keer voor de instellingen en klaar.
De snelle externe SSD T7 van Samsung
ontgrendel je met je vingerafdruk. Hij
is te gebruiken onder Android, Linux,
macOS en Windows.
24 www.ct.nl
display 23,6-inch full-hd IPSaansluitingen HDMI, DisplayPort, DVI,
D-Sub, usb-hub, audiomeegeleverd kabels, korte handleiding
eizo.nl € 310
display 10,1 inch, 1920 × 1080 CPU, flash Snapdragon 439, 4 GB RAM / 64 GB eMMC
aansluitingen USB-C, microSD, audio
lenovo.com € 275
fabrikant Western Digital model WDS500G1R0A
afmetingen 100 × 70 × 7 mm garantie 5 jaar
wdc.com € 80
Eizo FlexScan EV2460-WT
Wit voetje
Lenovo Yoga Smart Tab
Slim scherm
Western Digital Red SA500
NAS-versneller
Voor iets meer dan 300 euro haal je met de
EV2460 een 23,8-inch full-hd-scherm in huis,
maar die zijn er ook al voor 100 euro. De Eizo
moet dus meer bieden naast de goede naam
en de vijf jaar fabrieksgarantie.
Specifiek voor het WT-model is de witte
kleur. Zeker in een (kantoor)omgeving waar
je tegen de achterkant aankijkt, kan dat
beter in het interieur passen. Het plastic
oogt misschien niet luxe, maar zorgt voor
een laag gewicht (3,8 kg zonder voet) en de
verstelmogelijkheden op de voet zijn uit-
stekend (140 mm in hoogte, 180° draaibaar
naar portretstand, 35° naar achteren en 5°
naar voren).
De EV2460 is erg compleet qua aanslui-
tingen, met DisplayPort (HDCP 1.3), HDMI
(HDCP 1.4), DVI-D (HDCP 1.4) én D-Sub. De
speakers onder in de schermrand geven ge-
luid weer dat via HDMI, Display Port of van de
audio-ingang binnenkomt – of je gebruikt
de hoofdtelefoon aansluiting. Het scherm
hee� ook een usb-hub met 4 × USB 3.1
Type-A-poorten.
Het stand-byverbruik is erg laag en een
ingebouwde lichtsensor kan de helderheid
automatisch aanpassen aan het omge-
vingslicht. Paper Mode filtert blauw licht en
biedt nog meer kijkcomfort. Dat en andere
extra’s, zoals so� ware om gebruikersinstel-
lingen bij te houden, maakt de prijs zeker
redelijk.
Wat direct aan de Smart Tab opvalt, is de
dikke ‘buis’ onderaan waarin aan weerszij-
den de JBL luidsprekers zitten. Het geluid is
daadwerkelijk beter dan van de meeste ta-
blets en kan flink hard. De verdikking is ook
handig vastpakken in portretmodus, maar
de volume en stand-byknop zitten dan on-
deraan als je dat met links doet. De onderste
knop voor stand-by vonden we niet intuïtief
in landschaps modus. Erg handig is wel de
uitklapbare standaard waarmee je de tablet
rechtop zet of ophangt.
Bij het uitklappen van de standaard kun
je automatisch de ‘ambient modus’ van
Google Assistent laten starten. Die toont
(met wat instelwerk) allerlei informatie op
het scherm en de tablet fungeert dan als
een smart display dat met drie ingebouwde
microfoons reageert op stemcommando’s.
Dat werkt tot op zekere hoogte, maar een
echt smart display werkt beter.
Als tablet behoort de Smart Tab tot de
midden klasse en voldoet hij prima voor me-
dia en casual-games, maar niet voor zwaar-
dere games. De accuduur is redelijk, het
IPS-scherm oogt binnen prima en voldoet
voor buiten in de schaduw. De opslagruimte
is met 64 GB behoorlijk en kan via microSD
worden uitgebreid. Al met al een interes-
sante tablet met een handige vorm voor
mediaconsumptie, maar het smart-gedeel-
te vraagt (van Google) nog wat werk.
De Red SA500 is verkrijgbaar als 2,5”-schijf
met maximaal 4 TB opslag. Daarnaast is er
ook een M.2-2280-model verkrijgbaar van
maximaal 2 TB. Beide hebben een SATA-
interface. WD hee� de SA500 vooral in de
markt gezet als ssd-cache voor de bestan-
den op NAS-schijven, en niet zozeer om te
gebruiken als opslagschijf. Je zou hem ove-
rigens best als zodanig kunnen gebruiken,
aangezien hij ontworpen is voor continu ge-
bruik.
Het testmodel was een Red SA500 met
een capaciteit van 500 GB. Die haalde bij
het lezen maximaal 560 MB/s. Als cache is
het schrijven belangrijker, en de maximale
snelheid van 540 MB/s zakte al na enkele
seconden in naar 300 MB/s.
Als de NAS energiebesparing via Link
Power Management ondersteunt, verbruikt
de SA500 idle ongeveer 0,1 watt, anders is
het 0,4 watt. Tijdens gebruik is de ssd met
bijna 2 watt behoorlijk zuinig. WD biedt 5
jaar garantie op de drive, of maximaal 350
TB geschreven data, wat neerkomt op 500
GB per dag.
Gebruikers die een doorsnee Gigabit-
netwerk hebben, zullen met de ssd in hun
NAS weinig snelheidswinst ervaren in ver-
gelijking met een NAS zonder deze versnel-
ler. Als je een sneller netwerk hebt, dan zou
het gebruik van een SA500 wel interessant
kunnen zijn.
De FlexScan EV2460-WT wijkt af van
veel andere Eizo-monitors: hij is rela-
tief goedkoop én hij is wit. Maar er zijn
ook veel vertrouwde kenmerken.
De Smart Tab is een tablet met een
afwijkend design. Dankzij Google
Assistent ‘ambient mode’ kan hij
ook als smart display dienen.
Harde schijven zijn traag. De Western
Digital Red SA500 NAS-ssd zet je in
als cache en moet op die manier je
netwerkopslag vlotter maken.
Review / Hardware
uitgave 4/2020 25
fabrikant Seagatemodel ZP1000GM30002
ssd-formaat M.2 80 mmhoogte 3,6 mm
seagate.com € 250
aansluiting USB-C, via Y-splitter naar USB type A
meegeleverd case, 2 × USB-C-kabel, Y-splitter, USB-C naar type A-kabel, steunen, keycap, switchpuller
dygma.com vanaf 266 dollar
fabrikant Western Digitalmodel WDBA3S0010BBK-WESN
afmetingen 11,8 × 6,2 × 1,4 cm gewicht 114 gram
wdc.com € 290
Seagate Firecuda 520
Snel, heet, duur
Dygma Raise
Ergo-gamen
WD Black P50 Game Drive
Ssd met USB 3.2
Een Phison-controller PS5016-E16, 1 TB 3D-
TLC-flashgeheugen van Toshiba en 1 GB
DRAM, en klaar is weer een PCIe 4.0-ssd. Dat
geldt echter niet voor de Seagate Firecuda
520, maar wel voor alle ssd’s met die nieuwe
snelle interface, zoals Corsair, Gigabyte en
Patriot die leveren.
Omdat de Firecuda 520 echter geen
koellichaam hee� , wordt de schijf bij een
continue belasting flink heet, waardoor de
ssd-controller na verloop van tijd de snel-
heid afremt.
Dat valt met name op tijdens het schrij-
ven: vergelijkbare ssd’s met koellichaam
kunnen een schrijfsnelheid van 4,3 GB/s lan-
ger dan een minuut vasthouden, maar bij
de Firecuda 520 zakt die naar 3,75 GB/s. Bij
benaderingen van random adressen haalt
de ssd 360.000 IOPS, slechts de hel� ten op-
zichte van de concurrenten.
Bij het lezen zit de Firecuda met 5 GB/s
en meer dan 770.000 IOPS dicht bij de ande-
re modellen. De lagere schrijfprestaties zul
je in het dagelijkse leven nauwelijks merken.
Maar wat de meeste mensen zal afschrikken,
is de relatief hoge prijs die je betaalt vergele-
ken met de andere modellen. Die koop je al
voor zo’n 220 euro of minder, terwijl je voor
de Firecuda minstens 250 euro moet neer-
tellen.
Het Raise-toetsenbord is ontworpen voor
comfortabeler gamen. Het splitsbare toet-
senbord hee� verwisselbare switches (hot-
swap) en biedt uitvoerige instellingen via de
so� ware. Je kunt kiezen uit kleuren voor de
behuizing, lay-out, Cherry-MX-switches en
Kailh-Speed-switches.
De polssteunen zijn afneembaar en af-
wasbaar. De RGB-verlichting verlicht de key-
caps en een dunne rand onderaan beide
delen. Het mechaniek om de Raise in twee
stukken te delen is degelijk en makkelijk in
gebruik. De beide delen zitten met USB-C-
kabels op een Y-splitter.
Met alleen het linkerdeel en je muis er
vlak naast zitten je schouders in een veel
meer ontspannen houding. De gebroken
spatiebalk en de keuze voor verschillende
hoogte toetsen laten je vingers de toetsen
op een natuurlijke manier vinden. De cursor-
toetsen en het nummerblok zitten stan-
daard verstopt onder de tweede ‘laag’, die je
bereikt via een (zelf gekozen) toets.
De Dygma Raise is op een zeer specifieke
doelgroep gericht en blinkt uit in de vele ma-
nieren om hem naar je eigen hand te zetten.
Hij is wel minder geschikt voor je als je flin-
ke handen hebt. De prijs is fors, maar voor
dat geld krijg je wel veel kwaliteit en opties
naast het meer ergonomisch gamen.
Ondanks de verwarrende benamingen die
usb-standaarden de laatste jaren hebben,
staat één ding vast: een nieuwe usb-versie
is altijd sneller dan de oude. We kregen de
mogelijkheid de 1TB-versie van de WD Black
P50 Game Drive te testen, de eerste ssd met
de nieuwe USB 3.2 Gen 2x2-interface met 20
Gbit/s.
De P50 is niet bepaald onopvallend: een
dikke zwartmetalen behuizing met koel-
ribben en ontluchtingsgaten, 12 × 6 centi-
meter groot en 114 gram zwaar. Over wat
er binnenin zit gee� de usb-controller geen
informatie. Toen we hem openschroefden
troff en we alleen een in zwarte folie vast-
gesoldeerde M.2-ssd aan. Vermoedelijk gaat
het om een snelle PCIe-ssd.
De datasnelheden passen daar ook bij:
sequentieel leest en schrij� de schijf de data
met meer dan 2 GB/s via de usb-poort. Bij
het benaderen van random verdeelde data
haalt de P50 meer dan 50.000 IOPS. De schijf
houdt zijn hoge schrijfsnelheid wel een lan-
ge tijd vol.
Het grootste mankement aan de Black
P50 is dat de schijf wel op een geschikt ap-
paraat aangesloten moet zijn om die snel-
heid te halen. Als je geen pc hebt die de stan-
daard ondersteunt, haal je de snelheid niet
en heb je meer aan een goedkopere ssd.
De Firecuda 520 van Seagate hee�
dezelfde onderdelen als alle andere
PCIe 4.0-ssd's, maar dan wel zonder
koellichaam.
Ex-e-sporters wilden een ‘perfect’
ergonomisch gaming-toetsenbord
bouwen: compact, splitsbaar, en naar
eigen (switch)smaak aan te passen.
Met een externe ssd kun je lekker snel
back-uppen. De WD Black P50 Game
Drive kan dat met een supersnelle
usb-poort wel heel snel.
Review / Hardware
26 www.ct.nl
Wil je buiten jouw gebaande IT-paden gaan?
Deze acti e is geldig t/m 31 maart 2020. Je abonneert tot wederopzegging en voor ten minste de acti eperiode van 3 nummers.
Na de acti eperiode wordt het abonnement automati sch verlengd tegen het dan geldende standaardtarief. Opzeggen is heel eenvoudig en kan via onze klantenservice.
ABONNEER JE NU VIA
OF BEL NAAR +31 (0)85 2250 505LEES.CT.NL
ONTVANG 3X C’T VOOR
€ 20,-
De allernieuwste uitgave
automatisch op je deurmat
Makkelijk opzegbaar
producent Sergey Poznyakoff systeemeisen Linux
puszcza.gnu.org.ua gratis
ontwikkelaar Genymobileplatform Android c.q.
Linux/macOS/Windows licentie Apache License 2.0
genymobile.com gratis
GNU Rush 2.1
Grenzen stellen
scrcpy
Bzndr hndg
De doel van de Restricted User Shell (Rush)
is primair om de toegang tot bronnen van
een server te regelen, bijvoorbeeld tot een
Git-repository of tot externe bronnen die
door een client via scp of rsync worden
aangeroepen. Daarvoor controleert Rush
voordat er een commando wordt uitgevoerd
of een van de gedefinieerde regels daarop
van toepassing is. Bij het formuleren van die
regels kun je als beheerder reguliere expres-
sies gebruiken om complexe commando's te
onderscheppen. Rush kan de commando’s
dan vervolgens aanpassen om er zeker van
te zijn dat bij het aanroepen van scp bijvoor-
beeld ook daadwerkelijk /bin/scp start.
Rush kan ook programma’s van te vo-
ren starten en op die manier bijvoorbeeld
een chroot-omgeving opbouwen. Dat is met
name interessant voor programma’s zoals
scp, waarmee anders systeembestanden ge-
kopieerd zouden kunnen worden. Rush kan
bovendien de toegang tot systeembronnen
begrenzen en bijvoorbeeld het gebruik van
de opslagruimte beperken.
De meegeleverde tool rushwho toont
alle gebruikers die Rush op dat moment
gebruiken. De andere tool rushlast toont
alle commando’s die tot dan toe uitgevoerd
zijn. Rush kan commando’s uitvoeren die
als para meter worden opgegeven. Ook kan
het als login-shell fungeren of een nieuwe
shell-instance in een interactieve modus
starten.
Met scrcpy (screen copy) kun je de scherm-
inhoud van een smartphone die via usb met
de pc is verbonden in een eenvoudig ven-
ster weergeven. Daarvoor hoef je niets op
de smartphone te installeren. Dat is moge-
lijk dankzij de Android Debug Bridge (ADB).
Je moet op de Android-smartphone dan
wel de usb-foutopsporing activeren bij de
ontwikkelaarsopties. Telkens wanneer er
verbinding wordt gemaakt, zet scrcpy auto-
matisch een kleine server-applicatie via
adb op de smartphone waar de verbinding
over loopt. Indien nodig kan de ADB ook via
TCP/IP communiceren. Dan kun je de usb-
kabel verwijderen. Meer informatie staat op
github.com/Genymobile/scrcpy.
De weergave is interactief. De telefoon
reageert op muisklikken in het weergave-
venster en met het toetsenbord van de
computer kun je teksten direct op het toe-
stel invoeren. Er zijn sneltoetsen voor veel-
gebruikte handelingen, zoals het bedienen
van de volumeknoppen en het schakelen
naar het startscherm. Ctrl+C in het venster
kopieert het klembord van de telefoon naar
het klembord van de computer, Ctrl+V plakt
het klembord van de computer op de tele-
foon.
Dat alleen al maakt scrcpy een bijzon-
der handig tooltje. Je kunt daarmee bij-
voorbeeld lange chatberichten typen op je
computer, ook als de chat-app geen pc-ver-
sie heeft . De tool is ook erg handig voor
Met GNU Rush kun je op een Linux-
systeem de mogelijkheden van de shell
doelgericht inperken en bepalen wie
welke commando’s mag uitvoeren.
Met de kleine commandline-tool scrcpy kun je het display van een Android-
telefoon op je computerscherm laten zien. Daar kun je de smartphone
vervolgens dan ook mee bedienen. Daar zijn allerlei verschillende
toepassingsgebieden voor te bedenken.
presentaties waarbij interactie met een
mobiele telefoon van belang is.
De tool beschikt ook over een rudimen-
taire bestandsuitwisseling: als je een be-
stand naar het venster met het Android-
scherm sleept, wordt dat naar het apparaat
gekopieerd. Wanneer de tool wordt ge-
start, kun je instellen waar in het bestands-
systeem de bestanden terecht moeten
komen. Als het een Android-app in een
APK-bestand betreft , wordt de app direct
geïnstalleerd, wat handig is voor testdoel-
einden. De tool biedt geen mogelijkheid
om audio door te geven. Mogelijk dat dit bij
Android 10 verandert.
Via een aantal opties is het mogelijk om
het gedrag verder aan te passen aan het
beoogde gebruik. Je kunt bijvoorbeeld de
resolutie van het virtuele scherm wijzigen,
je kunt de schermuitsnede aanpassen en
je hebt de mogelijkheid je sessie als video
op te nemen. De tool slaat die dan naar
wens op als MP4- of MKV-bestand. De optie
--show-touches toont interacties met het
echte display van de smartphone, zodat je
die ook op het virtuele scherm kunt volgen.
Met --no-control schakel je weer terug naar
de weergave zonder interactie.
De tool scrcpy is opensource en be-
schikbaar voor Linux, macOS en Windows.
Er zijn verschillende installatievarianten en
er is ook een handleiding beschikbaar om
het zelf te compileren.
28 www.ct.nl
producten Andrew West systeemeisen Windows
babelstone.co.uk gratis
producent Kovid Goyal systeemeisen Linux, macOS, Windows
calibre-ebook.com gratis
producent Dylan Araps systeemeisen Linux, BSD, macOS, Haiku en andere systemen met bash
tiny.cc/fff2 gratis
BabelMap
Alle tekens
Calibre 4.9
Digi-bibliotheek
fff 2.1
Snel navigeren
In tegenstelling tot de ingeboude tool van
Windows zelf biedt BabelMap echt een vol-
ledige Unicode-ondersteuning. Het pro-
gramma kent niet alleen de 55.445 karak-
ters van het Unicode-niveau 0, maar alle
277.576 codepunten die door de huidige
Unicode-standaard 12.1 gedefinieerd zijn.
Aangezien er echter praktisch geen letter-
type is dat al die tekens kan weergeven,
scant het programma de geïnstalleerde
fonts en kiest het degene die de meeste te-
kens bevat voor elke sectie van de teken-
codetabel.
Tekens waarvan het Unicode-nummer
bekend is, zijn direct toegankelijk via deci-
male of hexadecimale invoer. Het program-
ma heeft ook een zoekfunctie om snel een
bepaald teken te vinden. Er zijn verschillen-
de zoekmethoden voor karaktersets uit het
verre oosten. Speciale tekens die vaak wor-
den gebruikt, kunnen worden opgeslagen
in een bladwijzerlijst.
Karakters kunnen worden gekopieerd
naar het klembord om ze over te nemen
in je eigen tekst. Dat kan als pure tekst of
inclusief formaatkenmerken. De tool kan
ook decimale of hexadecimale karakter-
codes exporteren voor gebruik in XML- of
HTML-documenten.
BabelMap is gratis voor alle doeleinden
en laat nauwelijks wat te wensen over op
het gebied van Unicode en fonts.
Om e-books te presenteren en beheren als
in een digitale bibliotheek, is de platform-
onafhankelijk beschikbare e-booksoft-
ware Calibre geschikt. Het scala aan func-
ties is enorm, Je kunt er e-books mee
lezen, beheren, voorzien van een be-
schrijving, cover en andere metadata – en
ze converteren naar verschillende forma-
ten.
Inmiddels is de geïntegreerde con-
tentserver verder uitgebreid. Die kan één
of meerdere Calibre-bibliotheken aanbie-
den via het lokale netwerk of via internet
op een website om ze te laten downloa-
den of lezen. Daardoor kunnen e-books
snel worden gedownload naar smartp-
hones, tablets en e-readers of direct in de
browser worden doorgebladerd.
De e-boeken kunnen via de website
van de contentserver in een geselecteerd
formaat worden gedownload of gelezen.
Als je een gebruikersaccount hebt, kun je
e-books ook uploaden, verplaatsen van
de ene naar de andere bibliotheek en de
metadata bewerken.
De Calibre-server kan geen metada-
ta van online diensten overnemen, maar
de server biedt wel de mogelijkheid om
Goodreads, Amazon, Google Books en
Wikipedia te doorzoeken op een boek of
auteursnaam. De metadata kan dan wor-
den overgenomen door die te kopiëren en
plakken.
Met behulp van de sneltoetsen die je kent
van de tekstverwerker Vim, beweegt fff zich
door de directorystructuur en markeert de
bestanden voor het kopiëren, verplaatsen of
verwijderen. Een andere toetsaanslag zet de
bestanden in de huidige map of verplaatst
te verwijderen bestanden naar de prullen-
bak. Daarbij gebruikt fff niet de prullenbak
van het bureaublad, maar heeft hier zelf een
aparte map voor.
De zoekfunctie levert zelfs tijdens
het typen van een woord al resultaten
op. Het programma kan ook meerdere
bestanden in één keer hernoemen (bulk
rename). Daarbij opent een tekstedi-
tor een lijst met bestandsnamen in de
tekst editor, waarmee je die kunt aanpas-
sen. Dan past fff de wijzigingen toe op
de bestanden. Met behulp van de tools
w3m-img en xdotool kan fff ook afbeel-
dingen weergeven, als de terminal dat
ondersteunt tenminste. Als een com-
mando moet worden ingevoerd, probeert
fff dat aan te vullen met de Tab-toets.
Alle sneltoetsen zijn aan te passen. De
filemanager geeft directory’s en bestan-
den een kleur volgens de specificaties
van de omgevingsvariabele LC_COLORS.
fff ondersteunt de variabele CDPATH,
waar je een standaarddirectory voor cd
mee in kunt stellen. Bij het afsluiten gaat
fff automatisch naar een vooraf ingestel-
de directory indien gewenst.
Het gratis programma BabelMap is een
alternatief voor Windows' eigen tabel
voor speciale tekens en blinkt uit met
verschillende extra functies.
Calibre is een uitgebreid beheer-
programma voor e-books en via de
ingebouwde contentserver kun je ze
lezen, downloaden en bewerken.
De Fucking Fast File-manager, oftewel
fff, neemt het snelle navigeren via de
Linux-commandline over en kan be-
standen batchgewijs hernoemen.
Review / Software
uitgave 4/2020 29
cpu Intel Core i9-9900K (3,6 GHz, 8 cores, 16 threads)
geheugen 64 GB DDR4 scherm 17,3 inch, 3840 × 2160, mat, IPS, 144 Hz gpu Nvidia Geforce RTX 2080 opslag 1TB-ssd (NVMe, 2 stuks in RAID 0), 1TB-3,5”-hdd besturingssysteem Windows 10 Pro adapter 2 × 230 W
msi.com € 4600
Bij het aanpakken van de doos voor
deze gaming laptop heb je vanwege de
af metingen en het gewicht al door dat
hier een flink performancemonster in ver-
borgen moet zitten.
Het scherm klapt een aantal centi meters
voor de achterste rand van de behuizing
open, en het is al direct zichtbaar waarom
dat zo is. De achterkant is namelijk vrijge-
laten en grotendeels opengewerkt (net als
de onderkant) voor het makkelijker kunnen
wegkrijgen van alle warmte van onder ande-
re de Intel Core i9-9900K, twee NVMe-ssd’s in
RAID 0 en een Nvidia GeForce RTX 2080.
Met een gewicht van 4,2 kilo schoon aan
de haak en een flinke hoeveelheid zichtbare
koperen heatpipes dankzij open gaas voor
voldoende airflow aan de onderkant, zet je
wel iets behoorlijk imposants op je bureau.
De laptop op je schoot zetten is alleen
aan te raden voor even kort iets anders doen
dan een spel spelen, maar sowieso wil je
voor gaming makkelijk kunnen muizen met
een losse muis op een vlak oppervlak. Lap-
tops van dit formaat wil je eigenlijk helemaal
niet op je schoot gebruiken.
Na het aansluiten van twee flinke adap-
ters (230 watt per stuk) met behulp van een
verloopstuk naar een enkele propriëtaire
aansluiting, is de laptop vervolgens klaar
MSI GT76 Titan DT 9SG
Stevige jongen
voor de strijd. Het IPS-scherm is 17,3 inch
groot en prettig mat, Het hee� links, rechts
en boven slechts een dunne rand. Daardoor
oogt het scherm ondanks het formaat nog
vrij bescheiden.
Voor het toetsenbord is samengewerkt
met de gaming-accessoirebouwer Steel-
series. Je hebt volledig instelbare RGB-
achtergrondverlichting tot je beschik-
king. Via functietoetsen zijn onder meer
het geluidsvolume en de intensiteit van de
RGB-verlichting en de schermhelderheid
makkelijk snel in te stellen.
Het toetsenbord is vrijwel fullsize, wel
is links de Windows-toets vervangen door
de functietoets. De toetsen zijn niet mecha-
nisch, wat binnen de gamingwereld wel be-
hoorlijk populair is, maar geven een prettige
feedback en hebben een fijne hoeveelheid
travel. Ze voelen degelijk aan. De RGB-
verlichting loopt in dunne strepen links- en
rechts op de behuizing door, en ook aan
de voorkant. Die lichtshow wordt weer ge-
reflecteerd via je bureau of andere onder-
grond.
Dynaudio hee� zich met de audio be-
moeid en we moeten zeggen dat het prima
klinkt als je een muziekje opzet: niet blikkerig
en geen overmatige vermoeiende hoeveel-
heid bas. Voor gaming zet je toch het liefst
Wanneer je een combinatie zoekt tussen nog enigszins draagbaar maar meer dan voldoende performance om in 4K te gamen,
heb je een flinke gaminglaptop nodig: zowel letterlijk als figuurlijk. De GT76 Titan DT 9SG hee� genoeg power in huis.
Alieke van Sommeren
een headset op voor beter positioneel ge-
luid. In de flinke behuizing is er gelukkig ook
ruimte voor een luxe hoeveelheid aansluitin-
gen. We tellen vier stuks type A usb-poorten,
een Thunderbolt- en normale USB-C-poort,
een netwerkpoort (extra snel met 2,5 Gbit/s),
microSD-kaartslot, mini- DisplayPort, HDMI,
microfoon- en headphone- jack en de propri-
etaire stroomaansluiting. Die laatste hee�
wat overigens wat weg van een gemodifi-
ceerde usb-poort.
Wifi-ac en Bluetooth mogen ook niet
ontbreken. De webcam is wat matig (720p).
Bij het spelen van een veeleisende game
gaat de laptop vrij snel over tot duidelijk
aanwezige ventilatorherrie, maar dat kan
ook niet anders met zoveel power in een
relatief ‘kleine’ behuizing. Het is vooral
veel geruis, maar geen hinderlijke overige
bijgeluiden. Wel is het jammer dat ondanks
de enorme hoeveelheid koeling de laptop
idle ook nog steeds een duidelijk hoorbaar
geruis produceert.
Voor de komende jaren kun je met deze
dikke hardware prima vooruit, maar het
wel zeer forse prijskaartje kunnen we niet
verantwoorden. Dit ondanks de uitstekende
specificaties en het feit dat je zelf nog kunt
sleutelen om bijvoorbeeld de ssd’s of accu te
vervangen.
30 www.ct.nl
Review / Hardware
afmetingen 24 cm × 26 cm × 12,6 cmwifi Wi-Fi 5
stand-by-verbruik 0,2 wattmeegeleverd laadring, adapter
sonos.nl € 400
Op het verlanglijstje van veel die-hard
Sonos-gebruikers staan bluetooth
en een versie die op een accu kan
werken al jaren bovenaan. Tot nu toe was er
een verlengsnoer nodig om het ‘draadloze’
muziek systeem af en toe in de tuin te parke-
ren voor een stukje sfeermuziek bij de bbq.
Vrienden moesten de Sonos-app installeren
of Spotify of AirPlay gebruiken om muziek af
kunnen te spelen.
De compacte Sonos Move is uitgerust
met een lithium-ion-accu die goed moet
zijn voor 10 uur muziek afspelen. De accu
is niet door jezelf te vervangen, helaas. De
Move draaide bij de test 14 uur op een ge-
middeld hard volume.
We missen wel een echte accuniveau-
indicatie direct op het apparaat. Er licht nu
alleen een ledje op zodra de Move op een
stroombron wordt aangesloten. Als je wilt
weten hoe het met de accu staat, moet je
de Sonos-app gebruiken.
Het ontwerp van de donkergrijze Move
is erg eenvoudig en misschien zelfs een
tikje ouderwets. Hij voelt wel lekker de-
gelijk aan. Met z’n drie kilo is hij niet voor
elke situatie onderweg even geschikt, maar
er heen en weer mee pendelen tussen de
woonkamer en de tuin is geen probleem.
Met de IP65-rating is een onverwachte
regenbui geen issue, een duik in het zwem-
bad gaat de speaker echter niet waar deren.
Opladen gebeurt via de mee geleverde han-
dige oplaadring of via USB-C. Om hem zo
snel mogelijk op te laden via USB-C heb
je wel een adapter nodig die snelladen
Sonos Move
Draagbare draadloze muziek
aan kan. Sonos verkoopt de laadring met
een adapter los voor een forse 80 euro. De
Move is ontworpen als een tweeweg-mono-
systeem. Hij bevat een gecombineerde low-
en midrange driver en een tweeter.
Net als de Sonos One hee� hij zes richt-
microfoons en kan hij worden gebruikt in
combinatie met Alexa of Google Assistant.
De Move gebruikt de microfoons ook voor
een automatisch kalibratie. Die wordt ge-
activeerd wanneer de ingebouwde bewe-
gings sensor een wijziging in positie signa-
leert.
Voor een op een accu werkende luid-
spreker klinkt de Move rijker qua details
en wat krachtiger dan de bekabelde Sonos
One. De bluetooth-prestaties waren ech-
ter minder indrukwekkend: bluetooth kan
De Sonos Move smart-speaker is de eerste uit het aanbod van Sonos die op een accu zijn werk doet en via bluetooth je favoriete
muziek af kan spelen. Even snel een nummer laten horen is er echter niet makkelijker op geworden.
Sven Hansen en Alieke van Sommeren
alleen worden gebruikt ná het instellen,
wat op zijn beurt weer via wifi moet ge-
beuren. Dit is nogal verwarrend. In de blue-
toothmodus heb je geen toegang meer
via de app. Een ander nadeel is de mage-
re codec- ondersteuning: naast SBC is er al-
leen het lossy AAC.
Om lossless te kunnen streamen, heb
je weer wifi nodig voor AirPlay of Spo-
tify Connect. Eigenlijk zouden twee los-
se Moves de perfecte kandidaten zijn voor
surroundspeakers. Met de geteste firmware
is dat echter nog niet mogelijk, dus we ho-
pen dat een update die functionaliteit nog
snel toevoegt. De Move is een frisse nieuwe
aanwinst, maar is nog wat te fors (net als
de prijs) en niet flexibel genoeg als het om
bluetooth gaat.
uitgave 4/2020 31
Review / Hardware
cpu, geheugen Nvidia Tegra X1+, 3 GB opslag 16 GB
video-out HDMI 2.0b (met HDCP 2.2 en CEC) videocodecs HEVC (4K60HDR), H.264 (4K60), VP8/9 (4K60), MPEG-1/2 (4K60), H.263 (1080p60), MJPEG (1080p60), MPEG4 (1080p60), WMV/VC1 (1080p60)
meegeleverd remote (incl. batt.), adapter
nvidia.nl € 220
De nieuwe Shield TV Pro is een van de
twee nieuwe Shield-streamers van
Nvidia. Naast de Pro is er nog de stick-
vormige Shield TV. De vorige Shield uit 2015
was zeer populair en legt de lat wel behoor-
lijk hoog voor de nieuwe Shield TV Pro.
De oude versie bood namelijk al op-
ties zoals streamen van 4K-content en het
afspelen van HDR-content in het populai-
re HDR10-formaat. Je kunt met dat model
ook Netflixen en Amazon Video gebrui-
ken, maar ook eigen content inclusief de
3D- audioformaten Dolby Atmos, DTS:X en
Auro-3D beluisteren – zoals van een NAS.
Dat wordt mogelijk gemaakt door Kodi, die
zonder allerlei kunstgrepen simpelweg via
de Google Play Store is te installeren.
De TV Pro lijkt op foto’s misschien iden-
tiek aan zijn voorganger, maar de schijn be-
driegt: het nieuwe model is maar ongeveer
half zo groot als de vorige versie. Nvidia hee�
de bluetooth/infrarood- afstandsbediening
flink onder handen genomen en uitgerust
met een aparte Netflix- knop. De knoppen
lichten op als je de remote oppakt.
Android TV is nog steeds het besturings-
systeem, met de meegeleverde stemassis-
tent van Google. Hij luistert niet permanent
mee, maar neemt commando’s aan na het
indrukken van een speciale knop.
Nvidia Shield TV Pro
Media-multitalent
De nieuwe Shield TV Pro kan overweg met
Dolby Vision, dat in steeds meer films en se-
ries gebruikt wordt. De ondersteuning hier-
voor is tot nu toe echter beperkt tot video-
streamingdiensten zoals Netflix, aangezien
er nog geen Kodi-versie met bijbehorende
ondersteuning beschikbaar is. Hoe lang we
daar op moeten wachten is niet bekend.
Er is niets veranderd aan de afspeel-
opties van de Shield – en daar is niets mis
mee. Hij speelt content in de belangrijkste
formaten (zie de tabel) zonder problemen
af, zelfs van opslagmedia die zijn aangeslo-
ten op de twee USB 3.0-aansluitingen.
De verversingssnelheid kan echter nog
steeds alleen op een vaste waarde worden
ingesteld, wat bij sommige tv’s leidt tot
lelijke stotteringen bij snelle bewegingen.
Nvidia komt nog met een firmware-update
om dat te verhelpen.
Een ander minpunt is hoe Nvidia CEC in
de Shield TV Pro hee� geïmplementeerd.
Om de een of andere onbekende reden
vroeg de box onze tv en audio/video-
recorder herhaaldelijk om over te schakelen
naar zijn ingangs kanaal zonder dat we ook
maar enigszins in de buurt van de remote
waren. Een oplossing in de maak.
Nieuw is de met behulp van AI geopti-
maliseerde upscaler, die 720p- en 1080p-
De Nvidia Shield TV Pro biedt toegang tot je favoriete streaming-apps en je eigen storage om content in allerlei formaten af te
kunnen spelen. Een van de nieuwe features is de met artificiële intelligentie geoptimaliseerde upscaling.
Nico Jurran en Alieke van Sommeren
video’s met maximaal 30 fps tot 4K-
resolutie kan opschroeven. Binnen de
redactie waren er behoorlijke verschilden
van mening over de kwaliteit daarvan: in
het algemeen beoordeelden veel mensen
de resultaten met een beamer beter die van
de geïntegreerde upscaler daarvan.
Maar in vergelijking met een goede tv
vonden sommige mensen het door Nvidia’s
AI berekende beeld te veel verscherpt en
daardoor zeer onnatuurlijk ogen.
De nieuwe streamingbox hee� de
Tegra X1+-cpu gekregen in plaats van de X1.
De Shield TV Pro haalt daarmee een score
van 3996 punten bij de Android 3DMark-
benchmark Sling Shot Extreme – OpenGL
ES 3.1, terwijl het voorgaande model 3641
punten als score mocht noteren. Je merkt
echter niets van deze prestatieboost bij het
kijken van content.
Wil je een streamer die alles zonder
tegenstribbelen vanaf je NAS kan afspelen,
zet de Shield TV Pro dan maar alvast op
je wensenlijstje. Voor gebruikers van de
vorige versie is een upgrade alleen de
moeite waard als de huidige upscaling je
niet goed genoeg bevalt.
Als de ondersteuning voor Dolby Vision
voor Kodi beschikbaar komt, is het pakket
mooi compleet.
32 www.ct.nl
LICHT IN ELKE HOEK kck.st/2ZVck9c • vanaf 69 dollar
Wat zou er nu beter passen bij een zeer draagbare gameconsole dan een zeer draag-
baar dock? Dat idee leidde tot de Genki covert dock: een extreem portable dock voor
de Nintendo Switch. Met een stekker, HDMI-poort, en twee usb-poorten verbind je
je Switch supereenvoudig met je tv. De USB 3.1-poort is voor accessoires, de USB-
C-poort is voor het laden via Power Delivery (3.0-standaard). Tijdens en even na de
crowdfundingcampagne kwam destijds bijna 1,8 miljoen dollar binnen, dus vraag
is er in ieder geval genoeg. De makers vermelden dat de dock zo lekker klein is (90
procent kleiner dan de originele dock) dankzij galliumnitride, ook wel het silicium
van de toekomst genoemd. En hij is dan wel bedoeld voor de Nintendo Switch, je
kunt hem ook prima gebruiken in combinatie met andere USB-C-apparaten.
Cocktails: wel lekker, maar altijd toch weer een hoop gedoe. Voor-
al als je wat mensen over de vloer hebt wordt het al snel een tijd-
rovende klus. Maar geen nood: de Bartesian helpt je aan je favoriete
mixdrankje. Zie het als de Nespresso-variant voor cocktails brouwen.
Zorg dat de reservoirs gevuld zijn met wodka, tequila, whisky, gin en
water. Stop je favoriete cocktailcapsule (die bitters en sapconcentra-
ten bevatten) in het apparaat en voilà: nippen maar. Qua capsules
is er een ruime keuze met onder andere whiskey sour, Long Island
iced tea, gimlet, margarita, sazerac, mint julep, cosmopolitan, up-
town rocks, old fashioned en een spiced coffee. Meer smaken staan
op de planning, en stuur vooral ook je suggesties aan de makers door.
Ben je van plan zeer regelmatig te nippen? Dan is er een maandelijks
abonnement met 18 capsules, opgemaakt uit 3 smaken naar eigen
keuze. Zo bespaar je weer een klein beetje en lounge je lekker door.
Een kast induiken om snel even iets te vinden is vaak las-
tig door het gebrek aan fatsoenlijk licht. Een simpele spot
of een enkele lamp werkt niet effectief om het interieur
gelijkmatig te verlichten zodat je alles goed kunt zien. De
Luminook moet dat veranderen. Met een ledstrip om je
hele deurkozijn die reageert op beweging, regel je eenvou-
dig een egale, complete verlichting in donkere hoeken en
gaten. Het gebruik is niet beperkt tot kasten of aanverwan-
te plekken, het is ook handig voor onder keukenkasten of
als accentlicht. Naar keuze gebruik je een standaard of ex-
tra krachtige accu, een bestaande armatuur (met adapter
naar USB) of een stopcontact. De controlemodule plaats je
in de kast onderaan bij het deurkozijn, zodat hij niet opvalt.
De kleurtemperatuur en helderheid is instelbaar. Er zit een
do-not-disturb-functie op die je activeert door de deur een
tikje te openen, snel dicht te doen en weer open. Totdat de
deur weer dicht wordt gemaakt blijft het licht uit.
Tips / Lifestyle
SWITCH-DOCKJE igg.me/at/covert-dock • vanaf € 53
MAKKELIJK MIXEN bartesian.com • 350 dollar
34 www.ct.nl
Hoe kun je het beste beginnen met het
terug proberen te krijgen van je pri-
vacy en het veilig houden van je
persoonlijke data? De app Jumbo:
Privacy + Security geeft je op een
eenvoudige manier weer de con trole
over je eigen data. De app scant de
apps en diensten die je gebruikt (Twit-
ter, Facebook, Alexa en Gmail en der-
gelijke) en controleert ook of je e-mail-
adres in een lek naar boven is komen
drijven. Na de gekozen scan verschijnt
een lijst met acties die je kunt uitvoe-
ren om je online privacy en veiligheid
op te schroeven. Denk bijvoorbeeld
aan het weggooien van oude tweets
en Facebookberichten, en het instel-
len van tweefactor-authenticatie. En
over privacy gesproken: het scannen
wordt alleen lokaal op je telefoon uit-
gevoerd, er gaat niks richting servers
van anderen en er is dus helemaal
geen data die kan worden verkocht of
gedeeld.
Wiskundige formules oplossen is
absoluut niet iedereen zijn hobby.
Gelukkig zijn we inmiddels zo ver dat
je sommen niet alleen snel en makke-
lijk kunt laten oplossen, maar je ook
met een wat kennis bijgebracht krijgt.
De Microsoft Math Solver kan foto’s
van formules in tekst omzetten om
verder te verwerken. Hij kan ook over-
weg met getypte en op het scherm
geschreven formules. Hij toont je niet
alleen de oplossing, maar ook het
stappenplan van begin tot eind met
eventuele grafieken, zodat je hope-
lijk een ‘a ha’-moment krijgt en weer
wat hebt bijgeleerd. Als je nog wat ver-
der naar beneden scrolt als de oplos-
sing voor je neus verschijnt, zie je nog
meer algemene uitleg over de soort
for mule. Dat is inclusief instructie-
filmpjes, voorbeeldformules om mee
te oefenen en vergelijkbare sommen
op internet. Nederlands wordt helaas
(nog) niet ondersteund als taal.
IN VERWEER Android / iOS (gratis)
HANDIG ZORGEN Android / iOS (gratis)
PRETTIGER
REDDITTEN iOS (gratis)
KEEP IT SIMPLE iOS (gratis)
OPLOSSEN Android / iOS (gratis)
Bij het mantelzorgen is het handig om met alle zorg-
gevers samen een actueel beeld te hebben van de situ-
atie van je familielid of bekende, en dat op elk moment
van de dag. Door samen te werken in de CareZare-
app als team, zien alle betrokkenen of en wanneer
de medi cijnen zijn ingenomen, en wat er de komende
tijd op de planning staat. De taken worden verdeeld
en acti viteiten worden gezamenlijk gepland. Zodra
er een nieuw event in de app wordt gelogd, kunnen
speci fieke personen met een notificatie op de hoog-
te worden gebracht. Behalve via de app kan CareZare
ook vanaf de desktop worden gebruikt.
Reddit is een erg populair sociaal platform, met zeer
uiteenlopende subreddits over allerlei onderwerpen.
De standaard Reddit-app laat echter nogal wat te
wensen over qua gebruiksvriendelijkheid. Met de
Apollo-app krijg je niet alleen een lekker vlotte app,
maar ook eentje met een mooi native iOS-design,
naar keuze in te stellen gestures, een snelle mediavie-
wer (o.a. HTML5-gifs met time-scrubbing) plus pretti-
ge, intuïtieve navigatie. En niet te vergeten een krach-
tige Markdown-editor waardoor je ook op je mobiele
apparaat makkelijk opmaak op je tekst kunt toe-
passen.
Beter eten is een goed streven, maar niet altijd zo mak-
kelijk als het lijkt. Je hebt niet snel zin om elke afzon-
derlijke pinda, glas water, blaadje sla of stuk worst te
gaan loggen. Food Diary by Moderation houdt het
simpel, zelfs een account of het doorgeven van je
e-mailadres is niet nodig. Je geeft aan of je maaltijd
gezond of ongezond was. Of iets gezond is, baseer
je op je eigen persoonlijke doelen. Het belangrijkste
is om consequent te zijn. Omdat het loggen super-
simpel is en vrijwel geen tijd kost, haal je makkelijker
je streaks en blijf je gemotiveerd.
Tips / Apps
uitgave 4/2020 35
Tips / Games
Je bent het bewustzijn verloren en ontwaakt ter-
wijl er om je heen een gebouw in elkaar aan te stor-
ten is. Dat is een lekkere binnenkomer. Het blijkt dat
je na het bijwonen van een (overduidelijk niet be-
paald vlekkeloos verlopen) demonstratie van Light-
matter wat aan de late kant bent om te evacueren.
Dus nu zit je vast in een experimenteel ondergronds
laboratorium. Gelukkig spreekt een stem je via de
intercom toe om je te helpen alsnog veilig boven-
gronds te komen.
Maar het mislukte experiment heeft niet alleen
hele gangen en deuren geblokkeerd, ook de schadu-
wen zijn levensgevaarlijk geworden. Een stapje in de
schaduw “will tear you apart on the sub-atomic level”,
om het even heel duidelijk te maken. Het is zaak het
einde van elk level te halen door je pad letterlijk te ver-
lichten. Het begint simpel, maar wordt al snel puzze-
len met lampen en knoppen, bewegende platformen,
een goede timing en heen en weer hupsen tussen be-
paalde delen van levels om de uitgang te halen. Tij-
dens het gepuzzel door de levels leer je steeds meer
over hoe Lightmatter is ontdekt en welke intriges er
speelden in het geheime ondergrondse lab. Voor dat
laatste vind je op bepaalde plekken stemrecorders.
LIGHTMATTER Aspyr / Tunnel Vision Games • € 17 • Windows
THE BLIND PROPHET Ars Goetia • € 20 • Windows
The Blind Prophet is een point&click-adventure met
een donker en rauw horrorsausje. Dat is niet zo gek
aangezien hoofdpersoon Bartholomeus een apos-
tel uit de hemel is van tweeduizend jaar oud, die met
zijn zwaard demonen een kopje kleiner maakt. Hij
arriveert in Rotbork, een stadje dat te maken krijgt met
mysterieuze sterfgevallen en mensen die ineens beze-
ten raken door demonen. Je zoektocht naar de kern
van de ellende begint bij het redden van een jonge-
dame, die werd lastigvallen door een bezeten man.
Die man is inmiddels een stuk arm en een hand armer,
dus de eerste zoektocht kan relatief eenvoudig wor-
den voortgezet door het volgen van een bloedspoor.
De game heeft de standaard point&click-bedie-
ning als je over items hovert met je muis. Items zijn
ook te combineren tot een nieuw item, en bepaalde
opties worden pas beschikbaar nadat je met persoon
x hebt gepraat of wat stappen terug en weer vooruit
hebt gezet.
De puzzels zijn niet frustrerend moeilijk, maar
een leuke afwisseling tussen het praten en ontdekken
door. Wel heb je af en toe ‘maak de juiste keuze anders
ga je dood’-keuzestress. Je hebt een hulpje bij het zoe-
ken naar items waar je interactie mee kunt hebben:
als apostel kun je met de Stalker’s Eye de ‘aanwezig-
heid van demoonse invloeden’ onthullen. Dat lijkt een
valsspeeltactiek, maar je hoeft het natuurlijk niet te
gebruiken. Het biedt beginnelingen in het genre wel
een manier om meer van het verhaal te genieten.
Naast het goed vertelde verhaal zijn de visuele stijl
en de geluiden en soundtrack dik in orde. Bij het be-
zoek aan de lokale stripclub kwamen lekkere catchy
beats onze oren binnen. De dialogen zijn niet volledig
ingesproken. De handgetekende game oogt prachtig,
meer als een soort interactieve comic waar je door-
heen wandelt. Als we dan toch iets negatiefs moeten
noemen, zijn dat de soms wat kromme vertalingen
van het originele Frans naar het Engels.
De game heeft leuke humor, ook een prettig tempo en
het verhaal en de stemacteurs maken er een mooie
ervaring van waar je voor je gevoel veel te snel door-
heen bent. De savegames zijn ook prettig ingeregeld,
waardoor je niet frustrerend veel stappen overnieuw
hoeft te doen als je toch een keer op subatomair ni-
veau uit elkaar spat. Het spel is een uur gratis uit te
proberen.
36 www.ct.nl
Tips / Websites
LESJE AFWEERGESCHUT hacksplaining.com
NARE IMPACT nuclearsecrecy.com/nukemap
VERDACHT GOED reviewmeta.com
WERELDBURGERSTATISTIEK population.io
DIEP IN DE ZEE neal.fun/deep-sea
Je bent beginnend developer of een hobbyprogrammeur die wat wil leren over het
hackbestendig maken van je werk? Hacksplaining.com leert je in verschillende
stappen hoe bepaalde kwetsbaarheden werken. Zo krijg je van de populaire aan-
vallen SQL-injection, click-jacking, cross-site-scripting, denial-of-service-attacks,
email-spoofing, malvertising en meer een mooie real-life demonstratie in stappen
voor je neus met daarna infor-
matie over hoe groot de kans
is dat je daar last van gaat krij-
gen. En ook hoe makkelijk de
betreffende kwetsbaarheid te
benutten valt en wat de im-
pact is. En belangrijker nog:
hoe je al die ellende kunt voor-
komen door goede code te ge-
bruiken. Als afsluiter krijg je
nog wat extra leesvoer om je in
het onderwerp te verdiepen.
Hoeveel personen zijn er eigenlijk ouder dan jij, en
hoeveel jonger? Op population.io kun je in eigen land
en uit vergelijkingen met andere landen zien waar je
precies staat. Hoe oud ga je worden, en wat als je in
een ander land was geboren? Het wordt pijnlijk duide-
lijk dat in veel landen de levensverwachting een stuk
lager ligt. Maar je ziet ook dat die de afgelopen decen-
nia behoorlijk snel is toegenomen.
Warm je vingers alvast goed op voor een stevig potje scrollen. Hoe dieper je bij
neal.fun/deep-sea duikt, des te vreemder, exotischer, lelijker, prachtiger of meer
bizar de levensvormen worden. De Japanse reuzenkrab kan zo in een monsterfilm
over door gelekte radioactieve straling gemuteerde krabben en de Riemvis wordt
maar liefst 11 meter lang. Als je bent beland in de zone waar het daglicht niet meer
bij kan, regelen de levens-
vormen zelf wel een stuk-
je veRlichting dankzij bio-
luminantie. Die kun nen
wel 200 jaar oud worden.
En over volhouden ge-
sproken: de Kobol haai
is een zeldzame haaien-
soort die eigenlijk ook wel
een levend fossiel wordt
ge noemd. Deze soort is
de enige afstammeling
van een familie die al 125
miljoen jaar op de aarde
meedraait.
Het is gelukkig heel lang geleden dat er in het echt
een atoombom op een stad viel. Maar als het zover
zou komen, wat voor een impact heeft dat dan op bij-
voorbeeld een stad als New York of Amsterdam? Bij
nuclear secrecy.com/nukemap kies je een willekeuri-
ge plek op de aardbol om een bom af te laten gaan.
Daarna kies je het aantal kiloton (of een preset uit
de lijst van ‘bekende’ atoombommen). En ja, je kunt
kiezen voor het tonen van het aantal slachtoffers en
de fallout, al is dat slechts een grove schatting. Het
laat ook de ringen van de impact zien, met het soort
schade die in die ring wordt veroorzaakt. Een beetje
luguber, maar stiekem toch fascinerend.
Veel aankopen op websites worden gedaan na het doorlezen van verschillende
reviews. Maar ja, niet elke review is ook echt van een betalende klant en berust net-
jes op waarheid. Bij reviewmeta.com kun je een extra filter toepassen op Amazon-
reviews, dat onnatuurlijke of verdachte reviews buiten beschouwing laat. De weg-
gelaten reviews zorgen voor een aangepaste rating voor het product, waardoor je
hopelijk een wat eerlijker beeld voorgeschoteld krijgt over de kwaliteit van je toe-
komstige aankoop. Behalve ouderwets url’s plakken heb je ook de keuze uit exten-
sies voor alle populaire browsers, en apps voor iOS en Android.
uitgave 4/2020 37
ALLES OVER DIT ONDERWERP
Marktoverzicht FIDO2-sticks 38
FIDO2 instellen en gebruiken 44
YubiKey als OpenPGP-smartcard 48
FIDO2 FAQ 51
ONLINE SLEUTEL
FIDO2-beveiligingssleutels
om in te loggen met of zonder wachtwoord
38 www.ct.nl
Achtergrond / FIDO2: marktoverzicht
Gebruikersnaam en wachtwoord? Die heb je niet meer nodig. Als je een FIDO2-stick gebruikt, dan klik je gewoon op ‘Aanmelden met Windows Hello of met een beveiligings-sleutel’.
Eenvoudige FIDO2-authenti cators zoals de Security Key van Yubico zijn er vanaf 20 euro.
Ronald Eikenberg en Daniel Dupré
De FIDO2-aanmeldprocedure lost veel problemen
op. Je beschermt er je online-accounts mee te-
gen phishing, trojans en gestolen wachtwoorden.
Je kunt het gebruiken als tweede factor naast je wacht-
woord – of zelfs als vervanging van dat wachtwoord. Als
een dienst de technische mogelijkheden van de nieuwe
technologie goed ondersteunt, hoef je je gebruikers-
naam en wachtwoord niet telkens meer in te vullen.
Hoe handig dat kan zijn, kun je nu al uit proberen met
de Microsoft-diensten. Aanvankelijk werkte dat alleen
met de Edge-browser, maar inmiddels heeft Microsoft
het in Windows 10 mogelijk gemaakt om ook bij andere
browsers zonder wachtwoord in te loggen.
De FIDO2-procedure is niet alleen erg handig, maar
ook erg veilig. Je authentiseert je bij diensten met een
zogenaamde beveiligingssleutel (ook wel authenticator
genoemd). Een druk op de knop is vaak al voldoende
om in te loggen. Als er meer beveiliging nodig is, dan
kun je de FIDO-sleutel met een pincode ontgrendelen.
Dat zorgt ervoor dat een onbevoegd persoon die je
sleutel in handen krijgt niet zomaar op je account kan
inloggen. Het principe is vergelijkbaar met een bank-
pas. Aangezien er slechts enkele incorrecte pogingen
toe gestaan zijn, is een viercijferige pincode voldoende.
Met FIDO2 is het ook mogelijk om langere alfa-
numerieke pincodes te gebruiken. Die kun je bijvoor-
beeld gebruiken als een dienst daarmee het invoeren
van de gebruikersnaam en het wachtwoord volledig
overbodig maakt. Nog handiger wordt het als je het
invoeren van een pincode vervangt door biometrie en
de veiligheidssleutel eenvoudigweg met een vinger-
afdruk ontgrendelt. De verificatie is altijd lokaal – de
dienst krijgt de melding dat je jezelf geverifieerd hebt
en dus betrouwbaar bent, maar krijgt je pincode of
vinger afdruk nooit doorgegeven. De technologie ach-
ter FIDO2 hebben we uitvoerig besproken in c't 11/2019
vanaf pagina 50.
Met een beveiligingssleutel bescherm je al je accounts tegen phishing en trojans. Bij sommige services is het zelfs mogelijk om je zonder gebruikersnaam en wachtwoord aan te melden. Met sommige sticks kun je ook je e-mail versleutelen. We hebben enkele gangbare modellen getest om een aanschaf makkelijker te maken.
Hier bespreken we de beveiligingssleutels zelf. Die zijn
in allerlei kleuren en vormen beschikbaar, maar het
usb-stick-formaat komt het meest voor. De eenvou-
digste varianten kosten ongeveer 25 euro en hebben
een knop om het FIDO2-proces te bevestigen. Als er
een pincode nodig is, dan wordt daar op de computer
om gevraagd. Als je een paar euro meer uitgeeft, zijn er
modellen met een vingerafdrukscanner, die een pin-
code overbodig maakt. Wat de aansluitingen betreft,
hebben we zo’n beetje alles in huis gehaald wat er mo-
menteel aangeboden wordt: er zijn beveiligingssleutels
met USB-A, USB-C, Lightning, Bluetooth en NFC. Mo-
menteel komt het aanbod voornamelijk van drie fabri-
kanten: Feitian, SoloKeys en Yubico. Elk van hen biedt
verschillende modellen met verschillende combinaties
van aansluitingen en functies. We hebben bijna alle
FIDO2-beveiligingssleutels besteld die op dit moment
leverbaar zijn en die uitgebreid getest.
Het belangrijkste selectiecriterium voor de pro-
ducten was toekomstbestendigheid. Niet alle beveili-
gingssleutels ondersteunen bijvoorbeeld de mogelijk-
heid om in te loggen zonder een gebruikersnaam en
wachtwoord. Dat biedt momenteel alleen Microsoft,
maar op termijn gaan hopelijk ook andere diensten
dit doen. Om dat te kunnen, moet de authenticator de
encryptiesleutel die bij het registreren wordt gegene-
reerd door de dienst – de zogenaamde resident-key – al
tijdens de registratie kunnen opslaan. Als een authen-
ticator dat niet kan, wordt de encryptiesleutel versleu-
teld opgeslagen bij de dienstverlener. Vervolgens moet
de authenticator als een gebruiker zich aanmeldt, eerst
de sleutel bij de dienst ophalen. Daarvoor moet je op
zijn minst je gebruikersnaam in typen, anders kan de
dienst de juiste sleutel niet vinden.
Een andere belangrijke functie is user-verification.
Een dienst kan je verplichten om naast de authenti-
cator ook een pincode, vingerafdruk of gezichtsscan te
gebruiken. Dat gebeurt met name als er geen resi-
dent-key wordt benut. Als je op alle gevallen voor bereid
wilt zijn, kun je het beste een beveiligingssleutel ge-
bruiken die de resident-key én user-verification onder-
steunt. Zeker oudere authenticators kunnen het een
noch het ander. Die zijn dan alleen ‘FIDO U2F’-gecertifi-
ceerd (ook wel FIDO1 genoemd) en werken niet als een
dienst de bij FIDO2 geïntroduceerde functies gebruikt.
U2F-authenticators worden nog steeds massaal ver-
kocht, dus je moet goed opletten bij de aanschaf.
De FIDO2-voorganger U2F is ontworpen als de twee-
de factor bij tweefactorauthenticatie. Daarmee kun
uitgave 4/2020 39
Windows 10 kan FIDO2-sleutels zonder extra tools configureren. De instellingen zitten bij Windows 10 bij de aanmeldingsopties.
De Solo’s van SoloKeys zijn verkrijgbaar met USB-A en USB-C, en ook met NFC. Bovendien kun je losse hoesjes in diverse kleuren kopen, zodat je ze makkelijk uit elkaar kunt houden.
+2 Solo Tap USB-A
+3 Solo USB-C
+4 Solo Tap USB-C
+1 Solo USB-A
je dus niet inloggen zonder wachtwoord. Omdat de
standaard ouder is dan FIDO2, wordt hij echter door
meer diensten ondersteund. Als je zoveel mogelijk ac-
counts wilt beveiligen met een beveiligings sleutel, kun
je momen teel nog niet om U2F heen. De standaard
maakt gebruik van een andere browserinterface dan
FIDO2, die zowel de authenticator als de browser moe-
ten ondersteunen. Het goede nieuws is dat bijna alle
FIDO2- beveiligingssleutels ook U2F ondersteunen.
Dat onderscheidt hen overigens van de interne bevei-
ligingssleutels van Windows 10, Android en macOS
(zie c't 11/2019 op pagina 50).
Veel beveiligingssleutels gebruiken hun flexibele
beveiligings-chip voor meer dan FIDO2 en U2F alleen.
Yubico's YubiKeys bieden allerlei extra functies die met
authenticatie en encryptie te maken hebben, zoals het
genereren van eenmalige wachtwoorden volgens de
OTP-methode en het gebruik als OpenPGP-smartcard.
Meer informatie over het gebruik van de OTP-functie
lees je in het volgende artikel. We beschrijven het ge-
bruik als OpenPGP-smartcard vanaf pagina 48.
Met name de Solo-authenticators van SoloKeys zijn
bijzonder toekomstbestendig: hun firmware is niet al-
leen gelicenseerd onder een opensourcelicentie, maar
kan ook nog worden geüpdatet. Op die manier kan een
fabri kant later nieuwe functies toevoegen. Feitian is de
enige fabrikant die beveiligingssleutels met bluetooth
en een vingerafdrukscanner aanbiedt. Daar zijn de ver-
schillen binnen het assortiment het grootst. We kwa-
men veel positieve dingen tegen, maar ook enkele waar
we minder over te spreken waren.
SOLOKEYS
De Solo-authenticators van SoloKeys zijn volledig
opensource, zowel wat betreft de hardware als de soft-
ware. Als je wilt, vind je op GitHub alles wat je nodig
hebt om je eigen Solo-authenticator te maken en zelfs
de firmware aan te passen. Maar dat is helemaal niet
nodig, want de eindproducten van SoloKeys zijn goed
gemaakt en met prijzen vanaf 20 euro horen de pro-
ducten tot de goedkopere FIDO2-sleutels op de markt.
Je koopt dan de klassieke USB-A-versie. De Solo met
USB-C kost 5 euro meer. Als je meer flexibiliteit wilt en
de Solo contactloos via NFC wilt gebruiken, kun je de
Solo Tap kiezen. De USB-A versie hiervan met NFC kost
35 euro, de C-versie is ook weer 5 euro duurder.
Afgezien van de aansluitmogelijkheden zijn de So-
lo’s verder identiek. Ze werken met dezelfde firmware
en er zit een STM32L432-microcontroller van STMicro-
electronics in. De keys worden geleverd met twee sili-
conenhoesjes, een rode en een zwarte. Voor twee euro
bestel je er een set met zes extra kleuren bij. Dat ziet er
leuk uit, maar is bovendien erg handig als er in een huis-
houden of een bedrijf meerdere Solo's in gebruik zijn.
De Solo's zijn met vlag en wimpel geslaagd voor onze
FIDO2- tests en zijn daarom ook geschikt om in te loggen
zonder gebruikersnaam en wachtwoord, zoals dat nu al
kan bij de diensten van Microsoft.
Het is bovendien de enige bij ons bekende authen-
ticator waarvoor de fabrikant firmware-updates en
nieuwe functies zal gaan leveren. De leverancier ver-
telde ons dat ze al bezig zijn met OpenPGP-ondersteu-
ning, wat wordt bevestigd op het GitHub-account van
het project. Hierdoor kan de Solo gebruikt worden als
een virtuele smartcard voor OpenPGP, dus voor het vei-
lig opslaan van de geheime encryptiesleutel. Klassieke
toepassingen zijn het versleutelen en ondertekenen
van mails en van bestanden. De YubiKeys kunnen dat
al, maar die zijn een stuk duurder (zie pagina 48).
De eenvoudigste manier om de firmware te up-
daten is via de website update.solokeys.com, die daar
blijkbaar de WebAuthn-API van de browser bij gebruikt.
Afgezien van de FIDO2-dialoog die tijdens het proces
continu opduikt, werkt dat perfect. Als alternatief kun je
een commandline-programma gebruiken. Binnenkort
moet het ook mogelijk zijn om de key via een GUI-tool
te updaten. Als je met de firmware wilt experimenteren,
is de Solo ook beschikbaar als Hacker Edition zonder
vergrendelde bootloader. Die kun je later nog omzetten
naar de reguliere versie.
Desondanks zijn er ook wat kritiekpunten. Je moet
relatief veel kracht zetten om de knop op de Solo's in te
40 www.ct.nl
Achtergrond / FIDO2: marktoverzicht
FIDO2-beveiligingssleutels
Solo
USB-A
Solo Tap
USB-A
Solo
USB-C
Solo Tap
USB-C
Security Key Security Key
NFC
YubiKey 5
NFC
YubiKey 5C YubiKey 5Ci YubiKey 5C
Nano
YubiKey 5
Nano
ePass FIDO
(A4B)
BioPass FIDO
Security Key
USB-A
BioPass FIDO
Security Key
USB-C
AllinPass
FIDO2
Fabrikant SoloKeys SoloKeys SoloKeys SoloKeys Yubico Yubico Yubico Yubico Yubico Yubico Yubico Feitian Feitian Feitian Feitian
Prijs (circa) e 20 e 35 e 25 e 40 e 28 e 35 e 55 e 60 e 80 e 70 e 60 e 25 e 75 e 75 e 170
USB-A / USB-C / Lightning
v / – / – v / – / – – / v / – – / v / – v / – / – v / – / – v / – / – – / v / – – / v / v – / v / – v / – / – v / – / – v / – / – – / v / – – / v 1 / –
NFC / Blue-tooth
– / – v / – – / – v / – – / – v / – v / – – / – – / – – / – – / – – / – – / – – / – v / v
PIN / vinger-afdruk
v / – v / – v / – v / – v / – v / – v / – v / – v / – v / – v / – v / – v / v v / v v / v
Resident Keys / U2F
v / v v / v v / v v / v v / v v / v v / v v / v v / v v / v v / v v / v v / v v / v v / –
OpenPGP-Smartcard / OTP
– 2 / – – 2 / – – 2 / – – 2 / – – / – – / – v / v v / v v / v v / v v / v – / – – / – – / – – / –
Beoordeling
Compati-biliteit
++ ++ ++ ++ ++ ++ ++ ++ ++ ++ ++ ++ ++ ++ ±
Bediening ± ± ± ± + + + + + + + ++ ++ ++ ++
Extra functies
+ + + + ± ± ++ ++ ++ ++ ++ ± ± ± ±
Stevigheid ++ ++ ± ± ++ ++ ++ ++ ++ ++ + ++ ++ ++ +
1 USB-C-connector 2 aangekondigd als firmware-update
++ zeer goed + goed ± voldoende - slecht -- zeer slecht v aanwezig – niet aanwezig
Met NFC kun je beveiligingssleutels ook draadloos gebruiken bij
smartphones of pc's.
drukken, wat niet handig is omdat je de stick dan al snel
in de usb-poort op en neer wrikt. Om schade te voorko-
men, moet je de Solo tussen je duim en wijsvinger vast-
pakken en de knop indrukken. De USB-A-versie is zeer
robuust, omdat de connector een integraal onderdeel
van de printplaat is. De USB-C-connector is echter op de
printplaat gesoldeerd en daardoor minder stabiel.
YUBICO
Yubico maakt al jarenlang encryptiesticks voor authen-
ticatie en heeft veel ervaring op dat gebied. Het hele
productassortiment is al FIDO2-compatibel. Het goed-
koopste model is de blauwe USB-A Security Key voor
circa 28 euro, die alle belangrijke FIDO2-functies heeft.
Voor 7 euro meer koop je een NFC-versie. De Security
Key heeft al onze tests doorstaan, inclusief het inloggen
bij Microsoft zonder gebruikersnaam en wachtwoord.
De afwerking is goed en de stick is robuust. Volgens
de fabrikant zou zelfs water de stick niet beschadigen.
De knop kun je activeren door hem zacht in te drukken
zonder dat je kracht hoeft te gebruiken.
Je kunt de stick configureren met Windows 10 of
YubiKey Manager (Windows, macOS, Linux). Onder
Windows heeft die software minimaal administrator-
rechten nodig. Let goed op als je een stick bestelt, er is
ook een versie van de Security Key zonder FIDO2 die al-
leen de oudere U2F-methode ondersteunt. Het nieuwe
model verschilt alleen van zijn voorganger door een 2
aan de buitenkant – die bevindt zich boven de knop. De
NFC-versie is alleen beschikbaar met FIDO2.
Als je naar meer op zoek bent kun je ook bij Yubico
terecht. De YubiKey 5-serie is niet alleen FIDO2-compa-
tibel, maar wordt ook geleverd met veel nuttige extra's.
De sticks kun je als OpenPGP-smartcards gebruiken. Ze
ondersteunen de PIV-standaard. Je kunt er eenmalige
wachtwoorden volgens de OTP-methode mee genere-
ren. Die kun je bij sommige webdiensten als tweede fac-
tor gebruiken of om er een wachtwoordbeheerder zoals
KeePass mee te beveiligen (zie pagina 44). Bovendien
helpen de YubiKeys je door lange, statische wachtwoor-
den te onthouden, bijvoorbeeld om de harde schijf te
ontgrendelen. Alle functies worden beheerd door Yubi-
Key Manager. Daarmee kun je ook verschillende functies
aan de knop toewijzen, bijvoorbeeld door in te stellen
dat de knop één keer kort indrukken of hem langer inge-
drukt houden verschillende acties in gang zet.
Het goedkoopste model in de Yubico 5-serie is de
YubiKey 5 NFC voor circa 55 euro. Uiterlijk lijkt hij op
de Security Key, maar hij is zwart. De stick heeft een
USB-A-aansluiting en NFC. Voor enkele euro’s meer
koop je de YubiKey 5 Nano. Van die versie bestaat alleen
een model met een USB-A-aansluiting. Hij verdwijnt
uitgave 4/2020 41
Bij Yubico heb je keuze te over: naast de blauwe Security
Keys biedt het bedrijf ook voor FIDO2 geschikte YubiKeys met
allerlei extra functies.
+5 Security Key
+6 Security Key NFC
+7 YubiKey 5 NFC
+8 YubiKey 5C
+9 YubiKey 5Ci
+0 YubiKey 5C Nano
+! YubiKey 5 Nano
Ook Feitian biedt een ruim arsenaal aan FIDO2-sleutels, waaronder modellen met bluetooth. Maar die twee modellen kun je beter links laten liggen.
ePass FIDO (A4B)
+§ BioPass FIDO Security Key USB-A
+$ BioPass FIDO Security Key USB-C
+% AllinPass FIDO2
ePass FIDO K9
ePass FIDO K21
bijna volledig in de usb-poort. Je kunt hem dan in een
usb-poort aan de zijkant van een laptop steken en
daar lekker laten zitten. Je krijgt hem ook niet makke-
lijk meer uit de poort. Er steekt dan een koperkleurig
contact oppervlak uit, dat als knop dient.
Hetzelfde geldt voor de 5C Nano met USB-C-
connector. Die is echter alleen aanraakgevoelig op twee
kleine plekken aan de boven- en onderzijde van de stick,
waardoor je hem minder snel per ongeluk activeert. De
kleine USB-C versie kost circa 70 euro. Als je niet van plan
bent de YubiKey permanent in je laptop te laten zitten, is
het handiger om voor de grotere 5C te gaan en die aan je
sleutelbos te laten hangen. Die biedt voldoende grip om
hem na gebruik makkelijk weer los te koppelen.
Qua functionaliteit zijn alle momenteel verkrijg-
bare YubiKey-modellen identiek. Als je ze koopt, moet
je er wel op letten dat je er een uit de actuele genera-
tie koopt, want aan de buitenkant kun je ze nauwelijks
onderscheiden van hun voorgangers. Het is vervelend
als je per ongeluk een verkeerde koopt, omdat de oude
modellen FIDO2 niet ondersteunen. Bij twijfel kom je
via de YubiKey Manager erachter welk model het is.
Ten slotte is er dan nog de YubiKey 5Ci, een beetje een
vreemde eend in de bijt. Met een prijskaartje van zo’n
80 euro is dat momenteel het duurste model. De
stick heeft twee aansluitingen: aan de ene kant een
USB-C-connector en aan de andere kant een Light-
ning-poort, waarmee hij ook op iPhones en iPads aan
te sluiten is. Dat betekent dat je FIDO2 onder iOS kunt
gebruiken, mits je de Brave-browser uit de App Store
installeert. In de toekomst moet het ook voor iPhone-
gebruikers makkelijker worden om FIDO2 te gebruiken
via NFC. Als je nog even geduld hebt, kun je je dus de
aanschaf besparen van de dure 5Ci-versie.
De firmware van de YubiKeys is stevig dicht-
gespijkerd en kan niet worden geüpdatet. Daardoor is
het mogelijk dat je een stick met verouderde firmware
koopt die al langer op het schap heeft gelegen.
FEITIAN
De derde grote fabrikant van FIDO2-beveiligings sleutels
is Feitian. Het assortiment aan producten van het be-
drijf is groot en verwarrend, maar als je je daar door-
heen worstelt kom je enkele spannende apparaten
tegen – zoals beveiligingssleutels met vingerafdruk-
lezers en bluetooth-ondersteuning. Omdat de produc-
ten in Europa moeilijk te krijgen zijn, hebben we ze be-
steld bij de webshop van de Chinese fabrikant.
Feitian heeft ook eenvoudige FIDO2-authenti cators
in zijn assortiment, zoals de ePass FIDO (A4B) met
USB-A-connector voor zo’n 25 euro. De stick heeft de
vorm van een sleutel en ligt comfortabel in de hand. De
knop is bijzonder elegant verwerkt, die is namelijk on-
zichtbaar. Je hoeft alleen maar de plastic bovenzijde op
het gemarkeerde punt aan te raken. De stick heeft onze
testscenario’s zonder enig probleem doorlopen.
We hebben een slechte koop gedaan met de qua
uiterlijk vergelijkbare NFC-versie met de naam K9, die
iets goedkoper is. Hoewel hij volgens de product pagina
FIDO2 zou moeten ondersteunen, ondersteunt dit mo-
del alleen de oudere U2F-standaard. Ook het USB-C
model K21 van ongeveer 45 euro was niet bepaald
indrukwekkend. De stick werd wel herkend door de
42 www.ct.nl
Achtergrond / FIDO2: marktoverzicht
Als er een vingerafdruklezer op de beveiligingssleutel zit, hoef je geen pincode in te voeren.
Yubico wil binnenkort ook een YubiKey met vingerafdruklezer op de markt brengen.
FIDO2-interface van de besturingssystemen en brow-
sers, maar werkte niet. We hebben die twee miskopen
niet in de tabel opgenomen.
We lieten ons daar echter niet door ontmoedigen
en hebben ook de andere drie apparaten uit de leve-
ring getest, die allemaal zijn voorzien van een vinger-
afdruklezer. De twee beveiligingssleutels BioPass FIDO
USB-A (K27) en BioPass FIDO USB-C (K26), elk circa
75 euro, lijken aan de buitenkant niet erg op elkaar,
maar zijn duidelijk uit hetzelfde hout gesneden. Bij onze
uitgebreide tests gedroegen ze zich identiek. De USB-A-
versie is metallic-goud, terwijl de behuizing van de USB-
C- versie vooral uit matzwart plastic bestaat. In beide
gevallen is de afwerking van hoge kwaliteit en voelen de
apparaten prettig aan. Om de vingerafdruklezer te kun-
nen gebruiken, moesten we eerst een pincode instel-
len. De configuratie konden we met Windows 10 doen
zonder dat daar extra tools voor nodig waren. In het
dagelijks gebruik werkte de vingerafdrukauthenticatie
betrouwbaar en zonder problemen. De keren dat er om
een pincode werd gevraagd, konden we een van de eer-
der geregistreerde vingers gebruiken. Dat was het geval
met het zonder wachtwoord aanmelden bij Microsoft
of wanneer een webapplicatie een ‘gebruikersverifi-
catie’ vereist. Of een authenticatie voldoende heeft
aan een druk op de knop of dat er een gebruikersverifi-
catie nodig is, herken je aan de knippersnelheid van het
ledlampje. Als de vingerafdruk gecontroleerd wordt,
knippert hij snel, anders knippert hij langzaam. Bij
U2F-acties wordt de vingerafdruk altijd geverifieerd.
De AllinPass FIDO2 is een ware alleskunner: de
beveiligingssleutel heeft het formaat van een garage-
deurafstandsbediening, ondersteunt NFC en bluetooth,
en is ook nog voorzien van een USB-C-aansluiting. Bo-
vendien zit er een vingerafdrukscanner op. Voor dat alles
moet je wel aardig diep in de buidel tasten: hij kost bijna
170 euro. Bij de test met Windows 10 werkte de Allin-
Pass prima, we konden FIDO2 via usb, NFC en bluetooth
gebruiken. In de bluetooth-modus viel de beveiligings-
sleutel echter na enkele seconden in slaap en moesten
we hem weer wekken door op de knop aan de rechter-
zijde te drukken. De AllinPass FIDO2 is de enige beveili-
gingssleutel uit deze test die niet backward- compatible
is met de nog steeds gangbare U2F-standaard. Boven-
dien hebben we het apparaat niet betrouwbaar kun-
nen gebruiken onder een ander besturingssysteem
dan Windows, ongeacht de gebruikte interface. De
andere authenticators werken meestal op andere plat-
forms zonder verder gedoe. Het totaalbeeld is dan ook
gemengd. Als een bluetoothverbinding geen vereiste is,
kun je beter op zoek gaan naar een andere beveiligings-
sleutel.
BLIK OP DE TOEKOMST
Het aanbod van FIDO2-beveiligingssleutels is aange-
naam groot. Onder de hier genoemde producten is er
vermoedelijk voor ieder wat wils: als het gewoon moet
werken, is de goedkope en robuuste FIDO2-versie van
de Yubico Security Key een goede keuze. Die kun je ook
geven aan vrienden en familieleden om hun belangrijk-
ste accounts veilig te stellen. Als je waarde hecht aan
opensource en updatemogelijkheden, zijn de SoloKeys
de beste keuze. De YubiKeys uit de 5-serie bieden een
breed scala aan functies. Die kun je nu al gebruiken om
PGP-sleutels voor het versleutelen van e-mail te behe-
ren (zie pagina 48). Vingerafdrukscanners en een hoog-
waardige afwerking vind je bij de BioPass-sticks van
Feitian.
Indien je in dit assortiment de juiste authenti cator
nog niet hebt kunnen vinden, dan is het wellicht de
moeite waard om nog even te wachten. Op zeer korte
termijn gaat de SoloKeys Somu met USB-A verschij-
nen. Die stick combineert het kleine formaat van de
Yubi Key 5 Nano met de opensource firmware van de
Solo. Ook de in Berlijn gevestigde fabrikant Nitrokey
wil dit jaar nog een FIDO2-authenticator presenteren.
Het apparaat zal met de Solo-firmware werken. Nitro-
key heeft aan de ontwikkeling daarvan bijgedragen.
Beide zitten in een prijsklasse van 30 tot 40 euro. Yubi-
co zit ook niet stil en heeft twee nieuwe FIDO2-beveili-
gingssleutels aangekondigd: de Yubikey 5C NFC met
USB-C en NFC, en de YubiKey Bio, de eerste YubiKey
met vinger afdrukscanner. Voor beide modellen heeft de
fabrikant nog geen prijzen of data genoemd.
uitgave 4/2020 43
DUBBEL BEVEILIGD
FIDO2-hardware instellen en gebruiken
Jan Mahn en Daniel Dupré
Een tweefactorbeveiliging voor onlinediensten
vergroot de veiligheid aanzienlijk. Mocht een
wachtwoord dan onverhoopt in verkeerde han-
den vallen, dan heeft een kwaadwillend persoon toch
nog een tweede factor nodig om toegang te krijgen. Met
een FIDO2-stick uit het vorige artikel en het inrichten
van FIDO2 als tweede factor bij twee of drie webdien-
sten, heb je echter nog lang geen betrouwbare en veili-
ge allround-oplossing om internet mee op te gaan.
Het probleem is dat FIDO2 een zeer nieuwe tech-
niek is die nog niet door veel aanbieders ondersteund
wordt. De sticks kunnen een belangrijke bouwsteen
zijn voor een beveiligingsstrategie om je persoonlijke
gegevens privé te houden. Ze kunnen meestal name-
lijk meer dan alleen maar FIDO2. Het inrichten ervan is
echter eerder een weekendklus dan iets wat je even in
de lunchpauze doet. Je moet eerst de volgende drie vra-
gen goed overwegen voordat je je eerste stick bestelt:
Met een usb-beveiligingssleutel kun je nu al een groot aantal diensten beveiligen. Inclusief diensten die geen FIDO2 ondersteunen.
– Hoe beveilig ik diensten die nog geen FIDO2 onder-
steunen, maar een andere procedure als tweede fac-
tor gebruiken?
– Hoe meld ik mij in toekomst op mijn mobiele appara-
ten en op onbekende computers aan?
– Wat moet ik doen als ik mijn smartphone of mijn hard-
ware-authenticator verlies?
Allereerst is het slim om te inventariseren welke web-
diensten je allemaal gebruikt en welke belangrijk
genoeg zijn om ze zo goed mogelijk te beveiligen. Maak
een tabel waarin je zet welke van die diensten een vorm
van tweefactor-identificatie ondersteunen. Daarbij kan
het helpen om eens naar de website twofactor auth.
org te kijken. Die site wordt door een grote commu-
nity onderhouden en toont een lange lijst van websites
en diensten, en de procedures die ze ondersteunen.
Onder de kop ‘Hardware token’ zie je welke sites FIDO2
of diens voorloper U2F ondersteunen. Met ‘Soft ware
token’ wordt in de tabel meestal OATH-TOPT bedoeld.
Hoe je die procedure met een hardware-stick inricht,
staat onder het kopje ‘Moeilijke tweede factor’. An-
dere mogelijke tweede factoren zijn sms-berichten,
telefoontjes of een bevestigingsmail.
Het kan ook helpen eens te kijken naar de web-
interfaces van de diensten en hun documentatie. Het
ALLES OVER DIT ONDERWERP
Marktoverzicht FIDO2-sticks 38
FIDO2 instellen en gebruiken 44
YubiKey als OpenPGP-smartcard 48
FIDO2 FAQ 51
44 www.ct.nl
Achtergrond / FIDO2: alles beveiligen
De website twofactorauth.org laat zien welke diensten welke methodes ondersteunen voor tweefactorauthenticatie.
dialoogvenster voor het instellen van een tweede factor
staat meestal bij de instellingen onder een menu-item
als Beveiliging of Account. Je zou in je persoonlijke tabel
ook moeten noteren welk mailadres je opgegeven hebt
– daar wordt meestal een e-mail naartoe gestuurd als je
het wachtwoord wilt of moet resetten.
Zodra je zo'n tabel met alle accounts hebt samen-
gesteld, kun je beginnen met alles systematisch
in te richten. Dat is ook het juiste moment om een
wachtwoord manager te gebruiken en het beheer
daaraan over te laten. We hebben eerder al eens een
overzicht van wachtwoordmanagers (met en zonder
synchronisatie met een mobiel apparaat) gegeven [1].
Met name diensten die helemaal geen tweede factor
aanbieden, zouden een willekeurig gekozen en vooral
uniek wachtwoord moeten krijgen. Meer dan dat kun
je in die gevallen niet doen – behalve ervoor zorgen dat
het mailaccount waar de resetmails naartoe worden
verstuurd in ieder geval met een tweede factor bevei-
ligd wordt.
Als een dienst vereist dat je veiligheidsvragen op-
geeft om een wachtwoord te resetten (zoals ‘Wat is
de meisjesnaam van je moeder?’), kun je daar denk-
beeldige antwoorden voor gebruiken die niet zo mak-
kelijk te raden zijn, en die opslaan als een notitie in de
wachtwoordmanager – met een beetje moeite en wat
onderzoek op sociale netwerken kan de echte naam
misschien achterhaald worden. De meeste wacht-
woordmanagers bieden een mogelijkheid om vrije
tekst in te voeren.
MAKKELIJKE TWEEDE FACTOR
Als een dienst FIDO2 ondersteunt, is het inrichten van
een tweede factor snel gebeurd. De dialogen op de in-
stellingenpagina's leiden je door het proces en zijn vaak
redelijk overeenkomstig: de stick in het slot steken, de
knop indrukken en klaar. Op de volgende pagina zie
je bijvoorbeeld het dialoogvenster van een Google-
account. Laat het nooit bij maar één enkele tweede
factor. Als je al je vertrouwen aan één FIDO2-stick geeft,
heb je een groot probleem als je hem kwijtraakt. Ideali-
ter heb je een stick voor dagelijks gebruik en een twee-
de die je thuis ergens veilig bewaart.
Veel diensten tonen na het instellen resetcodes en
raden je ten sterkste aan die af te drukken – dat kun je
dan ook het beste meteen doen en niet uitstellen tot
later. Bij Google en Facebook en consorten hoef je er
niet op te rekenen dat je met een telefoontje naar hun
helpdesk of een vriendelijke brief je account weer in
kunt als je je tweede factor kwijt bent.
Niet alleen de hardwaretokens kunnen dienen als
FIDO2-authenticator, maar ook Android-smart phones,
-tablets, Windows-pc's en sommige MacBooks. Daar
zit een chip in, die meestal Trusted Platform Module
wordt genoemd. Daarin wordt de privésleutel in een
onleesbare vorm opgeslagen en gebruikt om de FIDO2-
antwoorden te geven. Daar kun je meerdere vragen
in een keer meteen mee beantwoorden: je kunt je ac-
counts er buitenshuis mee benaderen, en dan heb je
thuis een stick voor je pc en als back-up, mocht je je
smartphone een keer verliezen.
Bij Android heb je een recent toestel nodig met Android
7 of hoger. Het gebruik van zo’n apparaat bij een dienst
werkt op dezelfde manier als het toevoegen van een
stick bij de desbetreffende instellingen. Bij macOS
moet aan zeer specifieke eisen worden voldaan om
de ingebouwde beveiligingschip voor FIDO2 te kun-
nen gebruiken. Je hebt een MacBook Pro nodig met
een vinger afdrukscanner en een recente versie van
Google Chrome als browser. Bij het toevoegen van een
authenticator vraagt de browser of hij een stick moet
gebruiken of de met een vingerafdruk beveiligde inter-
ne encryptiechip.
Als je meerdere FIDO2-apparaten per dienst wilt ge-
bruiken, moet je overwegen welke apparaten je vaak
samen bij je hebt – als op het vliegveld je rugzak met
laptop, mobiele telefoon en FIDO2-stick verdwijnt,
heb je een probleem. Je moet ten minste één reserve-
apparaat op een veilige plaats bewaren. Ook daarvoor
is het raadzaam om de betreffende overwegingen zorg-
vuldig in je tabel te noteren.
MOEILIJKE TWEEDE FACTOR
Voordat FIDO2 er was, waren eenmalige wachtwoor-
den de standaardmethode die veel diensten aan boden.
En ook nu nog wordt die tweede factor nog steeds
vaak ondersteund. De procedure is ontwikkeld door
het Initiative For Open Authentication (OATH) en komt
in twee vormen voor. De online dienst genereert een
codewoord in de vorm van een lange tekenreeks. De ge-
bruiker neemt die over in een app (op een pc of smart-
phone), die de tekenreeks op een veilige manier moet
opslaan. Wanneer de gebruiker vervolgens bij de dienst
wil inloggen, gebruikt de app de code om een een malig
wachtwoord te genereren dat je moet in typen. Daar-
mee toon je aan dat je in het bezit bent van de code.
OATH-TOTP gebruikt de actuele tijdstempel, bij OATH-
HOTP telt een teller op – de server kan ervoor zorgen
dat een wachtwoord slechts één keer gebruikt kan
worden. In het algemeen kom je de tijd-gebaseerde
OATH-TOTP-methode het vaakst tegen.
uitgave 4/2020 45
De Yubico Authenticator slaat alle gegevens voor OATH-TOTP
op de YubiKey op, niet op je smartphone.
Google heeft een overzichtelijke dialoog waarmee je meerdere sleutels kunt beheren. Het is aan te raden die mogelijkheid te gebruiken en het niet bij maar één sleutel te laten.
Het zwakke punt bij dat systeem is het bewaren van de
code. De meest gebruikte app om dat te doen is Google
Authenticator. Die slaat het codewoord op en bewaart
dat op het apparaat – als dat defect raakt, heb je zon-
der back-up opeens geen toegang meer tot de codes.
En je moet er maar op hopen dat de code nooit van
de telefoon geplukt wordt. Daar kun je nooit helemaal
zeker van zijn. Als je de smartphone kwijtraakt, zou een
aanvaller de code uit het geheugen kunnen extraheren,
zelfs als de telefoon uitgeschakeld is. Kortom: er blijven
risico’s bij die methode bestaan, ook als de code op de
smartphone opgeslagen is.
Hierbij komen FIDO2-sticks met bepaalde extra
functies in het spel: de sticks uit Yubico's YubiKey 5-
serie onder steunen ook OATH. Daar heb je de gra-
tis app Yubico Authenticator voor nodig, die beschik-
baar is voor Windows, macOS, Linux, iOS en Android
(zie de link rechtsonder op de volgende pagina). De
app dient alleen als interface en slaat zelf niets op
– dat laat hij aan de YubiKey over. De YubiKey reser-
veert 32 geheugen plaatsen voor OATH-codes, die hij
zo opslaat dat je ze later niet meer kunt uitlezen. Ook
eenmalige wachtwoorden worden direct op de stick
gegenereerd. Op die manier kun je de app op elk ge-
wenst apparaat installeren zonder dat je dan nog set-
upwerkzaam heden hoeft uit te voeren. De stick plug
je in, en je kunt de namen van alle geconfigureerde
OATH-logins met een zien.
OATH met een hardware-stick kun je beter alleen
als tweede keus gebruiken voor als een dienst FIDO2
nog niet ondersteunt. Het is niet alleen minder handig
(je moet het eenmalige wachtwoord intypen), maar
ook iets minder veilig. Vooral phishing is een probleem
waar je rekening mee moet houden: een aanvaller kan
je voor de gek houden door een pagina voor te schote-
len die lijkt op de pagina waar je naar zoekt. Je wordt
dan gevraagd om eerst het wachtwoord in te voeren
en vervolgens een eenmalig wachtwoord in de app te
genereren. Met die informatie kan een aanvaller ver-
volgens je account benaderen, met alle gevolgen van
dien. Met FIDO2 is dat niet mogelijk – in een eerder
artikel hebben we gedetailleerd uitgelegd waarom
FIDO2 phishing voorkomt [2].
Als je besloten hebt dat je OATH met een Yubi-
Key wilt gebruiken, moet je ervoor zorgen dat je een
back-upstrategie hebt klaarliggen. De meeste dien-
sten geven de geheime code door via een QR-code die
je met de camera van je smartphone inscant – stel in
dat geval gewoon twee YubiKeys achter elkaar in met
dezelfde geheime code of berg de afgedrukte QR-code
thuis ergens veilig op. Dan kun je er later een authenti-
cator mee instellen.
SMS ALS FACTOR
Een veelgebruikte methode die al enige jaren wordt
toegepast is de tweefactorauthenticatie waarbij je een
sms’je ontvangt met een cijfercode van zes of acht cij-
fers. Je kunt die methode het beste gebruiken als FIDO2
en OATH geen optie zijn. Het is veiliger dan geen enke-
le andere factor gebruiken, maar kan vervelend zijn als
je je smartphone kwijtraakt. Afhankelijk van je provi-
der kan er daarna enige tijd overheen gaan voordat je
weer kunt sms’en. Om de veiligheid te verhogen, kun
je overwegen om de weergave van ontvangen sms’jes
met inhoud op het vergrendelscherm van je telefoon
uit te schakelen – dan moet je op z’n minst de telefoon
ontgrendelen met je pincode of vingerafdruk om de
nummercombinatie te zien te krijgen.
SLEUTELKISTJE-SLEUTEL
Wil je een extra beveiligingsniveau toevoegen in de vorm
van een hardware-token, om je wachtwoordkluis te ver-
grendelen waarvan de database op de lokale compu-
ter staat? Dan kun je het beste een Yubi Key gebruiken.
Die heeft namelijk nog extra mogelijkheden bovenop
FIDO2. De vergrendeling met een hardware-token werkt
echter alleen in combinatie met een webserver en niet
met een lokale wachtwoord database. Als software kun-
nen we de opensourcesoftware KeePassXC aanbevelen.
46 www.ct.nl
Achtergrond / FIDO2: alles beveiligen
Literatuur
[1] Anke Poimann, Een voor allemaal, Vijftien wachtwoordmanagers getest, c't 5/2018, p.74
[2] Jürgen Schmidt en Noud van Kruysbergen, Op slot, maar niet dichtgetimmerd, Zo werkt het inloggen
zonder wachtwoord met FIDO2, c't 11/2019, p.61
KeePassXC en YubiKey kunnen samenwerken. Als de procedure op de stick is geactiveerd en in KeePassXC ingericht, dan kun je de database alleen nog met de stick ontgrendelen.
De ontwikkelaars daarvan hebben een mogelijkheid
toegevoegd om een extra versleutelfunctie van de
YubiKeys te gebruiken om het databasebestand te ver-
sleutelen met een wachtwoord via AES. In de challen-
ge-response-authenticatie met HMAC-SHA1 slaat de
YubiKey een privésleutel op. Hij krijgt een challenge
in de vorm van een tekenreeks die hij moet onderte-
kenen. Nadat hij dat heeft gedaan, meldt hij zich aan
als toetsenbord en typt hij de gesigneerde tekenreeks
virtueel in.
Als je een nieuwe wachtwoorddatabase aanmaakt
in KeePassXC, vind je de knop ‘Add additional protec-
tion’ op de derde pagina van het set-up-dialoogvenster.
Daarmee open je ‘YubiKey Challenge- Response’, waar
je een stick kunt toevoegen. Met een ongebruikte nieu-
we stick gebeurt er in eerste instantie niets. De functie
moet eerst op de stick worden geactiveerd. Dat doe je
met de tool YubiKey Manager. Die tool is beschikbaar
voor Windows, macOS en Linux. Je kunt hem vinden via
de link op deze pagina.
Start de tool en stop de stick in de usb-poort. Ge-
bruikers van macOS Catalina moeten bij de systeem-
instellingen bevestigen dat YubiKey Manager de invoer
van het toetsenbord mag lezen – anders zal de stick niet
herkend worden. Om de challenge-response-procedure
te activeren, klik je op Applications en activeer je onder
usb de optie OTP. Schakel vervolgens in het menu over
naar Applications/OTP. Daar vind je twee poorten waar
je extra functies aan kunt toewijzen. Selecteer ‘Slot 1’ en
activeer hem door kort op een toets te drukken. Selec-
teer vervolgens de ‘challenge-response’-procedure. Je
kunt dan automatisch de ‘secret key’ genereren of een
hexadecimale tekenreeks van 40 tekens invoeren.
Als je een tekenreeks hebt gegenereerd, is nu de
laatste mogelijkheid om die naar het klembord en in
een tekstbestand te kopiëren om later op een tweede
YubiKey op te slaan als back-up. Het is niet mogelijk die
op een later tijdstip nogmaals uit te lezen. Ook voor
de tweede factor voor de wachtwoorddatabase geldt:
vertrouw nooit op slechts één hardware-token. Vink
voor het opslaan het vakje ‘Require touch’ aan, zodat
de procedure nooit zonder tussenkomst van de gebrui-
ker geactiveerd kan worden. Schakel dan over naar
KeePassXC en laad de weergave opnieuw: de YubiKey
zal dan verschijnen en als extra factor ingesteld kunnen
worden.
Gebruikers die niet van plan zijn om hun wacht-
woordendatabase extra te beveiligen, doen er toch
goed aan een blik te werpen op YubiKey Manager. Die
bevat allerlei handige instellingen. Onder Interfaces kun
je bijvoorbeeld alle functies uitschakelen die je niet no-
dig hebt. Als je een stick met NFC gekocht hebt, maar
die functie vooralsnog niet wilt gebruiken, kun je alle
vinkjes in die sectie verwijderen. Als je een YubiKey hebt
gekocht die permanent in de usb-poort van je laptop zal
blijven zitten, heb je wellicht al gemerkt dat de compu-
ter plotseling een lange reeks tekens ontvangt wanneer
je per ongeluk het contact op de stick aanraakt. Dat
wordt veroorzaakt door de ‘Yubico OTP’-procedure, die
standaard op slot 1 actief is. Bij die methode wordt een
eenmalig wachtwoord via een gesimuleerd toetsenbord
ingevoerd en met Enter bevestigd. Dat is vooral verve-
lend als het op de adresbalk van de browser gebeurt.
Deactiveer het slot in de manager volledig of wijs er de
zojuist beschreven zojuist challenge-response-proce-
dure aan toe om het probleem op te lossen.
NOODPLAN
Vroeg of laat zul je een keer het apparaat kwijtraken
dat je als tweede factor gebruikt. In het ideale geval
heb je op voorhand al een plan opgesteld voor dat
scenario. De tabel waar we het aan het begin van dit
artikel over hadden is – bij voorkeur in geprinte vorm –
dan een bijzonder handig hulpmiddel. Doorloop de si-
tuaties waarin je je smartphone, laptop of stick kwijt-
raakt. Krijg je dan nog toegang tot je accounts? Kun
je de wachtwoordendatabase nog ontcijferen? Kom
je nog bij je e-mails om de resetmail te lezen? Onder-
deel van dat plan is ook dat je moet weten waar je de
verloren token als tweede factor overal moet verwij-
deren. Momenteel is er nog geen manier om die klus te
omzeilen – er bestaat nog geen centrale blokkerings-
hotline voor FIDO2 en OATH-TOTP.
NIET ONDERSCHATTEN
Een goede tweefactorstrategie is nog geen eenvoudig
klusje dat je snel even uitvoert. Het vergt de nodige
planning, met name om te verhinderen dat je jezelf bui-
tensluit. Maar het is uiteindelijk wel de moeite waard:
aanvallen op inlogprocedures met een wachtwoord
zijn nog steeds populair en gelekte wachtwoorden-
databases zijn helaas een terugkerend onderwerp. Als
FIDO2 zich doorzet en steeds meer diensten de stan-
daard implementeren, dan zal het inrichten ervan ook
steeds eenvoudiger worden. Maar er zullen nog en-
kele jaren overheen gaan voordat FIDO2 zich breed
doorzet als tweede factor en het wachtwoord volledig
verdwijnt.
www.ct.nl/softlink/
2004044
uitgave 4/2020 47
kend zijn met de basisprincipes van PGP (die bijvoor-
beeld in dit blad vaker besproken zijn).
De procedure bestaat eruit dat elke deelnemer
over een sleutelpaar beschikt dat uit een publieke en
een privésleutel bestaat. Zoals de naam al aangeeft ,
is de publieke sleutel bedoeld om met zoveel moge-
lijk potentiële ontvangers te delen. De privésleutel
mag daarentegen nooit in handen van derden vallen.
De achilleshiel daarbij is dat de privésleutel meest-
al opgeslagen wordt in een bestand op de harde
schijf van zijn eigenaar. In het beste geval is de harde
schijf versleuteld en is de sleutel daar bovenop nog
beveiligd met een wachtwoord. Dat alles heeft wei-
nig zin als er al malware op het systeem staat. Op
het moment dat de harde schijf actief en daarmee
ontgrendeld is, kan malware zowel het bestand met
de sleutel vinden als de invoer van het wachtwoord
op het toetsenbord registreren — en vervolgens bei-
de aan de aanvaller doorgeven.
Toegegeven, dergelijke aanvallen zijn geen alle-
daagse gebeurtenissen. Toch kun je ze niet volledig
uitsluiten. Als je er absoluut zeker van wilt zijn dat je
privésleutel nooit van je computer gehaald wordt,
moet je ervoor zorgen dat die nooit op de compu-
ter terechtkomt. Zogenaamde smartcards zijn een
goede manier om daar voor te zorgen. Ondanks de
naam hoeven dat geen plastic kaarten in credit-
cardformaat te zijn, waar je een aparte lezer voor
nodig hebt. Veel FIDO2-sticks kunnen een smartcard
simuleren en zich voordoen als een kaartlezer met
ingestoken kaart. Wat zulke sticks allemaal kun-
nen, lees je meer gedetailleerd in het overzichtsar-
tikel op pagina 38. In dit artikel gaan we uit van de
YubiKey 5. Bij SoloKeys is de functie nog in ontwik-
keling – als die op termijn wordt toegevoegd, zou dat
vergelijkbaar moeten werken omdat de smartcard-
interface gestandaardiseerd is.
Een smartcard is in staat om asymmetrische
cryptografie (meestal RSA of ECC) hardwarematig
toe te passen. Daarvoor moet je eenmalig een privé-
sleutel op de chip zetten – daarna is het onmogelijk
om die weer van de chip af te krabben. De smartcard
(of de stick die de smartcard simuleert) vertelt aan
de computer nooit wat de sleutel is, maar voert het
tekenen, versleutelen en ontcijferen zelf uit en geeft
alleen het resultaat terug.
SLEUTELVOORBEREIDING
De voorbereiding van een YubiKey begint op een
computer met een grafische gebruikersinterface.
Installeer daarop de tool YubiKey Manager, die je
kunt downloaden voor Windows, Linux en macOS
(zie het voorgaande artikel). Start het programma,
stop de stick in de usb-poort en zorg dat onder In-
terfaces de selectievakjes voor OpenPGP en PIV zijn
aangevinkt. Meer hoef je hier niet te doen.
PGP heeft een sleutelpaar nodig dat uit een pri-
vé en een publieke sleutel bestaat, plus enkele sub-
sleutels om de authenticatie en de digitale handteke-
ning uit te voeren. Zo'n sleutelpakket zou je direct op
de beveiligingssleutel kunnen genereren, maar dat
UITSTEKEND ONDERTEKEND
PGP-sleutels veilig op een beveiligingssleutel zettenSleutels voor asymmetrische cryptografie zijn niet alleen handig voor mensen die hun e-mail willen versleutelen, maar ook voor ontwikkelaars om hun Git-commits mee te ondertekenen. Op een beveiligingssleutel met smartcard-functies zoals de YubiKey kun je de privésleutels optimaal veilig opslaan.
Jan Mahn en Daniel Dupré
PGP, wat staat voor Pretty Good Privacy, is een
procedure voor het versleutelen en signeren
van berichten, bestanden en teksten in alle
soorten en maten. Dat is altijd zinvol als je die ver-
stuurt via een kanaal dat onveilig zou kunnen zijn.
Vaak, maar niet altijd, gaat het dan om e-mails. Om
dit artikel te kunnen volgen, moet je enigszins be-
ALLES OVER DIT ONDERWERP
Marktoverzicht FIDO2-sticks 38
FIDO2 instellen en gebruiken 44
YubiKey als OpenPGP-smartcard 48
FIDO2 FAQ 51
48 www.ct.nl
Achtergrond / FIDO2: PGP met hardware-token
Bij het maken van een nieuwe sleutel stelt de wizard enkele vragen. Een RSA-sleutel moet tenminste 4096 bits lang zijn.
zou twee problemen veroorzaken: enerzijds krijg je
dan RSA-sleutels van maximaal 2048 bit, anderzijds
heb je dan ook geen mogelijkheid om een back-up te
maken.
Bovendien is de computer waarmee je elke dag
werkt niet de juiste machine om een veilige sleutel
mee te genereren. Die pc zou immers al gecompro-
mitteerd kunnen zijn. Gebruik in plaats daarvan een
nieuw geïnstalleerde computer die je uitsluitend
voor dat doel gebruikt en vervolgens uit de roulatie
neemt.
Daar is bijvoorbeeld een Raspberry Pi met
een nieuw gedownloade versie van Raspbian per-
fect voor – of een live-Linux-versie die je vanaf dvd
boot. Sluit het toetsenbord en het scherm aan. Een
SSH-verbinding is geen optie, omdat de Raspberry
Pi tijdens het genereren van de sleutel moet worden
losgekoppeld van het netwerk. De grafische interfa-
ce heb je niet nodig, de commandline is voldoende.
Met het volgende commando installeer je de ver-
eiste pakketten:
sudo apt install gpg scdaemon gnupg-agent
pcscd
Koppel nu alle netwerkverbindingen los. Plaats
de stick in de usb-poort en test of hij als smartcard
wordt herkend:
gpg --card-status
De output van dat commando zou details over de
stick en mogelijk vooraf geïnstalleerde certificaten
moeten tonen. De wizard voor het generen van de
sleutel start je met
gpg --full-generate-key
In de afbeelding rechtsonder zie je een voorbeeld
van alle antwoorden. Aan de hand daarvan kun je
zien of jouw stick vergelijkbare resultaten levert.
Selecteer RSA en een sleutellengte van 4096 bit. De
vervaldatum is een afweging tussen gemak (het niet
steeds hoeven te veranderen van de sleutel) en het
risico dat RSA met 4096 op een gegeven moment ge-
kraakt gaat worden. Op dit moment gaan deskun-
digen ervan uit dat dit de komende vijf jaar niet zal
gebeuren – 5y zou dus een verstandig antwoord zijn
op de vraag van de wizard.
Bevestig de laatste stap met de letter o. Dan
word je gevraagd een wachtwoord in te voeren voor
de sleutel. Daarna begint gpg de sleutel te genere-
ren, wat enkele minuten kan duren. Is dat eenmaal
voor elkaar, dan staat op de commandline onder
meer een regel als key FB9580C1D10EEAFA marked
as ultimately trusted. De hexadecimale string
is de sleutel-ID die je nodig hebt voor de volgende
stappen. Kopieer die regel alvast naar het klembord
en waar bij de volgende commando's <ID> staat,
vervang je dat door de string.
Tot dan toe kan het sleutelpakket alleen versleu-
telen, ontcijferen en ondertekenen. Om ervoor te
zorgen dat het later ook voor de authenticatie werkt
(zoals voor SSH), moet je een subsleutel aanmaken.
Daarvoor start je de bewerkingsmodus:
gpg --expert --edit-key <ID>
Voer het commando addkey uit en selecteer optie 8
RSA (set your own capabilities). De volgende
dialoog is niet erg intuïtief. Op de tweede regel staat
welke opties ingeschakeld zijn (Sign en Encrypt).
Deactiveer die de een na de ander en activeer dan
Authenticate. Voer de volgende commando’s uit:
s
<Enter>
e
<Enter>
a
<Enter>
Met q ga je naar de volgende stap met de bekende
vragen: sleutellengte (4096) en vervaldatum (5y).
Dan begint de volgende stap waarin een sleutel
wordt gegenereerd. Met save sluit je de wizard af.
SLEUTELOPSLAG
Voordat je de sleutels naar de card kopieert, heb je
nog een kopie van de openbare sleutel nodig. Daar is
geen plaats voor op de smartcard. Die kun je bijvoor-
beeld met een usb-stick van de Raspberry Pi kopië-
ren en later aan je communicatiepartners doorgeven
– bijvoorbeeld via een key-server.
Daarvoor exporteer je de sleutel eerst naar een
bestand met
gpg -a --export <ID> > public.asc
Dan moet je ook nadenken over een bepaalde
back-upstrategie voor de privésleutel en subsleutels,
want een geheugenstickje ben je immers zo kwijt. Er
zijn verschillende opties: je kunt de privésleutel ook
naar een tekstbestand exporteren en dat bestand sa-
men met de openbare sleutel naar een usb-stick ko-
piëren. Berg die usb-stick dan op een veilige plaats
op en haal hem alleen tevoorschijn in geval van
nood. De privésleutel exporteer je als volgt naar een
bestand:
gpg -a --export-secret-key <ID> > private.asc
gpg -a --export-secret-subkeys <ID> > private_
sub.asc
Als iemand die bestanden in handen krijgt en het
wachtwoord van de sleutel weet dat je bij het
uitgave 4/2020 49
Als je de publieke sleutel in je GitHub-account opslaat, worden gesigneerde commits als Verified weergegeven.
aanmaken hebt opgegeven, dan kan de sleutel op
elke machine weer gekoppeld worden:
gpg --import public.asc
gpg --import private.asc
gpg --import private_sub.asc
In plaats van een usb-stick kun je ook de sd-kaart
van de Raspberry Pi opbergen. Het is ook mogelijk
helemaal zonder een kopie van de sleutel te werk te
gaan. Het kan een veiligere strategie zijn om de sleu-
tel naar verschillende smartcard-sticks achter elkaar
te kopiëren en één ervan veilig thuis te bewaren. Het
is dan wel niet meer mogelijk achteraf nog extra sleu-
tels aan te maken. Nadat je dat gedaan hebt, vernie-
tig je de sd-kaart van de Raspberry Pi fysiek – daar
kun je het beste een oude en trage sd-kaart voor
opofferen.
SLEUTEL VERPLAATSEN
Helaas is het verplaatsen van de sleutel naar de kaart
niet bepaald intuïtief aangepakt. Voor het verplaat-
sen open je weer de bewerkingsmodus:
gpg --edit-key <ID>
Met keytocard begin je met het verplaatsen van
de sleutel voor ondertekenen. Selecteer als doel 1
(Signature Key). Er wordt gevraagd naar het wacht-
woord van de sleutel en de pincode van de stick.
Het standaardwachtwoord is 12345678 – dat wordt
later gewijzigd. Dan is de subsleutel aan de beurt
om versleuteld te worden. Met key 1 selecteer je die
(herkenbaar aan de * achter ssb). Typ vervolgens op-
nieuw keytocard in en selecteer als doel slot 2. Voer
nogmaals key 1 in om die te deselecteren en ga door
met key 2 voor een volgende ronde keytocard.
Verwijder vervolgens de eerste stick. In geen ge-
val mag je nu save gebruiken om wijzigingen op te
slaan – dan wordt de sleutel namelijk gemarkeerd
als geëxporteerd en kun je hem niet meer exporte-
ren naar andere smartcards. Stop in plaats daarvan
gpg met Ctrl+C. Steek de tweede stick erin en begin
opnieuw met gpg --edit-key <ID>. Wanneer alle
gewenste kopieën zijn gemaakt, stop gpg dan met
save.
SLEUTEL BESCHERMEN
Bij een goede beveiliging van de sleutel hoort een
goede pincode en een nog betere beheerpincode.
Die laatste is nodig om de pincode te resetten. Plaats
de stick in de usb-poort en open de wizard met:
gpg --card-edit
Met admin open je de geavanceerde instellingen. Met
het commando passwd start je het proces om de pin-
code te wijzigen. Begin met optie 3, de pincode van
de beheerder. De wizard vraagt om de oude pincode
(12345678). Vervolgens moet je een nieuwe pincode
invoeren van acht cijfers. Ga dan door met optie 1,
de gebruikerspincode. Die moet zes cijfers lang zijn.
Druk op q om de wizard te beëindigen.
OPRUIMEN
Kopieer ten slotte de publieke sleutel (die geëxpor-
teerd is naar het bestand public.asc) en, indien je
daarvoor hebt gekozen, ook de privésleutel van de
Raspberry Pi. Daarna heb je de Raspbian-installatie
niet meer nodig.
Je kunt de publieke sleutel nu gebruiken in com-
binatie met de extensie Enigmail in Thunderbird [1]
en deze doorgeven aan de key-servers.
Om de publieke sleutel te gebruiken op een
computer waar Enigmail niet op draait, open je een
opdrachtprompt en navigeer je naar de map waar het
bestand public.asc zich bevindt (bijvoorbeeld op
de usb-stick). Voer dan het commando gpg --import
public.asc uit. Als output krijg je de 16-cijferige
ID retour. Je kunt daar bijvoorbeeld ondertekende
Git-commits snel mee inrichten. Sla de sleutel-ID op
met:
git config --global user.signingkey <ID>
Een commit genereer je met de opdracht git commit
-S -m 'een commit'. De parameter -S activeert
de handtekening – daarvoor moet de stick wel
aangesloten zijn. Gesigneerde commits zijn vooral
zinvol in combinatie met git-hosts. Bij GitHub hoef
je daarvoor alleen maar de publieke sleutel in de
web-interface op te slaan. De functie daarvoor staat
bij de instellingen onder 'SSH and GPG keys'. Daarna
verschijnen de ondertekende commits als Verified in
de interface (zie de afbeelding op deze pagina).
AFRONDEN
Het opslaan van PGP-sleutels op een stick met een
smartcard-functie is niet voor iedere PGP-gebrui-
ker zinvol. Als je echter op verschillende computers
versleuteld wilt kunnen communiceren of ontwik-
kelen en niet overal je privésleutel wilt achterlaten,
kost het eenmalig wat inspanning om een smart-
card-stick goed in te richten, maar profiteer je daar-
na snel van een optimaal beveiligde werkomgeving.
Zoals bij alle oplossingen waarbij je encryptie-
hardware gebruikt geldt ook hier: vertrouw nooit
op alleen maar één stick en zorg altijd dat je een
back-up maakt.
Literatuur
[1] Holger Bleich, Simpel slot erop, De PGP add-on Enigmail voor
Thunderbird is instapvriendelijker geworden, c't 6/2018, p.26
50 www.ct.nl
FAQ / FIDO2
Jürgen Schmidt, Ronald Eikenberg, Daniel Dupré
WAT IS FIDO2 NU EIGENLIJK?
? FIDO2 klinkt interessant, maar ook inge-
wikkeld. Is kort maar krachtig samen te vatten
wat het inhoudt?
! FIDO2 is een nieuwe manier om je bij web-
diensten te registreren en aan te melden. Je
kunt het gebruiken in plaats van een wachtwoord of
als de tweede factor bij tweefactorauthenticatie. Je
hebt daarvoor een zogenaamde authenticator nodig.
Die zijn er in de vorm van een usb-stick die je aan je
sleutelbos bij je hebt.
Als je je bij een dienst aanmeldt, stop je de stick
in de usb-poort van de pc en druk je op het knopje op
de stick om je te authentiseren. Bij Windows, Android
en in beperkte mate ook onder macOS werkt dat
zelfs zonder extra hardware. Het besturingssysteem
zelf fungeert dan als virtuele authenticator.
Afhankelijk van de manier waarop een dienst
FIDO2 geïmplementeerd heeft, is die stick voldoen-
de om in te loggen (één factor) of moet je de stick in
combinatie met een pincode of wachtwoord gebrui-
ken (tweefactorauthenticatie). Beide varianten zijn
aanzienlijk veiliger dan alleen op het wachtwoord te
vertrouwen.
UITLEG VAN DE BEGRIPPEN
? FIDO2-sticks, authenticators, beveiligings-
sleutels, tokens, geheime sleutels: wat zijn dat
allemaal?
! De FIDO2-stick heeft veel verschillende namen.
Als we het hebben over de authenticator, token
of beveiligingssleutel, bedoelen we het apparaat
waarmee je je authentiseert bij de diensten. Dat kan
een extern apparaat zijn dat je via usb, nfc, bluetooth
of lightning op je pc of smartphone aansluit. Dat
zijn meestal dingen in de vorm van een usb-stick of
sleutelhanger.
Een FIDO2-stick werkt als een externe authenti-
cator. Er zijn ook interne authenticators. Dat is soft-
ware die de encryptiechip in je pc, smartphone of
tablet gebruikt voor FIDO2. Dan hoef je geen exter-
ne FIDO2-stick te kopen. Windows 10 en Android
vanaf versie 7 functioneren dan als interne authenti-
cator, bij macOS werkt dat in combinatie met Google
Chrome.
De geheime cryptosleutel is de geheime code die
op je token opgeslagen is. Je kunt het zien als een wil-
lekeurige tekenreeks die alleen je token weet. Die ge-
heime code kan niet worden gelezen of gekopieerd.
IN DE PRAKTIJK
? Op welke plekken kan ik FIDO2 op dit moment
al gebruiken?
! Inloggen zonder wachtwoord werkt al voor
Microsoft.com en de bijbehorende diensten,
zoals Outlook.com, Office 365 en OneDrive als je
Edge gebruikt. Voor veel andere diensten kun je
FIDO2 als tweede factor instellen. Dan profiteer je
van bescherming tegen phishing en dergelijke, maar
moet je nog wel steeds je wachtwoord invoeren.
Dat werkt met Google, GitHub, Dropbox, Twitter
en BoxCryptor. Je kunt dat uitproberen op de
demopagina webauthn.io.
DIEFSTAL
? Kan iemand zo'n usb-beveiligingssleutel niet
gewoon stelen?
! Ja, dat is inderdaad mogelijk. Net zo goed
als dat iemand je auto- of je huissleutels zou
kunnen stelen. Als dat gebeurt, moet je dan ook zo
snel mogelijk de toegang tot je accounts blokkeren.
Een doorslaggevend voordeel ten opzichte van
wachtwoorden is dat virtuele diefstal niet meer
mogelijk is.
FAQ Wachtwoord-vervanger FIDO2De nieuwe inlogprocedure FIDO2 heeft alles in zich om het gewone wachtwoord te vervangen. Daar hebben we in deze artikelen, maar ook in eerdere edities al aandacht aan besteed. Het onderwerp wekt veel interesse bij onze lezers, maar roept ook enkele vragen op. Die willen we hier beantwoorden.
FIDO-tokens zijn verkrijgbaar in allerlei vormen en maten.
uitgave 4/2020 51
Het is dan niet meer voldoende wanneer de cyber-
maffia via een trojan bij je inbreekt of miljoenen
wachtwoorden te pakken krijgt door een server te
hacken. Iemand moet ter plaatse de fysieke beveili-
gingssleutel stelen en die vervolgens misbruiken. Voor
cybercriminelen is dat niet aantrekkelijk.
MEERVOUDIG GEBRUIK
? Kan ik voor een dienst meerdere beveiligings-
sleutels gebruiken?
! Ja, dat is mogelijk en zelfs sterk aan te bevelen.
Want als je een van de sleutels kwijtraakt, heb
je altijd nog de tweede waarmee je kunt inloggen en
de verloren veiligheidssleutel kunt blokkeren.
HERSTEL
? Hoe krijg ik weer toegang tot mijn accounts als
ik mijn stick verlies of als die gestolen wordt?
! Dat is het zwakke punt van het huidige con-
cept. Er blijven op dat gebied nog veel
vragen onbeantwoord. Het hangt met name af van
de manier waarop de diensten de beveiliging in de
praktijk toegepast hebben. Er zijn momenteel twee
varianten aan het uitkristalliseren.
1) Accounts met hoge veiligheidseisen (internetban-
kieren, e-mail, etc.): daarbij moet je je op een an-
dere manier veilig ‘identificeren’ als je je stick ver-
liest. Dat kan met een tweede sleutel, die je uit
voorzorg hebt geregistreerd, met een back-up-
code, via een code op het opgegeven 06-nummer
of eventueel in combinatie met autorisatie via
e-mail of iets dergelijks.
2) Accounts met minder hoge veiligheidseisen (fo-
rums, internetwinkels etc.): in de meeste gevallen
is een eenvoudige reset via een bij de dienst gere-
gistreerd e-mailadres of 06-nummer mogelijk. Dat
is ook heel redelijk, want het is niet nodig om elk
forumaccount te beveiligen alsof het Fort Knox is.
De nadruk ligt in die gevallen vooral op gemak en
weinig onderhoud voor de gebruiker.
BACK-UP
? Is het mogelijk een back-up te maken van mijn
token?
! Nee, dat is expliciet niet mogelijk – en dat is
een goede zaak. De FIDO2-tokens kunnen niet
worden gekopieerd en de geheime sleutel die erop
is opgeslagen kan niet worden gelezen. Een FIDO2-
beveiligingssleutel is altijd uniek. Dat is bij FIDO2 dan
ook het uitgangspunt van de FIDO Alliance.
Daardoor zijn de tokens ook veel veiliger dan
wachtwoorden: een trojan kan je wachtwoord af-
vangen, maar niet de geheime cryptosleutel van je
FIDO2-token. Om toegang te kunnen krijgen tot je ac-
counts in geval van verlies of een hardwarestoring,
moet je een tweede authenticatieoptie instellen, bij-
voorbeeld door een tweede token te gebruiken of
back-upcodes te printen.
EXTRA VEILIGHEID
? Kan ik iets doen om mezelf te beschermen
tegen diefstal van mijn beveiligingssleutel en
een daaropvolgende overname van mijn rekeningen?
! Ja, dat is expliciet voorzien in de FIDO2-
standaard. De ingebouwde virtuele sleutels in
Windows en Android zijn altijd beschermd door een
tweede factor, zoals een vingerafdruk of een pincode,
die het gebruik door anderen voorkomt.
Er zijn ook usb-tokens die zo'n tweede factor ver-
eisen. Yubico's Yubikeys worden bijvoorbeeld ver-
grendeld met een extra pincode, die je moet invoe-
ren om de beveiligingssleutel te kunnen gebruiken.
Fabrikant Feitian heeft usb-tokens in zijn assortiment
met een ingebouwde vingerafdrukscanner.
ANDROID-TOESTELLEN
? Ik wil FIDO2 gebruiken op mijn Android-
smart phone, maar zie geen optie om de
beveiligingssleutel met een vingerafdruk te ge-
bruiken. Ik kan alleen externe sleutels gebruiken.
Hoe kan dat?
! Je hebt Android 7 of hoger nodig. Bovendien
moeten de Google-Play-services up-to-date
zijn aangezien Google deze functie aan apparaten
toevoegt door de diensten bij te werken. Je moet een
Google-account hebben om de update te ontvangen
en om de services goed te laten werken. Als het dan
nog steeds niet werkt, kan het zijn dat je Android-
toestel een ‘secure element’ mist dat de cryptosleutel
voor FIDO2 zou beheren.
SMARTPHONE ALS SLEUTEL
? Kan ik mijn smartphone ook gebruiken als
beveiligingssleutel voor de pc?
! In theorie wel, maar in de praktijk werkt
dat nog niet. Technisch gezien kan bijna elk
apparaat via bluetooth, nfc of usb als een FIDO2-
token functioneren, zolang ervoor gezorgd wordt
dat de geheime sleutel veilig wordt opgeslagen. Een
smartphone zou ideaal zijn voor dat doel omdat
die meestal niet alleen bluetooth heeft, maar
ook een secure-element voor crypto-operaties.
Smartwatches zouden ook zeer geschikt zijn. Tot nu
toe is er echter een gebrek aan geschikte software.
52 www.ct.nl
FAQ / FIDO2
Google experimenteert al met dit concept. Als je
Google-account zo geconfigureerd is, verbindt de
Google-site die je op de computer opent zich bij
het inloggen via bluetooth met de smartphone. De
crypto- operaties gebeuren dan op de smart phone.
Op termijn is het denkbaar dat Google die functie in
Android integreert en je smartphone ook voor andere
diensten als externe authenticator kan dienen.
APPLE-GEBRUIKERS
? Wat is de stand van zaken bij Apple? Kan ik
FIDO2 gebruiken met macOS en iPhone?
! Als gebruiker van macOS kun je zonder
problemen FIDO2-sticks met Chrome of Firefox
gebruiken. Safari ondersteunt de webstandaard alleen
met een rudimentaire FIDO2-functionaliteit. Hoewel
de sticks werken, ontbreekt de gebruikersinterface
nog bij de bijbehorende dialogen. Google Chrome
is onder macOS geavanceerder: als je een MacBook
met een vingerafdruksensor (Touch ID) hebt, kun je de
MacBook zelf als beveiligingssleutel gebruiken.
Bij iOS is het tot nu toe alleen mogelijk om via een
omweg de FIDO2-stick YubiKey 5 Ci van Yubico te ge-
bruiken. Die heeft een USB-C- en lightning-aansluiting.
Maar de keuze van browsers die dat ondersteunen is
erg beperkt: momenteel kan alleen de (opensource)
browser Brave de stick voor WebAuthn gebruiken.
TRACKING
? Kan ik niet makkelijk worden getrackt als ik
overal dezelfde beveiligingssleutel gebruik?
! Bij de ontwikkeling van de standaard is er voor
gezorgd dat dit niet mogelijk is. De beveiligings-
sleutel genereert voor elke dienst een apart sleutel-
paar, gebaseerd op het bijbehorende domein. Dat
betekent dat eBay en Google bijvoorbeeld niet kunnen
bepalen welke van hun gebruikers een bepaalde
beveiligingssleutel gebruiken.
Er is wel een optioneel mechanisme voor herken-
ning, waarbij een server de sleutel vraagt om zijn serie-
nummer. Daarvoor moet de gebruiker echter expliciet
mee instemmen. Het is dus niet mogelijk gebruikers
stiekem te tracken. Die functie is bedoeld voor omge-
vingen zoals bedrijven waar bijvoorbeeld alleen speci-
fieke beveiligingssleutels gebruikt mogen worden.
VINGERAFDRUK
? Wordt mijn vingerafdruk bij het inloggen ook
doorgebriefd naar Google?
! Nee, dat gebeurt niet. Op het moment dat je
je bij een dienst aanmeldt, worden je pincode,
vingerafdruk en gezichtsscan niet doorgestuurd.
Dankzij Google Chrome kun je FIDO2-authenticators onder macOS gebruiken.
Die gegevens worden strikt lokaal bewaard op
de beveiligingssleutel. Je bewijst alleen voor de
beveiligingssleutel dat jij ook echt de juiste gebruiker
bent (user-verification).
LINUX-GEBRUIKERS
? En hoe zit het bij Linux met de mogelijkheden
voor FIDO2?
! Je kunt je FIDO2-stick onder Linux gebruiken,
net als bij alle andere besturingssystemen.
Het is belangrijk dat de browser die je gebruikt de
Webauthn-API ondersteunt. De meeste huidige
browsers zoals Firefox en Google Chrome zijn al FIDO2-
compatibel. Werkt het niet, dan moet je controleren
of je de laatste browserversie geïnstalleerd hebt.
De eerste aanzetten zijn gemaakt om TPM-modu-
les van computers geschikt te maken ze ook onder Li-
nux als interne authenticator te gebruiken. Dat zou
het gebruik van een externe FIDO2-token overbodig
moeten maken. Momenteel is er alleen nog geen sta-
biele implementatie beschikbaar.
EIGEN SITE
? Ik heb een eigen site. Hoe kan ik mijn gebruikers
aanbieden om in te loggen via FIDO2?
! Dat kan met wat inspanning, maar hoeft niets
te kosten. Er zijn opensource-implementaties
van WebAuthn die je kunt integreren bij je webdienst.
Je kunt bijvoorbeeld ons in Go-geschreven project
gebruiken. Dat staat bij https://github.com/jamct/
webauthn-start (zie c't 11/2019 op pagina 58).
uitgave 4/2020 53
illustratie
Th
ors
ten
Hü
bn
er
Arne Grävemeyer en Alieke van Sommeren
I n de logistiek en de industrie ziet je dat werknemers
steeds vaker ondersteunende middelen dragen.
Een exoskelet ontlast je bewegingsapparaat en kan
ook losse bewegingen flink ondersteunen. Sinds 2018
dragen de monteurs van Volkswagen in Bratislava bij-
voorbeeld biomechanische systemen van Otto Bock.
Het Paexo-schoudersysteem combineert lichtgewicht
draagconstructies met kabels en veren. Het ontlast
de nek en schouder en gebruikt veerkracht om je bo-
venarmen op te tillen tijdens het langdurig boven je
macht werken. Een doe-het-zelver zou zo'n hulpmid-
del zeer goed kunnen waarderen, maar exoskeletten
voor privégebruik zijn er nog niet veel.
SPIEREN VOOR JE SPIEREN
Exoskeletten voorkomen lichamelijke overbelastingEen exoskelet biedt ondersteuning bij zwaar werk of activi-teiten in een gedwongen houding. Het voorkomt spier- en gewrichtsaandoeningen bij arbeiders in de industrie. De techniek kan ook in het dagelijkse leven veel taken makkelijker maken.
De ontwikkelingen in de industriële sector daarente-
gen gaan bijzonder snel: de volgende stap is actieve
systemen die ondersteuning bieden met kracht uit
motoren. De technische engineers van BMW in Darm-
stadt dragen voor het wisselen van banden sinds
november vorig jaar powerpacks van German Bio-
nic. Het Cray X-systeem ondersteunt de onderrug bij
het tillen vanuit ergonomisch ongunstige houdingen
door met servomotoren tot 25 kilo aan gewicht op te
vangen. De magazijnmedewerkers van Ikea in Dort-
mund zijn al sinds de herfst blij met eenzelfde type
ondersteuning voor het tillen van zware pakketten of
het van de grond af optillen van kratten.
Een soortgelijk model van German Bionic met
nog krachtigere motoren wordt in Japan getest als
reddings(hulp)middel bij rampen. Het doel is bijvoor-
beeld om snel puin te kunnen ruimen in een aard-
bevingsgebied om begraven slachtoffers te vinden.
Deze ‘technische doping’ heeft een lange tradi-
tie in de militaire sector. Al in 1965 ontwierp Gene-
ral Electric de Hardiman. Dat was een robot waar je
als operator in moet stappen. Dat stalen monster kon
54 www.ct.nl
Achtergrond / Exoskeletten
Vooral bij het werken in niet bepaald ergonomische houdingen biedt het exoskelet Cray X je extra spierbundels. Sensoren merken wanneer de werknemer vermoeid begint te raken.
bijna 700 kilo tillen, maar woog zelf net zo veel en re-
ageerde slechts traag op de besturing. Veel andere
(meestal actieve) exoskeletten zoals van Lockheed
Martin, helpen soldaten bij het dragen van zwaar ma-
terieel.
TEGEN OVERBELASTING
Professor dr. Robert Weidner aan de Helmut Schmidt
Universiteit in Hamburg legt uit dat de ontwikkeling
van extra superkrachten door middel van een exo-
skelet vaak helemaal niet het doel is. Op de werkvloer
worden de meeste van die ondersteuningssystemen
ingezet om het risico op spier- en gewrichtsaandoe-
ningen te verminderen. Vrijwel altijd is het gebruik
preventief en bedoeld om bepaalde delen van het li-
chaam te ontlasten, zoals de schouders, de nek of de
rug. Weidner leidt het onderzoeksteam voor smart-
ASSIST (Smart, Adjustable, Soft and Intelligent Sup-
port Technologies). Tegelijkertijd is hij hoogleraar
voor productietechniek aan de universiteit van Inns-
bruck. Zijn team heeft al zo'n 30 systeemconcepten
ontwikkeld om werknemers zo lang mogelijk gezond
te houden of om ouderen in staat te stellen zo lang
mogelijk zelfstandig te blijven.
Het laboratorium van het onderzoeksteam is uit-
gerust met camera's en sensoren voor het observeren
en analyseren van bewegingspatronen en belasting.
Er staan exoskeletten van verschillende prijsklas-
sen en fabrikanten die op dit moment al voor werk-
nemers in de industrie verkrijgbaar zijn. We mochten
ze eens uitproberen.
Er was een passief exemplaar dat veerkracht ge-
bruikt om de bovenarmen te ondersteunen wanneer
er permanent ter hoogte van het hoofd of zelfs boven
je macht moet worden gewerkt. Als je je armen laat
zakken, heb je wel het gevoel dat je tegen de veer-
kracht in werkt en je je spieren op een vreemde ma-
nier belast. Het tweede model is er een met onder-
steuning voor de onderrug. In twee gewrichten aan
de heup zitten veren verwerkt. Het bovenste deel van
het exoskelet zit aan twee bogen, die om de dijen
klemmen. Wanneer je je voorover buigt om een pak-
ketje op te tillen, helpen de veren je om weer op te
staan.
Het lijkt erop dat het volledig ondersteunen al-
leen werkt bij een normaal gezien ongezonde be-
weging, namelijk wanneer je je voorover buigt en
met opgetilde last weer rechtop gaat staan. Als je in
plaats daarvan door je knieën buigt om de last op te
pakken, krijg je minder krachtondersteuning. Als het
systeem actief is, moeten je dijen bij het lopen tegen
de veerspanning werken, en dat is onhandig. Elke
stap is daardoor een kleine workout. Het onderdeel
kan snel losgemaakt of gedeactiveerd worden, maar
alleen als je geen zwaar pakket in je handen hebt.
GEZONDE HOUDING
Als derde voorbeeld probeerden we nog een versie
voor ondersteuning van de onderrug. Dat exoskelet
heeft een extreem stijve rugplaat en dwingt je daar-
door een gezonde, rechte houding aan te nemen. Het
leek ons moeilijk om daarmee een pakketje van de
vloer te tillen. Het is lastig om je vrij te bewegen en
bijvoorbeeld diep door je knieën te gaan.
Zoals je ziet, zijn er een aantal dingen om in het
achterhoofd te houden voordat een exoskelet wordt
ingezet. De focus ligt op de mens en het verminde-
ren van belasting, zoals Weidner ook benadrukt. Het
exoskelet moet een activiteit zodanig ondersteunen
dat je nog steeds dezelfde bewegingen kunt uitvoe-
ren als zonder. De mechanische ondersteuning moet
een industriearbeider niet alleen ontlasten van de
hoofdtaak, maar ook zeker niet belemmeren of be-
perken bij de overige taken.
Een van de ontwikkelingen van het team van
Weidner is een actief exoskelet dicht op het lichaam,
ter ondersteuning van het gebied van schouders en
nek. Het ondersteunende liftende effect voor de bo-
venarmen wordt pneumatisch geregeld en kan een-
voudig worden ingesteld met een knop op de borst,
waar je zelfs met opgeheven armen makkelijk bij
kunt. Het hefeffect kan ook volledig uitgeschakeld
worden, zodat je je armen zonder tegendruk omlaag
kunt doen.
De onderzoekers hebben hun ontwikkelingen al
getest met gebruikers in de industrie en de bouw.
“Actieve exoskeletten zijn complexer en duurder
en daardoor minder sterk vertegenwoordigd op de
markt”, legt Weidner uit. Die systemen zijn niet auto-
matisch beter geschikt dan passieve systemen voor
de bewuste activiteit, maar ze bieden de kans om
slim te reageren op situaties waar belasting bij komt
kijken.
INTELLIGENTE SYSTEMEN
De eerste testsystemen in het laboratorium verza-
melen al variabelen zoals krachten, draaimomenten,
bewegingsgegevens en hoeken om acties te herken-
nen en daar gericht op te reageren. Met behulp van
de gemeten parameters kunnen intelligente syste-
men in de toekomst de ondersteuning automatisch
aanpassen, bijvoorbeeld wanneer een zwaar pakket
Foto
Ge
rm
an
Bio
nic
uitgave 4/2020 55
Robert Weidner in zijn bewegingslaboratorium. Zijn team heeft tot nu toe zo’n 30 ondersteunende systemen ontwikkeld, waaronder een biomimetische hand en een actief exoskelet om schouders en nek te ontlasten.
moet worden getild. Of het systeem reageert veel
krachtiger bij belasting met een lange hefarm dan een
met een korte. “We proberen eerst voor elke toepas-
sing de juiste oplossing te vinden. Bij actieve systemen
verwachten we in de toekomst een intelligente situa-
tieherkenning”, aldus Weidner.
German Bionic belooft ook met intelligente aan-
sturing te komen. Het systeem verzamelt data voor
het energieverbruik, de positie in de ruimte en de po-
sities van de benen en het bovenlichaam. “Het doel
is om de bewegingen van de drager te leren kennen.
Alleen op die manier kunnen we de juiste timing
voor het inzetten van kracht voor elkaar krijgen”, legt
Norma Hoeft (hoofd van de IoT-afdeling) uit. De ge-
bruiker selecteert via het scherm de learning-mode
van de Cray X en gaat aan het werk. De data belan-
den dan als trainingsvoorbeelden in de cloud van
de fabrikant. Algoritmen trainen met die workflows
en leren verschillende manieren van ondersteunen,
bijvoorbeeld een schema voor het stapelen en een
ander schema voor het ontstapelen.
De data van een Cray X laten overigens ook de
toenemende vermoeidheid van de drager zien. “In
het laboratorium zien we al heel precies dat als ie-
mand bijvoorbeeld moe wordt, hij of zij zelf min-
der kracht uitoefent en de bewegingen niet meer zo
soepel zijn”, legt Hoeft uit. De fabrikant onderzoekt
momen teel hoe die analysefunctie kan worden geïn-
tegreerd in de logica van het krachthulpmiddel. Het
exoskelet hoeft niet tijdens elke shift alle gegevens
real-time naar de cloud te uploaden. De zogenaamde
Smart Factory-optie is een waarschuwingsfunctie in
geval van vermoeidheid van de drager. Die wordt nog
dit jaar in de Cray X geïntegreerd.
Een andere visie is de ontwikkeling van een
machine-to-machine interface. Het idee daarachter
is dat het exoskelet in de toekomst de snelheid van
een transportband kan regelen afhankelijk van de
werksnelheid van de drager aan de hand van de fre-
quentie van de hefbewegingen. Of die communicatie
kan in tegengestelde richting lopen: als een trans-
portband een bepaalde verpakkingsvorm levert, kan
die onmiddellijk het bijbehorende verpakkingssche-
ma aan het exoskelet doorgeven. Dat wordt dan op
een klein display aan de drager getoond.
KRACHTIGE HANDDRUK
De Ironhand van het Zweedse Bioservo biedt actieve
krachtondersteuning voor je hand. Alle vijf de vingers
van de powerhandschoen zijn uitgerust met kunst-
matige pezen en met druksensoren. De accu zit in
een rugzak, de besturingseenheid is bevestigd aan
de schouderriem. Het totale systeem weegt onge-
veer 2,5 kilo. Als de medewerker reikt, trekt een actu-
ator aan alle pezen tegelijk en ondersteunt de stevi-
ge grip met maximaal 80 Newton. Dat kan helpen om
zware dozen te dragen of om langere tijd een boor
of schroevendraaier vast te houden. Volgens de fabri-
kant gaat de batterij zes tot acht uur mee.
Bioservo belooft ook intelligentie voor zijn exos-
kelet. Dat betekent onder meer dat het doseren van
de kracht kan worden geregeld door de druk op de
vingersensors. Door het analyseren van de grijpbe-
wegingen en de grijpkracht moet het mogelijk zijn
om overbelasting tijdig te herkennen.
Behalve de industrie is de medische zorg ook een
toepassingsgebied voor exoskeletten. Dat geldt zo-
wel voor het verplegend personeel, dat vaak onder-
steuning nodig heeft voor de onderrug, als voor pati-
enten die bezig zijn met revalidatie. In navolging van
Ironhand heeft Bioservo voor die groep mensen een
lichter model ontwikkeld, met de naam Carbonhand.
Die gedeeltelijke handschoen met servomotor en pe-
zen op drie vingers zorgt voor een extra kracht van 20
Newton bij het grijpen.
Dat kan mensen met een zwakkere grip helpen
om alledaagse voorwerpen weer veilig vast te pak-
ken, of het helpt oudere mensen om te stofzuigen of
een pot met groenten te openen. In het laboratori-
um van professor Weidner werken de onderzoekers
ook aan systeem om grijpkracht te onder steunen.
Hun sterke hand stuurt vier vingers aan en kan de
gewrichten individueel en gericht ondersteunen. De
grijpondersteuning is bedoeld om biomimetisch te
zijn, oftewel een grijpproces zo realistisch mogelijk te
simuleren.
Naast het bouwen van kant-en-klare oplossingen
onderzoekt het team van Weidner ook veel losse ver-
beteringen om lichtere en comfortabelere exoskelet-
ten te kunnen bouwen. Dat zijn bijvoorbeeld soepele
spieren of filigrane actuators. Een uitgangspunt zijn
de zogenaamde twisted-string-actuators. Dat zijn
dubbele koorden, en wanneer een elektromotor die
verdraait, verkorten ze op een vergelijkbare manier
als een organische spier.
56 www.ct.nl
Achtergrond / Exoskeletten
De carbonhand ondersteunt je met zo’n 20 Newton aan extra kracht in de vingers.
In Japan is het MuscleSuit-exoskelet voor thuisgebruik al te koop. Hij zorgt ervoor dat je lendenwervels het minder zwaar te verduren krijgen.
Een tweede techniek uit het lab is gebaseerd op be-
weegbare structuren van in elkaar grijpende papieren
lamellen. Die worden in plastic folie gewikkeld, waar
een vacuümpomp op is aangesloten. Wanneer de
pomp de lucht uit de folie zuigt, drukt de atmosfe-
rische druk de lamellen samen en verhard ze in hun
huidige positie. Met dat principe hebben de onder-
zoekers bijvoorbeeld een beweegbaar elleboog-
gewricht gemaakt dat onder elke hoek kan worden
vastgezet door middel van een vacuüm. Dat betekent
dat voor het vasthouden van een lading geen extra
kracht meer nodig is. Er zijn ook lamellensystemen
ontwikkeld die in elkaar kunnen worden geschoven
of uit elkaar kunnen worden getrokken. In een vacu-
um blijven ze dan in vaste lengte en zijn ze bestand
tegen een bepaalde hoeveelheid kracht.
HULP VOOR THUIS
De meeste exoskeletvarianten voor huis zijn gericht
op mensen met een lichamelijke beperking. In een
project gesponsord door het Duitse ministerie van
economie en energie heeft het team van Weidner een
enkel-exoskelet ontwikkeld dat de verschillende fa-
sen van het lopen herkent en het puntje van je voet
op het juiste moment optilt. Dat ontwerp is specifiek
gericht op mensen die zwakke dorsaalflexie hebben
en hun voeten niet goed kunnen buigen.
Het belangrijkste kenmerk is dat er druksenso-
ren in de zool zijn ingebouwd om de loopfase te hel-
pen bepalen op basis van krachten richting de grond.
Op die manier wordt voorkomen dat de kracht-on-
dersteunende orthese je voet in de verkeerde bewe-
gingsfase optilt, bijvoorbeeld wanneer de patiënt
zich daadwerkelijk recht van de grond wil duwen.
Otto Bock heeft het C-Brace-model ontwikkeld
voor mensen met verlamming in de benen. Die or-
these registreert ook de fasen in het lopen, zoals de
standfase en de zwaaifase, via sensoren in het knie-
gewricht. De demping wordt elektrisch uitgescha-
keld wanneer het been zwaait en verhoogd wanneer
de persoon staat. Veel alledaagse situaties worden
voor een patiënt dan weer beheersbaar.
Hoe meer exoskeletten er worden gebruikt in werk-
omgevingen en bij revalidatie, des te groter de kans
dat gezonde consumenten op het idee komen om zo-
iets te gebruiken. “Ik heb zelf een exoskelet gebruikt
voor het leggen van een vloer, toen ik het net toeval-
lig in mijn kofferbak had liggen” zegt Weidner. Hij zou
ook graag wat hulp van een exoskelet willen hebben
bij het knippen van de heg.
“We weten uit vele brieven dat er vraag is naar
hulpmiddelen voor alledaagse situaties”, meldt
dr. Sönke Rössing, verantwoordelijk voor indus-
triële hulpmiddelen bij Otto Bock. Met name doe-
het-zelvers tonen belangstelling voor het doen van
klussen boven hun hoofd. Bovendien is het in een
vergrijzende samenleving zinvol om mensen te hel-
pen om zo lang mogelijk onafhankelijk en productief
te blijven.
Otto Bock is daarom van plan om voor het ein-
de van dit jaar exoskeletten uit de Paexo-serie aan
te bieden voor schouder- en neksteun in een Franse
doe-het-zelf keten. In november voegde de Japan-
se fabrikant Innophys een model voor particuliere
gebruikers voor lendensteun toe aan zijn exoskelet-
familie. Het eenvoudigste systeem van de Muscle-
Suit-serie is verkrijgbaar vanaf 500.000 yen, ongeveer
4150 euro. Het eenvoudig ontworpen systeem werkt
passief via een persluchtveer en is ontworpen om te
ontlasten bij het heffen met een gewichtskracht van
meer dan 25 kilo.
Als zoiets aan lijkt te slaan, kunnen de doe- het-
zelfwinkels in de nabije toekomst wellicht exoske-
letten gaan aanbieden, bijvoorbeeld als huurpakket
– samen met een zware slagboormachine of heggen-
schaar.
Foto
Bio
se
rvo
Foto
In
no
ph
ys
uitgave 4/2020 57
VOORDAT JE EEN LAPTOP KOOPT
Laptop-koopadvies
Processors met twee tot acht cores, Wi-Fi 6, grafische kaar-ten die overweg kunnen met ray-tracing, speciale scherm-formaten, geïntegreerde privacyfilters, oled en dubbele schermen - er is veel veranderd in laptopland. We gaan in op de huidige stand van zaken en geven alle informatie die je nodig hebt om de juiste laptop te vinden.
Florian Müssig en Alieke van Sommeren
Als je op zoek bent naar een nieuwe computer,
neig je misschien naar een laptop. Dat apparaat
is handig voor op de bank, in bed, aan de eetta-
fel en op het balkon terwijl je van een drankje nipt. En
als je hem even helemaal niet nodig hebt, klap je hem
gewoon lekker dicht en stop je hem ergens weg in een
la. Het is verder een compleet systeem, waarbij je met
één partij contact hebt bij defecten of problemen: de fa-
brikant.
Het aanbod aan laptops is echter gigantisch en on-
overzichtelijk: voor minder dan 500 euro heb je ontel-
baar veel keuze en meer dan 5000 uitgeven is ook geen
enkel probleem. In dit koopadvies willen we je door de
keuzejungle gidsen en helpen je persoonlijke eisen en
wensen om te zetten in hardware. Zo hoef je niet onno-
dig veel geld uit te geven.
58 www.ct.nl
Koopadvies / Laptops
PROCESSORS
Laptops maken gebruik van processors met zeer ver-
schillende prestaties. We gaan eerst in op de modellen
van Intel. De meest voorkomende zijn versies met een
TDP (Thermal Design Power) van 15 watt en 45 watt.
Modellen van 15 watt met een U in de modelaanduiding
zijn de standaard cpu’s. Die worden gebruikt in mobie-
le 13,3-inch laptops tot aan de niet meer zo draagbare
17,3-inch laptops.
De dikte van de behuizing is daarbij rele vanter dan
de grootte van het scherm. Voor 15W-cpu’s zijn plat-
te koelers prima en die passen zonder veel moeite in
dunne behuizingen.
De 45-watt Intel-processors zijn te herkennen aan
een H in de modelaanduiding. Ze hebben een flinke koe-
ling nodig en worden daarom alleen gebruikt in laptops
met een schermdiagonaal van 15,6 inch of meer. Van-
wege hun hogere performance worden ze vaak gekop-
peld aan snelle grafische chips (daarover later meer), die
op hun beurt ook een krachtige koeling nodig hebben.
Dat heeft duidelijk impact op het gewicht en de dikte van
de behuizing. In uitzonderlijke gevallen kunnen laptop-
fabrikanten wel een 45-watt-cpu plus een dikke grafi-
sche kaart in een platte behuizing geperst krijgen, maar
dat is erg uitzonderlijk en ook bijzonder prijzig. Er zijn
ook prijzige laptops met 15W-processors ingebouwd,
maar die proberen je te verleiden met premium features
(waarover verderop meer) in plaats van maximale pres-
taties.
Nadat dualcore jarenlang de standaard was voor de
15W-klasse, is dat sinds de achtste generatie van Intels
Core i-processoren (Core i-8xxxU) quadcore geworden.
Die stap ging gepaard met een flinke sprong in perfor-
mance van 33 procent, wat de grootste toename was in
mobiele cpu-performance sinds lange tijd. Het was een
veel grotere toename dan wat je gewoonlijk ziet bij een
nieuwe generatie cpu’s.
Quadcores zijn beschikbaar als Core i7 en als de min-
der dure Core i5. Core i3’s zijn daarentegen altijd
slechts dualcores. Aangezien de achtste Core i-gene-
ratie al ongeveer twee jaar op de markt is in laptops in
alle soorten en maten, is er geen reden om een laptop
te kopen met een oudere Core i-generatie - zelfs als de
performance niet zo belangrijk is, voor wat kantoorta-
ken en internetten.
Fabrikanten leveren inmiddels de eerste laptops
met tiende generatie Core i-processors. De performance-
boost is echter kleiner dan je denkt. Intel heeft simpel-
weg de negende generatie van 15-watt mobiele pro-
cessoren overgeslagen en heeft bij de tiende Core
i-generatie een 15-watt hexacore uitgebracht. Maar daar
is slechts één duur Core i7-topmodel van. De overige i7
en i5-opties zijn allemaal weer de gebruikelijke quad-
cores. We hebben de hexacore nog niet aan de tand kun-
Laptops zoals de Razer Blade 15 combineren een krachtige GeForce-RTX-gpu met een krachtige Core i-hexacore in een compacte behuizing en met een nette accuduur. Maar het prijskaartje heeft vier cijfers en kan zelfs oplopen tot meer dan 3000 euro.
Bij de wat meer prijzige laptops zoals de Dell XPS 15 zie je steeds vaker dat er een oled-scherm bij wordt gebruikt.
De Microsoft Surface Laptop 3 15” is een van de weinige premium-laptops met een AMD Ryzen-processor.
uitgave 4/2020 59
nen voelen. De eerste tests door Amerikaanse techsites
lieten zien dat ze een onverwacht lage performance bie-
den. Misschien zijn zes kernen en een TDP van slechts 15
watt toch te veel van het goede.
Verwarrend feitje: er is nog geen tiende Core i-ge-
neratie met een TDP van 45 watt, maar wel een van de
negende generatie. Ook hier was er een verhoging van
het aantal kernen onderdeel van de planning. Sinds de
achtste Core i-generatie waren tot zes kernen mogelijk
in plaats van vier, bij de negende generatie zijn er nog
twee kernen toegevoegd: de Core i9-9xxxH is de aan-
duiding voor octacores, maar die zijn behoorlijk aan de
prijs. Core i7 H-modellen hebben zes kernen en Core
i5-versies zijn quadcores. Core i3-modellen met 45 watt
zijn er niet, 15 watt is genoeg om die performance te ha-
len. Als je een mobiele Xeon-processor tegenkomt in een
zeer duur workstation-laptop: die zijn nauw verwant
aan de Core i9-versies en ondersteunen RAM met ECC-
foutcorrectie, wat in prinicpe eigenlijk totaal overbodig
is voor consumenten.
EN AMD RYZEN DAN?
Het feit dat we tot nu toe alleen processors van Intel noe-
men ligt aan het feit dat ze nog steeds toonaangevend
zijn in laptops. Dit in tegenstelling tot bij de desktops,
waar AMD momenteel heer en meester is. Dat heeft te
maken met meerdere factoren.
In het algemeen zijn de mobiele quadcore pro-
cessors van AMD qua performance gelijk aan de quad-
cores van Intel. En de derde generatie AMD Ryzen (Ryzen
3000U) is nauw verwant aan de tweede (Ryzen 2000U),
waardoor de sterke en zwakke punten identiek zijn. AMD
heeft de Ryzen 2000U in verschillende premium-appara-
ten kunnen plaatsen, wat in het voorjaar van 2018 aardig
wat aandacht trok. Met viercijferige prijzen krijg je wel
zeer leuke laptops in elkaar gezet. Daarna was er echter
niet veel opvallends meer te spotten in dit prijzige seg-
ment, behalve Microsofts Surface Laptop 3 15".
Dat kwam onder andere doordat er in het begin le-
veringsproblemen waren. Vervolgens gingen de laptop-
fabrikanten weer verder zoals ze dat deden vóór Ryzen:
de AMD-processoren belandden in goedkope laptops
met prijzen onder de 500 euro. In deze prijsklasse is de
processor minder belangrijk en gaat het meer om het
samen stellen van een aantrekkelijk totaalpakket met
een zo laag mogelijke prijs. Dat leidt tot onvermijdelijke
bezuinigingen op bijna alle aspecten zoals de behuizing,
toetsenbord, scherm, geheugenuitbreiding en veel an-
dere details (zie ook het kader ‘Instapper koopadvies’).
In tegenstelling tot bij de desktop Ryzens zat er bij
de mobiele processors een gat in het AMD-aanbod. Er
waren geen mobiele Ryzens met een TDP van 45 watt of
meer dan vier cores. De Ryzen 3000H die begin vorig jaar
werd uitgebracht, was een 35-watt quadcore die wei-
nig meer voorstelde dan een noodgreep die niet eens
in een handjevol laptops terechtkwam. Ook al bood hij
samen met een dedicated gpu genoeg power voor een
middenklasse gaminglaptop, AMD's leveringsproble-
men bij de 35-watt-cpu’s (desktop en mobiel) zorgden
dat het al snel over was met de pret. AMD onderkende
het probleem en nam maatregelen. Begin januari zijn
de Ryzen 4600H en 4800H onthuld – een 45-watt hexa-
core en octacore voor bijzonder krachtige laptops. Daar-
naast zijn er nieuwe budgetprocessors (in de 3000-serie)
en krachtige processors met een 35-watt TDP (4000HS-
serie) aangekondigd. Laptops die ermee zijn uitgerust
moeten echter nog in de winkels (en voor tests) beschik-
baar komen.
GEÏNTEGREERDE GPU’S
Het feit dat AMD in de tussentijd geen mobiele versie van
de desktop-octacore heeft uitgebracht, komt doordat
ze geen geïntegreerde gpu’s hadden. Bij desktops is dat
weinig spannend, maar bij laptops is het wel een belang-
rijk aspect: elke extra component verbruikt extra stroom
en neemt waardevolle ruimte in die anders kan worden
gebruikt voor de accu. Twee redenen die zorgen voor
een mindere accuduur.
Om het energieverbruik te drukken, gebruiken
bijna alle moderne laptops met losse gpu’s een hybride
graphics-techniek. Als je in Excel wat spreadsheets aan
het vullen bent, wordt de losse gpu uitgeschakeld en
mag de zuinigere geïntegreerde gpu aan de bak.
Als je geen games speelt, zijn de geïntegreerde
graphics voldoende. Ze spelen video's af in alle gangba-
re resoluties en formaten met bijna geen cpu- belasting,
wat de batterij spaart en zorgt dat de ventilators zich
koest houden. Ze zijn in beperkte mate geschikt voor
3D-toepassingen. Google Earth draait prima zonder
een losse gpu, games met low-end 3D-graphics zoals
The Sims of World of Warcraft ook, net als verslavende
2D-games zoals Candy Crush.
Bij AMD-processoren worden de geïntegreerde
gpu’s Radeon Vega genoemd en bij Intel zie je meestal
Windows on ARM
Microsoft en Qualcomm pushen al jaren Windows-apparaten met ARM-proces-
sors in plaats van de oudgediende x86-cpu-architectuur die door alle AMD- en In-
tel-processors gebruikt wordt. Maar het daaruit voortvloeiende gebrek aan com-
patibiliteit met programma’s en randapparatuur is een ernstig probleem, en de
apparaten zijn flink aan de prijs.
De Asus ZenBook Pro Duo heeft twee beeldschermen. Het tweede scherm neemt de volledige breedte in tussen toetsenbord en hoofdscherm.
60 www.ct.nl
Koopadvies / Laptops
UHD 620 (achtste Core i-generatie) of alleen UHD (tien-
de Core i-generatie) vermeld staan. Helaas husselt In-
tel bij de tiende Core i-generatie veel namen door
elkaar. Er zijn zowel cpu’s met de aanduiding Core
i-10xxxU (14nm-procedé) en Core i-10xxGx (10nm-pro-
cedé). Ondanks de ontbrekende U behoren deze laat-
ste ook tot de 15W-categorie. Met de achtervoegsels
G1 (voor i3 en i5), G4 (voor i3, i5, i7) of G7 (voor i5 en i7)
maakt Intel nogal overdreven duidelijk dat een betere
geïntegreerde gpu aanwezig is. Ja, die is wat krachti-
ger geworden en heet in G7-modellen geen UHD meer
maar Iris Plus, maar dit verandert niets aan het feit dat
je voor 3D-games nog steeds een aparte grafische chip
nodig hebt.
Let op: veel fabrikanten denken dat de meest rijke-
lijk uitgeruste versies van hun mainstream laptops nog
meer opgeleukt moeten worden en bouwen dan low-
end gpu’s zoals de GeForce MX150 of MX250 in. Maar die
chips zorgen voor een onnodig complex systeem, vre-
ten stroom en hebben een flink koelsysteem nodig. Dat
vermindert de accuduur en zorgt voor meer ventilator-
herrie zonder merkbare verbetering van de 3D-presta-
ties. Daarom raden wij aan om de net daaronder liggen-
de variant te nemen zonder een losse gpu. Als je graag
games speelt kies je toch wel voor een totaal andere lap-
top met een veel krachtigere gpu.
GAMING
Nvidia domineert al jaren de mobiele gpu-markt. De
high-end grafische chips uit de GeForce RTX 20xx-serie
hebben in laptops geen concurrentie te vrezen. AMD
heeft alleen iets in huis als tegenwicht in de midden-
klasse (GeForce GTX 16xx) – en is ook daar maar matig
vertegenwoordigd. Mobiele Radeon-chips zoals de RX
560X of 5500M zijn alleen te vinden in laptops waar zo-
wel een cpu als gpu van AMD in zit en in Apples MacBook
Pro 15" (zie ook het kader over MacBooks).
Bij gaming betekent middenklasse dat de gpu snel ge-
noeg is om recente games met gedetailleerde graphics
en mooie effecten vloeiend weer te geven in full-hd
(1920 × 1080 pixels). Meestal is er echter weinig ruimte
voor net even een tikje meer.
Als je de detailschuifjes naar rechts wilt schuiven,
liever een hogere resolutie gebruikt (bijvoorbeeld op
een externe monitor), of de AAA-titels van over een
jaar of twee wilt spelen, moet je een stap naar boven
doen en een dikke portemonnee meenemen. Laptops
met een leuke uitrusting en een midrange-gpu krij-
gen al snel viercijferige prijskaartjes [1]. Bij versies met
snelle GeForce RTX grafische chips moet je de eerste 1
op het prijskaartje vervangen door een 2. Prijzen kun-
nen zomaar twee keer zo hoog liggen, afhankelijk van
de uitrusting.
De R in RTX staat voor ray-tracing. Na de eerste hype
zijn zowel de vraag als het aanbod afgenomen, omdat er
maar weinig situaties zijn waarin die effecten een toege-
voegde waarde bieden. Op dit moment is er geen enkel
spel waarbij ray-tracing vereist is. De RTX-gpu’s zijn vaak
wel de snelste grafische chips die beschikbaar zijn voor
laptops - of je ray-tracing nu wat vindt of niet.
Instap-koopadvies
De prijsklasse van onder de 500 euro is een
prijsvechter-klasse. Laptops die speciaal
voor concurrerende prijzen zijn ontwikkeld
nemen het op tegen uitloopmodellen, spe-
ciale aanbiedingen en gebruikte apparatuur.
Er zijn ontelbare dingen waar je op moet let-
ten om ervoor te zorgen dat je laptop niet
een enorme tegenvaller gaat worden.
Dat begint met de rekenkracht, want In-
tel verkoopt allerlei zwakkere Pentiums en
Celerons met een totaal andere architec-
tuur dan de Core i3. De AMD Ryzen doet zijn
best naast zijn wat slome voorgangers A4,
A6, A8, A9 of hoe ze allemaal ook mogen he-
ten. In plaats van snelle ssd’s zit er een har-
de schijf of veel te weinig eMMC-geheugen
ingebouwd. En eMMC wordt nog vaak aan-
geduid als ‘ssd’.
Soms heeft een aanbieding geen Win-
dows-licentie. Gebruikte laptops hebben
bovendien vaak geen garantie meer via de
fabrikant en je kent de geschiedenis van het
apparaat dan niet (accu al versleten? koffie
overheen gemorst?).
Om een koopje te scoren, moet je de
technologie kennen en goed weten wat je
wilt. Gebruikte zakelijke laptops zijn fijn
als je een 4G-modem zoekt. Puur voor kan-
toor- en mediaconsumptie biedt de effici-
ente Pentium Silver N5000 voldoende po-
wer en een lange accuduur – en hij is lekker
stil dankzij de passief gekoelde cpu. Of je
de ideale laptop ook kunt vinden of dat dit
uitgesloten is vanwege een te kleine accu,
weinig geheugen, slecht scherm, gammel
toetsen bord, traag wifi of een irritant touch-
pad ... dat wordt even puzzelen. Er is een
handige simpele formule voor als je er niet
te diep in wilt/kunt duiken: wil je een aantal
jaren plezier van een laptop, kies er dan
een met een Core i5 of Ryzen 5, minimaal
8 GB RAM en een ssd van 256 GB. Met Win-
dows 10 meegeleverd beginnen de prijzen
rond de 500 euro voor een 15,6”-versie. Voor
de lichtere en compactere 13,3”- en 14”-lap-
tops moet je wat meer betalen, en dat geldt
ook voor de grotere 17,3”-laptops omdat die
minder massaal geproduceerd worden.
Bij laptops met privacy-schermen zoals de Lenovo ThinPad Xi Yoga is het scherm in een zeer kijkhoekafhankelijke modus te zetten. Zo kan niemand stiekem met je meekijken in de trein.
uitgave 4/2020 61
MacBooks
Apple MacBooks zijn dure premium laptops.
Als je macOS nodig hebt of daar aan gehecht
bent, krijg je geweldige mobiele hardware.
Maar je betaalt een behoorlijke Apple-toe-
slag. MacBooks hebben dezelfde Intel-pro-
cessors als Windows-laptops, maar zijn
duurder ondanks vergelijkbare hard ware –
zeker als je meer geheugen of ssd- capaciteit
wilt.
Apple is niet langer een trendsetter op
de laptopmarkt, maar teert op innovaties
uit het verleden, zoals de sterk op mobiel
gebruik gerichte MacBook Air en de eer-
ste MacBook Pro met een high-res Retina-
display. Apple was jarenlang de enige fabri-
kant met 16:10 beeldschermen, maar bij een
select aantal apparaten met Windows heb je
die keuze nu ook, zoals de huidige XPS 13
van Dell [5] en de Asus ProArt StudioBook
17 voor professionals. Er zijn ook Windows-
tablets en Microsoft-Surface-laptops met
een nog praktischere 3:2-verhouding.
BEELDSCHERMEN
Laptops voor gamers hebben vaak nog meer onderdelen
die op gamers zijn gericht. Als eerste zijn er de schermen
die meer dan 60 Hz aan refreshrate bieden. Schermen
met 144 Hz worden al aardig standaard en inmiddels
duiken ook de eerste laptops op met een 240Hz-scherm.
Als de panelen de gpu-specifieke technieken G-Sync
(Nvidia) of Freesync (AMD) ondersteunen – wat niet al-
tijd zo hoeft te zijn bij 144Hz-panelen – dan hebben ze
geen vaste refreshrate, maar passen ze deze dyna misch
aan op de framerate die de gpu op dat moment haalt.
Dit voorkomt onaantrekkelijke tearing in je beeld.
In principe heb je er geen scherm met bijzonder hoge
refreshrate voor nodig: er zijn ook midrange gaming-
laptops waarvan de schermen alleen tussen 40 en 60 Hz
dynamisch hun refreshrate matchen. Als je wel interesse
hebt in G-Sync, Freesync, 144 Hz en meer vind je dit al-
leen in een paar 15,6 of 17,3”-laptops met H- processor
en een stevige dedicated grafische kaart.
Bij 15,6-inch laptops zijn er verschillende ande-
re speciale uitvoeringen. Een selectief aantal appara-
ten met een luxe uitrusting hebben een oled-display.
Fancy IPS-schermen bieden ook krachtige kleuren en
AdobeRGB- of of DCI-P3-kleurruimte met een ruime
kijkhoek, maar echt diepzwart en dus een groot con-
trast krijg je alleen bij oled. De komende tijd zul je oled-
schermen ook steeds meer in premium 13,3-inch lap-
tops zien opduiken.
Een andere innovatie zijn laptopschermen waarvan
de achtergrondverlichting in zones kan worden gedimd.
Samen met een hoge maximale helderheid zijn dat soort
panelen geschikt voor het weergeven van HDR-content,
wat je eerder alleen zag bij bepaalde pc-monitoren en
ook tv’s.
IPS-schermen met hun ruime kijkhoek blijven de
standaard. Je vindt ze in laptops vanaf zo’n 500 euro.
In nog goedkopere laptops zitten echter nog steeds
TN-schermen met een lage resolutie, waarbij de kleu-
ren van opzij gezien vervormd of geïnverteerd lijken. Dat
is een enorme afrader, zelfs een goedkope smartphone
heeft een beter scherm.
Naast het steeds meer standaard worden van IPS-
schermen is er nog een andere positieve ontwikkeling
bij mainstream-laptops. Ze hebben namelijk steeds
vaker een mat scherm, tenzij het touchscreens zijn.
Bij high-end laptops gaat het er anders aan toe. Als de
laptop een zeer dun deksel heeft, wordt vaak een spie-
gelende acrylglasplaat voor het paneel geplaatst om
de stabiliteit op te krikken. Ook laptops met bijzonder
kleursterke schermen hebben geen matte laag omdat
dit het licht verstrooit. Grafische ontwerpers willen
geen beeld waarbij de weergave door omgevingslicht
wordt beïnvloed en niet meer accuraat is, maar kun-
nen beter ook zorgen dat de storende lichtbronnen in
hun omgeving vermeden worden.
Asus en HP verkopen beide een krachtige laptop
met twee beeldschermen: het hoofdscherm en een
tweede scherm tussen het toetsenbord en het dek-
sel [2]. Het toetsenbord is naar de voorkant van de be-
huizing verplaatst en het touchpad wordt rechts van
het toetsenbord geparkeerd. Beide apparaten hebben
vrij specifieke doelgroepen, maar in de toekomst zul je
waarschijnlijk vaker apparaten met een dubbel scherm
tegenkomen. Microsoft werkt zelfs aan een daarvoor ge-
optimaliseerde Windows 10X, die eind dit jaar klaar zou
moeten zijn. Tot die tijd kom je onder andere bij enkele
ZenBooks en VivoBooks van Asus een touchpad tegen
met de naam ScreenPad, wat eigenlijk een touchscreen
is. Als je dat echt als tweede scherm wilt gebruiken,
moet je een losse (draadloze) muis aansluiten.
ZAKELIJK
Bij zakelijke laptops die aan werknemers worden uitge-
deeld als werk-pc kom je nog een andere eigenschap
tegen. HP en Lenovo hebben IPS-panelen onder de na-
men SureView en Privacy Guard die met een druk op de
knop kunnen omschakelen naar een zeer kijkhoekaf-
hankelijke modus. Alleen als je recht voor het scherm
zit, is de scherminhoud dan leesbaar. Dat bespaart je het
aanbrengen van privacyfolie bij het werken in de trein of
in het vliegtuig om vertrouwelijke informatie te bescher-
men tegen nieuwsgierige aagjes.
Lenovo verkoopt Privacy Guard alleen bij een aan-
tal 14-inch modellen. HP's Sure View is al meerdere ge-
neraties te krijgen en is in verschillende schermafme-
tingen beschikbaar. Beide fabrikanten bieden die extra
bescherming alleen bij laptops met een forser prijskaart-
je. Ook de garantie opkrikken naar vijf jaar is veelal al-
62 www.ct.nl
Koopadvies / Laptops
leen mogelijk bij zakelijke laptops. On-site-service bij
defecten kom je ook tegen bij prijzigere consumenten-
laptops. Bij garantie-uitbreidingen, extra servicemoge-
lijkheden en een optionele verzekering tegen ongeluk-
jes moet je goed afwegen of dat wel de moeite waard is.
Als je je laptop bestelt met alles erop en eraan, komen
er ineens honderden euro’s extra bij. Je ziet bij goedko-
pere laptops ook dat de garantieperiode een kostenfac-
tor is, aangezien daar de garantie daarbij vaak niet meer
dan twee jaar is. Apple (MacBook) en Microsoft (Surface)
geven bovendien slechts één jaar garantie, ondanks de
zeer hoge prijzen. Voor meer garantie mag je je porte-
monnee trekken.
Enkele eigenschappen die je voorheen vooral bij
zakelijke laptops tegenkwam, zijn inmiddels verdwe-
nen. Dat zijn onder andere tweede accu’s voor een nog
langere accuduur die aan de laptop worden geklikt of
in plaats van de dvd-brander worden ingebouwd. Dat
komt niet alleen omdat er nauwelijks nog apparaten
met zulke drives zijn: een accuduur van meer dan 20
uur is haalbaar als de fabrikant zich goed inleest op
energiezuinig werken en speciale onderdelen zoals
panelen van 1 watt installeert. Meestal hebben de
huidige laptops een gemiddelde accuduur van vijf tot
acht uur. Minder dan dat kom je eigenlijk alleen tegen
bij gepimpte gaming-laptops.
UNIVERSAL DOCKING
Fabrikantspecifieke dockingstations met propriëtaire
multi-pins contacten vind je ook niet meer. In plaats
daarvan is universele USB-C-docking nu standaard.
Dat maakt het zelfs mogelijk om een laptop van fa-
brikant A te gebruiken met een dockingstation van fa-
brikant B – althans in de meeste gevallen. Om dat te
laten werken, moet de USB-C-aansluiting DisplayPort-
signalen voor externe beeldschermen doorsluizen
plus usb-data, en daarnaast stroom doorvoeren voor
het opladen van de accu.
Helaas is niet vastgelegd dat een USB-C-aanslui-
ting op een laptop al deze functies aan moet kunnen.
In plaats daarvan zijn eigen bouwsels toegestaan, zoals
alleen USB of USB plus DisplayPort, maar geen power.
Als je graag USB-C-docking wilt gebruiken, moet je goed
je huiswerk doen en in geval van twijfel bij de winkel of
fabri kant navragen hoe het zit. Of een van onze tests
raadplegen. Er zijn ook merkwaardige bijzondere geval-
len: we hebben een keer een laptop in huis gehad die via
de ene USB-C-aansluiting met USB en power kon om-
gaan en de tweede aansluiting kon overweg met USB en
DisplayPort. Op die manier krijg je nooit docking via een
enkele kabel voor elkaar.
Bij dure laptops kunnen USB-C-aansluitingen vaak
ook overweg met Thunderbolt 3. Bij deze apparaten kun
je ervan uitgaan dat docking via USB-C (of Thunderbolt)
werkt. Thunderbolts populariteit onder Windows is ech-
ter ondermaats – in tegenstelling tot bij Apples macOS.
Er zijn onder andere externe gpu-behuizingen voor die
laptops met geïntegreerde gpu’s ineens gaming-perfor-
mance bieden. Maar ze zijn duurder dan een complete
desktop-pc met dezelfde performance. Dan moet je wel
een zeer goede reden hebben om toch je laptop op zo’n
manier van meer grafische power te voorzien.
Mogelijk neemt de verspreiding van Thunderbolt
verder toe met het aanstormende USB 4 met 40 Gbit/s.
Dit is technisch gezien gebaseerd op Thunderbolt en
backwards-compatible [3]. USB 4 zal waarschijnlijk te-
gen het einde van het jaar in de eerste high-end laptops
opduiken. Het zal echter nog een paar jaar duren voor-
dat het in massaproducten te vinden is. USB 3.2 met een
transfersnelheid van 20 Gbit/s zal op den duur verdwij-
nen, in plaats daarvan zullen de fabrikanten misschien
liever het snellere USB 4 inbouwen.
Maar op dit moment is zelfs USB 3.1 met 10 Gbit/s
nog niet standaard, hoewel dat wel in alle huidige AMD-
en Intel-chipsets geïntegreerd is. Zelfs USB 3.0 met 5
Gbit/s is na tien jaar nog steeds niet overal te vinden.
Bij laptops in het lagere en middelste prijssegment is
het gebruikelijk dat de poorten aan één kant van het
apparaat slechts USB 2.0 spreken, omdat dit de inter-
ne opbouw een stuk simpeler en dus goedkoper maakt.
Vaak wordt aan die nog een kaartlezer weggestopt en
Linux-laptops
Er zijn slechts enkele laptops die worden uitgele-
verd met Linux en officiële ondersteuning daar-
van door de fabrikant in plaats van met Windows.
Dell verkoopt zijn XPS 13 premium-laptop als zo-
genaamde Developer-editie met Ubuntu 18.04 LTS.
Clevo-laptops kun je naar eigen wens samenstel-
len met een grote selectie aan Linux-besturings-
systemen zoals Linux Mint, Debian, Ubuntu, Fedora
en Elementary OS.
Premium laptops zoals de HP Elite Dragonfly wegen ongeveer een kilo, halen een accuduur van 20 uur en zijn dankzij een 4G-modem altijd online.
USB-C vervangt de fabrikantspecifieke
dockingstations. Voor docking moeten de poorten
echter wel naast usb- ook DisplayPort-signalen
doorsturen en stroom leveren. Dat is niet altijd
het geval.
uitgave 4/2020 63
Er zijn laptops die je wel zeer uitgebreid aan je eigen wensen kunt aanpassen en zelfs van Linux kunt voorzien, zoals dit ultrabook van Clevo.
den configuraties van tientallen laptopmodellen op
voorraad. Meestal is er één Core i3-, i5- of i7-configuratie
per laptop. De hoeveelheid RAM en capaciteit van de ssd
en de schermresolutie nemen toe afhankelijk van het
cpu-model.
Wil je een mooi oled- of 4K-scherm? Dan kom je vaak
automatisch uit bij het topmodel. De configuratie die je
eigenlijk wilt met een mid-end cpu en een zo groot mo-
gelijke ssd is vaak ook geen optie. Als er uit meerdere
kleuren voor de behuizing valt te kiezen, zijn die vaak
gekoppeld aan bepaalde uitvoeringen. In zeldzame ge-
vallen verschillen de versies op ongebruikelijke punten,
zoals de accucapaciteit.
Dat levert het probleem op dat je geen review kunt
vinden van de exacte uitvoering die jij wilt hebben. Een
vuistregel is dat een andere cpu van dezelfde gene-
ratie en modelserie en een andere RAM-hoeveelheid of
ssd-capaciteit niet leiden tot merkbare verschillen in de
accuduur, het gewicht of het ventilatorgeluid. De situ-
atie is anders voor onderdelen zoals de aan het begin
genoemde low-end grafische chips. 4K-displays heb-
ben meer energie nodig dan full-hd-displays. Een beter
beeld gaat hand in hand met een kortere accuduur.
Bedrijven die zakelijke laptops in grote hoeveel-
heden bestellen, hebben de optie van eigen configura-
ties, maar consumenten hebben die keuze niet. Apple,
Dell en Lenovo bieden fiks geprijsde laptopmodellen die
je zelf kunt samenstellen in hun webwinkels, maar die
staan geen extreme combinaties toe zoals de zwakste
cpu met de grootste ssd.
Zoiets is alleen mogelijk bij kleine lokale laptop-
leveranciers die via Aziatische fabrikanten barebone-
laptops inkopen en die verkopen onder hun eigen naam,
helemaal naar wens van de klant. Dat bedrijfsmodel is
echter niet houdbaar op de massamarkt, waar lage prij-
zen worden gehaald door hoge volumes en veel auto-
matisering. Dat is alleen weggelegd voor dure gaming-
laptops en niche-apparaten. Omdat barebone-laptops
speciaal zijn ontwikkeld voor individuele montage, zijn
ze meestal dikker en zwaarder dan vergelijkbare hard-
ware van de grote laptopfabrikanten.
GEEN GEKNUTSEL
Als je ondanks het grote aanbod aan laptops geen opti-
male configuratie kunt vinden, raden we aan om na aan-
koop niet meteen met een schroevendraaier te gaan
zwaaien en een net gekochte laptop om te bouwen. In
plaats daarvan kun je beter het best mogelijke compro-
mis in huis halen. Of je bijt door de zure appel heen en
geeft wat meer geld uit – voor een grotere ssd of zo.
Je verliest de fabrieksgarantie als je er zelf een an-
dere zet, zodat je bij een later defect met de gebakken
peren zit. Daarnaast zijn platte laptops juist mogelijk
geworden omdat je er zelf niet meer aan kunt knutse-
len en veel componenten vastgesoldeerd zitten op het
moederbord om ruimte te besparen. Vastgesoldeerde
cpu’s zijn standaard, hetzelfde geldt voor aparte gpu’s
en in toenemende mate ook voor het geheugen. Zo is er
geen standaard voor insteekmodules met energie zuinig
LPDDR-geheugen in laptops met extreme accuduur.
Apple soldeert ook de flashdelen van de ssd vast omdat
alleen via USB 2.0 aangesproken, wat snelle SD-kaarten
nogal flink afremt.
WIFI IN PLAATS VAN KABEL
Wifi is de favoriete manier om je laptop met internet te
verbinden. RJ-45-connectoren sterven langzaam uit.
Des te belangrijker is het dat een wifi-adapter lekker
snel is. Bij prijzen van meer dan 800 euro is de kans groot
dat de wifimodule het moderne Wi-Fi 6 (IEEE 802.11ax)
ondersteunt. Bij lagere prijzen is de voorganger Wi-Fi 5
(IEEE 802.11ac) nog steeds de standaard. In beide geval-
len zenden de adapters niet alleen op de 2,4GHz-band,
maar ook op de 5GHz-band, waar je flinke snelheden
haalt maar het bereik minder is. In bepaalde woon-
wijken kom je niet om de 5GHz-band heen: de 2,4GHz-
band zit daar meestal propvol.
Helaas geven winkels en fabrikanten in de data-
sheets van laptops zelden aan hoeveel streams een wi-
fi-adapter gebruikt. Voor Wi-Fi 6 zijn tot nu toe alleen
dualstream- chips gebruikelijk, Bij Wi-Fi 5 bestaan mo-
dellen met één, twee of drie streams – die laatste vrij-
wel alleen in dure MacBooks. Zelfs bij mid-range laptops
komen we erg vaak alleen maar trage singlestream-
adapters tegen in plaats van de gewenste dualstream.
Geïntegreerde mobiele modems zitten alleen in
dure zakelijke laptops. Voor fabrikanten is alleen daar-
bij de integratie en certificering van extra antennes de
moeite waard. Bedrijven zijn bereid geld uit te geven
om hun werknemers via mobiele verbindingen weg te
houden van hotspots, waar hun bedrijfsdata niet vei-
lig zijn. Op dat moment is een 4G-modem de norm. 5G
zal bij laptops naar verwachting vanaf medio 2020 be-
schikbaar zijn. Als consument is het goedkoper en han-
diger om een 4G-stick aan te schaff en of indien nodig
de internet verbinding van je smartphone via wifi, blue-
tooth of USB te delen met je laptop.
COMPLEET OF NIET
Omdat laptops als complete systemen worden ver-
kocht, kunnen ze vrijwel altijd alleen worden gekocht
in door de fabrikant gespecificeerde uitvoeringen. Geen
enkele fabrikant of winkel heeft duizenden en duizen-
64 www.ct.nl
Koopadvies / Laptops
die worden aangestuurd door een interne beveiligings-
chip. Fabrikanten weten precies welke componenten ze
moeten kopen en installeren voor de montage. Compa-
tibiliteit met andere componenten is niet gegarandeerd
en wordt soms zelfs verhinderd door onderdeellijsten
die in het BIOS opgeslagen zijn. Goedkeuring voor speci-
fieke frequentiebanden is van invloed op mobiele data-
adapters en wifi-adapters.
Maar we zijn ook minder goed verklaarbare incom-
patibiliteiten tegengekomen – bijvoorbeeld een oude-
re laptop van 400 euro die niet wilde opstarten met een
nieuwe SATA-ssd. Als de laptop in de uitgeleverde toe-
stand prima werkt en de ssd werkt in andere systemen,
kun je in zo’n geval niet klagen over een defect bij de win-
kel en vragen of ze het product terugnemen.
LEKKER PREMIUM
Aangezien in goedkope en dure laptops dezelfde cpu’s
zitten, zie je zeer vergelijkbare prestaties. Als tenmin-
ste een te zwak koelsysteem de cpu niet hard afremt.
De verschillen zitten hem echter vaak in de vele klei-
ne details die samen het complete systeem vormen.
Als je bijvoorbeeld vaak in een donkere omgeving
werkt, biedt een verlicht toetsenbord meer comfort.
Alleen bij de hogere middenklasse-laptops zie je toets-
verlichting. Dan zit je al snel op 800 euro voor een
13,3”- of 14”-laptop.
In dat soort laptops zit meestal ook een vinger-
afdruk lezer die inloggen via de Windows 10-functie
Windows Hello mogelijk maakt. Dan hoef je je wacht-
woord niet meer in te typenikken. Vingerafdruklezers
die in touchpads zijn geïntegreerd zie je steeds vaker,
maar die snoepen wat ruimte af van je touchpad. Daar-
om zijn lezers in de polssteun of in de aan-uitknop be-
ter. Een webcam met ondersteuning voor Windows
Hello, die gebruikers detecteert via gezichtsherken-
ning, vind je in nog duurdere premium-laptopseries.
Hetzelfde geldt voor sensoren om de helderheid van
het scherm aan te passen aan de omgeving. In het pre-
miumsegment promoot Intel momenteel de integratie
van extra sensoren en handigheidjes via het marketing-
programma Project Athena [4]. Zo zijn er al laptops met
afstandsdetectoren naast de webcam, die detecteren
of je nog voor het scherm zit. Zo niet, dan wordt de lap-
top op stand-by gezet om stroom te besparen. De sen-
sor blijft nog steeds actief en maakt de laptop wakker
zodra je er weer achter zit. Via de Hello- webcam word
je meteen weer ingelogd.
Andere systemen houden je in de gaten via de web-
cam en tonen waarschuwingen in beeld als er iemand
over je schouder mee zit te kijken. Als de laptop een
privacy filter voor het scherm heeft, kan dat worden
aangezet. Het doel van Project Athena is, net als bij de
voorganger ultrabook, dat dergelijke premium-featu-
res over een paar jaar breed beschikbaar zullen zijn.
Een zeer lange accuduur en of een bijzonder laag
gewicht kom je vaker tegen als de prijs van het appa-
raat hoger ligt. Dat komt omdat de fabrikanten dan
duurdere maar ook lichtere of efficiëntere onderdelen
gebruiken. Bovendien is er in het algemeen meer bud-
get beschikbaar voor finetuning, zoals een bijzonder
stil koel systeem.
Laptop-tablet-hybride
Sinds Windows 8 promoot Microsoft tou-
chbediening en bouwen fabrikanten hybri-
de apparaten die als laptop en als tablet
kunnen worden gebruikt. Twee ontwer-
pen zijn inmiddels populair: een versie
met 360- gradenscharnieren, waardoor het
scherm compleet omgeklapt kan worden
en het toetsenbord dan meteen wordt uit-
geschakeld. Of je krijgt een Windows-tablet,
die ook kan worden ingezet als een laptop
dankzij een (meestal magnetisch) koppel-
baar toetsenborddeel. Vaak geven de fabri-
kanten hun hybride apparaten speciale na-
men mee, zoals de Spin/Switch (Acer), x360/
x2 (HP) of 2-in-1 (Dell), maar dat is niet altijd
het geval. Lenovo heeft zijn vroegere aan-
duiding Yoga bijvoorbeeld doorgetrokken
en verkoopt ook normale laptops onder die
naam.
Laptops met 360-gradenscharnieren zijn
duurder dan normale laptops door het uit-
gebreidere mechaniek dat nodig is. Ze zijn
zeer zwaar vergeleken met tablets: met
één hand vasthouden is haast niet te doen,
laat staan ze voor langere tijd als tablet ge-
bruiken. Maar 360-gradenscharnieren zijn
ook te vinden bij grotere laptops, zelfs tot
17,3”-exemplaren aan toe[6]. Zulke grote
schermen zitten niet in het tabletaanbod.
Windows-tablets met afneembare toet-
senborden kom je eigenlijk alleen nog maar
met moeite in de middenklasse tegen. Als
je zo'n apparaat wilt gebruiken als een vol-
waardig laptop met een voldoende krach-
tige Core i-cpu, moet je kijken bij het dure
premium-aanbod. Bij een low-end tablet
als laptopvervanger moet je veel compro-
missen sluiten door het gebrek aan reken-
kracht en geheugen. Wil je graag een puur
consumentenapparaat, kijk dan eens naar
een Chromebook of Android-tablet (zie het
volgende artikel). Die zijn eventueel ook ge-
schikt als tweede apparaat naast een nor-
male laptop.
Windows-tablets met een steun en aankoppelbaar toetsenbord zijn te gebruiken als laptop.
Literatuur
[1] Florian Müssig en Alieke van Sommeren, Bijzondere combi, Gaming-laptop met Ryzen-cpu en GeForce-gpu,
c’t 12/2019, p.96
[2] Florian Müssig en Daniel Dupré, Dubbel zien, Krachtige laptops met twee schermen, c’t 1-2/2020, p.66
[3] Florian Müssig en Marco den Teuling, Universele verwarring, Specificaties voor USB 4 definitief,
c’t 11/2019, p.12
[4] Florian Müssig en Daniel Dupré, Athena-approved, Drie premium-notebooks volgens Intels Athena
specificatie, c’t 11/2019, p.80
[5] Florian Müssig en Daniel Dupré, Schermmeester, Dell XPS 13 2-in-1, c’t 1-2/2020, p.26
[6] Florian Müssig, Flinke hybride, Dell Inspiron 17 7000: 17”-notebook met 360-graden scharnieren,
c’t 12/2016, p.26
uitgave 4/2020 65
HET MAG WEL WAT MINDER
Tablets en Chromebooks als
laptop-alternatief
Stefan Porteck en Alieke van Sommeren
Klein, licht, stil en een accuduur van meer dan
tien uur, en dat voor minder dan 400 euro – een
standaard Windows-laptops voldoet maar aan
een paar van die eisen, nooit aan allemaal. Toch is
het mogelijk dat voor elkaar te krijgen. Als je wat ver-
der kijkt dan je neus lang is, hoef je niet per se een
Windows-laptop te hebben. Voor schoolgaande kin-
deren, studenten of mensen die buitenshuis werken
zijn Chromebooks meestal een goed en goedkoop al-
ternatief. Voor sommige gebruikers is zelfs een tablet
al voldoende.
Het feit dat tablets nu niet meer als puur leuk
speelgoed gezien worden, is te danken aan het pio-
Taken noteren, aantekeningen maken, mails controleren en afspraken maken – wie speciaal voor dat doel een Windows-laptop koopt, gooit veel geld over de balk. We laten zien welke apparaten stukken goedkoper en ook nog eens handiger zijn.
nierende werk van Microsoft en Apple met hun Sur-
face en iPad Pro. De iPad Pro heeft bijvoorbeeld een
goed display, solide en snelle hardware en scoort
extra pluspunten met zijn Smart Keyboard Folio en
pen invoer. Als je al in het Apple-ecosysteem werkt,
is er weinig wennen aan, want je kunt al je gege-
vens kwijt in de cloud die je al benut. Met een prijs
vanaf van 900 euro zijn de Apple Pro-tablets echter
geen koopje. Bovendien zitten de 135 euro voor de
pen en 200 euro voor het toetsenbord daar nog niet
eens bij. Zelfs als je het non-Pro-model neemt, zit je
al akelig dicht bij de 400 euro (390 euro voor 64 GB
opslag) voor puur en alleen de tablet, en dan komen
het toetsenbord (180 euro) en pen (100 euro) daar
nog eens bovenop. Ultra-mobiele apparaten hoeven
niet zo veel te kosten als je kiest voor het ecosysteem
van Android. Voor net wat onder de 400 euro krijg je
bijvoorbeeld een prima tablet van Samsung, en hoef
je er geen driecijferig bedrag bij te leggen voor een
bruikbaar Bluetooth-toetsenbord.
De voordelen van tablets zijn onder andere het
compacte formaat (ongeveer een A4-tje) en het
lichte gewicht (meestal minder dan 500 gram). Dat
66 www.ct.nl
Koopadvies / Laptop-alternatieven
betekent dat ze makkelijk overal mee naartoe te
nemen zijn. Je hoeft dan geen zwik kabels en een
stroomvoorziening mee te nemen. De huidige tablets
kunnen makkelijk een hele werkdag mee, meestal
zelfs meerdere dagen achter elkaar zonder op te la-
den. Als het werk af is, zet je het toetsenbord aan de
kant en is hij bruikbaar als een groter en beter alter-
natief voor je smartphone als het gaat om internet-
ten, gamen of video kijken.
Apps voor productiviteit en entertainment zijn in
overvloed te vinden via de app-stores van Apple en
Google. Maar specifieke desktopsoftware gebruiken
gaat niet lukken. Tablets lopen ook achter als het
gaat om comfortabel typen. Dat komt door de klei-
ne displays en dito toetsenborden. Een fullsize eigen
draadloos toetsenbord aansluiten kan natuurlijk,
maar dat is wat minder praktisch om mee te nemen.
Een tablet is vooral fijn voor gebruikers die veel on-
derweg moeten werken, maar niet lang achter elkaar
achter het scherm zitten.
FLEXIBELE HYBRIDES
Chromebooks beheersen de balans tussen note-
book en tablet veel beter. Ze hebben meestal een
schermgrootte tussen de 11 en 15 inch en fatsoen-
lijke toetsen borden. Ook is het aanbod nu zo groot
dat iedereen een goed compromis kan vinden tussen
grootte, prijs, typecomfort en draagbaarheid.
Het besturingssysteem is het slanke en snelle
Chrome OS, dat door Google is ontwikkeld. Dat bete-
kent dat de meeste Chromebooks in minder dan tien
seconden na het aanzetten al klaar zijn voor gebruik
en je begroeten met een desktop die wat van Android
weg heeft.
Chrome OS heeft nog steeds het imago van voor-
heen dat het eigenlijk alleen maar een veredelde
Chrome-browser is en Chromebooks zonder internet-
toegang vrijwel nutteloos zijn. Maar dat is niet meer
zo, want bestanden, documenten, mails et cetera
kunnen dankzij de geïntegreerde bestandsbeheer-
der offline worden bewerkt en lokaal, op netwerk-
schijven of op Windows-shares worden opgeslagen.
De cloudsynchronisatie wordt automatisch uitge-
voerd zodra er dan weer een internetverbinding be-
schikbaar is.
Desondanks kunnen Chromebooks hun ster-
ke punten het beste benutten bij het gebruik van
Google- services zoals Agenda, Gmail en de office-
suite Google Docs. Met die tools kun je bijna al je ta-
ken voor school, studie en werk in de browser doen.
De integratie met de Google-cloud zorgt ervoor dat
de applicaties en bestanden weinig lokale opslag-
ruimte nodig hebben en in realtime beschikbaar zijn
op andere apparaten. Vergelijkbare clouddiensten,
zoals die van Microsoft, werken (op kleine beperkin-
gen na) net zo goed.
Niet iedereen wil met webdiensten en add-ons
voor de ingebouwde Chrome-browser werken. Som-
migen hebben liever ‘echte’ lokale applicaties. Dat
is op vrijwel alle verkrijgbare Chromebooks moge-
lijk door het Android app-aanbod uit de Google Play
Store te gebruiken. Via de store vind je onder ande-
re Word en Excel om lokaal mee te werken. Als je fo-
to’s wilt bewerken is Snapseed, Photoshop Express
of Lightroom beschikbaar. De beperkingen van de
meegeleverde bestandsbeheerder zijn te omzeilen
met Total Commander, dat zelfs extra functies zoals
sftp-toegang biedt dankzij plug-ins. Maar er is een
duidelijk nadeel: veel Android-apps zijn ontworpen
voor smartphone-beeldschermen en zien er op een
tablet en Chromebook veel te opgeblazen uit.
LINUX IS EEN OPTIE
Als je aan desktopprogramma’s zoals Thunderbird
en Libre Office gewend bent en die graag wilt blij-
ven gebruiken, is dat via een lichte omweg ook mo-
gelijk. Chrome OS heeft sinds medio vorig jaar de
onder steuning van Linux-programma’s standaard
aan boord, waardoor dat niet alleen maar is voorbe-
houden aan gebruikers die hun Chromebook in
developer modus hebben gezet.
Het instellen is wel wat gedoe, want als je langs
grafische weg software wilt installeren, moet je eerst
een geschikte pakketmanager installeren via de
commandline. Maar dankzij verschillende uitvoerige
handleidingen op internet kan ook een minder erva-
ren gebruiker dat voor elkaar krijgen. Daarna kies je
simpelweg net als bij de Play Store de gewenste pro-
gramma's en installeer je die met een enkele muis-
klik. Zelfs de Android-ontwikkelomgeving Android
Studio is aan de praat te krijgen.
Tot nu toe noemt Google de Linuxondersteuning
in Chrome OS nog steeds bèta. De applicaties die
via de virtuele Linux-machine draaien zijn iets lang-
zamer en vragen wat meer resources. Daardoor zijn
Linux-programma's alleen lekker snel te gebruiken
op snellere en dus duurdere Chromebooks met een
i5- of i7-processor. Als je een zo flexibel mogelijke
Chromebook wilt, moet je via de website of forums
van de fabrikant nagaan of Linux standaard aanwe-
zig is voordat je tot aankoop overgaat. Chromebooks
Dankzij Linux- en Android-apps heb je onder Chrome OS inmiddels een uitgebreid aanbod aan software om uit te kiezen.
uitgave 4/2020 67
met 32-bit ARM-processors vallen buiten de boot.
Een 64-bit systeem is sowieso aan te raden, omdat
veel programma's niet meer in 32-bit versies worden
aangeboden.
DUURZAME WERKRELATIE
In de Windows-wereld hoef je je niet actief bezig te
houden met updates. Microsoft regelt dat al meer
dan 10 jaar automatisch voor de meeste versies van
Windows. Het einde van een ondersteuning, zoals
onlangs bij Windows 7, is dan ook geen probleem.
Je kunt eenvoudigweg upgraden naar een nieuwere
versie van Windows. De hardware van de meeste lap-
tops kunnen dat prima aan.
Als je echter kiest voor een tablet met toetsen-
bord of een Chromebook, krijg je maar een beperkte
tijd updates aangeboden. Voor Android-tablets gel-
den dezelfde cycli als voor Android-smartphones. De
meeste grotere fabrikanten leveren twee tot drie jaar
nadat apparaten zijn uitgekomen updates. Bij fabri-
kanten van goedkopere toestellen komt het voor dat
er geen updates worden verstrekt of dat de tablets
slechts met een aantal maanden vertraging van up-
dates worden voorzien. In dat geval is het dus weer
zaak zelf de de website van de fabrikant uit te pluizen
voordat je je portemonnee trekt. Apple ondersteunt
de iPads ongeveer vijf jaar.
Chromebooks lijken op een normale laptop,
maar let goed op. Chrome OS garandeerde updates
voorheen tot zes en een half jaar na de release en
Google distribueert die zelf, in tegenstelling tot wat
bij tablets gebeurt. Dat gold niet voor afzonderlijke
Chromebook-modellen, maar voor hun processor-
architectuur. Het probleem is dat veel Chromebooks
meerderen jaren verkrijgbaar zijn en dat sommige
nieuwe versies om prijstechnische redenen geen ge-
bruik maken van de nieuwste cpu-generatie.
Als je niet oplet, koop je een apparaat waarvan de
ondersteuning al één of twee jaar later afloopt. Dat
mooie koopje blijkt dan ineens een dure slechte koop
te zijn als hij na anderhalf jaar al outdated is omdat
je geen updates meer krijgt. Voor bepaalde (nieuwe-
re) Chromebooks is de termijn verlengd tot acht jaar,
maar die geldt vanaf het moment dat de betreffende
architectuur is uitgebracht. Google biedt via de sup-
portsite een overzicht (zie de link op deze pagina) van
alle bestaande Chromebooks met daarbij hoe lang ze
nog ondersteund worden.
VAN BINNEN
Bij Windows-pc's geef je liever een paar euro meer uit
om een cpu met veel rekenkracht in huis te halen. Bij
Chromebooks is de cpu vaak al snel genoeg dankzij
de lagere prestatie-eisen van Chrome OS. Een duur
model met een Intel Core i5 of i7 is eigenlijk alleen
nodig voor powerusers die veel Android- of Linux-
applicaties naast elkaar gebruiken. Voor kantoor-
werk in de browser en een beetje naar Spotify luis-
teren of Netflix kijken zijn modellen met een Celeron,
Core m5 of de ARM-processor van Rockchip ruim vol-
doende. Zelfs een oud Chromebook als de R13 van
Acer met zijn MediaTek-cpu, waarop delen van dit ar-
tikel geschreven zijn, doet drie jaar na de release nog
steeds prima zijn werk voor dagelijkse taken.
Wat belangrijker is voor dagelijks gebruik, is de
hoeveelheid geheugen. Je Chromebook moet 4 GB
geheugen hebben, liever nog 8 GB. Het is beter om de
zeer goedkope modellen met slechts 2 GB geheugen
te mijden. Alhoewel Chrome OS met zijn web-apps
en een paar extra Android-apps nauwelijks gebruik
maakt van de flashopslag, moet je ook niet een te
lage hoeveelheid kiezen. Met 32 GB wordt het snel
krap wanneer je een paar muziekalbums of films
downloadt voor offline gebruik.
In tegenstelling tot Windows 10 kan Chrome OS
volledig en zeer eenvoudig via het aanraakscherm
worden bediend. Chromebooks zijn deaarom een
ideale hybride tussen een laptop en tablet. Dat voor-
deel komt echter pas echt tot zijn recht bij modellen
met een convertible-scharnier. Met zo’n scharnier
kan het display compleet naar achteren worden ge-
klapt, zodat je hem als een platte tablet in je hand
kunt houden.
Het komt er al met al op neer dat Chromebooks
en tablets met een beetje gewenning, net zo goed ge-
schikt zijn voor kantoortaken en alledaagse taken als
laptops met Windows. Maar ze lopen vaak wel tegen
hun grenzen aan bij taken als foto- en geluidsbewer-
king, videobewerking en gaming – simpelweg om-
dat die programma’s niet voor Android, Chrome OS
en iOS te krijgen zijn. Als je dat soort taken niet op je
wensenlijstje hebt staan, kun je jezelf makkelijk wat
geld besparen en heb je minder onderhoudsstress in
vergelijking met een Windows-laptop, vooral als je
gaat voor een Chromebook.
Op Chromebooks draaien Android-
apps, maar die zijn niet allemaal geoptimaliseerd voor het grotere
scherm.
Linux-apps draaien onder Chrome OS is mogelijk, bijvoorbeeld Visual Studio Code voor wat programmeerwerk.
www.ct.nl/softlink/
2004066
68 www.ct.nl
BESTEL JOUW EXEMPLAAR VIA
WWW.FNL.NL/WINDOWSTOTAALGIDS
OF BEL NAAR +31 �0�85 2250 500
Windows 10TOTAALGIDS
OVERSTAPPEN VAN
WINDOWS 7 NAAR
WINDOWS 10
WINDOWS VEILIGHEID
EN PRIVACY
DE HANDIGSTE
WINDOWS�TOOLS
ALLES OVER
WINDOWS BEHEER EN
ONDERHOUD
Carsten Spille en Marco den Teuling
Er is nauwelijks een upgrade denkbaar die een oude
pc beter nieuw leven kan inblazen dan het ver
vangen van een harde schijf door een ssd. Bij een
nieuw aangeschaft e pc of laptop zou je eigenlijk geen
harde schijf meer tegen moeten komen, hooguit als aan
vullend opslagmedium.
Solidstate disks (ssd’s) zijn sneller, stiller en hebben
geen bewegende delen. Dat maakt ze ook beter bestand
tegen schokken dan de traditionele harde schijven. Wat
niet iedereen weet, is dat het gevoel van snelheid (zeker
bij het starten van het besturingssysteem en apps) niet
zozeer te danken is aan de hogere overdrachtssnelheid.
Op dat punt zijn ook de tragere ssd’s doorgaans wel dui
delijk sneller dan een harde schijf, maar bij dagelijkse
bezigheden zul je relatief zelden honderden megabytes
tegelijk laden van of bewaren op de schijf.
Nee, de toegangstijd heeft een veel grotere invloed.
Zelfs langzame ssd’s zijn op dat punt vele malen sneller
SUPERSNELLE OPSLAG VOOR IEDEREEN
Aankoopcriteria voor een ssdDe vraag is niet of je een ssd wilt, maar welke. Ons koop-advies helpt je om voor elk systeem een geschikte ssd te vinden en de benodigde opslagcapaciteit goed in te schatten.
dan harde schijven. De onderlinge verschillen tussen de
diverse (typen) ssd’s vallen daarbij een beetje in het niet.
Ook al zien de gangbare SATAssd’s eruit als har
de schijven voor laptops, binnenin zit slechts een klei
ne printplaat met de controller en het flashgeheugen
en eventueel een kleiner, sneller tijdelijk geheugen
(DRAMcache). De hoogte is vaak maar 7 mm of minder,
zodat ze in de meeste inbouwopeningen voor 2,5inch
schijven passen. Een harde schijf in 2,5”formaat met
meer dan 2TB capaciteit is vaak hoger, zodat die niet
past in een notebook of bijvoorbeeld in ons bouwvoor
stel voor een minipc [1].
Doordat bewegende delen ontbreken, werken ssd’s
in principe geruisloos, al hoor je bij enkele modellen on
der belasting wat gepiep van componenten. Ze hebben
ook weinig massa om te resoneren met de behuizing. Je
hoeft een ssd daarom niet trillingvrij te monteren. Voor
het bevestigen van een SATAssd in een 3,5inch drive
bay heb je voldoende aan een montageframe, dat je
bij veel ssd’s meegeleverd krijgt. In geval van nood kun
je een ssd zelfs met een van de zijkanten direct in een
drive bay vastschroeven.
De kinderziekten waar ssd’s in het verleden mee
kampten zijn ondertussen nauwelijks nog relevant. Ook
over de vrij conservatieve inschatting van de schrijf
belasting door de fabrikant moet je je niet teveel zorgen
ALLES OVER DIT ONDERWERP
Aankoopcriteria voor ssd’s 70
Grote en snelle ssd’s 73
70 www.ct.nl
Koopadvies / Een ssd kiezen
In bijna elke pc uit het vorige decennium kan wel een ssd worden aangesloten. Een geschikte voedingskabel (of adapter) en een SATA-datakabel is genoeg.
maken. In de praktijk schrijven de meeste mensen hele-
maal niet zoveel gegevens naar een ssd – en bovendien
hebben we bij een duurtest al eens gezien dat de meeste
ssd’s een veelvoud van de opgegeven waarde halen (zie
de link op de volgende pagina).
Het is wel verstandig om niet te kiezen voor de al-
lergoedkoopste ssd van een onbekend merk die je on-
line kunt vinden. Het is niet zozeer dat er misschien in-
eens andere componenten worden gebruikt, want dat
komt ook bij de gerenommeerde merken wel voor, maar
de fabrikant kan ook zomaar helemaal verdwijnen en
bij garantiegevallen of problemen is het moeilijk of on-
mogelijk om contact op te nemen. Zeker als je via een
vage online webshop bestelt is het lastig om dan tot een
oplossing te komen.
SATA, MSATA, M.2 EN NVME
De voorwaarden waaraan een pc moet voldoen om te
kunnen upgraden met een SATA-ssd zijn minimaal. In
principe kun je in bijna elke pc uit het voorgaande de-
cennium nog wel een dergelijke snelle schijf aansluiten:
een SATA-datakabel en een SATA-stroomkabel (of een
verloopstekker voor een 4-pins voedingskabel) is het
enige dat je nodig hebt. Of de controller SATA biedt met
het modernere 6 Gbit/s (SATA3) of slechts met 3 Gbit/s
(SATA2) speelt geen grote rol. Alleen bij SATA-aansluitin-
gen met 1,5 Gbit/s (SATA1) heb je weinig voordeel van
een ssd, omdat daarbij de AHCI-modus ontbreekt.
De toekomst ligt bij de platte, reepvormige M.2-
ssd’s. Daar heb je een slot op het moederbord voor no-
dig dat past bij de lengte van het specifieke type M.2:
2230, 2242, 2260, 2280 en 22110 zijn gangbare maten.
De laatste twee cijfers geven daarbij de lengte in milli-
meters aan van de M.2-ssd. Het meest gangbaar zijn de 8
cm lange modules (2280).
Ssd’s in M.2-formaat zijn er met het NVMe- of het
SATA- protocol. Niet elk M.2-slot kan booten met die laat-
ste variant. Bij de eerste M.2-ssd’s waren er ook model-
len met het AHCI-protocol, waarvoor een speciale driver
nodig was en die vooral waren bestemd voor pc-fabri-
kanten.
NVMe-ssd’s gebruiken PCIe-Express en zijn via
twee of vier lanes verbonden. De gangbare PCI-Express
3.0-standaard biedt per lane in elke richting 1 GB/s. Met
vier 3.0-lanes houdt het dus op bij 4 GB/s. In de praktijk
zal de ssd door de overhead (van het protocol) nog wat
langzamer zijn. Met slechts 2 in plaats van 4 lanes wordt
ook de snelheid gehalveerd.
PCIe 4.0-ssd’s kunnen, als zowel moederbord als
processor dat ook ondersteunen, snelheden bieden
tot bijna 8 GB/s. Op het moment van schrijven werkt
dat alleen met AMD’s Threadripper 3000-platform en
X570-moederborden met een AM4-slot voor Ryzen
3000-processors. Het werkt alleen met de normale pro-
cessors. De Ryzen 3000-combiprocessors met geïnte-
greerde grafische unit ondersteunen geen PCIe 4.0.
In de praktijk halen de snelste NVMe-ssd’s met PCIe
4.0 tot nu toe maximaal 5 GB/s, snellere modellen zijn al
aangekondigd.
Ook al is mSATA een soort praktische combinatie
van SATA en M.2, die standaard is min of meer dood.
Zelfs als je nog een moederbord hebt met een dergelijke
aansluiting, kun je beter een normale SATA-ssd kopen.
Je hebt dan meer kans dat die ook nog in een volgende
pc kan. Een mSATA-ssd is hooguit handig bij laptops die
geen alternatief bieden, of in een externe usb-behuizing
als portable opslagmedium.
Ssd’s met een U.2-aansluiting zijn bestemd voor ser-
vers en meestal ook erg prijzig. Op doorsnee moeder-
borden zit daar bovendien geen aansluiting voor en heb
je ook nog een dure adapter nodig.
OPSLAGCAPACITEIT
Eind 2019 kostte 1 GB opslagruimte op een ssd onge-
veer 9 cent, een 1TB-ssd van Crucial kostte toen zo’n 90
euro. Dat is ongeveer het drievoudige van wat je in het
gunstigste geval kwijt bent voor een magnetische harde
schijf.
Gezien de prijs raden we als instapversie een 500GB-
model aan. Dat biedt, naast ruimte voor het besturings-
systeem en wat reserve voor updates, nog genoeg
ruimte voor de belangrijkste programma's en enkele
media bestanden of games. De beste prijs-prestatie-
verhouding hebben op dit moment de 1TB-ssd’s, waar-
op je ook aanzienlijk meer kwijt kunt.
Zelfs opslagreuzen met 2 TB ruimte zijn nu betaal-
baar geworden, zoals je kunt lezen in het artikel op pa-
gina 73. Daarmee nemen ze voor bijna alle toepassingen
de rol over van magnetische harde schijven voor consu-
menten en kunnen ze dienen als enige opslagmedium
in een pc.
Een 250GB-ssd moet je alleen gebruiken als dat
door het budget noodzakelijk is. In tegenstelling tot mo-
dellen met meer opslagruimte hebben ze vaak weinig
flashchips, waardoor de ssd-controller die niet parallel
kan benaderen en de schrijfsnelheid daardoor lager is.
Moderne ssd’s reserveren van de beschikbare op-
slagruimte een deel dat ze kunnen gebruiken als schrijf-
cache. Die zogeheten pseudo-SLC-cache werkt in de
snelste toegangsmodus en bewaart slechts een enkele
bit per cel. Bij een 250GB-ssd is die cache standaard al
kleiner ingesteld of neemt hij snel af naarmate de vrije
opslagruimte afneemt. Is hij eenmaal vol, dan halen
uitgave 4/2020 71
Het type mSATA (links) is in tegenstelling tot M.2 (rechts) niet populair geworden en komt niet meer voor op moderne moederborden.
Erg snelle NVMe-ssd’s met PCIe 4.0-interface hebben vaak
een erop vastgeschroefd of opgeplakt koellichaam. Bij het inbouwen moet je van tevoren
even nagaan of daar genoeg ruimte voor is.
sommige ssd's met flashgeheugen in TLC of QLCcel
technologie bij langdurige schrijfbewerkingen snel
heden van minder dan 100 MB/s. Normaliter zijn der
gelijke caches echter tientallen gigabytes groot en doet
dat rampscenario zich alleen voor als je je complete
Steamgamebibliotheek of mediaverzameling overzet.
Daarnaast moet de bron de gegevens ook maar net snel
genoeg aanleveren.
Je komt bij ssd’s ook wel Intels Optanetechno
logie tegen, maar dat is qua prijs geen alternatief en
meer bedoeld voor servers of workstations. Intel biedt
zelf M.2ssd’s aan zoals de H10, die een snelle maar
kleine Optanecache in plaats van pseudoSLC gebrui
ken om de langzame schrijfprestaties te maskeren van
het QLCflashgeheugen op de SSD [2]. Ook daar heeft
de 256GBversie met 16 GB Optane slechts de helft van
wat de 512GBversie te bieden heeft. Die ssd’s hebben
bovendien een geschikt (Intel)BIOS nodig, anders is de
Optane cache inactief – dat zijn dus geen aanraders voor
AMDsystemen.
SET-UP
Na het installeren moet je in de BIOSsetup controleren
of de SATAcontroller in de AHCImodus draait – als die
op IDE of RAID staat ingesteld, moet je hem bij een scho
ne installatie omzetten.
Zorg er ook meteen voor dat de bootvolgorde klopt,
zodat je computer vanaf de nieuwe ssd opstart.
Als je het besturingssysteem opnieuw installeert,
kun je de oude schijf (of schijven) beter eerst loskop
pelen. Zo voorkom je dat je per ongeluk het verkeerde
installatiedoel kiest en behoud je de oude gegevens. Bo
vendien komt de bootmanager van Windows dan zeker
op de juiste ssd terecht en kan de computer ook opstar
ten als je je oude schijf voor andere doeleinden wilt ge
bruiken.
Overigens: aangezien de data op ssd's willekeurig
benaderd kunnen worden zonder enig prestatieverlies,
heeft het defragmenteren van een ssd geen zin.
SSD'S IN LAPTOPS
Ssd's spelen in verschillende opzichten een bijzondere
rol bij laptops, en zijn zo mogelijk nog nuttiger bij mo
biel gebruik.
De snelheidswinst is daarbij nog groter omdat de
harde schijven van laptops meestal aanzienlijk trager
zijn dan hun desktopvarianten. Door de afwezigheid van
bewegende delen zijn ssd’s ongevoelig voor schokken
bij mobiel gebruik. En ze wegen minder dan harde schij
ven. Meestal kan in een laptop slechts een enkele ssd. Bij
het gangbare 7 millimeter hoge formaat is dat qua capa
citeit geen probleem in vergelijking met harde schijven.
Harde schijven met meer dan 2 TB capaciteit zijn lastiger
omdat die eigenlijk alleen beschikbaar zijn met hogere
behuizingen. Aangezien het onderweg met een laptop
meer gedoe is om bestanden te benaderen op je thuis
NAS of op externe harde schijven, is het verstandig om
in geval van twijfel bij een laptop voor een grotere capa
citeit te kiezen.
Vooral bij compacte laptops is er meestal geen ruim
te of mogelijkheid om een ssd achteraf te upgraden, om
dat die vaak vastgesoldeerd zit en niet vervangen kan
worden. Voordat je een laptop aanschaft of een ssd be
stelt als upgrade, moet je even controleren of dat wel
mogelijk is.
OUDE APPARATEN
Wil je besparen op ssdcapaciteit en daarnaast een oude
harde schijf of ssd blijven gebruiken, dan is dat geen
probleem. Hij kan misschien zelfs sneller werken dan
voorheen. Als je een oude ssd of harde schijf in het sys
teem laat zitten, is het een goed idee om daar de minder
vaak benodigde gegevens op te parkeren. Je downloads
en bijvoorbeeld je muziekbestanden of videomap zet
je wel op de nieuwe schijf. Doordat de oude schijf niet
meer benaderd hoeft te worden voor de werking van het
besturings systeem, kan die schijf zelfs iets sneller aan
voelen.
CONCLUSIE
Een ssd is het ideale opslagmedium. Met een SATAssd
van 500 GB zit je in de meeste gevallen aan de veilige
kant. Een kleinere capaciteit moet je alleen overwegen
als dat door het budget echt noodzakelijk is. M.2ssd’s
met het NVMeprotocol zijn nog sneller. Koop als het kan
meteen een ssd van 1 TB, zodat je vaarwel zegt tegen
kunt zeggen tegen die ouderwetse harde schijf.
Literatuur
[1] Carsten Spille en Daniel Dupré, Zuinige 7watt minipc, Zuinige
instap en of icepc voor 300 euro aan hardware, c’t 3/2020, p.46
[2] Lutz Labs, Intel Optane Memory H10, Turbossd, c’t 78/2019, p.25
www.ct.nl/softlink/
2004070
72 www.ct.nl
Test / Grote ssd’s
ALLES OVER DIT ONDERWERP
Aankoopcriteria voor ssd’s 70
Grote en snelle ssd’s 73
TEST VAN 14 SSD’S MET 2 OF 4 TB OPSLAGRUIMTE
Grote en snelle ssd’sSsd’s zijn helemaal ingeburgerd als snel opstartmedium voor het besturingssysteem en je
programma’s. Veel (omvangrijke) data worden door de kosten nog op een harde schijf opgeslagen, maar dankzij verder dalende prijzen komen nu ook grote ssd’s in
aanmerking als opslagmedium daarvoor.
uitgave 4/2020 73
Ssd’s vanaf 2 terabyte – benchmarks en praktijkresultaten Seq. snelheden schrijven/lezen1 [MB/s] Snelheden PCMark 8 / schrijven H2testw /
schrijven bij 100 % vol 1 [MB/s]
IOPS schrijven/lezen2 Energieverbruik3 [W]
besser > besser > besser > < besser
Adata Ultimate SU800 (1,92 TB)
Crucial BX500 (2 TB)
Crucial MX500 (2 TB)
Intel SSD 660p (2 TB)
Kingston A400 SSD (1,92 TB)
Micron 1300 (2 TB)
Mushkin Source (2 TB)
Patriot P200 (2 TB)
Samsung 860 QVO (2 TB)
Samsung 860 QVO (4 TB)
SanDisk Ultra 3D (2 TB)
SanDisk Ultra 3D (4 TB)
Seagate Barracuda SSD (2 TB)
Western Digital Blue (2 TB)
1 gemeten met IOmeter, blokgrootte 128 kB 3 idle met LPM / idle / lezen / schrijven (geen LPM mogelijk bij Intel SSD 660p)2 gemeten met IOmeter, blokgrootte 4 kB, metingen met 8 GB groot bestand, IODepth=32
Lutz Labs en Marco den Teuling
Als je een paar jaar geleden als upgrade van je
pc een kleine ssd hebt ingebouwd, profiteer-
de je niet alleen van het sneller starten van
het besturingssysteem en de programma’s, maar
had je ook geen last meer van het voortdurende ge-
luid van de systeemschijf die wordt benaderd. Maar
nu is het tijd om ook van de laatste harde schijf af-
scheid te nemen: ssd’s met 2 TB opslagruimte zijn al
voor zo’n 200 euro te koop. We hebben twaalf mo-
dellen met prijzen van zo’n 200 tot circa 260 euro
getest, en voor nog meer opslagruimte ook twee
4TB-schijven, die minder dan 500 euro kosten.
Je kunt ssd’s met die capaciteit ook gebruiken
als je maar ruimte hebt voor één enkele schijf, zo-
als het geval is bij veel mini-pc’s (NUC’s) en laptops.
Klassieke harde schijven in 3,5”-formaat passen in
dat soort apparaten sowieso niet.
TEST-SSD’S
Bij het selecteren van de te testen ssd’s hebben we
vooral gekeken naar de prijs en niet gelet op het type
interface. De meeste ssd’s zitten in een 2,5”-behui-
zing en hebben een SATA-6G-interface. Verder zijn er
nog twee ssd’s bij in M.2-formaat, eenmaal met PCIe
en eenmaal SATA. SATA-ssd’s in M.2-formaat met die
capaciteit of groter zijn er nog nauwelijks – en die
zijn meestal ook duurder dan hun ingeblikte tegen-
hangers. De prijs van de WD Blue in M.2-vorm met
SATA-interface zakte op tijd tot binnen het gekozen
bereik, anders had dat type er helemaal niet bij ge-
zeten. De Crucial BX500 met 2 TB opslagruimte is re-
cent verschenen en kon daardoor in de test worden
opgenomen. Hetzelfde geldt voor de SanDisk SSD
Plus, maar die kwam te laat voor de test.
Er waren zelfs twee server-ssd’s die qua prijs in
aanmerking kwamen: de Kingston-SSD DC450R met
SATA-aansluiting en 4TB capaciteit en de Western
Digital Ultrastar DC SN630 met 1,92 TB. Het bijzon-
dere aan dat laatste model is de U.2-aansluiting. Die
lijkt wel op een M.2-aansluiting, maar de ssd zit in
een 15 millimeter hoge behuizing en wordt via een
mini-SAS-kabel aangesloten of in een geschikt ser-
verrack geplaatst. Voor thuisgebruik zijn U.2-ssd’s
meestal veel te duur en onpraktisch [1].
Er waren nog meer modellen die in aanmerking
kwamen, maar die waren slecht leverbaar of het
testmodel arriveerde daar te laat van. Uiteindelijk
hebben we 14 ssd’s bij elkaar verzameld om te tes-
ten: de M.2-PCIe-ssd Intel 660p, de M.2-SATA-ssd
WD Blue en de 2,5-inch SATA-ssd’s Adata Ultimate
SU800, Crucial BX500, Crucial MX500, Kingston A400
SSD, Micron 1300, Mushkin Source, Patriot P200,
Samsung 860 QVO, SanDisk Ultra 3D en Seagate Bar-
racuda SSD, allemaal met 2 TB. Verder hebben we
de 4TB-versies getest van de 860 QVO en de Ultra 3D.
Omdat sommige tests vanwege de hoge ca-
paciteiten erg lang duurden, moesten we de test-
exemplaren ruim op tijd binnen hebben. Er zullen
ondertussen waarschijnlijk nog meer modellen zijn
die binnen het prijsbereik vallen. Andersom kunnen
er ook modellen in prijs gestegen zijn of slecht ver-
krijgbaar zijn.
TLC VERSUS QLC
Het is opvallend dat bijna alle fabrikanten van ssd in
deze test ook makkelijk aan NAND-flash kunnen ko-
men: Crucial, Micron en Intel hebben hun krachten
gebundeld in de ondertussen beëindigde joint-ven-
ture IMFT. Kingston, SanDisk, Seagate en WD heb-
ben aandelen in de productiefaciliteiten van Flash
Forward en Samsung gebruikt zelfgemaakte geheu-
genchips. Alleen bij de ssd’s van Adata, Mushkin
en Patriot het is niet meteen duidelijk welk flash-
geheugen er gebruikt wordt.
527/564
508/558
512/563
1930/1939
507/561
533/536
521/563
514/560
533/563
533/562
528/562
533/551
464/563
533/562
155/313/525
41/105/495
190/360/510
147/157/1923
40/67/500
189/410/529
220/297/519
94/391/509
138/150/240
169/160/300
244/407/535
246/404/511
120/376/449
230/400/529
89111/99230
57491/50554
85333/98654
204313/200249
59651/56016
86039/95961
88467/99713
66218/66218
88184/88184
87811/93721
73773/95252
72595/98340
81040/81040
73184/95442
0,1/0,5/1,7/2,2
0,2/0,5/1,7/1,6
0,1/0,5/2,2/2,8
2,1/2,1/5,1/5,9
0,1/0,6/1,7/2
0,1/1,1/2,3/2,1
0,1/0,6/2/2,3
0,6/0,6/1,4/1,3
0,4/0,6/1,8/2,2
0,3/0,5/2,2/2,7
0,1/0,6/2,3/2,1
0,1/0,6/2,5/2,6
0,3/0,4/2,4/2,7
0,2/0,7/2,5/2,3
74 www.ct.nl
Test / Grote ssd’s
In een NUC is meestal slechts ruimte voor een enkele ssd. Met een groter exemplaar kun je hem bijvoorbeeld ook als NAS gebruiken. Ook in laptops past meestal slechts een enkele ssd.
Je koopt een ssd met 2 of 4 TB opslagruimte niet
om er alleen het besturingssysteem en een paar
programma’s op te zetten. Dergelijke ssd’s gebruik
je om je complete foto en videocollectie op te be
waren, voor het snel starten van grote games en
misschien ook om bij videobewerking voldoende
opslagruimte te hebben bij het bewerken. Flash
geheugen met 3 bit opslagruimte per cel (TLC, Tri
ple Level Cell) Cel) wordt veel gebruikt en is voor de
meeste taken snel genoeg. Steeds meer fabrikanten
gaan vanwege de kosten echter over op QLCflash
geheugen (Quadruple Level Cell), dat 4 bit per cel
opslaat. De ssdcontroller moet daar bij het lezen 16
verschillende spanningsniveaus in onderscheiden,
en die bij het schrijven ook in de cellen kunnen be
waren – en dat duurt langer dan bij TLCflash. Ook
kan dat geheugentype minder wiscycli doorstaan
dan TLC.
Bij TLCflash gebruiken veel ssdfabrikanten al
een zogenaamde pseudoSLCcache, waarbij een
deel van de cellen in een modus is gezet waarin ze
slechts 1 bit opslaan – maar dan wel veel sneller. Ss
d’s met QLCflashgeheugen profiteren ook van die
truc, want ze zijn nog iets langzamer dan die met
TLCflashgeheugen: na het ononderbroken schrij
ven van 30, 50 of meer GB daalt de datasnelheid bij
sommige modellen tot onder de 100 MB/s. Dat is
zelfs duidelijk trager dan een harde schijf.
De SLCcache van de schijven bestaat vaak uit twee
delen: een statisch deel en een dynamisch deel,
waarvan de grootte afhangt van hoe vol de schijf is.
Intel geeft bijvoorbeeld aan dat de SLCcache van
de 660p met 2TB maximaal 280 GB groot is bij een
lege schijf. Als de ssd voor 50 procent vol is, daalt de
cachegrootte tot 140 GB, bij 75 procent zijn er nog
maar 24 GB over.
Ssd’s met QLC zijn geen vervanging voor model
len met TLC of het nog snellere en meer belastbare,
Wissen of hergebruiken
Het inbouwen van een grote ssd zorgt er
waarschijnlijk voor dat je een andere schijf
over hebt. Dat kan een overbodig gewor
den harde schijf voor dataopslag zijn, de
oude opstartssd of misschien zelfs beide.
Je kunt die gewoon blijven gebruiken, bij
voorbeeld in een externe behuizing. Harde
schijven in 3,5”formaat hebben een eigen
stroomvoorziening nodig, ssd’s kun je ook
zonder losse voeding via een adapter aan
sluiten op de usbpoort. Een test van ex
terne usbbehuizingen staat in [2] en bij de
link bij dit artikel.
Stop je een harde schijf of ssd in een
usbbehuizing, dan kun je die eventueel
ook als backup gebruiken: je bestanden
staan er al op. Wil je de schijf echter aan ie
mand geven of doorverkopen, dan moet je
de data wissen zonder dat die terug te ha
len is. Het is dan niet voldoende om ze in
Windows naar de prullenbak te verplaat
sen, de gegevens staan dan nog steeds op
de schijf.
Bij harde schijven kun je volstaan met
het overschrijven van elke sector door een
willekeurige combinatie van nullen en
enen, maar bij ssd’s ligt dat ingewikkelder.
Ssd’s gebruiken een deel van de opslag
ruimte voor beheertaken. Dat deel is niet
toegankelijk voor gebruikers. Toch moet
het wel gewist worden, want daarin kun
nen zich nog gegevens bevinden.
In principe ondersteunen alle harde
schijven en ssd’s al jarenlang een com
mando voor het veilig wissen met de naam
Secure Erase. Veel ssdfabrikanten bieden
in hun ssdtools een functie om een spe
ciale usbstick te maken. Daarmee kun je
de pc opstarten en de aanwijzingen opvol
gen voor het veilig wissen. Een universele
oplossing om veilig te wissen, die echter
ook riskant kan zijn voor de bestanden op
andere schijven, is het booten van een Li
nuxdistributie en van daaruit hdparm ge
bruiken (zie de link).
Harde schijven kun je daarnaast vei
lig wissen met de Microsofttool disk-
part. Daarvoor open je een Opdracht
promptvenster met beheerdersrechten
en typ je diskpart in. Laat vervolgens
met list disk een lijst weergeven van
alle stations en kies met sel disk x de
schijf die je wilt wissen (x moet je daarbij
vervangen door het nummer van de te wis
sen schijf). Vervolgens geef je de tool met
clean all de opdracht om alle sectoren
met nullen te beschrijven. Bij grotere ssd’s
kan dat al gauw enkele uren duren.
Voor hergebruik van een oude ssd zijn allerlei soorten externe behuizingen verkrijgbaar, zoals deze met het formaat van een grote usb-stick, waar een M.2-ssd in past.
uitgave 4/2020 75
Crucial heeft zijn budgetssd’s van de
BX500serie zonder veel ruchtbaarheid
uitgebreid met modellen met 1 en 2 TB,
en het oude model van 960 GB laten ver
vallen. Er zijn ook veranderingen in het
gebruikte geheugen: Crucial gebruikt nu
QLCflashgeheugen voor deze nieuwe
modellen.
Dankzij een vrij groot SLCcache
merk je in de praktijk echter slechts wei
nig van het trage geheugen, pas als de
schijf vol raakt daalt de schrijfsnelheid
na ongeveer 30 seconden tot minder dan
de helft.
Crucial BX500
Crucials MX500 wordt door veel mensen
beschouwd als een goed alternatief voor
de duurdere Evossd’s van Samsung. Hoe
wel de MX500 al twee jaar op de markt
is, kan hij qua snelheid en uithoudings
vermogen nog steeds goed meekomen
met de nieuwere modellen.
Maar op sommige momenten zie je de
leeftijd van het model wel: bij het schrijven
heeft de MX500 bijna 3 watt nodig, meer
dan alle andere ssd’s in deze test. Waar
schijnlijk komt dat doordat Crucial in deze
ssd het oudere NANDflashgeheugen met
64 lagen gebruikt.
Crucial MX500
Adata gebruikt in de Ultimate SU800
NANDflashgeheugen van Micron met
TLCtechnologie. Samen met de Sili
conMotioncontroller SM2258 zorgt dat
voor hoge snelheden bij het lezen en
schrijven.
De printplaat van de SU800 be
slaat niet eens de helft van de ruimte
in de ssdbehuizing. Hij is voorzien van
slechts vier flashchips. Daarnaast is er
nog ruimte voor vier andere, dus de lay
out is al ingesteld op de productie van
een 4TBssd. Adata biedt een dergelijk
model echter nog niet aan.
Adata SU800
snel ondanks QLC
traag bij hoge belasting
lage IOPS-waarden
snel
lange garantie
hoog energieverbruik
snel
idle energiezuinig
nogal prijzig
maar ook duurdere MLCflashgeheugen. Zeker voor
toepassingen met een hoge belasting zal behoefte
blijven bestaan aan ssd’s met meer uithoudings
vermogen. QLC en het nog in te voeren PLC (Penta
Level Cell, met een opslagcapaciteit van 5 bit per
cel) zal thuis en in datacenters vooral dienen als
vervanging voor harde schijven, vooral voor inhoud
die zelden gewijzigd hoeft te worden (coldstorage).
SPECIFIEKE TESTS
Een van de interessante punten bij deze grote ssd’s
is of ze hun snelheid kunnen behouden – zelfs als
ze vol zijn of wanneer er langdurige kopieeracties
zijn, zoals bij het overzetten van je hele fotocollec
tie naar een nieuwe ssd. We gebruikten om te be
ginnen ons testprogramma H2testw (zie link op de
laatste pagina van dit artikel) voor het testen, dat
de hele schijf vult met 1 GB grote bestanden. Ssd’s
met SLCcache worden daarbij afgeremd tot hun
echte snelheid. Daarna hebben we met IOmeter de
schrijfsnelheid bepaald. Als die aanzienlijk lager
was dan bij een lege schijf, hebben we 5 procent van
de H2testwbestanden gewist en opnieuw gemeten.
Terwijl de meeste ssd’s bij de eerste test met
H2testw een schrijfsnelheid haalden van ongeveer
400 MB/s over de gehele capaciteit, kwamen de
Intel en Samsungssd’s bij het schrijven bijvoor
beeld niet verder dan 150 tot 160 MB/s, en kroop
Kingston daar nog onder met minder dan 70 MB/s.
De SU800 en Source haalden in deze test ongeveer
300 MB/s.
De ssd’s van Samsung vielen ook weer op in de
IOmetertest daarna: beide haalden slechts zo’n
240 (2TBssd) respectievelijk 300 MB/s (4TBssd)
tijdens een minuut lang schrijven. Dat veranderde
ook nauwe lijks na het verwijderen van in totaal 20
procent van de H2testwbestanden. Die twee ssd’s
hebben meer vrije ruimte nodig dan de andere voor
hoge schrijfprestaties.
Bij de verdere benchmarks horen metingen met
IOmeter bij een lege ssd. We hebben de metingen
van de schrijfsnelheid wat uitgebreid: de schijven
moesten niet alleen één minuut lang data ontvan
gen, maar ook vijf minuten lang. Bijna allemaal kon
den ze hun aanvankelijke snelheid daarbij behou
den, alleen de Barracuda moest ongeveer 50 MB/s
inleveren. Daarbij moet je wel bedenken dat de ssd
in die vijf minuten al ongeveer 125 GB heeft opge
slagen. Toch lijkt de SLCcache van de Barracuda
iets kleiner dan die van de concurrentie.
Als een praktische benchmark hebben we weer
de uitgebreide storagebenchmark van PCMark 8
76 www.ct.nl
Test / Grote ssd’s
De enige PCIessd in deze test heeft
moeite zich staande te houden tegen
over de SATAconcurrentie – ondanks de
snellere interface. Hoewel hij erg snel is
voor de meeste taken dankzij de SLCca
che, daalt de schrijfprestatie tot onder de
160 MB/s wanneer de cache vol is.
Er is inmiddels al een opvolger van de
660p: de 665p maakt gebruik van nieu
wer flashgeheugen met 96 lagen, wat de
levensduur met 50 procent zou moeten
verlengen. Dat model moet binnenkort
verkrijgbaar zijn, maar prijzen zijn nog
niet bekend.
Intel SSD 660p
Bij het testen van de Kingston A400 wa
ren we eogenlijk wel een beetje verrast:
alles ging vrij traag. Het formatteren van
de ssd duurde langer dan normaal en de
ssd deed er ook ongewoon lang over om
een grote hoeveelheid bestanden te ver
wijderen.
Erger nog, we moesten ook nog eens
extreem lang wachten bij het schrijven
naar de ssd met H2testw: de snelheid
zakte tot minder dan 70 MB/s. De A400
droeg ook bij de opslagtest met PCMark
8 de rode lantaarn met 40 MB/s, net na
de BX500.
Kingston A400
De Micron 1300 hoort misschien niet he
lemaal thuis in deze test, want de prijs
van minder dan 250 euro lijkt slechts
een tijdelijke dip te zijn geweest. Op dit
moment kost de ssd namelijk meer dan
260 euro.
Ongebruikelijk voor een ssd is dat
de 1300 bijna net zo snel schrijft als dat
hij leest. Dat geldt ook voor de toegang
tot willekeurige adressen. Micron maakt
gebruik van 3D-TLC-flashgeheugen met
96 lagen, en optioneel zijn ook model
len met ingebouwde encryptie beschik
baar.
Micron 1300
lange garantie
snel bij weinig data
opvolger verkrijgbaar
goedkoop
langzaam bij verwijderen
erg langzaam bij belasting
constante schrijfprestaties
idle energieverbruik
behoorlijk prijzig
gebruikt. Die belast de ssd’s ongeveer 24 uur lang
en meet tussendoor verschillende waarden. Daarbij
vielen de Ultimate SU800 en BX500 op met gemid
delde waarden van slechts zo’n 40 MB/s. Positie
ve resultaten zijn dat de Source, de twee modellen
Ultra 3D en de Blue waarden haalden van rond 230
MB/s. Je moet je daarbij niet verkijken op de on
gewoon lage waarden bij die benchmark: zelfs een
PCIe 4.0ssd als de Seagate Firecuda 5200 haalt
slechts 285 MB/s met die benchmark.
SATA VERSUS PCIE
De meeste van de geteste ssd’s hebben een SATA
connector, er zit slechts één PCIessd bij: de Intel
SSD 660p, een M.2ssd met QLCflashgeheugen. Dat
is niet alleen de goedkoopste PCIessd, ook in ver
gelijking met SATAschijven is hij niet duur met een
prijs van minder dan 200 euro voor de 2TBversie.
Bij sommige benchmarks ligt de 660p ver voor
op de andere ssd’s in deze test, bijvoorbeeld bij de
maximale leessnelheid. In de praktijk kan het voor
deel van de snellere interface echter niet benut wor
den: het QLCNANDflashgeheugen remt af bij hoge
belasting.
In de prijsklasse tot 250 euro zijn er zeker inte
ressante PCIessd’s met 2 TB opslagruimte, zoals de
Adata XPG SX8200 Pro, de Mushkin Pilot en de Sili
con Power P34A80. Maar die waren niet beschikbaar
op het moment van testen.
MILIEUVRAAGSTUKKEN
De productie van ssd’s vervuilt het milieu. Daar
zijn wat cijfers over bekend: de Britse organisatie
Carbon Trust heeft in opdracht van Samsung (zie
de link bij dit artikel) het grondstofverbruik be
paald voor het produceren van het huidige UFS 3.0
512Gbitflashgeheugen. Volgens de gegevens is
daarbij 310 liter water nodig en bedraagt de CO2uit
stoot 13,4 kilogram. Voor het maken van de 250GB
ssd 850 Evo heeft Samsung ooit een waarde van 9,4
kilogram CO2 opgegeven. De vervuilende uitstoot
kan niet zomaar geëxtrapoleerd worden naar de ge
teste modellen, maar het levert wel een referentie
waarde op.
PRIJSKWESTIES
De ssdprijzen hebben eigenlijk maar één richting:
naar beneden. Zo is de prijs van de al wat oudere
SanDisk Ultra 3D met 2 TB sinds het starten van de
verkoop ruim 2,5 jaar geleden gezakt van de oude
adviesprijs van bijna 700 euro naar minder dan 250
euro nu.
uitgave 4/2020 77
Ssd’s vanaf 2 terabyteModel Ultimate SU800 BX500 MX500 SSD 660p A400 SSD 1300
Fabrikant Adata Crucial Crucial Intel Kingston Micron
Typeaanduiding ASU800SS-2TT-C CT2000BX500SSD1 CT2000BX500SSD1 SSDPEKNW020T8 SA400S37/1920G MTFDDAK2T0TDL-1AW1ZABYY
Capaciteit volgens fabrikant1 1,92 TB 2 TB 2 TB 2 TB 1,92 TB 2 TB
Capaciteit volgens Windows 1908 GB 1863 GB 1908 GB 1908 GB 1788 GB 1908 GB
Bouwvorm / interface 2,5" / SATA 6G 2,5" / SATA 6G 2,5" / SATA 6G M.2 2280 / NVMe 2,5" / SATA 6G 2,5" / SATA 6G
Jaarlijkse uitvalskans2 0,44 % 0,58 % 0,44 % 0,55 % 0,87 % 0,58 %
Dagelijkse schrijfbelasting2 1461 GB 658 GB 658 GB 219 GB 548 GB 365 GB
Garantie 3 jaar 3 jaar 3 jaar 5 jaar 3 jaar 3 jaar
Prijs per gigabyte 13,9 cent 10,7 cent 12,6 cent 11 cent 11,2 cent 13,6 ct
Prijs e 265 e 200 e 240 e 210 e 200 e 260
1 Fabrikanten gaan uit van 1 GB = 1.000.000.000 bytes. Windows rekent echter met 1 GB = 1.073.741.824 bytes en toont daarom een lagere capaciteit. 2 Opgaaf fabrikant g.o. geen opgaaf
Voor zover wij weten is de Patriot P200 de
eerste ssd op de markt met een control
ler van Maxiotek. Bij sequentiële bewer
kingen kan de MAS0902A de gevestigde
concurrentie bijbenen, maar bij toegang
tot willekeurige adressen haalde de P200
slechts zo’n 65.000 IOPS.
Volgens sommige forumberichten
zou de P200 moeilijk te monteren zijn
in standaard externe SATAbehuizingen
omdat de SATAconnector een iets af
wijkende positie heeft. We hebben dat
bij het testexemplaar niet kunnen vast
stellen.
Patriot P200
Samsung bracht met de 860 QVO een
van de eerste ssd’s met QLCflashgeheu
gen op de markt. De QVOssd’s liggen
qua prijs duidelijk onder de populaire
Evomodellen.
De ssd’s zijn volgens de fabrikant al
leen snel als de SLCcache daadwerkelijk
benut wordt, als de cache vol is daalt de
schrijfsnelheid tot ongeveer 160 MB/s.
Als je geen grote kopieeracties uit
voert, zul je in de praktijk geen nega
tieve efecten merken van het trage
QLCgeheugen, want de grote SLCcache
maskeert dat.
Samsung 860 QVO
Mushkin gebruikt vrij gangbare compo
nenten voor het Sourcemodel ssd met
een SM2258 SiliconMotion-controller
en 3D-TLC-flashgeheugen dat waar
schijnlijk van Micron afkomt. Opmerke
lijk is de hoge snelheid die de Source
ssd onder hoge belasting bereikt: met
220 MB/s bij de PC Mark 8benchmark
behoort hij tot de toppers in die disci
pline.
Bij het schrijven met H2testw is de
snelheid 300 MB/s – ongeveer 25 pro
cent onder de topmodellen, maar nog
steeds vrij snel..
Mushkin Source
voordelig
lage IOPS-waarden
geen LPM, idle-verbruik
snel
uitgebreid softwarepakket
langzaam bij belasting
snel, ook bij belasting
idle energiezuinig
slecht verkrijgbaar
Sommige marktonderzoekers waarschuwen echter
dat die trend dit jaar tot stilstand zou kunnen ko
men of zelfs zou kunnen omkeren. Er wordt gespro
ken over prijsstijgingen tot 30 procent, al zouden
dat soort stijgingen pas in de tweede helft van het
jaar komen. Bij sommige ssd’s zie je inderdaad een
lichte stijging ten opzichte van enkele maanden ge
leden. Maar de prijsstijgingen voor specifieke ssd’s
zijn waarschijnlijk te wijten aan een aantal redenen.
Zo gaf Mushkin aan dat de verkoop van de Source de
verwachtingen heeft overtrofen.
Er is echter geen reden voor paniek. Zelfs als de ssd
prijzen met 30% zouden stijgen, zouden ze doordat
ze in 2019 enorm zijn gedaald nog steeds onder het
niveau liggen van 2018.
CONCLUSIE
Alle ssd’s in deze test bieden grote hoeveelheden
opslagruimte. Ze zijn ook allemaal geschikt als
schijf om het besturingssysteem op te installeren,
al worden sommige langzamer bij zeer langdurige
schrijfprocessen. Dat speelt vooral bij de Kingston
78 www.ct.nl
Test / Grote ssd’s
Source P200 860 QVO 860 QVO Ultra 3D Ultra 3D Barracuda SSD Blue
Mushkin Patriot Samsung Samsung SanDisk SanDisk Seagate Western Digital
MKNSSDSR2TB-DX P200S2TB25 MZ-76Q2T0BW MZ7MH4T0HMLC SDSSDH3-2T00-G25 SDSSDH3-4T00-G25 ZA2000CM10002 WDS200T2B0B
2 TB 2 TB 2 TB 4 TB 2 TB 4 TB 2 TB 2 TB
1863 GB 1908 GB 1863 GB 3726 GB 1863 GB 3726 GB 1863 GB 1863 GB
2,5" / SATA 6G 2,5" / SATA 6G 2,5" / SATA 6G 2,5" / SATA 6G 2,5" / SATA 6G 2,5" / SATA 6G 2,5" / SATA 6G M.2 2280 / SATA 6G
0,58 % 0,44 % 0,58 % 0,58 % 0,5 % 0,5 % 0,49 % 0,5 %
g. o. 913 GB 658 GB 1315 GB 274 GB 329 GB 586 GB 274 GB
3 jaar 3 jaar 3 jaar 3 jaar 5 jaar 5 jaar 5 jaar 5 jaar
14,5 cent 11 cent 11,3 cent 11,8 cent 12,3 cent 12,9 cent 13,4 cent 12,9 cent
e 270 e 210 e 210 e 440 e 230 e 480 e 250 e 240
De SanDisk Ultra 3D, die al meer dan
twee jaar op de markt is, kan zich nog
steeds staande houden tegenover de
nieuwere concurrentie. Bij de test met
PCMark 8 eindigen de 2TB en 4TB-mo
dellen ieder met ongeveer 245 MB/s bo
venaan de lijst.
SanDisk heeft het Secure-Erase-pro
ces enigszins onhandig opgelost: na op
starten met een usbstick die je maakt
via het SanDisk SSD Dashboard, moet
de te wissen ssd worden geselecteerd
via het serienummer dat erop staat. Niet
handig als de schijf ingebouwd is.
SanDisk Ultra 3D
Seagate is een tijdlang niet actief ge
weest op de markt van desktopssd's.
Met de Barracuda SSD gebruikt het be
drijf een bekende naam uit de wereld van
de harde schijven om die markt weer te
betreden.
De Barracuda SSD is niet de snelste
SATAssd die beschikbaar is, maar hij
houdt zich goed staande bij deze test
met zijn gemeten snelheid van iets min
der dan 400 MB/s bij de H2testw-run en
een maximumsnelheid van 470 MB/s.
Met PCMark 8 werd echter maar 120 MB/s
gehaald.
Seagate Barracuda SSD
De WD Bluessd is de enige SATAssd in
M.2-formaat die momenteel beschik
baar is voor onze grensprijs van 250
euro. Vooral als het gaat om het lezen en
schrijven van grote bestanden behoort
hij tot de top van de SATAssd’s. De hoge
snelheid houdt hij ook vol bij hoge be
lasting.
De prijs van de 2,5inch versie van
de Blue is inmiddels ook onder de 250
euro gezakt, en daarnaast is er ook een
versie met 4 TB – maar helaas kwam die
te laat binnen om in deze test mee te
nemen.
WD Blue
lange garantie
ook bij belasting vlot
Secure Erase omslachtig
lange garantie
enigszins prijzig
wat langzamer bij schrijven
snel bij lezen en schrijven
ook bij belasting snel
lange garantie
A400 en de Crucial BX500. Ook de geschiktheid als
snelle dataopslagruimte verschilt per model. De
Patriot P200, SanDisk Ultra 3D en WD Blue en met
enkele concessies ook de Seagate Barracuda en
Crucial MX500 leveren hoge schrijfprestaties gedu
rende langere tijd, maar de Micron 1300 en Mush
kin Source zitten al 25 procent onder dat niveau.
De twee modellen Samsung 860 QVO en de Intel
SSD 660p zijn te langzaam voor langdurige kopieer
acties. De Crucial BX5000 en de Kingston A400 zijn
nog langzamer. Een langdurig hoge schrijfsnelheid
en QLCflashgeheugen zijn geen goede combinatie.
Bij het lezen ontlopen de ssd’s elkaar niet veel, al
zijn er kleine afwijkingen naar boven bij de 660p en
naar beneden bij de 1300. Al deze ssd’s zijn goed
geschikt voor de meest gangbare toepassingen, de
verschillen merk je pas bij hoge belasting.
Literatuur
[1] Lutz Labs, Grote en snelle ssd's, Een blik op de U.2interface, c’t 78/2018, p.32
[2] Lutz Labs, Nieuwe opslagruimte, Verschillende behuizingen voor harde schijven en ssd's,
c’t 5/2019, p.114
www.ct.nl/softlink/
2004073
uitgave 4/2020 79
Nodes
Materiaalkeuze
Bestandsbrowser
Collection
Workspaces kiezen
Gottfried Hofmann en Marco den Teuling
In de eerste twee delen van onze 3D-workshop
met Blender heb je twee modellen gemaakt: een
speelgoedtrein en een koffiemok. Die zien er in de
3D-weergave al best aardig uit, maar om ze een klein
beetje realistisch te maken ontbreekt er nog iets.
De speelgoedtrein kan bijvoorbeeld wel wat
kleur gebruiken en de koffiemok ziet er met een
glanzende porselein-look duidelijk interessanter uit.
Het gaat in dit artikel om uiterlijkheden, dat wil zeg-
gen om de oppervlakken en hoe je de eigenschap-
pen daarvan aanpast. Daarnaast leer je ook hoe je
modellen en andere gegevens uitwisselt tussen ver-
schillenden Blender-bestanden.
We beginnen met het porselein-materiaal. Laad
daarvoor het bestand met de koffiemok. Als je het
eerste en tweede deel hebt gemist, dan kun je die via
ct.nl online nog nabestellen. De Blender-bestanden
kun je downloaden van onze website (zie de link op
de laatste pagina van die artikel). Je kunt de proce-
dures ook toepassen op de apenkop-mascotte van
Blender (met de naam Suzanne). Die kun je invoegen
in de werkruimte met ‘Add / Mesh / Monkey’.
ER KLEUR IN BRENGEN
Blender-workshop deel 3: glanzend porselein en massief houtMet Blender kun je je virtuele objecten een realistisch ogend uiterlijk geven. Maak van een laf bakkie een stralende koffiemok of geef een speelgoedtrein een mooie houten uiterlijk.
WERKGEBIED
Net als in een fabriek heb je ook bij Blender voor
elk onderdeel van het arbeidsproces een eigen wer-
komgeving. Je wisselt tussen die workspaces met
de tabbladen bovenin naast de menubalk. Voor de
stappen in deze workshop ga je van de tot dusver ge-
bruikte Layout-omgeving naar Shading.
Rechts zie je dan nog steeds de vertrouwde Out-
liner en Properties Editor. Het in tweeën gesplitste
hoofdvenster bevat bovenin nog steeds een 3D-vie-
wport, maar die ziet er heel anders uit dan voorheen
bij het modelleren.
De weergave van de scène doet denken aan het
maken van een nieuw object, maar dan met een
grijsblauw ingekleurde achtergrond. Assen en een
raster ontbreken, in plaats daarvan vallen rechts-
onder twee kogelvormige indicators op. De linker
kogel is spiegelend, de rechter is diffuus en ziet er
meer uit als van gips. In de linker kogel wordt de om-
geving weerspiegeld. Als je de viewport beweegt, be-
weegt ook de spiegeling op de linker kogel en zie je
de lichtval veranderen op de rechter. De omgeving
zorgt voor de belichting van de scène. Je kunt daar-
mee inschatten of een object er in een realistische
omgeving geloofwaardig uitziet.
De editor onder de viewport is in eerste instan-
tie leeg. Dat is de zogeheten Shader Editor, waar je
later de eigenschappen van het materiaal bewerkt.
Het gedeelte links van het hoofdvenster is ook in
tweeën gesplitst en dient voor het beheren van en
80 www.ct.nl
Praktijk / Blender-workshop: oppervlakken
Als je op een kleurvak klikt, verschijnt er een venster met een kleurencirkel en verlooptint.
Porselein is niet ruw (maar ook weer niet helemaal glad) en glanzend.
werken met afbeeldingen. De Blender-bestands-
browser bovenin ken je al van het opslaan en ope-
nen van Blender-bestanden. In het onderste venster
kun je afbeeldingen bekijken en tot op zekere hoog-
te bewerken.
OPPERVLAKKIG
We gaan aan de koffiemok een materiaal toewijzen.
In Blender definiëren materialen hoe het oppervlak
of het binnenste van een object eruitziet, oftewel
hoe ze reageren als er licht op valt. In deze workshop
kijken we specifiek naar oppervlakken.
Selecteer de koffiemok. In de Shader Editor staat
bovenin een knop met het label New. Klik je daar-
op, dan verschijnen er twee zogeheten nodes in de
Shader Editor: de linker heet Principled BSDF Sha-
der, de rechter Material Output. Nodes worden altijd
gelezen van links naar rechts. Material Output defi-
nieert altijd het einde van de keten en is bij elk mate-
riaal verplicht. Je kunt in de Shader Editor trouwens
op dezelfde manier met de muis navigeren als in de
3D-viewport.
De verbindingen tussen de nodes geven aan
welke gegevens waarheen vloeien. Een verbinding
wordt altijd tussen twee sockets gemaakt. Die soc-
kets geven met hun kleurcodering niet alleen het ge-
gevenstype aan (en daarmee welke verbindingen in
theorie mogelijk zijn), maar via hun naam ook om
welke gegevens het eigenlijk gaat.
In ons voorbeeld is de BSDF-uitgang verbonden
met de Surface-ingang van de Material-Output-no-
de. Anders gezegd: BSDF staat voor Bidirectional
Scattering Distribution Function en is weer een mooi
voorbeeld van hoe Blender in de naamgeving meer
uitgaat van vakliteratuur dan dat het zich op begin-
ners richt. Belangrijk om te onthouden is dat het
gaat om gegevens die de interactie beschrijven tus-
sen het oppervlak en het invallende licht.
De Principled BDSF heeft een hele reeks inputs.
Als daar geen andere node aan is gekoppeld, kun je
de waarde rechtstreeks aanpassen. Klik bijvoorbeeld
op het kleurvlak naast Base Color. Er verschijnt een
kleurencirkel, waarop je met een klik de gewenste
kleur selecteert. De aanpassing zie je met een in de
viewport en het venster met de kleuren cirkel blijft
geopend totdat je de muisaanwijzer weg beweegt.
Via de balk met de zwart-witovergang rechts van de
cirkel kun je de helderheid van de gekozen kleur aan-
passen. Kies de pipet om met een enkele klik elders
in het Blender-venster de kleur op dat punt over te
nemen.
Geef de koffiemok een donkere kleur om spie-
gelingen beter te kunnen beoordelen en aanpassen.
Het object spiegelt al een beetje, maar oogt nog erg
mat. Het lijkt bijna alsof het oppervlak wat grof ge-
schuurd is. Hoe grof het oppervlak moet zijn, stel je
in met de regelaar Roughness. Zoals bij de meeste
instellingen in Principled Shader moet de waarde
liggen tussen 0 en 1.
De standaardinstelling van 0,5 kun je dus be-
schouwen als gemiddeld glad. Normaliter hebben
mokken echter een erg glad en spiegelend opper-
vlak. Stel bij Roughness daarom een waarde in die
net iets boven 0 ligt, zoals 0.05. Er moet een bepaal-
de minimale ruwheid overblijven, omdat perfect
gladde oppervlakken in werkelijkheid niet voorko-
men. Het resultaat lijkt in de praktijk al erg op por-
selein. Gelakte oppervlakken zijn een terrein waarop
de Principled Shader dan ook uitblinkt.
Je moet echter nog wel een kleinigheid aanpas-
sen, namelijk de sterkte van de spiegelingen. In de
shader vind je dat terug als Specular.
uitgave 4/2020 81
Welke van deze objecten horen bij de speelgoedtrein? Het is altijd zinvol om duidelijke namen te gebruiken.
Via het snelmenu kun je objecten toevoegen aan een
Collection.
De standaardinstelling van 0.5 is een goede, maar
vrij algemene waarde voor gangbare materialen
zoals hout en plastic. Gelakt porselein glanst ech-
ter meer. Verhoog de waarde bij Specular naar on-
geveer 0.8. Het resultaat moet dan nog iets meer op
porselein lijken.
TOEVOEGEN
Daarna gaan we aan de blokken van de speelgoed-
trein een materiaal toewijzen dat lijkt op hout dat zo
dik is gelakt dat de houtnerf (bijna) niet meer zicht-
baar is. Daarvoor willen we de trein echter eerst toe-
voegen aan de scène met de koffiemok. Dat kan op
twee manieren: Append en Link. Met de eerste laad
je een kopie van het model in het huidige bestand.
De tweede methode maakt een koppeling met het
oorspronkelijke model en laadt die in de scène,
maar dan kun je het niet aanpassen.
We willen de trein in het voorbeeld in hetzelf-
de project invoegen, omdat dat makkelijker is en
ze uiteindelijk beide op dezelfde salontafel terecht
moeten komen. Kies daarom ‘File / Append’. De be-
standsbrowser van Blender verschijnt dan. Blader
naar het .blend-bestand waarin je de trein hebt op-
geslagen of download het voorbeeldbestand via de
link bij dit artikel.
De bestandsbrowser ziet het .blend-bestand als
een soort map. Als je erop klikt, verschijnen er ver-
schillende ‘submappen’. Daarin staan bijvoorbeeld
de objecten waaruit de trein is opgebouwd. Die heb-
ben vaak namen zoals Cube en Cylinder.001.
OVERZICHT HOUDEN
Om de vaart er een beetje in te houden, hebben we
bij de voorgaande workshops nagelaten om de ob-
jecten herkenbare namen te geven en ze handig te
groeperen. Dat doen we nu alsnog. Bewaar het pro-
ject met de koffiemok en open het bestand met de
speelgoedtrein. Je kunt bij Blender geen meerde-
re projecten tegelijk geopend hebben. Wat er dan
eigenlijk gebeurt is dat er meerdere exemplaren
van Blender gestart worden. Je kunt de namen van
objecten wijzigen in de Outliner of op het tabblad
Object van de Properties Editor. Gebruik bij voorkeur
duidelijke namen, zoals ‘cabine’ en ‘ketel’.
VERZAMELINGEN
Als je de speelgoedtrein op dit moment wilt toevoe-
gen aan het bestand met de koffiemok, moet je alle
afzonderlijke elementen selecteren waaruit hij is op-
gebouwd. Het zou makkelijker zijn als van tevoren is
vastgelegd welke objecten bij elkaar horen en je die
ook met een enkele klik samen zou kunnen koppe-
len of toevoegen (Append). Dat is mogelijk met zo-
geheten Collections. Dat is een flexibel systeem voor
het groeperen in Blender, dat vooral bij het werken
in de Outliner erg goed van pas komt.
Selecteer alle objecten die onderdeel zijn van de
trein en kies in het snelmenu Move to Collection. Je
kunt eventueel hetzelfde bereiken met de sneltoets
M. Er verschijnt een vervolgmenu met een lijst van
bestaande collections. Kies New Collection en geef
ook hier een duidelijke naam op zoals ‘Speelgoed-
trein’.
Bewaar het bestand en open het project met de
koffiemok weer. Dat kan heel snel via het menu ‘File
/ Recent’. Kies vervolgens weer ‘File / Append’ en
open het bestand (de map) met de trein. Deze keer
blader je echter door naar de ‘submap’ Collection.
Daar moet je dan de zelf samengestelde groep zien
staan.
Dubbelklik daarop om de trein toe te voegen aan
het huidige bestand. Waarschijnlijk verschijnt hij in
de koffiemok. Verplaats de mok naar opzij, zodat je
je kunt concentreren op het materiaal van de mok.
Selecteer de ketel en maak een nieuw materiaal aan.
Geef dat meteen een duidelijke naam, zoals ‘loco-
motief_ketel’.
De kleuren van de trein moeten zo verzadigd
mogelijk zijn, omdat kinderen dat leuk vinden en
daarom bijna al het speelgoed dergelijke opvallen-
de kleuren heeft. Een verzadigde kleur krijg je als je
in de kleurencirkel naar de buitenkant gaat, oftewel
naar de rand. Je moet daar echter ook niet te ver in
gaan, omdat de natuur bepaalde grenzen heeft, on-
geacht alle moderne kleurenchemie.
Onder het kleurenwiel zitten drie schuifregelaars
voor H, S en V. Daarbij gaat het om Hue (de kleur-
tint), Saturation en Value (verzadiging respectieve-
lijk helderheid). Als je een beetje realistische waar-
den wilt gebruiken, moet je zowel S als V nooit groter
instellen dan 0.9.
De Roughness stel je in op 0.2 om een niet meer
helemaal onaangetaste laklaag te simuleren. Het
geheel ziet er echter nog niet als hout uit. Dat komt
doordat er helemaal geen nerf zichtbaar is. Afgezien
van wat spiegelingen is er geen enkele variatie in de
kleur en ook in het oppervlak valt het ontbreken van
een houtnerf op.
Je bent aangekomen op een punt waar je niet
genoeg meer hebt aan objecten met een effen kleur.
Wat je nodig hebt zijn extra details, en die haal je bij-
voorbeeld uit een foto of een textuur. Via de link bij
82 www.ct.nl
Praktijk / Blender-workshop: oppervlakken
De helderheid (V) en verzadiging (S) moet je voor een realistisch resultaat niet hoger instellen dan 0.9. Bij de Roughness is 0.2 een goede benadering voor een niet perfect glanzende lak.
Als je de textuur rechtstreeks koppelt aan de Base Color, wordt de eerder ingestelde kleur compleet overschreven door de kleuren van de textuur.
Met nodes kun je kleuren mengen. Daarbij zijn dezelfde opties beschikbaar als bij beeldbewerking, zoals Multiply voor donkerder maken.
dit artikel kun je een afbeelding downloaden met
een geschikte textuur. Als je de afbeelding uit de be-
standsbrowser naar de Shader Editor sleept, ont-
staat automatisch een nieuwe node. Die omvat de
afbeelding en talloze vervolgkeuzelijsten met opties.
Verbind de uitgang Color met de ingang ‘Base Color’
van de Principled BSDF.
De ketel heeft nu een houtnerf, maar de inge-
stelde kleur is helemaal verdwenen. De gegevens
voor de kleur komen nu namelijk van de afbeelding
en niet meer van het (verdwenen) kleurvlak. Je hebt
dan een manier nodig om de houtnerf-textuur te
combineren met een kleur naar keuze.
Kies ‘Add / Color / MixRGB’ via het menu of via
sneltoets Shift+A. Er verschijnt dan een nieuwe node
bij de muis. Als je de muis verplaatst, beweegt de
node mee. Plaats hem op de verbindingslijn tussen
Color en Base Color. De lijn wordt dan gemarkeerd
en als je klikt, wordt de node op die lijn ingevoegd.
De ketel oogt dan duidelijk feller. Dat komt door-
dat de kleur van het onderste veld voor 50 procent
wordt gemengd met de kleur van het bovenste veld
(de textuur). Het onderste veld heeft standaard een
lichtgrijze kleur, waardoor de textuur lichter wordt.
Geef het onderste veld weer een kleur naar keuze,
bijvoorbeeld een verzadigd rood. De textuur lijkt dan
alleen een zachte rode gloed te krijgen.
Dat komt weer door de 50-procent vermenging.
Je kunt die factor aanpassen via de regelaar met het
label Fac. Het getal daarin staat voor de mengfactor.
Bij 0.0 komen alle gegevens van Color1, bij 1.0 be-
paalt Color2 voor honderd procent de uiteindelijke
kleur. Waarden daar tussenin zorgen voor een mix.
Daarmee kun je dus bepalen hoe dekkend de kleur is
ten opzichte van het hout.
Maar er zijn nog andere opties. Je kunt Multiply
kiezen in het drop-downmenu om het effect te krijgen
van verf die direct op het hout is aangebracht en
daarin is doorgedrongen in plaats van de dekkende
laag die je met Mix kunt simuleren. Beide zijn legi-
tiem, maar het resultaat zal altijd nog wat onnatuur-
lijk ogen omdat de nerf geen invloed heeft op de op-
pervlakte. Als je bij Multiply de waarde voor Fac op
1.0 zet, blijven er nog details van de nerf zichtbaar.
Als je ervaring hebt met beeldbewerking, zul je
op dat punt al hebben opgemerkt dat het werken
met nodes in Blender veel weg heeft van lagen bij
beeldbewerking. Bij Blender is gekozen voor nodes,
omdat die flexibeler zijn. Je kunt bijvoorbeeld de
Color-uitgang van de Texture-node direct het opper-
vlak laten beïnvloeden.
uitgave 4/2020 83
Praktijk / Blender-workshop: oppervlakken
De Color-uitgang van de textuur kan via de Bump-node ook worden gebruikt om extra
details toe te voegen aan het oppervlak van het model.
Als meerdere objecten een materiaal delen, zoals hier de wielen, kun je het uiterlijk van allemaal aanpassen door één ervan te bewerken.
Daarbij wordt de helderheid van de textuur gebruikt
als hoogte-informatie: heldere gebieden worden
hoger, donkere worden dieper. Dat is net als bij uit-
drogend hout, waarbij de donkere gebieden met
jaarringen sterker krimpen dan de lichtere, met het
oneffen oppervlak van oud hout als gevolg.
Helaas bestaat daar geen rechtstreekse input
voor, maar heb je een conversie-node nodig. Kies
‘Add / Vector / Bump’ en koppel de Color-uitgang
aan de Height-ingang van die nieuwe node. Je ziet
dan nog geen veranderingen in de viewport omdat
de uitgang van de Bump-node nog niet is verbonden
met de ingang van een andere node.
Verbind hem met de Normal-ingang van de Prin-
cipled BSDF. Het effect dat je ziet is extreem, om-
dat de standaardinstellingen erg overdreven zijn.
Verlaag zowel Strength als Distance naar 0.1. Juist
bij effecten als Bump is minder vaak beter.
Maar wat is er nu eigenlijk gebeurd? Je hebt zo-
juist een effect gebruikt dat je indirect al twee keer
eerder bent tegengekomen. De eerste keer was toen
je de bouwblokken met de Bevel Modifier in combi-
natie met Custom Normals hebt afgerond, de twee-
de keer was bij het instellen van de koffiemok op
Smooth Shading.
Beide keren werden achter de schermen de Nor-
mals (vectoren) van het object veranderd, om het
ronder te laten lijken terwijl het eigenlijk hoekig
was. Ook deze keer worden de Normals aangepast
om details te creëren bij het oppervlak die eigenlijk
helemaal niet aanwezig zijn in de oorspronkelijke
geometrie. Het zijn uiteindelijk de Normals die ver-
antwoordelijk zijn voor hoe een oppervlak licht re-
flecteert. De Roughness bepaalt weer hoe sterk de
spreiding is.
Je kunt het materiaal ook toewijzen aan de an-
dere blokken. Selecteer de cabine voor de machi-
nist. De Shader Editor is nu weer leeg omdat aan de
cabine nog geen materiaal is toegewezen. In plaats
van op New te klikken, gebruik je de kleine vervolg-
keuzelijst links naast het plusteken. Selecteer daarin
het materiaal van de ketel. Dan hebben beide blok-
ken hetzelfde materiaal: als je bij het ene blok de
kleur aanpast, verandert die ook bij het andere. Dat
is bijvoorbeeld handig voor de wielen, omdat die al-
lemaal dezelfde kleur moeten krijgen,
Maar de cabine moet een andere kleur krijgen.
Dat kun je bereiken door in Blender niet een koppe-
ling naar hetzelfde materiaal te maken, maar een
aparte kopie – net zoals je bij het laden van externe
bestanden kunt kiezen tussen Link en Append.
Naast de naam van het materiaal zie je een klei-
ne 2. Als je op die kleine knop klikt, maak je een ko-
pie van het materiaal, die de toevoeging .001 krijgt.
Pas die naam aan en stel de gewenste kleur in. De
kleur van de cabine kan dan onafhankelijk van de ke-
tel gewijzigd worden.
KLEURRIJK TAFEREEL
De koffiemok en de speelgoedtrein hebben nu een
kleur en lijken gemaakt van realistische materialen.
Bij dat laatste punt is er zeker nog ruimte voor ver-
betering, omdat er bijvoorbeeld bij het hout van de
trein nog veel te optimaliseren valt, zoals de grootte
van de nerf. Maar deze workshop wil vooral een in-
stap bieden in de materie.
In het volgende deel gaan we een complete
scène opbouwen en daarbij eindelijk voor het eerst
ook renderen. Je gaat dan een echte scène creëren
en bewaren.
Literatuur
[1] Gottfried Hofman en Marco den Teuling, Leer spelenderwijs 3D-
modellering, Blender-workshop: van eenvoudig 3D-object tot foto-
realistische rendering, c’t 0102/20, p.126
[2] Gottfried Hofman en Marco den Teuling, Zelf 3D-objecten vorm-
geven, Blender-workshop deel 2: van simpele cilinder naar sierlijke
koffiemok, c’t 03/20, p.88
www.ct.nl/softlink/
2004080
84 www.ct.nl
Achtergrond / PoE-adapter
KABEL MET POWER
Met Power-over-Ethernet-adapters allerlei apparaten van stroom voorzienPower-over-Ethernet (PoE), oftewel stroom via de netwerk-kabel, kan met een adapter ook apparaten die geen PoE ingebouwd hebben van stroom voorzien. Daarmee kun je het doortrekken van stroomkabels of ander noodzakelijke oplossingen vermijden.
Andrijan Möcker en Marco den Teuling
De voedingskabel van een goedkope IP- camera
of ledstrip uit de bouwmarkt is met zijn nog
geen twee meter natuurlijk veel te kort om
goed te kunnen monteren. Of in de buurt van de
internetaansluiting ontbreekt een stopcontact voor
je router en je oude tablet als smarthomecentrale ge-
bruiken is lastig omdat de lange usb-kabel die je hebt
gekocht niet genoeg stroom levert. Vervelend, maar
je wilt ook geen 230V-verlengsnoer of netadapter in
beeld hebben bungelen.
Power-over-Ethernet (PoE, IEEE 802.3at/af) kan
in al die gevallen een uitkomst bieden met behulp
van externe adapters, ook wel splitters of injectors
genoemd. Dat werkt met een spanning van 48 volt,
die door een injector over de netwerkkabel kan
worden meegestuurd. Die spanning leidt bij lange-
re kabel lengtes of bij kleinere kabeldoorsneden tot
minder verlies dan de 5 of 12 volt die gebruikelijk zijn
voor kleine apparaten.
Een splitter aan het eind van de netwerkkabel zet
de PoE-spanning weer om in de spanning voor het
apparaat en beschikt over de juiste plug en een net-
werkpoort. Die laatste hoef je niet per se te benutten
om gebruik te maken van PoE. Er zijn ook sets van in-
jector plus splitter verkrijgbaar.
IP-CAMERA'S, ROUTERS & VERLICHTING
IP-camera's en routers hebben meestal 12 volt en 5 tot
20 watt aan vermogen nodig, wat doorgaans wordt ge-
leverd door een voeding met een DC-stekker. Ook bij
ledstrips kom je 12 volt met een DC-stekker tegen. Het
benodigde vermogen is afhankelijk van de lengte en
wordt meestal door de fabrikanten opgegeven in watt
per meter. Je kunt 12V/20W PoE-adapters met de juis-
te plug bijvoorbeeld vinden bij fabrikanten van net-
werkapparatuur of als merkloze versies uit het Verre
Oosten (zie de link op deze pagina).
Pas wel op: hoewel pluggen met een buiten-
diameter van 5,5 millimeter en een binnendiameter
van 2,5 of 2,1 millimeter gebruikelijk zijn, is er geen of-
ficiële specificatie. Ondanks de juiste afmetingen kun-
nen pluggen, pinnen en plugopeningen verschillende
lengtes hebben en niet voor honderd procent passen.
Daardoor krijg je contactweerstanden met de bijbe-
horende verliezen. Als een plug niet duidelijk herken-
baar is en solderen geen optie is, kun je meteen kiezen
voor een splitter met een reeks stekkers (zie de link).
Als je echter een soldeerbout tot je beschikking
hebt, kun je de meegeleverde kabel doorknippen en
een geschikte stekker eraan solderen. Bij sommige
merkloze adapters gaat dat heel makkelijk: als je hard
op de behuizing drukt springt die open, zodat je met-
een aan het begin van het snoer een geschikte plug
kunt monteren en een eventueel overbodige netwerk-
stekker kunt verwijderen.
Passieve adapters – die meestal alleen bestaan uit
een met rubber beklede RJ45-plug met twee kabels
eraan – moet je vermijden. Die brengen meestal het
probleem met zich mee van lagere spanningen via de
netwerkkabel doordat ze alleen de ingangsspanning
doorgeven.
USB-APPARATEN
Door de gestandaardiseerde connectors is het bij usb
veel eenvoudiger. Zolang het gebruikte apparaat niet
meer dan 10 watt vermogen vraagt bij 5 volt, zijn goed-
kope adapters met usb-uitgang (zie de link) genoeg
voor de stroomvoorziening. Die kosten meestal zo’n 5
tot 20 euro.
Als je meer vermogen nodig hebt, kan dat via
USB-C voor een wat prijzigere 68 euro: GAT-USB biedt
een 802.3at-converter die USB-C met Power Delivery
(PD) ondersteunt en daarmee 5, 9, 12, 15 of 20 volt le-
vert met maximaal 20 watt vermogen. Daarmee kun
je ook grotere tablets of kleine laptops van stroom
voorzien. Het grotere vermogen via één netwerkkabel
is ook meteen het grootste voordeel van 802.3at (ook
PoE+ genoemd) ten opzichte van 802.3af.
Voor projecten zoals een Raspberry Pi als radio-
ontvanger [1], een tablet als smarthomecentrale of
een smartphone als bewakingscamera voldoen de
kleine adapters echter, zeker omdat dat soort appara-
ten zelden meer dan 10 watt nodig hebben.
Literatuur
[1] Andrijan Möcker en Noud van Kruysbergen. Luisterpost, Raspberry Pi
als radioserver, c’t 1-2/2020, p.50
www.ct.nl/softlink/
2004085
uitgave 4/2020 85
ALLES OVER DIT ONDERWERP
Hulp bij zelfhulp 86
Werken met c’t-Raspion 88
Raspberry Pi installeren 92
Openhartige IP-camera 94
Lekkende stekkerdoos 96
Roddelende smart-tv 98
Binnenwerk van c’t-Raspion 100
CONTRASPIONAGE!
c’t-Raspion: spionnen vinden en onschadelijk maken
86 www.ct.nl
Achtergrond / c’t-Raspion
router
c‘t-Raspion
geobserveerde pc
geobserveerde apparaten
usb-ethernet192.168.24.0/24fd00:24::/64
Alles is tegenwoordig voortdurend online en staat dan ook niet zonder reden onder algemene verdenking: IoT- en smarthome-apparaten wor-den in grote aantallen en tegen lage prijzen op de markt gebracht. We laten zien waarom je niet blind op dergelijke apparaten moet vertrou-wen. En ook hoe je ze tot op de bodem kunt napluizen: met het project c't-Raspion kun je dat namelijk zelf doen.
Peter Siering en Noud van Kruysbergen
Er komen regelmatig slimme apparaten in
ons testlaboratorium binnen. Het spectrum
loopt daarbij van wifi-stekkerdozen uit dis-
count winkels ter waarde van een fles redelijk
drinkbare wijn tot televisietoestellen met de prijs
van een degelijke tweedehandsauto. De meeste
apparaten werken niet of slechts in beperkte mate
zonder toegang tot internet. Vaak gaat het om
clouddiensten, al merk je dat pas als je jezelf re-
gistreert. Het is dan ook de moeite waard om dat
nader te bekijken.
Hoe goedkoper die apparaten zijn, des te gro-
ter is ook de kans dat ze veiligheidsgaten bevat-
ten. De apparaten kunnen dan worden overgeno-
men door hackers, om ze bijvoorbeeld onderdeel
te maken van een botnet, of ze kunnen dienen als
uitvalsbasis voor aanvallen op naburige appara-
ten zoals je router. Deskundigen achten het ook
mogelijk dat bewust gemanipuleerde appara-
ten in omloop worden gebracht: je schroeft dan
een wifipeertje in een lamp zonder te vermoeden
dat die meteen deel uitmaakt van een botnet. Bij
veel apparaten is het risico groot dat de gegevens
die je tijdens de installatie verstrekt in verkeerde
handen vallen.
Om bijvoorbeeld de smartphone-app en de
wifi-stekkerdoos elkaar te laten vinden of om een
fijnstofsensor op het netwerk aan te sluiten, moet
je die apparaten natuurlijk eerst wel de toegangs-
gegevens geven voor je wifinetwerk. Vaak wordt
dat vrij onzorgvuldig opgelost en worden er open
wifinetwerken gebruikt om die gegevens over te
dragen, of de data worden langs een andere weg
uitgewisseld die door anderen gelezen kan wor-
den.
Vaak lekken er ook data weg. Standaardbiblio-
theken die ontwikkelaars integreren gebruiken
SDK's van grote spelers zoals Google, Facebook,
Microsoft, Apple, et cetera. Die versturen graag
allerlei statistische gegevens, zoals het apparaat-
type en de softwareversies en dergelijke, maar
ook GPS-coördinaten en reclame-ID’s en zo. De
Netwerkspion op basis van een Raspberry PiOns project c't-Raspion zet zijn eigen wifinetwerk op. Je kunt de netwerk-
activiteiten van daarop aangesloten apparaten volgen in de browser van een
pc. Optioneel is dat ook mogelijk voor bekabelde apparaten, die c't-Raspion
met behulp van een usb-ethernetadapter dan aan kan sluiten op het geobser-
veerde netwerk.
gebruiker van de configuratie-app voor een slimme
stekkerdoos wordt uniek geïdentificeerd, en ver-
volgens kan de fabrikant deze persoon als poten-
tiële klant herkennen als hij op zoek gaat naar
stofzuigers.
De traceerbaarheid speelt daarbij een andere
bijkomstigheid in de kaart: ongewenste reclame.
Samsung is groot op dat gebied. De slimme tv's van
de Koreaanse fabrikant zullen geen kans onbenut la-
ten om kopers te verblijden met reclame. Samsung
heeft daarvoor een eigen marketingplatform. Maar
ook al wordt bij het gebruik van dergelijke apparaten
meteen duidelijk dat het zo werkt, het is heel lastig
om van dit deel van de slimme wereld af te komen
zonder het gemak ervan op te geven.
De volgende artikelen zijn gewijd aan de vraag
hoe je meer te weten kunt komen over de communi-
catie tussen de apparaten. We introduceren een tool
die we gebruiken om te kijken naar het netwerkver-
keer van apparaten. De tool bestaat uit een Raspber-
ry Pi en een speciale verzameling software. We heb-
ben het project c't-Raspion gedoopt.
Het observeren van het netwerkverkeer vergt wat
geduld en een zekere mate van detective-intuïtie om
ongewone gebeurtenissen te detecteren en classifi-
ceren. De volgende voorbeelden laten zien waar je op
moet letten en hoe je daar zekerheid over kunt krij-
gen. We moedigen je aan om je eigen onderzoek te
doen en je resultaten met ons en andere lezers te de-
len.
uitgave 4/2020 87
SPIONAGEHULPMIDDELEN
Rondleiding door de functies van c’t-Raspion
Een beschuldiging over het lekken van data is zo gemaakt – maar onze tool c't-Raspion (in combinatie met de juiste hardware) kan het bewijs leve-ren. Hij nestelt zich in de datastroom en visualiseert die. In dit artikel leer je de tool en de werkwijze kennen.
Peter Siering en Noud van Kruysbergen
De tool c't-Raspion zet een apart wifinetwerk
op, waarop je de apparaten aansluit die je wilt
monitoren. Het enige wat je nodig hebt is een
Raspberry Pi 3 of 4, die je via de kabel op je bestaan-
de netwerk aansluit en die voor andere apparaten de
toegang tot internet verzorgt (uplink). Daardoor kan
c't-Raspion al het netwerkverkeer tussen de geobser-
veerde apparaten en internet zien – hij werkt eigen-
lijk als een router.
EERSTE STAPPEN
Voor de eerste stappen met de tools voor het obser-
veren van het netwerk is het voldoende om bijvoor-
beeld met een smartphone in te loggen op het wifi-
netwerk. De naam van het wifi en het wachtwoord
worden bij de installatie (zie pagina 92) aan het ein-
de verstrekt. Je hebt daarbij waarschijnlijk een pc ge-
bruikt die is aangesloten op dezelfde router als c't-
Raspion. Je hebt die pc nog steeds nodig om de tools
van het spionagestation te bedienen in de browser.
Tips om het IP-adres van de Raspberry Pi waar c't-
Raspion op draait te achterhalen staan in het volgen-
de artikel over het installeren van c't-Raspion.
Gebruik je smartphone even via het geobserveer-
de wifinetwerk. Open na een paar minuten de start-
pagina van c't-Raspion (met http://raspion of zijn
IP-adres) op de observatie-pc in de browser, klik op
Openen bij de Pi-hole-service en kijk naar de Query
Log. De lijst met DNS-query's komt van je smart-
phone. Op de lijst staan vaak een verrassend groot
ALLES OVER DIT
ONDERWERP
Hulp bij zelfhulp 86
Werken met c’t-Raspion 88
Raspberry Pi installeren 92
Openhartige IP-camera 94
Lekkende stekkerdoos 96
Roddelende smart-tv 98
Binnenwerk c’t-Raspion 100
88 www.ct.nl
Achtergrond / c’t-Raspion: rondleiding
aantal vermeldingen, die je nauwelijks kunt matchen
met de hoeveelheid activiteit op je apparaat.
Een belangrijke les: als een smartphone be-
hoort tot een van de geobserveerde apparaten in het
scenario, moeten alleen de apps erop draaien die je
ook zou willen analyseren, bijvoorbeeld die voor het
configureren van een slim thuisapparaat. Zorg ervoor
dat je weet hoeveel netwerkverkeer de smartphone
genereert zonder gebruik en zonder apps die op de
achtergrond actief zijn.
Hetzelfde geldt voor andere apparaten, zoals een
laptop. Hoe minder apps en hoe minder apparaten
actief zijn in het bewaakte netwerk, des te groter de
kans dat je de dingen ziet die ook echt interessant
zijn. Houd er altijd rekening mee dat andere appara-
ten en gebruikers van invloed kunnen zijn. Idealiter
gebruik je een oude smartphone waarop alleen de
app is ge installeerd die je wilt monitoren.
Je kunt Pi-hole opdracht geven om bepaalde
DNS-query's te blokkeren. Je moet er dan wel rekening
mee houden dat de apparaten zich daardoor anders
zullen gedragen. Als een apparaat een onverwacht
antwoord krijgt op dergelijke query’s, kan het gedrag
ervan afwijken van de normale manier van werken.
Je moet DNS-query's daarom alleen blokkeren om
bepaalde theorieën te testen, zoals of de slimme tv
geen advertenties meer op het startscherm laat zien
wanneer een bepaalde host op de zwarte lijst van
Pi-hole staat.
VOGELPERSPECTIEF
Terwijl Pi-hole alleen DNS-queries laat zien, biedt
ntopng een vogelperspectief van alles wat er live
op het netwerk gebeurt. Daarvoor voegt ntopng het
netwerkverkeer samen in zogenaamde flows. Die
bevatten de betrokken communicatiepartners, het
netwerkprotocol en informatie over de duur en het
volume. De inhoud van de pakketten die in het net-
werk heen en weer gestreamd worden wordt niet ge-
toond. Ntopng analyseert wel de gegevensstromen
en biedt informatie over welke applicatie er commu-
niceert, zoals Skype, BitTorrent, et cetera, en levert
statistieken.
Als je ntopng aanroept, kom je in het Traffic Dash-
board terecht. Daar wordt een visualisatie van de
huidige actieve stromen getoond. Handig is de over-
zichtspagina Flows. Als je het filter ‘Non-Multicast/
Non-Broadcast’ bij het onderdeel Directions selec-
teert, zie je alleen stromen die met de communicatie
tussen de afzonderlijke apparaten (hosts) of richting
de buitenwereld te maken hebben. Veel output van
ntopng is voorzien van een link die meer gedetailleer-
de informatie toont. Navigatie met de gebruikelijke
browserfuncties is mogelijk.
Zeer informatief zijn de weergaven voor indi-
viduele hosts in het netwerk. Op de eerste pagina
van de afzonderlijke hosts kun je pakket opnames
zelfs gewoon vanuit de browser starten. Die wor-
den dan gedownload naar de machine waarmee
je het netwerk monitort. Maar ntopng alleen is al
voldoende om met een paar klikken een overzicht
te krijgen van het communicatiegedrag van de ge-
selecteerde host. Als je helemaal geen gegevens
ziet, gebruik dan je smartphone om weer wat
verkeer te genereren.
Op zichzelf komt ntopng niet actief tussenbeide
bij de gebeurtenissen. Het kan echter actief zoeken
naar apparaten in het netwerk door ze te stimuleren
om te reageren op broadcasts – de desbetreffende
opties zijn te vinden op de werkbalk bij het tweede
item (het aanwijsinstrument) onder de naam Net-
work Discovery.
Veel van de verreikende opties van ntopng zijn
helemaal niet nodig om het communicatiegedrag
van apparaten in de gaten te houden. In de volgende
c’t zullen we in detail ingaan op netwerkdiagnostiek
met behulp van ntopng.
We moeten nog wel even melden dat de commu-
nity-versie van ntopng een beetje vergeetachtig is.
Die vertoont met de standaardinstellingen namelijk
het volgende gedrag: als een host een uur lang niet
actief is geweest, vergeet hij de over die host beken-
de gegevens. Als ntopng gedurende vijf minuten geen
actief verkeer voor een lokale host registreert, zal die
Ons spionagestation c't-Raspion kan worden bediend in de browser. Je hoeft niets op je computer te installeren.
Pi-hole geeft je een overzicht van met welke servers de bewaakte apparaten willen communiceren.
uitgave 4/2020 89
in een idle toestand terechtkomen en dan niet langer
worden getoond. Bij remote hosts is dat al na slechts
één minuut. Via de Preferences kun je de tijdinstel-
lingen aanpassen. Dat vraagt echter meer systeem-
bronnen, die een Raspberry Pi waarschijnlijk niet zal
hebben.
Als je echt geïnteresseerd bent in historische
moni toringgegevens, is de Pro-editie van ntopng een
goede keuze. Het bedrijf ntop biedt die in de versie
voor ARM-apparaten aan voor 50 euro. Het is een
jaarlijkse licentie en geeft je het recht om een jaar
lang te updaten naar de laatste versie. Als opslaglo-
catie voor de historische gegevens dient er dan wel
een MySQL-database te zijn die parallel geïnstalleerd
is op de Raspberry Pi.
WIRESHARK PER BROWSER
Voor een diepere analyse wil je het netwerkverkeer
wellicht onderzoeken of andere details bekijken dan
de ntopng-stromen verraden. Daar heeft c't- Raspion
de netwerkmonitor Wireshark voor aan boord, die
bekend is als een desktopapplicatie voor Linux,
macOS en Windows. Dat programma maakt het mo-
gelijk om het netwerkverkeer tot op de laatste bit op
te nemen en te analyseren. Het kan als speciale func-
tie van c't-Raspion worden bediend via de browser.
Wireshark is vooraf geconfigureerd om te luiste-
ren op de interface br0 (het interne netwerk dat door
c't-Raspion met wifi en indien nodig met de usb-net-
werkaansluiting wordt gecreëerd). Een klik op Start
is voldoende. Genereer weer wat verkeer en stop de
opname daarna in het Capture-menu of door op de
rode knop te klikken. Voordat je de Wireshark-bits be-
gint te tellen, moet je de analysefuncties ervan eens
gebruiken. Onder Statistics kunnen overzichten wor-
den gegenereerd voor de huidige opname.
De filters die op de werkbalk kunnen worden ge-
definieerd zijn ook praktisch. Daardoor kun je indivi-
duele logs of hosts gericht weergeven. Voor de opna-
me hebben we een andere oplossing ingebouwd in
de web interface van c't-Raspion. Daar kun je een tijd-
gebonden opname van het verkeer activeren (en ook
voortijdig stoppen). De opname wordt opgeslagen in
de directory caps, van waaruit je die als bestand in
Wire shark kunt openen en analyseren. Terwijl de op-
name loopt, kun je ntopng gebruiken om de eerste
werkhypothesen op te stellen.
DECODERINGSHELPER
Veel fabrikanten doen tegenwoordig hun uiterste
best om gegevens niet ongecodeerd te versturen. Dat
betekent dat je in ntopng en Wireshark voornamelijk
gecodeerd verkeer ziet. Daar kun je hoogstens nog
aan zien wie er met wie communiceert door middel
van de upstream DNS-query’s, maar je komt verder
niet achter de inhoud van de communicatie. Daar-
mee komt het volgende onderdeel van c't-Raspion
in beeld: een man-in-the-middle proxy (mitm-proxy)
voor HTTP en HTTP's, oft ewel het protocol voor
internet toegang.
De mitm-proxy kan de communicatie tussen de
lokale en externe apparaten doorlussen, aangezien
c't-Raspion alle toegangen van het interne netwerk op
TCP-poorten 80 en 443 omleidt naar de mitm-proxy.
Het accepteert doorgeschakelde toegang tot poort
8080. De omleiding wordt afgehandeld door firewall-
regels, die je naar wens kunt activeren en deactive-
ren door ze aan te klikken in de webinterface van c't-
Raspion. Activeer ze nu.
Om het met SSL beveiligde verkeer te kunnen
lezen, moet je er ook voor zorgen dat het bewaakte
apparaat de mitm-proxy vertrouwt. Om dat te doen,
moet je de SSL-certificaten op het apparaat bevesti-
gen, die individueel gegenereerd zijn tijdens het in-
stalleren. Navigeer daarvoor naar de website ‘mitm.
it’ in de browser van het apparaat, bijvoorbeeld je
smartphone, met geactiveerde firewallregels. Je
komt dan op een pagina voor het installeren van de
SSL- certificaten van de mitm-proxy. Laat je smart-
phone de certificaten vertrouwen.
Open vervolgens het front-end voor de mitm-
Proxy vanuit de webinterface van c't-Raspion. Ga
naar het tabblad Options en stel de optie ‘Display
Event Log’ in. Klik in het onderste paneel dat wordt
geopend op de optie ‘info’ in de rechterbovenhoek
om het te deactiveren. Dat zal ervoor zorgen dat je
mislukte proxy-interventies in dit panel kunt zien –
bijvoorbeeld als het geïnstalleerde certificaat niet
wordt geaccepteerd door het bewaakte apparaat.
Als je hierna met je smartphone websites bezoekt,
kun je de toegangen live volgen in de interface van de
mitm-proxy. Je kunt zien uit welke afzonderlijke ele-
menten een pagina is samengesteld en welke extra
toegangen daardoor worden veroorzaakt. Als je op
afzonderlijke regels klikt, kun je de gegevens zien die
bij elke aanvraag naar de server worden gestuurd en
als antwoord worden geretourneerd.
In de bovenste regel onder mitmproxy staan func-
ties om de opgenomen data op te slaan en te laden. Die
worden hier ook wel flows genoemd, maar die komen
niet overeen met de flows van ntopng. De bestanden
komen terecht op de harde schijf van de computer
die je gebruikt voor het observeren en niet op Rasp-
berry Pi met c't-Raspion, zoals het meeste andere
Door het verzamelen en interpreteren van de metadata van netwerkverbindingen geeft ntopng een snel en duidelijk inzicht in de activiteiten van een apparaat.
90 www.ct.nl
datamateriaal. Op de pagina onder het tabblad Start
kun je eenvoudig zoeken in de data, bijvoorbeeld naar
bekende gegevens zoals wachtwoorden, om te zien
of en hoe ze verzonden zijn.
Let wel op één ding bij het gebruik van de proxy:
niet elke applicatie en niet elk apparaat kan voor de
gek worden gehouden. Op veel IoT- en smarthome-
apparaten is het helemaal niet mogelijk om certifi-
caten te installeren die ervoor zorgen dat ze de
proxy als betrouwbaar beschouwen. Bovendien zijn
de meeste apparaten vandaag de dag dusdanig ver
ontwikkeld dat ze een reactie van een man-in-the-
middle met onjuiste certificaten zullen opmerken.
Hoe ze zich dan uiteindelijk gedragen is onzeker:
soms krijg je een melding dat iets niet werkte, soms
zeggen ze niets maar stoppen ze met werken.
Om die laatste reden is het geen goed idee om de
analyse van meet af aan te beginnen met een proxy.
Een enkele niet werkende versleutelde verbinding
kan genoeg zijn om een functioneel proces, zoals het
opstarten van het apparaat, te torpederen zodat het
niet meer werkt. Het is daarom raadzaam om de pro-
cedure ten minste één keer te doorlopen zonder tus-
senkomst van de mitm-proxy.
WEET WAT JE DOET
Daarmee zijn in principe alle essentiële onderdelen
van c't-Raspion genoemd. Een paar tips nog: bij het
observeren van apparaten is het ook essentieel om
een logboek bij te houden van je eigen activiteiten,
zodat je later een apparaat niet vals beschuldigt van
allerlei eigenaardigheden terwijl je zelf gewoon al
te ijverig bezig bent geweest. Overigens is het ook
totaal geen goed idee om de webinterface van c't-
Raspion te benaderen vanuit het door hem zelf opge-
zette wifi – ntopng observeert dan zichzelf, waardoor
de temperatuur van de Raspberry Pi aardig omhoog
zal gaan.
In de volgende artikelen staan installatie-instruc-
ties, enkele praktische voorbeelden voor het analy-
seren met de c't-Raspion-toolkit en wat technische
details over hoe het werkt. Veel succes en plezier met
het realiseren van dit project.
De webinterface van de man-in-the-middle proxy maakt ook gegevens zichtbaar die heen en weer gaan als internet benaderd wordt. Voor documentatiedoeleinden kunnen ze worden opgeslagen en opnieuw worden geladen.
Achtergrond / c’t-Raspion: rondleiding
Een script installeert c't-Raspion automatisch en bevrijdt je van het intypen van lange commando’s.
Peter Siering en Noud van Kruysbergen
Deze handleiding toont de noodzakelij-
ke stappen voor het in gebruik nemen
van c’t-Raspion. Je kunt de benodigde
soft ware downloaden via de link op deze pa-
gina. Gebruik een image van Raspbian Bus-
ter Lite (van september 2019 of later). Zet die
image op een microSD-kaart. Na het kopiëren
haal je hem er even uit en stop je hem weer
terug in je computer. Dan laten de gangba-
re besturings systemen de eerste partitie zien,
de opstart partitie. Maak daar het bestand ssh
aan (zonder bestandsextensie). Bij Windows is
de eenvoudigste manier om Opdrachtprompt
te openen, naar opstartschijf te gaan, bijvoor-
beeld D:, en het bestand te maken met echo
"" > ssh. Werp de geheugenkaart weer uit.
EERSTE KEER STARTEN
Stop de geheugenkaart in een Raspberry Pi 3
of 4, sluit die met een kabel aan op je router of
een netwerkswitch en voorzie hem van stroom.
Monitor en toetsenbord zijn optioneel. Raspbi-
an breidt eerst het bestandssysteem uit tot de
grootte van de geheugenkaart – 16 GB of lie-
ver meer, zodat er later ruimte is om bestan-
den op te slaan. Na een automatische herstart
zal Raspbian normaal opstarten en via SSH te
benaderen zijn. Als de naam raspberry niet
werkt, kun je het IP-adres vinden in de webin-
terface van je router of met behulp van een
aangesloten display.
Als je met een usb-toetsenbord en een
monitor rechtstreeks op de Raspberry Pi wilt
werken, moet je de eerste stappen met de
standaard toewijzing van het Amerikaan-
se toetsenbord uitvoeren, wat in Nederland
meestal geen probleem zal zijn, maar in België
wellicht wat experimenteren vergt. Log in als
gebruiker pi met het wachtwoord raspberry.
Typ vervolgens sudo raspi-confi g in om de
configuratiehulp van Raspbian te openen en
de toetsenbordindeling en de taal eventueel te
wijzigen.
Op je Raspberry Pi download je het ar-
chief dat wij klaar hebben gezet voor een
geautomatiseerde installatie van dit project.
Dat archief is nog geen halve MB groot. Pak
het uit, ga naar de bijbehorende directory en
start het script vervolgens met install.sh:
wget ct.nl/app/uploads/2020/02/
raspion.zip
unzip raspion.zip
cd raspion
sudo bash install.sh
Het installatiescript configureert de nieu-
we image voor de tijdzone Europa/Amster-
dam, laat de toetsenbordindeling staan op
Verenigde Staten stelt de systeemtaal in op
nl_NL@UTF-8. De pakketten worden bij-
gewerkt, er wordt nog wat meer gedownload
en er worden pakketbronnen toegevoegd,
waarbij verschillende pakketten geconfigu-
reerd worden. Je kunt de IP-range en de wifi-
naam van het wifinetwerk dat de Raspberry Pi
opzet overigens van tevoren aanpassen door
het bestand .defaults in de raspion-directory
aan te passen.
Het hele proces duurt ongeveer 20 minu-
ten, zelfs met een snelle internetverbinding.
Maar je hoeft alleen maar te wachten tot de
console het bericht weergeeft dat je de Rasp-
berry Pi opnieuw moet starten. Zorg ervoor dat
je het wachtwoord voor toegang tot het wifi
van c’t-Raspion opschrijft . Het is het beste om
hetzelfde wachtwoord in te stellen voor de ge-
bruiker pi zoals aanbevolen bij het uitvoeren
van het script. Dan wordt het tijd om de Rasp-
berry Pi opnieuw op te starten met sudo re-
boot.
Als de succesmelding niet verschijnt, maar
je een foutmelding te zien krijgt, kijk dan naar
foutmeldingen aan het einde van het installa-
tie-logbestand (bijvoorbeeld met tail -20 /
var/log/raspion.log). Misschien was een
van de servers die je probeerde te bereiken
tijdelijk niet beschikbaar? Wacht dan even
en start het installatiescript opnieuw op. Als
het dan weer niet werkt, kijk dan bij de link
op deze pagina of anderen misschien hetzelf-
de probleem hebben. Wellicht is er in de tus-
sentijd iets veranderd in de Raspbiaanse we-
reld op een manier die we op het moment van
schrijven niet hadden verwacht. We zullen daar
dan een oplossing voor proberen te vinden.
METAMORFOSE
Na het succesvol installeren en herstarten
is je Raspberry Pi dan veranderd in een c't-
Raspion. De webinterface hiervan zou in de
browser toegankelijk moeten zijn vanaf een pc
die aangesloten is op hetzelfde netwerk als de
Pi. Vanuit dat netwerk kun je c't-Raspion in het
vervolg bedienen. Het is mogelijk dat c't-Ras-
pion niet toegankelijk is via hetzelfde IP-adres
waarmee je hem tijdens het installeren via SSH
hebt benaderd, maar op een ander adres. In
het ideale geval zou het voldoende moeten zijn
om http://raspion in te typen op de adres-
regel van je browser.
Als je het IP-adres van c't-Raspion niet
kunt achterhalen, bijvoorbeeld omdat je de
Pi na het installeren in een ander netwerk ge-
bruikt, kun je je smartphone aanmelden op
het wifinetwerk van Raspion. Tik daarna op je
smart phone http://192.168.24.1:81 op de
adresregel van de browser. Voor deze keer mag
je Raspion wel vanuit het door de tool opgezet-
te wifinetwerk benaderen. Kijk bij de weergave
van de IP-adressen vervolgens wat het IP-adres
is dat wordt weergegeven voor ‘eth0 - uplink
tot the internet’. Je moet dat adres dan gebrui-
ken voor de volgende stappen. Veel plezier met
de contraspionage!
www.ct.nl/so� link/2004092
PI VOOR NETWERKANALYSE
c’t-Raspion installerenHet c't-Raspion project verandert de kleine computer
in een spionagestation. Het installeren vergt net als
het bedienen met een browser geen grote netwerk- en
Linux-vaardigheden.
ALLES OVER DIT
ONDERWERP
Hulp bij zelfhulp 86
Werken met c’t-Raspion 88
Raspberry Pi installeren 92
Openhartige IP-camera 94
Lekkende stekkerdoos 96
Roddelende smart-tv 98
Binnenwerk c’t-Raspion 100
92 www.ct.nl
Working with the Best
Een investering die op de lange termijn echt loont:high-end monitoren van EIZO.
Meer informatie op eizo.nl/efficiency
Typisch wanneer een app wifi-wachtwoorden uitzendt: ‘betekenisloze’ pakketten.
CAMERA-BEWAKING
IP-camera met nukkenBij webshops vind je al voor 20 euro of zelfs nog minder een IP-camera. Ze beloven scherpe beelden, zelfs in het donker, en moeten makkelijk te configureren zijn. En ze zijn nogal spraakzaam, zoals ons onderzoek aantoont.
ALLES OVER DIT
ONDERWERP
Hulp bij zelfhulp 86
Werken met c’t-Raspion 88
Raspberry Pi installeren 92
Openhartige IP-camera 94
Lekkende stekkerdoos 96
Roddelende smart-tv 98
Binnenwerk c’t-Raspion 100
94 www.ct.nl
Peter Siering en Noud van Kruysbergen
Zoals gebruikelijk bij dergelijke apparaten helpt
een begeleidende smartphone-app bij het in-
stellen van de camera. Dat werkte, toen we een
pas een paar maanden oud apparaat in gebruik wil-
den nemen, niet op een Android-telefoon maar wel
op een iPhone. Het is voldoende om het wachtwoord
voor het wifinetwerk van c't-Raspion in te voeren, de
app komt dan vaak vanzelf wel achter de naam van
het netwerk. Daarna hoef je alleen nog maar te klik-
ken op een link die moet overeenkomen met het type
dat op het apparaat is afgedrukt. In het flow-overzicht
van ntopng zagen we al meteen vreemde activiteiten.
UDP-BOMMETJE
De app op de iPhone bombardeert in dit geval het wi-
finetwerk van Raspion met UDP-pakketten op multi-
cast-adressen (te beginnen met 234). Die pakketten
variëren nauwelijks in lengte en zijn 60 of 61 bytes
lang. De bestemming is steeds poort 8888, de inhoud
lijkt willekeurig. Het eerste levensteken van de camera
is een verzoek om een IP-adres (DHCP-request). Blijk-
baar kan de camera zonder verbinding met het wifi het
wachtwoord van c't-Raspion uit dit pakketbombarde-
ment halen en ermee inloggen op diens wifi. Hoe dat
zou kunnen werken is te zien in het volgende artikel.
De app blijft daarna vrolijk gegevens versturen.
De camera vraagt via DNS naar het IP-adres van
de host openapi.xg.qq.com. Dat lijkt een cloudaan-
bieder te zijn die daar een REST-API aanbiedt. Ter-
wijl de app UDP-pakketten blijft sturen, begint de ca-
mera die ook te verzenden naar poort 6809 van de
gate way (c't- Raspion) en het algemene uitzendadres
255.255.255.255. De gateway informeert de camera dat
die poort niet beschikbaar is. Je kunt ook requests zien
voor het IP-adres van www.baidu.com en time.nist.gov.
DNS-DIRECT
De DNS-query's gaan soms naar de lokale DNS-server,
soms rechtstreeks naar de publieke server van Google
(8.8.8.8). Afgezien van de laatst genoemde tijdserver,
gebruikt de camera verder geen van de via DNS opge-
vraagde IP-adressen in het daaropvolgende verkeer. In
plaats daarvan communiceert de camera rechtstreeks
met IP-adressen, die waarschijnlijk in de firmware zijn
opgeslagen: 52.8.16.72, 52.28.98.191 en 52.74.44.157.
De camera stuurt regelmatig kleine UDP-pakket-
ten, die niet als platte tekst leesbaar zijn, naar die
adressen en ontvangt reacties van de servers. Met
ntopng kom je erachter dat dit blijkbaar huurservers
zijn in de cloud van Amazon. De regelmaat waarmee
UDP-pakketten binnenkomen en weer naar buiten
gaan, suggereert dat de camera op die manier contact
houdt met de buitenwereld. De manier waarop de app
Altijd de moeite waard om naar te zoeken: wachtwoorden mogen nooit in platte tekst worden gevonden – zeker niet wanneer de pakketten door openbare netwerken stromen.
DOWNLOAD
GRATIS
c’t magazine hee� samen met AVM speciaal voor iedereen die zijn Fritzbox optimaal wil benutten, een digitaal magazine gemaakt. Alle facetten van wifi en netwerken worden behandeld. Daarnaast geven we een overzicht van de hardware van AVM en staat het magazine boordevol netwerktips. Je kunt dat allemaal lezen in het digitale FRITZ!-tips.
Download nu op www.ct.nl/fritzbox-magazine
Download gratis ons magazine FRITZ!-tips
www.ct.nl/so� link/
2004094
Prakti jk / c’t-Raspion: IP-camera afl uisteren
werkt is daar een verdere indicatie van: zonder actief
in te loggen op een cloud, konden we de camera van
buitenaf, dus vanaf het mobiele netwerk of een an-
der wifinetwerk, benaderen. Het geheel werkt zonder
port-forwarding – dat doet de camera als het ware zelf
door voortdurend gaten in de firewall van de router te
schieten met UDP-pakketten.
De app maakt contact met de bovengenoemde
servers buiten het netwerk waar de camera actief is.
Die voorzien app en camera van elkaars IP-adressen
en poortnummers, zodat ze een directe verbinding
kunnen maken via een NAT-firewall. Gangbare routers
voor thuis voorkomen dat niet; telefonie, games en
andere dingen moeten immers ook gewoon kunnen
werken. Deze truc heet ‘hole punching’.
VERKEERDE VEILIGHEID
Dat zou allemaal niet zo dramatisch zijn als de fabri-
kant stappen had ondernomen om die procedures te
beveiligen. Met Wireshark hebben we gekeken naar
het verkeer tussen de camera en de smartphone wan-
neer die laatste in het mobiele netwerk geforceerd
wordt. Het resultaat is ontnuchterend: de app wisselt
toegangsgegevens en toegangsverzoeken uit met de
camera in platte tekst. De verkapte HTTP-toegangen
zwerven door het publieke netwerk in UDP-verpak-
king, leesbaar voor iedereen, met een eigenzinnige
syntaxis.
Het gebruikte cameratype is zeer gangbaar en in vele
vormen verkrijgbaar. Beveiligingsexperts hebben ze
al lang ontleed en manieren gevonden om het com-
pleet overnemen van de camera mogelijk te maken
(zie link). Vanwege de in de hardware vastgelegde
IP-adressen kan er geen gebruik worden gemaakt van
eenvoudige DNS-blacklisting. Je kunt het apparaat
wel volledig verbieden om contact te maken met de
buitenwereld. Een lokaal gebruik als IP-camera blijft
dan nog mogelijk.
ALLES OVER DIT
ONDERWERP
Hulp bij zelfhulp 86
Werken met c’t-Raspion 88
Raspberry Pi installeren 92
Openhartige IP-camera 94
Lekkende stekkerdoos 96
Roddelende smart-tv 98
Binnenwerk c’t-Raspion 101
96 www.ct.nl
Mirko Dölle en Noud van Kruysbergen
Het proces heeft iets magisch: je steekt gewoon
de net uitgepakte wifistekkerdoos in het stop-
contact, downloadt de app van de fabrikant
naar je smartphone en typt daar het wachtwoord
in. Enkele seconden later logt het schakelbare stop-
contact als bij toverslag in op je eigen wifi.
Hoe kon de app, die verbonden is met het versleu-
telde wifi, communiceren met de wifistekkerdoos die
de sleutel niet kent? Sommige fabrikanten lossen dat
probleem op door het nieuwe wifi-apparaat eerst als
niet-versleuteld toegangspunt te gebruiken, waarmee
de smartphone vervolgens kortstondig verbinding
maakt om het wachtwoord door te geven. Dat is niet
zo bij de wifistekkerdozen van Aldi, die al enkele jaren
af en toe in het speciale assortiment verschijnen. Daar
blijft de smartphone verbonden met het wifi en slaagt
er toch in, ondanks het versleutelen van het dataver-
keer, om het wifiwachtwoord over te brengen naar de
gloednieuwe, schakelbare stekkerdoos.
Hoe dat kleine wonder kan werken, is makkelijk
te zien met Wireshark op c't-Raspion. We hebben de
GESNAPT!
Wifi -stekkerdoos verklapt het wachtwoordHoe verzend je het wifiwachtwoord naar een nieuw appa-raat nog voordat dit op het wifinetwerk is aangesloten? De fabrikanten van IoT-apparaten hebben allerlei slimme oplossingen voor dit probleem, maar die zijn soms alles-behalve veilig. We laten zien hoe je dat kunt nagaan met Wireshark in c't-Raspion.
wifistekkerdoos van Aldi eens onderzocht. De eerste
stap in een poging om het geheim van zo’n stekker-
doos te ontrafelen, is om van tevoren te overwegen
hoe het delen van wachtwoorden in het algemeen zou
kunnen werken. Mogelijke alternatieve paden moeten
dan stap voor stap worden uitgesloten – anders kan
het zijn dat je met het verkeerde gereedschap op de
verkeerde plaats aan het zoeken bent.
UITSLUITINGSPROCEDURE
Eén ding is duidelijk: de smartphone moet vanuit de
app communiceren met de stekkerdoos, je moet im-
mers je wifiwachtwoord intypen bij de app. Aangezien
de smartphone naast wifi ook Bluetooth heeft , zou
de wifistekkerdoos uitgerust kunnen zijn met Blue-
tooth om het wachtwoord te ontvangen. Maar de wifi-
configuratie werkt ook als Bluetooth op de smartpho-
ne uitgeschakeld is – dat kan het dus niet zijn.
Een andere mogelijkheid zou ultrasoon geluid
kunnen zijn, waarbij de app via de luidspreker van
de smartphone extreem hoogfrequente geluiden uit-
zendt, die worden ontvangen door een microfoon die
in de stekkerdoos verstopt zit. Maar het instellen van
het wifi werkt ook met een aangesloten koptelefoon
en vanuit een aangrenzende kamer – dus kan het ook
geen ultrasoon geluid zijn.
Vrij naar Sherlock Holmes blijft , ook al is het door
de versleuteling eigenlijk onmogelijk, dan alleen nog
wifi over als transmissieroute. En daarmee is het mo-
ment van c't-Raspion aangebroken: in plaats van je
draadloze thuisnetwerk te gebruiken, wordt de smart-
phone gekoppeld aan het wifi van c't-Raspion en
vervolgens wordt Wireshark op c't-Raspion gestart om
het dataverkeer van de app te onderzoeken.
Maar net als alle andere apps neemt de app van de
wifistekkerdoos bij het opstarten contact op met aller-
lei servers op het internet, wat leidt tot een stortvloed
aan datapakketten in Wireshark. Maar die kunnen
niets te maken hebben met de wificonfiguratie van
de stekkerdoos, omdat het wifiwachtwoord pas later
wordt ingevoerd. Het is daarom belangrijk om derge-
lijke storende pakketten uit te filteren, zodat de ver-
dachte gegevensoverdrachten überhaupt opgespoord
kunnen worden.
UITGEFILTERD
Het ‘Display Filter’ is het hart van Wireshark. Deze balk
vind je onder de knoppenbalk (‘Main Toolbar’). Het
tekstvak in deze filterwerkbalk dient om filterregels in
Praktijk / c’t-Raspion: IP-camera afluisteren
uitgave 4/2020 97
Het vergelijken van verschillende leerprocessen van de stekkerdoos met iets andere wifiwachtwoorden laat zien dat de afzonderlijke tekens worden doorgeseind door pakketten van verschillende lengte te versturen. Dat kan door iedereen worden onderschept.
te typen, die echter alleen van invloed zijn op de weer-
gave in Wireshark. Als je een filterregel verwijdert of
wijzigt, zie je al het verkeer weer.
Dat is niet zo bij ‘Capture Filter’, dat je aan de rech-
terkant van de Main Toolbar vindt: met dat filter kun
je beïnvloeden welke gegevenspakketten Wireshark
überhaupt vastlegt. Pakketten die daarmee worden
uitgefilterd, ontbreken in de opname en kunnen later
niet meer worden hersteld. Dat betekent dat je bij twij-
fel helemaal geen verdachte pakketten kunt vinden,
omdat die al zijn weggelaten door dat afvangfilter.
DNS-requests voor de domeinnaamconversie spe-
len geen rol bij het onderzoek naar de smartphone-
app. Je smartphone zal beslist lokaal communiceren
met de wifistekkerdoos, die nog geen toegang heeft
tot je wifinetwerk en dus niet tot internet. ARP-re-
quests en ICMP-pakketten maken het ook moeilijk om
te zien wat wel belangrijk is. De volgende filterregel
sorteert al dit soort pakketten:
not icmp and not icmpv6 and not dns and not mdns
Dit voorbeeld laat zien dat Wireshark IPv4 en IPv6 ver-
schillend behandelt. Filterelementen voor IPv4 heb-
ben geen specifieke naamuitbreiding, terwijl die voor
IPv6 altijd de aanduiding v6 aan het eind hebben. Dat
stamt uit de tijd dat Wireshark nog geen IPv6 onder-
steunde – door de namen van de filterelementen voor
IPv4 te behouden, bleven de nieuwere Wireshark-
versies compatibel met oudere filterregels.
Je kunt lange filterregels vermijden door gemeen-
schappelijke elementen te combineren, zoals gebrui-
kelijk in wiskundige uitdrukkingen – bijvoorbeeld het
not in het laatste voorbeeld. De volgende filterregel
heeft dezelfde betekenis:
not (icmp or icmpv6 or dns or mdns)
Als je de configuratie van de stekkerdoos met dat fil-
ter start, zul je snel zien dat de app veel TCP- en UDP-
datapakketten naar het lokale netwerk stuurt. Om die
pakketten uit te filteren, is het een goed idee om de
vorige filterregel dienovereenkomstig uit te breiden:
(tcp or udp) and not (icmp or icmpv6 or dns or
mdns)
Door de filterregels één voor één uit te breiden, kan
het gebeuren dat je elkaar uitsluitende criteria toe-
voegt, omdat je gewoon het overzicht kwijt bent. Door
aan het begin van het filter tcp or udp te zetten is
de specificatie van not (icmp or icmpv6) verderop
overbodig geworden, zodat je de filterregel aanzienlijk
kunt inkorten:
(tcp or udp) and not (dns or mdns)
Als je bekend bent met de verschillende netwerkpro-
tocollen, moet je daarom van tijd tot tijd naar de fil-
terregel als geheel kijken en specifiek zoeken naar
elkaar uitsluitende criteria. Een herhaling van de wifi-
configuratie in de app laat zien dat de app de meeste
pakketten naar het broadcast-adres 192.168.250.255 en
daarop naar poort 8801 stuurt. Je kunt die pakketten
eruit filteren met de volgende regel:
ip.addr==192.168.250.255 and udp.port==8801
Een blik op de datapakketten laat alleen onverdachte
gegevens zien. Het wifiwachtwoord zit daar blijkbaar
niet in.
Alleen als je het transmissieproces van verschillende
wifiwachtwoorden vergelijkt, waarbij steeds slechts
één teken veranderd is, kom je de achterliggende
truc van de app op het spoor. De inhoud van de data-
pakketten van de verschillende wifiwachtwoorden
bestaat dan nog steeds alleen uit generieke tekens,
maar de pakketgrootte verandert. De app gebruikt
dat blijkbaar om het wachtwoord teken voor teken
naar de stekkerdoos te sturen.
Dat is logischerwijs ook begrijpelijk, aangezien
de inhoud van de wifipakketten gecodeerd is met de
wifisleutel, zodat de stekkerdoos die niet kan lezen.
De lengte van een wifipakket kan daarentegen door
elk wifi-apparaat op hetzelfde wifikanaal worden
bepaald, ook zonder sleutel. Door het gebruik van
verschillende wifisleutels die slechts één teken ver-
schillen, is het eenvoudig te bewijzen dat een ‘1’ in het
wifiwachtwoord wordt doorgeseind als een reeks van
91 bytes grote gegevenspakketten. Een ‘2’ genereert
pakketten van 92 bytes, een ‘3’ pakketten van 93
bytes, enzovoorts.
Dit laat zien dat de app het wifiwachtwoord niet
geheel versleuteld doorgeeft, maar alleen maar een
beetje vermomd. Dat betekent op zijn beurt dat je,
telkens wanneer je zo’n wifistekkerdoos instelt, dan
je wifiwachtwoord doorseint naar de hele buurt –
daarom moet zo'n apparaat in het beste geval wor-
den gekoppeld aan een gastnetwerk of aan je eigen
IoT-wifi, waarvan de veiligheid voor jou niet zo be-
langrijk is.
Een volledig onbeschermd wifi is in elk geval ook
niet geschikt, omdat de wifistekkerdozen vaak een
niet gedocumenteerde webinterface bevatten waar-
mee iedereen in hetzelfde wifinetwerk ze naar belie-
ven kan in- en uitschakelen.
98 www.ct.nl
Met een paar muisklikken geeft ntopng een overzicht van de datavolumes die een apparaat naar internet stuurt of van internet terugkrijgt.
Peter Siering en Noud van Kruysbergen
Slimme tv's zijn binnen je lokale IoT- en
smarthome-netwerk waarschijnlijk de meest
spraakzame apparaten. Dat is vanwege de
geïntegreerde functies, tal van apps en de digitale
tv-kanalen die verrijkt zijn met links naar internet. Als
je er niet actief tegen in de weer gaat, krijg je op veel
plekken allerlei reclames te zien waar je niet om ge-
vraagd hebt.
Bijna alle apparaten maken contact met servers,
zonder dat er enige relatie bestaat met wat je op dat
moment aan het doen of kijken bent. Alleen al bij het
installeren van een slimme tv worden er allerlei data
naar internet verzonden. Zeker de tv’s van Samsung
staan erom bekend daarbij veel netwerkverkeer te
genereren.
RODDELENDE TV’S
Smart-tv’s
afl uisterenWe hebben met c't-Raspion eens gekeken naar wat twee
slimme tv-toestellen allemaal communiceren. Het ging
daarbij om een Medion-tv met Vestel Linux en een
slimme tv van Samsung.De fabrikanten zijn zich terdege bewust van al dat ge-
klets, dat is de reden waarom die apparaten tijdens
het installeren al willen dat je akkoord gaat met het
toegepaste privacybeleid. Slechts een paar fabrikan-
ten bieden je de optie daar zelf iets bij te kiezen en
stellen verschillende niveaus ter beschikking. Ook
hier spant Samsung weer de kroon: je moet wel heel
ervaren zijn om je weg te vinden in de dialogen en de
voorwaarden meteen goed te kunnen afwijzen.
WAT ZIT ER ACHTER
We hebben een Medion MD 31803 en een Samsung
GQ55Q60R elk tweemaal door het installatieproces
laten lopen – eenmaal met toestemming en een keer
zonder wat betreft privacy en data-overdacht. Als je
overal mee akkoord gaat, dan heeft de Medion voor
het installatieproces slechts een vijfde van het data-
verkeer nodig dat de tv van Samsung zich toe-eigent.
De meeste data verlaten de toestellen versleuteld.
Als je de toestemming weigert, daalt het totale volume
bij Samsung van 300 MB naar nog niet eens één, bij de
Medion was dat 5 kB in plaats van 60 MB. De appara-
ten zijn dan wel niet slim meer: zodra je apps aanklikt
of andere opties wilt activeren, vragen de tv’s weer
opnieuw je toestemming.
Alle andere parameters, die je met een paar klik-
ken in ntopng over de apparaten te weten kunt ko-
men, komen overeen met die tendens: Samsung
communiceert met wezenlijk meer partners en ver-
stuurt meer DNS-requests en dergelijke. Als je daar
met ntopng dieper op ingaat en naar de HTTP-flows
gaat kijken, zul je zien dat het Samsung-apparaat bij-
voorbeeld veel met Netflix en Amazon communiceert
– dat kan van de betreff ende apps komen, die op de
achtergrond draaien en al beeldmateriaal aan het
verzamelen zijn voor het snel kunnen starten van hun
videotheek. Dat betekent dat er bij die diensten zelfs
gegevens terecht komen als je ze helemaal niet ge-
bruikt.
Echt duidelijk kan dat helaas niet worden door
alleen naar de pakketten te kijken, omdat een groot
deel ervan gecodeerd is. Ook met enige moeite lukte
het niet om bij een van de slimme tv’s het certificaat
van de mitm-proxy van c't-Raspion op het toestel te
krijgen. De in de apparaten ingebouwde browsers
weigeren dat en andere vormen van toegang wor-
den alleen geboden aan ontwikkelaars. Het is wel
een verheugend feit dat dit ook voor het updaten van
ALLES OVER DIT
ONDERWERP
Hulp bij zelfhulp 86
Werken met c’t-Raspion 88
Raspberry Pi installeren 92
Openhartige IP-camera 94
Lekkende stekkerdoos 96
Roddelende smart-tv 98
Binnenwerk c’t-Raspion 101
Achtergrond / c’t-Raspion: smart-tv’s
uitgave 4/2020 99
Bij sommige applicaties kun je heel mooi volgen welke data er verstuurd worden – de proxy hoeft zich dan niet eens met versleuteling bezig te houden.
toepassing is: als de updatefunctie een mitm-certifi-
caat ontvangt, wordt die gestopt.
Het verbaasde ons eerlijk gezegd dat de mitm-
proxy de details van het verkeer tussen allerlei appli-
caties en de door die apps gebruikte servers zichtbaar
kan maken. Daar wordt zelden of slechts sporadisch
een versleutelde verbinding voor gebruikt. Je kunt
dan bijvoorbeeld zien dat een bepaalde applicatie
elke toetsaanslag die je doet naar de desbetreffende
server verstuurt.
Dat valt dan misschien wel onder de voorwaarden
waar je bij het installeren mee hebt ingestemd, maar
je houdt er toch een onbestemd gevoel aan over. Daar
kun je wat tegen doen: wat helpt is om het apparaat te
bedienen en met de c't-Raspion te kijken wat er op de
achtergrond gebeurt. Op die manier kun je de boos-
doeners snel herkennen en grotendeels tot zwijgen
brengen met behulp van Pi-hole door bijvoorbeeld de
toegang te blokkeren tot de servers van Samsung, zo-
als ‘otnprd10.samsungcloudsolution.net.’
De tool c't-Raspion en de bijbehorende Pi-hole
zijn prima geschikt om dat soort dingen uit te pluizen
en daar regels voor op te stellen. Maar je moet aan
het eind niet vergeten om de blacklisting weer uit te
schakelen (maak een back-up van het bestand /etc/
pihole/blacklist.txt). Het project is namelijk niet ont-
worpen voor permanent gebruik als filter. Daar kun
je beter een binnen het reguliere netwerk draaiende
Pi-hole-installatie of een vergelijkbare techniek voor
gebruiken.
Als je met die regels te ver gaat, bestaat de kans
dat je tv-toestel geen updates meer binnen kan ha-
len. Dan zijn de functies handig waarmee je bij Pi-
hole kunt aangeven dat de zwarte lijst voor een be-
paalde periode opgeschort moet worden.
TV-PORTAL
Medion heeft een eigen portal opgezet die je met je
tv-toestel kunt bezoeken. Daar kun je weerberichten
en allerlei andere dingen zien. Aan de netwerkkant
kun je met een actieve mitm-proxy zien dat er aan
de kant van de server een PHP-applicatie draait. De
communicatie is volledig onversleuteld. Al bij de eer-
ste antwoorden op requests krijg je meldingen dat de
syntaxis van een MySQL-instructie niet klopte.
Bij het onderzoeken van de tv-toestellen bleek
het praktisch om de aan het begin van deze serie ar-
tikelen aanbevolen volgorde enigszins om te keren:
we hebben c't-Raspion via de webinterface meteen
al de opdracht gegeven al het verkeer op de netwerk-
verbinding voor een periode van 30 minuten op te
nemen. Dat gebeurt op de achtergrond en belast de
Raspberry Pi niet al te veel, zodat je parallel daaraan
nog met ntopng of Pi-hole kunt rondkijken.
Aan het eind van het onderzoek kun je het per-
manent opnemen in de webinterface stoppen – de
tot dan toe opgenomen data gaan niet verloren, het
proces eindigt gewoon. Het resulterende pcap(ng)-
bestand kan worden gedownload via de webinterface
en lokaal bekeken worden op de observatie-pc met
Wireshark of vanuit c't-Raspion zelf geanalyseerd
worden met Wireshark. In het laatste geval wordt
rechtstreeks gekeken in de directory /home/pi/pu-
blic_html/caps.
Maar niet alleen Wireshark verwerkt de opge-
nomen pakketgegevens. Je kunt ze ook doorgeven
aan ntopng, om die niet alleen live-waarnemingen
uit te laten voeren. Om dat te doen, moet je echter
wel afdalen tot in de krochten van de commandline.
Het volgende voorbeeld gaat ervan uit dat je al een
op name gestart hebt met c't-Raspion en die de be-
standsnaam v1 hebt gegeven – .pcapng wordt auto-
matisch toegevoegd.
HOCUS-POCUS – CONSOLE
Open de webconsole of maak via ssh contact met je
c't-Raspion. Log in als gebruiker ‘pi’ en start een an-
dere instantie van ntopng. Dat is zonder veel gedoe
mogelijk als de meegegeven parameters ervoor zor-
gen dat de gegevens in andere directory’s worden op-
geslagen. De hier gebruikte opties zorgen daarvoor:
mkdir /tmp/v1
ntopng -d /tmp/v1 -w 3002 $ -G /tmp/v1.pid -l
1 -n 1 -m 192.168.24.0/24 -community -i /home/
pi/public_html/caps/v1.pcapng
Deze commando's maken een tijdelijke directory v1
aan in /tmp, laten de extra ntopng-instantie luisteren
naar poort 3002, zijn proces-ID schrijven naar /tmp/
v1.pid, het inloggen uitschakelen (-l 1), IP-adres-
sen omzetten naar domeinnamen (-n 1), geven
ntopng het lokale netwerk mee (-m), beginnen direct
in de Community-versie en laten ntopng het bestand
lezen – dat vervangt aan het einde de netwerkinter-
face waar de software gewoonlijk naar luistert.
Als je dan http://raspion:3002 intypt op de adres-
regel van de pc die je gebruikt voor het observeren
(vervang eventueel de naam door het IP-adres van
de Raspberry Pi waar c't-Raspion op draait), kun je
de ntopng-instantie bedienen. Op die manier wor-
den de gegevens van de opname voorbereid. Je kunt
dan ook twee ntopng-instanties openen om data te
vergelijken. Let op: een Raspberry Pi 3 kan erg warm
worden als er drie ntopng-processen tegelijk aan de
gang zijn. Beëindig de extra instanties dan ook me-
teen als ze hun functie vervuld hebben door ze op de
commandoregel af te sluiten met Ctrl-C.
100 www.ct.nl
Peter Siering en Noud van Kruysbergen
De tool c't-Raspion maakt zijn eigen wifinetwerk
aan met hostapd. De configuratie staat in het be-
stand /etc/hostapd/hostapd.conf. Om ervoor te
zorgen dat wifi-pakketten hun weg naar internet vinden,
activeert de installatie packet-forwarding voor IPv4 en
IPv6. Het stelt ook firewallregels op die Network Address
Translation (NAT) uitvoeren voor pakketten van het wifi-
netwerk naar internet.
De ethernetpoort van de Raspberry Pi (eth0) dient
als uplink, dus moet die worden aangesloten op een
netwerk met internettoegang – het IP-adres wordt op-
gehaald via DHCP. IP-adressen worden niet uitgedeeld
aan de wifi-interface (wlan0) maar aan de bridge (br0).
Bij het starten plaatst Hostapd de wlan0-interface in de
bridge (met bridge=br0 in hostapd.conf). Het plaatst
ook een optionele usb-netwerkkaart (eth1) in die bridge.
Daardoor kan c't-Raspion niet alleen apparaten monito-
ren op het wifinetwerk, maar ook als ze via een kabel op
de Raspberry Pi zijn aangesloten.
INCLUSIEF IPV6
De beschrijving van de netwerkinterfaces staat in
het bestand /etc/netwerk-/interfaces. Dat defini-
eert de IP-adressen in het geobserveerde netwerk
(192.168.24.0/24 voor IPv4 en fd00:24::/64 voor IPv6).
Het zorgt ook dat netwerkmodules een aparte IPv6-
prefix aanvragen bij het verkrijgen van IPv6-adressen
op de externe interface (eth0) via DHCP (request_
prefi x 1 en dhcp). Een script (/etc/dhcp/dhclient-
exithooks.d/ prefix_delegation) verwerkt de prefix en
stelt het netwerk beschikbaar voor br0. Op die manier
krijgen de clients in het geobserveerde netwerk publie-
ke IPv6-adressen. Als c't-Raspion geen IPv6-prefix krijgt,
moeten de apparaten in het geobserveerde netwerk de
privé ULA-IPv6-adressen gebruiken.
Voor het doorsturen van openbare IPv6-adressen in
het netwerk moet de upstream-router dat ondersteu-
nen en op de juiste manier geconfigureerd zijn. Daar
moet IPv6 actief zijn en voor de DHCPv6-server in het
thuisnetwerk moet ‘Assign DNS server, prefix (IA_PD)
and IPv6-address (IA_NA)’ worden geselecteerd. Tot slot
moet de provider natuurlijk meewerken en de Fritzbox
voorzien van IPv6-netwerken.
BINNENWERK
Achter de
schermen
ALLES OVER DIT
ONDERWERP
Hulp bij zelfhulp 86
Werken met c’t-Raspion 88
Raspberry Pi installeren 92
Openhartige IP-camera 94
Lekkende stekkerdoos 96
Roddelende smart-tv 98
Binnenwerk c’t-Raspion 100Ons spionagestation combineert beproefde opensource-componenten tot één geheel. We leggen hier wat meer uit over hoe c't-Raspion in elkaar zit en waar je zelf een handje kunt helpen.
Voor een vlotte IPv6-werking moesten we enkele dingen
aanpassen: een Router Advertisement Daemon (rad-
vd) maakt de IPv6-DNS-server en ontvangen prefix be-
kend. Verder wordt de IPv6-informatie van Pi-hole die
als DNS- en DHCP-server dient bekendgemaakt aan het
ge observeerde netwerk. Dat alles zorgt ervoor dat de
gangbare clientsystemen aan de slag kunnen met IPv6:
Mac, Linux en Windows ontvangen en gebruiken publie-
ke IPv6-adressen. Omdat IPv6 vaak afhankelijk is van
mechanismen voor automatische configuratie, kan het
een paar minuten duren voordat dat bij iedereen in het
netwerk doorgekomen is.
Een bijzonder kenmerk van c't-Raspion is de voor-
configuratie tijdens de installatie: het wordt geleverd
met een kant-en-klaar configuratiebestand voor Pi-hole
en voert het installatiescript uit zonder enige verdere in-
teractie met de gebruiker. De voorconfiguratie activeert
de DHCP-server (voor IPv4), stelt de Google DNS-servers
in als servers (IPv4 en IPv6) en deactiveert blacklisting.
Dat betekent dat Pi-hole in c't-Raspion na het installeren
meteen werkt als een DNS-server die alle requests één
op één doorstuurt.
De installatie haalt ntopng, dat is geïntegreerd voor
een snelle analyse, uit de pakketbronnen die door ntop
worden beheerd. De versies zijn veel recenter dan die in
Raspbian zitten, maar worden niet dagelijks bijgewerkt
– in tegenstelling tot de x86-versies. We maken klei-
ne aanpassingen aan de ntopng-configuratie: de soft -
ware luistert alleen op br0, krijgt informatie over de lo-
kale netwerken en wordt geïnstrueerd om meteen als
Community- versie te starten – anders zou hij 10 minuten
lang als Pro-versie draaien, wat er op een paar punten
anders uitziet.
Voor de mitm-proxy hebben we een systemd-unit
toegevoegd die de webinterface automatisch laat star-
ten. De omleiding van de poorten naar de mitm-proxy
is onafhankelijk daarvan: twee scripts, die in /usr/
local/sbin belanden, activeren (mitmon.sh) of deacti-
veren (mitmoff .sh) de firewall-regels die alle toegangen
van het geobserveerde netwerk op poort 80 en 443 om-
leiden naar de mitm-proxy. Als je extra poorten aan de
proxy wilt delegeren, kopieer je de bestaande regels in
mitmon.sh en pas je ze aan. De regels worden gemar-
keerd met de opmerking ‘mitm’, zodat mitmoff .sh ze kan
vinden en opruimen.
WIRESHARK IN DE BROWSER
Het is ons gelukt om de netwerkmonitor Wireshark via
de browser te laten werken. De Wireshark- ontwikkelaars
Achtergrond / c’t-Raspion: techniek
uitgave 4/2020 101
Pi-hole fungeert bij c’t-Raspion als lokale DNS-server en verdeelt de DHCP-adressen in het testnetwerk.
Het project c’t-Raspion brengt Wireshark naar de browser en biedt een gedetailleerd inzicht in het gelogde netwerkverkeer.
hebben de software tot en met versie 2.6 voor de GUI-
bibliotheek GTK ontwikkeld (nieuwere versies zijn he-
laas niet in deze vorm beschikbaar). De GTK-ontwik-
kelaars hebben op hun beurt software ontwikkeld om
input en output om te leiden naar een voor HTML5 ge-
schikte browser. Deze technologie met de naam Broad-
way wordt als experimenteel beschouwd, maar werkte
betrouwbaar voor ons.
Onze systemd-units starten de Broadway-dae-
mon en, afhankelijk daarvan, een instantie van
wireshark-gtk. Op die manier komt Wireshark in de
browser terecht. Maar je moet wel een aantal conces-
sies doen: toetsenbordcombinaties in de applicatie
werken niet goed met de browser, die moesten we uit-
schakelen. We moesten ook een patch van de GTK-
ontwikkelaars integreren in de Raspbian GTK-pakket-
ten, zodat Wireshark tekst kan uitvoeren – die fixes
gelden alleen voor de huidige GTK-versies. Met apt-hold
voorkomt de installatie dat eventuele Raspbian-up-
dates de gepatchte pakketten overschrijven.
Wireshark krijgt hulp van een ander script (contcap.
sh), dat het dumpcap-commando start met twee para-
meters op de interface br0. Daarmee kun je complete
pakketopnames starten, die onder een te kiezen naam
in het bestandssysteem van c't-Raspion worden be-
waard en het netwerkverkeer gedurende een bepaalde
periode kunnen vastleggen. Die opnames kunnen later
worden geanalyseerd met Wireshark, maar ze veroorza-
ken minder belasting voor de Raspberry Pi dan het op-
nemen en de live-weergave in Wireshark.
Omdat het soms handig is om een console beschik-
baar te hebben, voegt de installatie Shellinbox toe. Je
kunt daarmee een terminalsessie openen op de Rasp-
berry Pi in je browser. In tegenstelling tot de andere
componenten heeft die een gebruikersnaam en wacht-
woord nodig – de ontwikkelaars vinden dat essentieel.
Bij de andere ingrediënten kun je zonder.
Een paar extra firewall-regels zorgen ervoor dat je
via het externe IP-adres van de Pi met c't-Raspion of de
naam meteen naar de overzichtspagina gaat. Die linkt
naar individuele programma's zoals ntopng en Wires-
hark. Vanuit het geobserveerde netwerk reageert dit al-
leen op poort 81, omdat Pi-hole poort 80 voor zichzelf
claimt. De koppeling van scripts, diensten en overzichts-
pagina's via PHP wordt verzorgd door de minimale web-
server lighttpd.
Alle webcontent komt terecht in de directory public_
html van de gebruiker pi. Daar maakt de installatie ook
de directory aan voor het opslaan van pakketopnames
die standaard door Wireshark wordt gebruikt. Je vindt
er ook links naar de directory scans, waarin de door het
script vulscan.sh (uit /usr/local/sbin) ge-HTML-iseerde
nmap-scans draaien, die proberen de CVE-database te
vullen, wat handig is voor het evalueren van een appa-
raat. Dat geheel bevindt zich echter nog in een experi-
menteel stadium.
SPYWARE
De afzonderlijke diensten zoals ntopng, mitm-proxy, Wi-
reshark en Shellinabox draaien op hun eigen TCP-poor-
ten. Als je c't- Raspion in een onbetrouwbaar netwerk
start of aanvallen vreest vanuit het geobserveerde net-
werk, moet je de spion pantseren. Daarvoor is het een
goed idee om alle poorten waarop de monitoringdien-
sten draaien (80, 81, 3000, 4200, 9090, 10000) alleen toe-
gankelijk te maken voor geselecteerde hosts. Hier een
voorbeeld voor toegang tot ntopng:
iptables -A INPUT -p tcp -poort 3000 -j REJECT
iptables -I INPUT -p tcp -poort 3000 -i eth0 -s
192.168.25.25 -j ACCEPT
Als je het bronadres 192.168.25.25 vervangt door het ex-
terne IP-adres van c't-Raspion, zal hij alleen verbindin-
gen accepteren die hij zelf geïnitieerd heeft. Als je dan
een SSH-verbinding maakt met c't-Raspion en die laat
werken als een SOCKS-proxy (met de optie -D), dan kun
je hem via een SSH-tunnel gebruiken.
Alleen al door de relatie tussen Raspbian en Debi-
an zou c't-Raspion in principe op een x86-systeem kun-
nen draaien. Er zitten echter voordelen aan de kleine
Raspberry Pi: hij kan zonder veel gedoe werken als een
wifi- accesspoint en kan dus makkelijk dienen als wifi-
toegang tot internet voor de te observeren apparaten.
Een Raspberry Pi is mobiel, en als het alleen om afzon-
derlijke apparaten gaat is hij ook krachtig genoeg. Bo-
vendien kun je een volledig geconfigureerde geheugen-
kaart bewaren en gebruiken als dat weer nodig is.
Foto
NA
SA
/SD
O e
n A
IA-,
EV
E-,
en
HM
I-T
ea
ms
Urs Mansmann en Noud van Kruysbergen
In het jaar 2019 is er waarschijnlijk een nieuw re-
cord gevestigd: nog nooit sinds het begin van het
ruimte tijdperk zijn er zoveel dagen in een kalen-
derjaar geweest waarop er geen enkele zonnevlek
verscheen – vaak wekenlang achter elkaar zonder
onder breking. In actieve jaren zijn echter elke dag
zonnevlekken zichtbaar, vaak tientallen individu-
ele plekken in meerdere groepen. Het aantal en de
grootte van de vlekken geeft informatie over hoe ac-
tief de zon op een bepaald moment is.
Het relatieve aantal zonnevlekken wordt sinds
het midden van de 18e eeuw dagelijks bepaald. Elke
zichtbare vlek op het oppervlak van de zon is goed
voor één punt, elke groep voor tien punten. Omdat
individuele vlekken tegelijkertijd als groep worden
meegeteld, is het laagste getal 11. Als er een grote-
re telescoop wordt gebruikt dan de standaardversie
met een 8-inch diafragma, moet het getal met een
vaste factor naar beneden worden bijgesteld om
STILTE VOOR DE STORM
Zon op weg naar activiteitsmaximumOp dit moment is de zon op het minimum van haar
activiteit. De komende jaren zal de activiteit aanzien-
lijk toenemen. Zonnestormen kunnen elektriciteits-
netwerken en satellieten uitschakelen.
de waarnemingen vergelijkbaar te houden. Grote
observa toria rapporteren daarom vaak 7 als kleinste
waarde.
De zonneactiviteit volgt een cyclus van ongeveer
elf jaar. De minimum- en maximumwaarden wor-
den bepaald aan de hand van rekenkundige maand-
gemiddelden die gebaseerd zijn op een periode van
13 maanden, oftewel van zes maanden vóór tot en
met zes maanden na de betreffende maand. Dat
wordt gedaan omdat het aantal nogal schommelt,
vooral wat de maxima betreft. In december 2019 was
de waarde voor mei dus pas bekend. Die was 3,9. Aan-
gezien de maandgemiddelden van juni tot november
slechts tussen de 0,4 en 1,1 lagen, zullen de reken-
kundige gemiddelde waarden waarschijnlijk nog ver-
der dalen als de activiteit de komende maanden niet
sterk toeneemt. NASA-deskundigen verwachten dat
het minimum in de loop van 2020 zal worden bereikt.
Het analyseren van proefmonsters uit ijskernen
of in sedimenten maakt het mogelijk om de zonne-
activiteit in de afgelopen eeuwen en millennia ruw-
weg te bepalen op basis van de isotopenverdeling van
bepaalde elementen. Onderzoekers ontdekten dat
activiteitscycli van verschillende lengtes elkaar over-
lappen. Naast de cyclus van ongeveer elf jaar zijn
er cycli van een paar honderd en een paar duizend
jaar, maar hun precieze frequentie en amplitude zijn
contro versieel.
ONNAUWKEURIGE VOORSPELLINGEN
Wetenschappers proberen al vele decennia te voor-
spellen hoe intensief de activiteitenmaxima zullen
zijn – met zeer matig succes. Zelfs nu, aan het begin
van de aankomende cyclus, zijn hier nog volkomen
verschillende voorspellingen en evenveel verschil-
lende benaderingen voor. Volgens de laagste prog-
nose zijn de aantallen zonnevlekken slechts half zo
hoog als bij de vorige cyclus, en die was al het zwakst
in meer dan 100 jaar. Dan zou de komende cyclus ver-
uit de zwakste zijn sinds het begin van de reguliere
metingen. Andere wetenschappers gaan er daaren-
tegen van uit dat de cyclus vrij sterk zal zijn, onge-
veer tot op het niveau van de voorlaatste, en dus zo’n
beetje op het gemiddelde van alle tot nu toe geregis-
treerde cycli. NASA verwacht dat de komende cyclus
net zo laag zal zijn als de vorige. Die prognose is voor-
al belangrijk voor de ruimtevaartactiviteiten.
GEVAARLIJKE STRALING
Als er veel vlekken zijn, is de zon actief. Dan produ-
ceert de zon meer straling en deeltjesstromen dan in
rustige jaren. Zelfs zonder uitbarstingen is de rönt-
genstraling die van de zon afkomt op het maximum
van de cyclus een of twee orden van grootte hoger
dan op het mini mum.
Grote groepen vlekken produceren gewelddadi-
ge stralingsuitbarstingen. Die zogenaamde röntgen-
vlammen worden aan de hand van de intensiteit
van de vrijgekomen röntgenstraling logaritmisch in-
gedeeld in de klassen C, M en X. Die zijn elk onder-
verdeeld in een tiendelige schaal, waarbij na C9 dan
102 www.ct.nl
Achtergrond / Zonne-activiteit
NASA voorziet exploitanten van pijpleiding- en elektriciteitsnetwerken van gegevens over verwachte geomagnetische stormen.
M1 komt. Een X1-vlam produceert 100 keer zoveel
röntgenstraling als een C1-vlam en 10 keer zoveel
als een klasse M1-vlam. Als X9 wordt overschreden,
wordt gewoon doorgeteld met X10, 11, 12 ...
De röntgenstraling kan alleen door satellieten
worden gedetecteerd, omdat de aardse atmosfeer ze
volledig absorbeert, zodat daar aan het aardopper-
vlak niets meer van te merken is. Twee extreme vlam-
men tussen 2000 en 2010 brachten de sensoren van
de NASA-meetsatelliet met X17 op het verzadigings-
punt. Volgens schattingen zou de recordhouder op 4
november 2003 de waarde X28 bereikt hebben. Extre-
me vlammen kunnen zelfs de waarde X50 bereiken.
Dergelijke röntgenstralen komen zonder waar-
schuwing vooraf voor bij actieve gebieden van de zon
en bereiken de waarschuwingsdrempel vaak binnen
enkele minuten. Ze houden een paar minuten tot en-
kele uren aan. Dat is voor bemande ruimtestations
geen probleem – die moeten sowieso goed worden
afgeschermd tegen de voortdurend aanwezige
röntgenstraling. Ook satellieten kunnen dergelijke
stralings stijgingen makkelijk aan. Röntgenstralen
hebben wel een sterk effect op de ionosfeer. Aan de
kant die naar de zon gericht is, stort de communi-
catie op de korte golf via de ruimte volledig in tijdens
dergelijke beurtenissen– maar tegenwoordig is kor-
te-golfradio van minder belang. Ook de effecten op
de satellietcommunicatie en -navigatie zijn klein.
Soms gaan dergelijke vlammen gepaard met een
sterke toename van de zonneruis over een breed fre-
quentiegebied. Dat kan inderdaad storing veroor-
zaken. Dat gebeurt echter alleen bij zwakke signalen,
zoals van satellietverbindingen of bij mobiele com-
municatie tussen partners die maar net binnen el-
kaars bereik zitten.
Af en toe stoten dergelijke vlammen ook gro-
te hoeveelheden geladen deeltjes uit, zogenaam-
de CME's (Coronal Mass Ejections) oftewel plasma-
wolken. Meestal is het pas uren na een zonnevlam
dat het aantal protonen dat op de aarde aankomt
meetbaar toeneemt, in het geval van grotere CME’s
met vele duizenden malen de normale waarde. De
protonen worden door het magnetische veld van
de aarde afgebogen en komen rond de magnetische
polen de ionosfeer binnen. Daar veroorzaken ze een
aanzienlijke toename van de kosmische straling, die
vaak dagenlang duurt, waardoor luchtvaartmaat-
schappijen gedwongen worden om polaire vliegrou-
tes te vermijden of veel lager te vliegen om blootstel-
ling van passagiers en bemanning aan de straling
niet te hoog te laten worden.
Protonbombardementen zijn daarnaast van
grote invloed op satellieten. De boordelektronica
van satellieten kan worden verstoord door proto-
nen, bijvoorbeeld door fouten in geheugenchips of
door meer ruis in gemaakte foto’s. In extreme geval-
len crasht de boordcomputer. Een satelliet kan ook
zijn oriëntatie verliezen doordat tijdelijk geblindeer-
de sensoren geen beeld meer kunnen geven van de
nachtelijke hemel, en de boordsystemen daardoor
de positie van de satelliet niet of niet correct kun-
nen bepalen. Heftige uitbarstingen verstoren de af-
zonderlijke satellieten herhaaldelijk of leiden tot een
tijde lijk verlies van controle.
Als een uitbarsting plaatsvindt in een centraal ge-
bied van het zonneoppervlak dat zichtbaar is vanaf
de aarde, kan er na ongeveer 36 tot 72 uur een mag-
netische storm volgen. Snelle veranderingen in de
zonnewind, oftewel in de deeltjesdichtheid en -snel-
heid, creëren schokfronten die het magnetisch veld
van de aarde aanzienlijk kunnen vervormen. Zeer
sterke stormen leiden zelfs tot een tijdelijke afwijking
in de weergave van magnetische kompassen.
Dergelijke geomagnetische stormen kunnen aan-
zienlijke schade veroorzaken. Als het magnetisch
veld van de aarde zodanig wordt vervormd dat satel-
lieten door de zogeheten magnetopauze gaan, wor-
den ze zonder bescherming blootgesteld aan de zon-
newind aan de kant die naar de zon gericht is.
Een zichtbaar gevolg van zo'n magnetische storm
op aarde is het noorderlicht, dat af en toe op lage-
re breedtegraden te zien is tijdens bijzonder hevige
stormen. De snelle veranderingen in het aardmag-
netisch veld kunnen aanzienlijke problemen veroor-
zaken voor exploitanten van grote elektriciteitsnet-
ten of bovengrondse leidingnetwerken omdat die
gelijkspanningen induceren. Pijpleiding-beheerders
zetten hun leidingen ook wel onder spanning om
corrosie te voorkomen. Extern geïnduceerde span-
ningen door magnetische stormen kunnen die be-
scherming ineffectief maken. Operators op hogere
breedtegraden moeten daarom reageren en de be-
veiligingsspanning aanpassen als er magnetische
stormen optreden.
BESCHERMING TEGEN EXTREME
GEBEURTENISSEN
In elektriciteitsnetten kunnen geïnduceerde span-
ningen een direct destructief effect hebben. Elek-
triciteitsnetwerken die zich over honderden of zelfs
duizenden kilometers uitstrekken, lopen het risico op
aanzienlijke schade bij zeer zware geomagnetische
uitgave 4/2020 103
Illustratie
NA
SA
De zon volgt een cyclus van ongeveer elf jaar, maar
bevindt zich momenteel in een sluimerende fase.
stormen. Zwakke punten zijn de transformatoren bij
de overgangen naar andere netwerken en spanning-
sniveaus, die door de toegevoegde gelijkspannings-
componenten dusdanig kunnen opwarmen dat ze
kapotgaan.
Het Amerikaanse weerinstituut NOAA heeft in sa-
menwerking met de USGS, een Amerikaans bureau
dat onder meer onderzoek doet naar de natuurlijke
hulpbronnen, onlangs gegevens gepubliceerd voor
de VS over hoe groot de gevolgen van die magneet-
veldveranderingen kunnen zijn. Dat geeft netwerk-
beheerders de mogelijkheid om tijdig maatregelen
voor te bereiden om hun installaties te beschermen.
De NOAA gebruikt voor zijn systeem voor vroeg-
tijdige waarschuwing een satelliet op lagrangepunt
L1 tussen de aarde en de zon, wat betekent dat hij
zich op de lijn bevindt tussen de twee hemellicha-
men op het punt waar hun zwaartekrachten elkaar
opheffen. Daar, op ongeveer 1,5 miljoen kilometer
van de aarde, meet de satelliet voortdurend de gege-
vens van de zonnewind, dat wil zeggen de dichtheid,
de snelheid en de magnetische oriëntatie en sterkte
van de wind. Uit de veranderingen in deze waarden
kan vrij nauwkeurig het effect ervan worden inge-
schat op het aardmagnetisch veld.
Voor onze regio worden daar geen waarschu-
wingen uit berekend, hoewel dat met de NOAA-sa-
tellietgegevens makkelijk zou kunnen. Dat is ook
omdat dat de gevaren hier kleiner zijn dan in Noord-
Amerika. Ook al bevinden we ons geografisch gezien
op een noordelijkere breedtegraad dan de VS, de
magnetische pool is momenteel ongeveer 10 graden
richting Noord-Amerika opgeschoven ten opzich-
te van de geografische noordpool. Daardoor ligt de
noordelijke grens van de VS (in het middenwesten)
op dezelfde geomagnetische breedtegraad als het
zuiden van Noorwegen.
In het verleden heeft Europa wel te maken gehad
met stroomstoringen als gevolg van magnetische
stormen, maar die hebben voornamelijk de Scan-
dinavische landen getroffen, waar de gevolgen veel
ernstiger zijn door de meer noordelijke ligging. Zware
geomagnetische stormen zijn zeer zeldzaam gewor-
den door de lage activiteit van de zon in de laatste
cyclus en zijn in het algemeen milder geweest dan bij
de veel actievere cycli sinds de jaren dertig.
VOORUITZICHTEN
De komende één tot twee jaar zal de activiteit van
de zon langzaam weer toenemen. Over vier tot zes
jaar zal dat waarschijnlijk zijn maximum bereiken. De
hoogste geomagnetische activiteit kan dan worden
verwacht in de tweede helft van de jaren twintig.
De deskundigen zijn bang voor vlammen van de
Carrington-klasse, genoemd naar de astronoom die
de grootste uitbarsting op de zon tot nu toe heeft
waargenomen en beschreven. Naar de huidige maat-
staven zou de bijbehorende röntgenuitstoot waar-
schijnlijk in de X40- tot X50-klasse komen te vallen.
In de nacht van 1 op 2 september 1859 werd de aar-
de getroffen door de sterkste geomagnetische storm
ooit. Die was zo gewelddadig dat het daarbij gepro-
duceerde felle noorderlicht tot in Cuba te zien was.
De in telegraaflijnen geïnduceerde spanning was zo
hoog, dat op sommige plaatsen de gebruikte papier-
stroken door vonken in brand vlogen. Een gebeur-
tenis van die omvang kan in de huidige tijd enorme
schade toebrengen aan satellietsystemen en elektri-
citeitsnetwerken.
De voorspellingen voor de komende cyclus zijn
onbetrouwbaar. Een hoge zonneactiviteit verhoogt
het risico op catastrofale uitbarstingen, dus hoe be-
ter onderzoekers begrijpen wat er op de zon gebeurt,
des te beter ze het risico kunnen inschatten en des
te specifieker beheerders van kwetsbare technologie
die kunnen beschermen. De missie naar de zon van
NASA en ESA moeten ook tegen die achtergrond ge-
zien worden.
Solar Orbiter
Op het moment dat je dit leest moet de onder-
zoekssatelliet Solar Orbiter met een Atlas 5-411-
raket op weg zijn gestuurd naar de zon. De gezamen-
lijke missie van het Europees Ruimteagentschap
(ESA) en NASA gaat de zon tien jaar lang van dichtbij
bestuderen en daarbij high-res beelden maken en
gegevens verzamelen met behulp van een aantal
sensoren.
Vanaf juni zal de satelliet in totaal tien instru-
menten kunnen gebruiken om de omstandigheden
te meten waaraan de satelliet op verschillende af-
standen van de zon wordt blootgesteld en om ver-
schillende parameters van de zonneactiviteit vast
te leggen. Dat zijn onder andere de deeltjesstraling,
het magnetisch veld rond de sonde en het spec-
trum.
De grootste moeilijkheid in het ontwerp was
het ontwikkelen van maatregelen om de 1,8 ton
wegende satelliet te beschermen tegen de intense
hitte. Een deel van de sensoren bevindt zich achter
een nieuw ontwikkeld hitteschild van een calcium-
fosfaatmateriaal (SolarBlack), dat in combinatie
met 20 lagen titanium ontworpen is om op lange
termijn temperaturen van meer dan 500 graden Cel-
sius te weerstaan.
104 www.ct.nl
SCHULDVRAAG
Falend beleid of onvermijdelijk bedrijfsrisico?
In gevallen waarbij er een ernstig gebrek
aan veiligheidscontroles aan het licht
komt, moet een groot deel van de schuld
dan ook aan de organisatie worden toe-
geschreven. Er zijn de laatste tijd veel
gevallen geweest waarbij er een aanval
plaatsvond en het bedrijf reageerde met
een clichéopmerking zoals ‘uw beveili-
ging is onze prioriteit’, ‘we nemen beveili-
ging zeer serieus’ of ‘dit was een gerichte
aanval door professionele hackers’.
Vaak blijkt echter dat een hack is
gelukt vanwege vermijdbare fouten, zoals
een niet gepatchte webserver, Java- code
van een externe partij, een on beveiligde
ftp-verbinding en talloze andere bekende
kwetsbaarheden en configuratie fouten.
Uiteindelijk komt een adequate be-
scherming neer op geld, tijd en expertise,
wat zich weer vertaalt in het hebben van
de juiste mensen, processen en tech-
nologie. Het merendeel van de hacks en
gegevensdiefstallen die de afgelopen tien
jaar hebben plaatsgevonden, heeft zijn
oorsprong in vermijdbare fouten.
Je hoort ook wel eens het argument
dat je de slachtoffers – al dan niet in
het bedrijfsleven – nooit de schuld kunt
geven. Daarbij wordt een gegevens-
inbreuk ver geleken met een straat roof:
‘Je kunt het slachtoffer niet de schuld
geven van een beroving, zelfs niet als ze
‘s avonds laat bellend over straat lopen
en dure juwelen dragen, duidelijk in het
zicht. Het is nooit hun schuld’.
Dat voorbeeld gaat echter niet hele-
maal op, omdat in die situatie het slacht-
offer dan niet de persoonlijke gegevens
van 10.000 mensen bij zich draagt. Want
in dat geval zou je wel geneigd zijn de
schuld deels te leggen bij iemand die op
die manier onverantwoordelijk met de
gegevens van anderen omgaat. Je mag
dan toch zeker wel verwachten dat er
dan verstandige voorzorgsmaatregelen
worden genomen.
In gevallen waarin bedrijven falen
bij het beoordelen, controleren en rap-
porteren van beveiligingsfouten, moet
de schuldvraag adequaat worden be-
antwoord. Als je van huis vertrekt en wel
alle deuren op slot draait, maar je ramen
allemaal open laat staan, kun je realistisch
gezien verwachten dat er bij terugkomst
het een en ander zal zijn ontvreemd. Als je
in huis de persoonlijke en privégegevens
van je medewerkers, klanten en het alge-
mene publiek bewaart, verwachten zij
dat hun belang je hoogste prioriteit is,
niet dat van de aandeelhouders.
In de huidige wereld waarin alles
en iedereen via internet is verbonden
en data de motor is die alles aandrijft,
van financiële instanties tot politiek,
ver trouwen we extreem veel van onze
informatie toe aan allerlei bedrijven. Dat
vertrouwen moet worden verdiend en
gekoesterd worden.
Aanvallen op organisaties zijn aan de orde van de dag. Cybercriminelen vallen het netwerk van een bedrijf aan, data wordt ontvreemd en het werk ligt tijdelijk helemaal
stil. Is het dan eenduidig wie het slachtoff er is en dat alle schuld bij de aanvaller ligt, of moet de verantwoordelijkheid toch bij meerdere partijen liggen?
Het doel van een aanval kan een
werkgever zijn, een klant, een
sociale mediaplatform, een tussen-
persoon die verantwoordelijk is voor het
beveiligen van de toegang of een financiële
partner. De betrokken organisatie is in
alle gevallen het slachtoffer, maar de
repercussies spreiden zich meestal ook
uit naar gebruikers en klanten.
Of de motivatie voor een aanval nu
voortkomt uit financieel gewin, ‘hack-
tivisme’, klokkenluiden of iets anders,
elke vorm van cyberaanval is op zich
illegaal en dient te worden vervolgd.
Desondanks dragen de aangevallen be-
drijven die succesvol gehackt worden
zelf ook enige verantwoordelijkheid
voor de ontvreemde data als hun veilig-
heids controles niet correct waren ge-
ïmplementeerd en ook als er geen ade-
quate be schermings maat regelen waren
getroffen. Maar hoe ver gaat deze verant-
woordelijkheid?
Wie we als slachtoffer zien of wie er
verantwoordelijk is, hangt meestal niet
af van de veiligheidsmaatregelen die een
bedrijf nam, maar van hoe het bedrijf op
de aanval reageert.In de praktijk wordt dan meestal
vooral een uitdaging voor de mensen van
de marketingafdeling. Als klant hangt
waar je de schuld legt af van hoe je die
uitingen binnenkrijgt en interpreteert en
waar je persoonlijke bias ligt. Dat zou
echter niet zo moeten zijn.
Bij veel situaties waarbij een bedrijf
gehackt is, is het duidelijk waar de ver-
antwoordelijkheid ligt. Het bedrijf kan
bijvoorbeeld onverantwoordelijk zijn
om gesprongen met gegevens, met het
beheer van de systemen of het onderhoud
daarvan. Dan ligt de schuld zeker deels
bij het bedrijf.
Auteur
Simon Vernon,
GSEC, GCIH, GCFE,
GPEN
Senior Security
Researcher,
SANS EMEA
Voor meer informatie zie
de SANS-website
(sans.org/train-
with-SANS-NL).
uitgave 4/2020 105
STRIJD OM DE DATA
Browsers en adblockers versus de reclame-industrie – de volgende rondePrivacyvriendelijke browsers zorgen voor aardig wat hoofdpijn bij de reclame-industrie. Brave is officieel van start gegaan. Microsofts compleet vernieuwde Edge is nu beschikbaar, Firefox verwijdert trackers al een tijdje en kan nog rigoreuzer worden met add-ons. Maar ook de tracker-industrie is aan het upgraden.
Jo Bager en Noud van Kruysbergen
Gegevensbescherming is op dit moment het
belangrijkste onderwerp bij browsers. Makers
voegen opties toe tegen opdringerige reclame
en trackers of kondigen daar op zijn minst relevante
functies voor aan. Er zijn zelfs twee nieuwe browsers die
speciale nadruk leggen op bescherming van de privacy
van hun gebruikers.
Een daarvan is Brave. De drijvende kracht achter die
browser is voormalige Mozilla-baas Brendan Eich. Naar
zijn mening worden websites te veel overladen met ad-
vertenties en trackers die gebruikers bespioneren. Met
Brave confronteert hij de traditionele online-reclame-
wereld met een nieuw model waarvan adverteerders,
uitgevers én gebruikers zouden moeten profiteren.
Brave filtert reclame inclusief trackers uit bezoch-
te websites. Veel grote sites laden daardoor merkbaar
sneller. De browser toont zelf reclame in de vorm van
pushberichten als de gebruiker dat wil. Je bepaalt bij de
browseropties hoeveel van die tekstadvertenties je wilt
lezen. De frequentie varieert van één tot maximaal vijf
advertenties per uur – maar exploitanten van bezochte
websites hebben er geen invloed op.
De advertenties moeten relevant zijn voor de ge-
bruiker. Daarom vergelijkt Brave diens surfgedrag met
een catalogus. Die bevat alle beschikbare adverten-
ties die Braves eigen advertentieserver kan leveren. De
browser selecteert de juiste aanbiedingen en gebruikt
artificiële intelligentie om naar eigen zeggen de beste
tijd en gelegenheid te bepalen om reclame te tonen. Dat
alles gebeurt lokaal, er komt geen enkele derde partij
aan te pas. Niemand anders krijgt dan ook ooit je profiel
in handen, belooft de maker.
BRAVE BETAALT DE SURFER ...
Als je advertenties laat tonen, beloont Brave je met zo-
genaamde ‘Brave Rewards’ – dat is geld in de vorm van
106 www.ct.nl
Test / Trackerblockers
eigen cryptovaluta met de naam BAT (Basic Attention
Token). De producent wil 70 procent van de reclame-
inkomsten aan gebruikers uitbetalen. Dat geld komt
terecht in een geïntegreerde cryptowallet, die ook kan
worden aangevuld met stortingen. De externe dienst-
verlener Uphold beheert zowel de geldstromen als de
stortingen en opnames.
Een gebruiker kan zijn inkomsten gebruiken om
journalisten en andere auteurs op internet financieel
te ondersteunen. De eenvoudigste manier om dat te
doen, is om de optie ‘Auto-Contribute’ te activeren, zo-
dat de browser een maandelijks vast totaalbedrag ver-
deelt over de bezochte websites die zich daar bij Brave
voor hebben aangemeld. Het doet sterk denken aan
Flattr, een Zweedse social-payment-dienst die nooit
echt aangeslagen is. Er is ook een functie ‘Tips’ waar-
mee gebruikers individuele sites kunnen belonen. De
gevers blijven anoniem.
... EN DIE DE WEBSITEBEHEERDER
Tot nu toe hebben meer dan 10.000 website-exploi-
tanten en ‘content creators’ zich aangemeld. Daartoe
behoren Wikipedia, Twitter en YouTube. Exploitanten
van websites kunnen een speciale knop opnemen als
stimulans voor donaties. Die zijn al te zien op Twitter
en Reddit, waar individuele gebruikers ‘getipt’ kunnen
worden. Verder zijn ze nog zeldzaam. Brave hoopt dat
reclamegelden die naar de gebruikers gaan, uiteindelijk
rechtstreeks bij de Creators terechtkomen. Conventio-
nele advertenties en trackers zijn daarbij niet nodig.
Technisch gezien is Brave gebaseerd op Chromium,
dat ook de basis vormt van Googles browser Chrome.
Daardoor is het beschikbaar voor Windows, macOS,
Linux, iOS en Android. Gebruikers van Braves deskto-
pversie hebben toegang tot de enorme selectie van
add-ons voor Chrome. Als je met Chrome werkt, kun je
je weg in Brave makkelijk vinden. Brave kan op dit mo-
ment echter alleen bookmarks synchroniseren.
De maker heeft Brave uitgebreid met een aantal
nuttige privacy-functies. De browser probeert bijvoor-
beeld alle aanvragen via HTTPS-verbindingen af te han-
delen – indien mogelijk. Op de adresbalk geeft een klein
pictogrammetje aan hoeveel trackers er geblokkeerd
zijn – dat aantal is vaak beangstigend hoog.
Met één muisklik krijg je meer details en opties te
zien. Er is een slider om trackers handmatig te ontgren-
delen, bijvoorbeeld als een website anders niet werkt.
Als je wilt, kun je alle scripts blokkeren met een ande-
re schuifregelaar. Hoewel dat veiliger is, veroorzaakt
het meestal weergaveproblemen. Daarnaast kan de ge-
hele beveiliging tijdelijk worden uitgeschakeld voor de
momen teel bezochte pagina.
Standaard blokkeert Brave naast trackers ook
‘cross-site cookies’ van derden. Dat voorkomt het bij-
houden van een profiel over meerdere websites. Bij de
opties kun je ook embedded-content van Twitter, Face-
book en LinkedIn eruit filteren. Die verzamelen immers
ook ijverig gegevens.
Als je aan de veilige kant wilt zitten, open dan een
‘Nieuw privévenster met Tor’. Dan wordt het IP-adres
verhuld door een pagina-aanvraag in gecodeerde vorm
te sturen via verschillende Tor-servers. Dat duurt iets
langer dan een directe oproep, en soms mislukte de
communicatie volledig bij onze test.
MICROSOFTS PRIVACY-CHROMIUM
Brave is niet de enige nieuwe browser met een
Chromium- basis die is ontworpen om het leven voor de
reclame-industrie moeilijk te maken. Met Microsoft
Edge is nog zo'n soort browser verschenen. De eerste
versie is inmiddels officieel uit een geeft een goed idee
van wat Microsoft wil en kan doen met zijn browser.
Bij de instellingen staat onder ‘Privacy en services’
de optie ‘Traceringspreventie’. Daar heb je de keuze
tussen Basis, Gebalanceerd en Strikt. Daarbij worden
respectievelijk de meeste trackers op alle sites toege-
staan, trackers van sites die je nog niet bezocht hebt
geblokkeerd dan wel de meeste trackers van alle sites
uitgeschakeld. De middelste optie is de aanbevolen
standaardinstelling. Zelfs met die instelling laden veel
websites merkbaar sneller.
Naast de privacy-instellingen biedt de browser
andere nuttige functies. Interessante webpagina's
kunnen bijvoorbeeld worden verzameld in ‘collecties’
en worden geëxporteerd naar Word en Excel. Op het
moment van schrijven is deze functie nog niet vrijge-
geven, maar met een truc (zie link bij dit artikel) al te
activeren. De Microsoft Search-integratie van de brow-
ser kan een echt voordeel bieden voor bedrijven. Daar-
mee kunnen beheerders niet alleen de informatie die
vaak nodig is binnen bedrijven vindbaar maken. Mi-
crosoft wil met partners ook meer dan 100 applicaties
die vaak gebruikt worden binnen bedrijfsintranetten
doorzoekbaar maken, zoals Box.com en Salesforce.
CHROMES PRIVACY-COMPROMIS
Google, dat net als Microsoft zelf aan reclamemarke-
ting doet, kan zich niet aan deze trend onttrekken en
heeft voor zijn browser Chrome – en de hele branche –
verbeteringen bij de gegevensbescherming tot onder-
werp van discussie gemaakt. Google wil een nieuw
cookie-attribuut introduceren, genaamd Samesite,
dat kan worden gebruikt bij HTTP-headers. Daardoor
kan een cookie alleen door dezelfde website worden
Brave blokkeert nu al reclametrackers en filtert banners uit. Als je wilt, kun je ook Facebook en andere sociale media blokkeren.
uitgave 4/2020 107
gelezen, wat moet voorkomen dat er met zo'n cookie
cross-site-tracking gedaan kan worden.
Een anti-Fingerprinting-functie is bedoeld om
de voor deze vorm van 'profiling' benodigde gege-
vens te blokkeren voor JavaScript. Een verbeterde
gebruikersinterface moet gemakkelijkere privacy-
instellingen bieden. Het is echter nog niet duide-
lijk wanneer de nieuwe functies in Chrome zullen
worden geïntroduceerd.
PRIVACY BIJ FIREFOX
Mozilla heeft de privacybescherming van zijn Fire-
fox-browser met bijna elke recente versie aangescherpt.
Versie 69 blokkeerde bijvoorbeeld standaard al veel
cookies van derden. In versie 70 werd daar een rapport-
functie aan toegevoegd die gebruikers informeert hoe
vaak werd geprobeerd hen te traceren – waardoor ze
zich meer bewust worden van het probleem.
Mozilla werkt ook aan een VPN genaamd Fire-
fox Private Network (FPN), dat blijkbaar niet alleen de
browsergegevens moet tunnelen, maar het verkeer van
het hele systeem (Windows, macOS, Linux, ChromeOS,
Android en iOS). Momenteel is dit alleen beschikbaar
voor gebruikers in de VS, en het zal niet gratis zijn. De
huidige bètaversie kost 4,99 dollar per maand. Een VPN
is ook een doorn in het oog van de reclame-industrie
omdat daarbij het IP-adres van de gebruikers verhuld
wordt, hetgeen volgen nog moeilijker maakt.
Apple was met Safari een pionier op het gebied van
gegevensbescherming. Safari heeft al langer Intelligent
Tracking Prevention, dat voorkomt dat adverteerders
gebruikers over meerdere websites kunnen volgen en
profielen met gebruikersinteresses kunnen aanmaken.
DE RECLAME-INDUSTRIE IS BOOS
Adverteerders zien hun inkomstenbronnen opdrogen
door reclame- en tracking-blockers. In hun ogen doen
browsermakers aan onaanvaardbare concurrentiever-
valsing. Het lijkt er volgens sommigen op alsof brow-
sermakers steeds vaker hun speciale technologische rol
gebruiken om als de facto regelgever op te treden. Dat
kan zeker worden gezien als misbruik van marktmacht.
Het is twijfelachtig hoe legitiem dat is aangezien slechts
zo'n vier tot vijf bedrijven de wereldmarkt domineren.
Op dat punt is enige fijngevoeligheid en transparantie
nodig voor de gehele digitale economie in het belang
van alle marktdeelnemers. Dat is wellicht een zaak voor
de politiek.
Voor ten minste één reclameserviceprovider, Eule-
rian, lijkt dat niet voldoende te zijn. Eulerian heeft een
nieuwe manier gevonden om zijn trackers te gebruiken.
Veel reclame- en tracker-blockers blokkeren namelijk
voornamelijk content van websites van derden. Ze be-
handelen de content die afkomstig is van hetzelfde do-
mein veel ruimer. En daar maakt Eulerian gebruik van.
In een blogpost op het ontwikkelplatform GitHub
vertelt gebruiker Aeris dat hij op de website van het
Franse dagblad Libération (liberation.fr) een trac-
king-script heeft ontdekt dat via een subdomein gela-
den wordt. In werkelijkheid komt de tracker echter uit
een heel ander domein, maar dat werd vermomd door
een CNAME DNS-entry. De tracker is ingebed in de pa-
gina via het subdomein f7ds.liberation.fr, "dat op zijn
beurt verwijst naar liberation.eulerian.net," schrijft Ae-
ris. Die techniek staat bekend als DNS Delegation, DNS
Aliasing of CNAME Cloaking.
Raymond Hill, de ontwikkelaar van uBlock, heeft nu
een manier gevonden om dergelijke DNS-trucs in Firefox
te achterhalen en de trackers te blokkeren. Hij gebruikt
daar een programmeerinterface van de browser voor
die de hostnaam van een DNS-entry achterhaalt en zo
de CNAME-truc blootlegt. Om dat te laten werken, moe-
ten Firefox-gebruikers nieuwe toegangsrechten aanvin-
ken om de extensie toegang te geven tot de browser-
interface. De nieuwe beveiligingsfunctie is geïntegreerd
in de huidige versie van uBlock Origin. Er is geen oplos-
sing voor Chrome, omdat de Google- browser een ver-
gelijkbare API zoals bij Firefox niet heeft.
VOORUITBLIK
De datahonger van adverteerders en de defensie-
ve maatregelen van browserfabrikanten zorgen dus
voor veel interessante ontwikkelingen. Een bijzonder
punt: Google, de grootste online reclamemarketeer,
loopt voorop in het ontwikkelen van de technische
basis voor twee nieuwe veelbelovende browsers, Bra-
ve en Edge. Ook bijzonder: die laatste wordt ontwik-
keld door een ander online reclamebureau, namelijk
Microsoft.
De ‘nieuwelingen’ moeten nu alleen nog zien te
overleven op de markt. Brave was als bètaversie in
staat om 8,7 miljoen maandelijkse gebruikers aan te
trekken. Microsoft zal zijn browser Edge zeker zoveel
mogelijk proberen te verspreiden.
Het maakt niet uit of het gaat om Edge, Brave,
een van de andere Chromium-derivaten Opera en
Vivaldi of om Firefox: probeer een van de alternatieve
browsers. En dan niet alleen vanwege de reclame- en
tracker- blockers waarmee het merkbaar sneller surft,
maar ook omdat die alternatieve browsers veel an-
dere praktische functies hebben die de marktleider
Chrome ontbeert. Edge laat je beslissen hoe rigoureus de trackers geblokkeerd moeten worden.
www.ct.nl/softlink/
2004106
108 www.ct.nl
Illustratie
Alb
ert
Hu
lm
Jan Mahn en Noud van Kruysbergen
Slechts enkele bedrijven slagen erin om van hun
productnaam een generieke term te maken –
zoals Zeppelin en Maggi. En slechts een klein
aantal van hen slaagt erin om hun eigen werkwoord te
creëren – zoals ‘googelen’ voor allerlei soorten zoek-
opdrachten op internet. Dat is precies wat het bedrijf
Docker Inc. heeft bereikt met de Docker-container-
software. Sinds enkele jaren wordt het werkwoord
‘dockeren’ gebruikt om het werken met software in
containers te beschrijven, althans in de IT-wereld: het
verpakken van containerimages, het uploaden ervan
naar een registry, het downloaden ervan uit een regis-
try en het maken van een container van de image.
De Community Edition (Docker-CE) is vrije en
opensource software. Het wordt door het bedrijf ge-
financierd met de Enterprise Editie (Docker-EE), die
WALVISGEZANG
De toekomst van
containertechniek met
en zonder Docker
Docker Inc. heeft zijn Enterprise-divisie verkocht en stopt met Docker Swarm. Dat is echter geen reden tot paniek. Het bedrijf heeft zichzelf vervangbaar gemaakt door standaardisatie – en daarmee de toekomst van containers zonder Docker Inc. veiliggesteld.
ondersteuning en een administratie-interface omvat.
Nadat begin november bekend werd gemaakt dat
Docker Inc. de Enterprise-tak had verkocht aan de
clouddienstverlener Mirantis, zijn veel Docker-gebrui-
kers ongerust geworden. Ze werden geconfronteerd
met de vraag of het nog steeds verstandig is om met
die technologie te blijven werken, en of het als begin-
ner nog loont om ermee te gaan werken. Als de groot-
ste bron van inkomsten van de producent verdwijnt, is
de toekomst van de opensourcevariant onzeker, is het
argument. Maar als je de bouwstenen waaruit Docker
bestaat van dichterbij bekijkt, kun je zien hoe het be-
drijf zichzelf op tijd vervangbaar heeft gemaakt.
PIONIERSWERK
Er is een reden waarom de termen containertechno-
logie en Docker bijna synoniem zijn geworden: Docker
heeft de onderliggende technologieën zoals name-
spaces geschikt gemaakt voor dagelijks gebruik en zo
bijgedragen aan de doorbraak van containers. In 2013
presenteerde Docker (toen nog dotCloud geheten)
de eerste versie van hun idee op een conferentie. Bij
het allround-pakket behoorden al snel een imagefor-
maat, Docker-files als blauwdrukken voor images, de
Docker Hub als een geschikte registry en de command-
line-applicatie docker. Op de achtergrond werkt de
docker-daemon als een container-runtime. De tech-
nologie werd met grote belangstelling ontvangen en
het bedrijf vond makkelijk investeerders.
Maar er was ook kritiek – de Linux-gemeenschap
houdt niet van wat Docker allemaal doet bij het instal-
latieproces, zoals het aanmaken van virtuele adapters
en firewall-regels, wat het leven moeilijker maakt voor
andere programma's. Bovendien zorgt het feit dat de
docker-daemon met root-privileges werkt niet voor
enthousiasme onder Linux-beheerders. Eén verwijt
Achtergrond / Toekomst van Docker
uitgave 4/2020 109
Als je een containerafbeelding uitpakt, worden de bestandssystemen van de lagen onthuld. In het dagelijks leven is dat alles verborgen achter een commandlinetool.
uit de Linux-scene: Docker als opensourceproject ge-
draagt zich als een propriëtaire aanbieder. Als gevolg
daarvan is Docker als pakket verdwenen uit de pakket-
bronnen van grote distributies.
In 2014 kwam de grootste tegenslag tot dan toe:
op dat moment begon CoreOS, ontevreden over
de monopoliepositie van Docker en de discussies
over nieuwe functies, te werken aan de specificatie
‘Application Container Image’ (ACI) voor zijn Docker-
alternatief ‘rkt’. Om het nieuwe imageformaat een
kans te geven, werd een tool meegeleverd voor het
converteren van Docker-images. Voor dat werk werd
de organisatie App Container (appc) opgericht en wer-
den andere bedrijven uitgenodigd zich aan te sluiten.
Door dat initiatief dreigde de containergemeenschap
uit elkaar te vallen – een soortgelijke splitsing als de
Linux-pakketformaten eerder hadden meegemaakt.
GEMEENSCHAPPELIJK WERK
In 2015 erkende ook Docker dat het niet eenvoudig is
om een monopolist te zijn, zelfs als de software onder
een opensourcelicentie wordt aangeboden. Toen al
was de aantrekkingskracht van Docker dat de Docker
Hub goed gevuld was met images. Een splitsing zou
het succes van de technologie in bedreigd hebben.
Daarom besloot Docker min of meer vrijwillig haar
strategie te wijzigen: samen met anderen wilden ze de
essentiële onderdelen van hun eigen software in stan-
daarden gieten. In het beste geval zou het mogelijk
moeten zijn om alle componenten te vervangen door
andere standaardconforme implementaties.
De plaats voor die samenwerking werd het nieuw
opgerichte Open Container Initiative (OCI), onder de
paraplu van de Linux Foundation. De lijst van deel-
nemende bedrijven werd lang: onder de meer dan 40
deelnemers bevinden zich namen als Amazon, Micro-
soft, Google, Dell, Red Hat, IBM, Intel, CoreOS en Doc-
ker. In 2016 maakte ook rkt een ommekeer en kwam
met een eigen imageformaat. In juni 2017 had het OCI
twee documenten geproduceerd: een ‘Runtime Speci-
fication’ en een ‘Image Specification’. Om te begrijpen
wat die behelzen, moet je Docker-CE eens van dicht-
bij bekijken – als een mogelijke implementatie van de
standaarden.
VERPAKKINGSSTANDAARD
Een container begint met een image. Als gebruiker kun
je die maken, downloaden en er containers van ma-
ken, zonder dat je je zorgen hoeft te maken over hoe
dat werkt. Technisch gezien zijn het tar-archieven, die
metadata bevatten over de container en de inhoud
van de container in lagen – verpakt in verdere tar-ar-
chieven. Als je in een image wilt rondkijken, kan dat
met tools van docker zelf:
docker pull nginx:alpine
docker image list
docker save nginx:alpine -o nginx.tar
Het commando docker save zet de nginx-container
als nginx.tar in de huidige map. Met tar -xf nginx.
tar kun je het archief uitpakken. Naast het bestand
manifest.json met metadata zijn er directory’s die de
lagen beschrijven. Als je de daarin zittende tar-archie-
ven uitpakt, krijg je Linux-bestandssystemen. Wan-
neer je een container vanuit zo’n image start, worden
de lagen verbonden tot een bestandssysteem. Het feit
dat je als gebruiker niet te maken krijgt met het tar-ar-
chief is te danken aan software die overeenkomt met
de ‘image-spec’ van de OCI (zie de link op het eind
van dit artikel). Naast Docker werkt ook het bovenge-
noemde alternatief rkt met images. In de Red-Hat-we-
reld is Podman een populaire Docker-vervanger [1].
DISTRIBUTIESTANDAARD
De kern van het Docker-idee was het delen van ima-
ges met anderen – dat was de reden voor het succes.
In plaats van tar-archieven rond te sturen of in directo-
ry’s te beheren, is het concept van registry’s geboren.
Dat is een webserver die een API beschikbaar stelt. Hij
accepteert pakketten via HTTP-push en slaat ze op –
bijvoorbeeld na het commando docker push. Het
concept van registry’s is ook gedefinieerd in een stan-
daard (‘distribution-spec’). De Docker Hub implemen-
teert die, maar staat daar zeker niet alleen in. Er zijn
bijvoorbeeld standaard-registry’s van Google, AWS,
Azure, GitLab en GitHub. Openbare images kunnen
meestal gratis worden bewaard, voor privé-images
worden dan wel kosten in rekening gebracht.
Als je zelf een registry wilt hosten, kun je de Doc-
ker-image registry:2 op je server uitvoeren, die
door Docker is ontwikkeld. Zelfs een zelf te beheren
GitLab kan als container-registry dienen. Zeer krach-
tig is de zakelijke oplossing Harbor, die wordt geleverd
met een administratie-interface.
GEBRUIKSSTANDAARD
Om van een image een container te maken, is een con-
tainer-runtime nodig. De runtime-spec van de OCI (zie
de link) bepaalt hoe die runtime eruit moet zien. In de
praktijk zijn er twee runtimes nodig. De low-level run-
time zorgt voor dingen die niemand met de hand wil
doen. Het creëert met fork-exec een child-proces voor
de container en gebruikt de Linux-kernelfuncties voor
het omgaan met ‘cgroups’. Dat beperkt de resources
waar de container toegang tot heeft. Het proces krijgt
de uitgepakte image als bestandssysteem voorgescho-
teld – programma's in de container hebben beperkt
110 www.ct.nl
Slechts een van de implementaties van de registry-standaard: Harbor is opensource en richt zich op bedrijven.
zicht op de volledige computer en kunnen (afgezien
van mogelijke beveiligingsgaten) niet uitbreken.
De referentie-implementatie voor dit deel van het
containerwerk heet runc en is een gezamenlijk pro-
ject van de OCI. Dat is ook de basis van Docker. Als
je Docker geïnstalleerd hebt, kun je runc op de com-
mandline gebruiken om direct toegang te krijgen tot
de low-level runtime – de lijst met commando’s doet
sterk denken aan de opdrachten die Docker gebruikt.
Tussen docker run en runc create zijn echter nog
een paar stappen te gaan. De high-level runtime is
daar verantwoordelijk voor. De OCI-referentie-op-
lossing wordt containerd genoemd – de code werd
grotendeels door Docker Inc. uit de docker-monoliet
gekopieerd tijdens opruimingswerkzaamheden en
aan OCI gedoneerd. Daarbij werkt containerd als een
daemon, dus het draait op de achtergrond. Voor de
bediening biedt het een API via een Unix-socket of via
HTTP – dat kan bijvoorbeeld worden gebruikt om con-
tainers te starten, te stoppen of er een overzicht van
te geven.
De eigenlijke taken worden daarbij door contai-
nerd doorgegeven aan runc. Maar containerd is niet de
enige manier om containers uit te voeren. Zo heeft rkt
de combinatie van containerd en runc helemaal niet
nodig en heeft het de standaarden zelf geïmplemen-
teerd. Podman laat de containerd-daemon weg, maar
gebruikt wel runc.
Voor de gebruiker is het schakelen tussen de
runtimes op de achtergrond niet problematisch zolang
alleen functies worden gebruikt die in de OCI-stan-
daarden beschreven zijn. Voor Docker is de inter face
naar de gebruiker meestal de Docker-CLI (dat wil
zeggen alle commando's die beginnen met docker).
De CLI praat met de containerd-API en prepareert de
terug geleverde informatie voor de commandoregel.
Ondanks alle standaardisatie op de achtergrond
proberen alle OCI-implementaties hun onafhankelijk-
heid te behouden en hebben ze een aantal bijzondere
kenmerken om zich te onderscheiden van andere. Niet
alle docker-commando’s kunnen daardoor zonder
aanpassingen door podman of rkt vervangen worden.
Bij het omgaan met netwerken of volumes kan de syn-
taxis iets afwijken. Iedereen die wil overstappen, moet
zich daar bewust van zijn.
COÖRDINATIE
Containers worden zelden alleen gebruikt. Om com-
pilaties te starten, heb je een beheersysteem nodig –
de eenvoudigste implementatie is Docker-Compose,
dat YAML-bestanden verwerkt en vervolgens recht-
streeks met de Docker-API communiceert. De feature
om meerdere Docker-servers als een cluster te laten
draaien werd Docker Swarm genoemd, maar is door
de nieuwe Docker Enterprise-eigenaar Mirantis dood-
verklaard. Het is niet langer de moeite waard om daar
tijd te investeren.
Zodra de projecten groter worden, is Kuber netes
de huidige standaard. In een Kubernetes-cluster wer-
ken meerdere servers samen, waarop een contai-
ner-runtime draait. De Kubernetes-master beslist aan
de hand van regels waar een container die de beheer-
der wil starten moet worden uitgevoerd. Kubernetes
is heel modulair. Zo kan containerd draaien als con-
tainer-runtime. Uit de Red-Hat-hoek komt CRI-O als
alternatief.
De grote populariteit van Kubernetes in de zakelij-
ke omgeving zorgt ervoor dat de projecten geld blijven
krijgen. Kubernetes zelf werd door Google gedoneerd
aan de Cloud Native Computing Foundation, dat net
als de OCI valt onder de paraplu van de Linux Foun-
dation. Alle cloudproviders, waaronder Google, Micro-
soft, AWS en Cisco, dragen financieel en met menselijk
kapitaal bij aan de opensourceprojecten.
KINDERZIEKTES
De uitwisseling van componenten verloopt echter niet
altijd zo soepel als de standaardisatie van alle com-
ponenten belooft. Dat komt doordat sommige onder-
delen nog niet volledig geïmplementeerd zijn en de
ontwikkelaars eerst alles hebben ingebouwd om het
met Docker te laten werken. Als je bijvoorbeeld con-
tainerd in Kubernetes gebruikt en probeert om Doc-
ker-images uit een privé-containerregistry van GitHub
te halen, mislukt dat momenteel met de foutmel-
ding ‘Error: ImagePullBackOff’. Het bijbehorende
GitHub-issue #3291 van containerd kun je terugvinden
via de link op deze pagina. Dergelijke incompatibili-
teiten zullen niet eeuwig duren, alle projecten zullen
beetje bij beetje proberen om zo goed mogelijk aan de
normen te voldoen.
WAT MOET IK DOEN?
Het wegvallen van de Enterprise-tak bij Docker Inc. is
geen reden om in paniek te raken en te stoppen uit
angst voor de toekomst. Bij de OCI zijn de standaarden
en de essentiële implementaties in veilige handen.
Voor het aanleren van de technologie, het ontwikkelen
en testen van je eigen containers en voor kleine pro-
jecten zijn Docker en Docker-Compose nog steeds een
levensvatbare keuze.
Als je containers in je bedrijf wilt gebruiken, kun
je niet om Kubernetes heen. Het is niet echt triviaal
om daar mee aan de slag gaan – een gedegen Docker-
kennis is op zijn minst aan te bevelen. Containerscep-
tici die graag de zwanenzang van deze technologie
zien, hebben dankzij de standaardisatie geen reden
tot juichen.
Achtergrond / Toekomst van Docker
www.ct.nl/softlink/
2004109
uitgave 4/2020 111
THREADRIPPER SUPER DE LUXE
High-end moederborden voor de Ryzen Threadripper 3000
nieuwe moederborden met de sTRX4-socket en een
TRX40-chipset. Je beschikt dan over allerlei nieuwe
functies en snelle interfaces, zoals PCI Express 4.0,
USB met 20 Gbit/s en 10-Gbit-ethernet.
Voor onze test hebben we vier TRX40-moeder-
borden geselecteerd: de Asrock TRX40 Creator, Asus
ROG Zenith II Extreme, Gigabyte TRX40 Aorus Mas-
ter en MSI Creator TRX40. Ze hebben allemaal acht
slots voor geheugenmodules, waarmee maximaal
256 GB DDR4-ram mogelijk is. Verder hebben ze
vier PEG-slots voor grafische kaarten, minstens 6 ×
SATA 6G, en drie of meer M.2-poorten voor NVMe-
ssd's. Alle geteste moederborden hebben twee
netwerk poorten en daarnaast een wifimodule die de
Met de moederborden voor de nieuwe high-end processors van AMD bouw je een extreem krachtige desktop-pc met 32 cores en meer. Je kunt er meerdere grafische kaarten en snelle ssd’s op aansluiten. En zijn de eerste moederborden met USB 3.2 Gen 2x2 en Wi-Fi 6 er.
Christian Hirsch en Daniel Dupré
AMD heeft met de Ryzen Threadripper 3000 de
performance van desktopprocessors niet al-
leen naar een verbluffend hoog niveau ge-
tild, maar meteen ook het hele platform flink bijge-
werkt. De derde generatie high-end cpu’s vergen wel
112 www.ct.nl
d
SATAUSB
DDR4 DDR4PCIe 4.0
CCD1
CCD3
I/O
-Die
CCD2
CCD4
4 x USB 2.0
8 x USB 3.2 Gen 2
chipsetTRX40
DDR4-RAM DDR4-RAM
8 x PCIe 4.0 of
8 x SATA 6G
8 x PCIe 4.0
48 x PCIe 4.0
4 x SATA 6G
8 x PCIe 4.0
Ryzen Threadripper 3000
TRX40-platform: Ryzen Threadripper 3000AMD heeft bij de derde generatie Threadripper-cpu's het platform volledig
gereviseerd: alle PCI-Express-lanes werken nu in de PCIe 4.0-modus. Dank-
zij acht PCIe 4.0-lanes is de datatransfer tussen de Threadripper-cpu en
TRX40-chipset verviervoudigd ten opzichte van de voorgangers.
nieuwste draadloze standaard 802.11ax (Wi-Fi 6) on-
dersteunt.
Spanningsconverters met 8 of 16 fasen leve-
ren voldoende energie om de Threadripper-cpu’s
van 280 watt Thermal Design Power stabiel te laten
draaien, ook als je ze overklokt. Alle geteste moe-
derborden beschikken bovendien over de inmiddels
verplichte rgb-ledstrips. Van meer praktische waarde
zijn de diagnosedisplays die ondersteuning bieden
als er bootproblemen zijn en vertellen of die veroor-
zaakt worden door de cpu, het geheugen, de grafi-
sche kaart of de opslagmedia.
Voor die uitgebreide uitrusting moet je wel be-
hoorlijk diep in de buidel tasten. De prijzen van de
moederborden liggen tussen de 500 en 815 euro.
Daarmee zal de doelgroep voor deze moederborden
met uit name hardware-fans en (semi)professionele
gebruikers bestaan. Sinds kort wordt die doelgroep
door pc-fabrikanten omschreven als ‘creators’.
GEEN NVME-BOTTLENECK MEER
Met de Threadripper 3000 en de TRX40-chipset heeft
AMD praktisch alles vernieuwd: alle 64 PCIe-lanes
van de cpu samen met de 24 lanes van de chipset, die
ook wel als Platform Controller Hub (PCH) wordt om-
schreven, werken nu in de PCI-Express 4.0- modus.
De eerste ssd’s en grafische kaarten die dat onder-
steunen zijn inmiddels al verkrijgbaar, zoals de Ra-
deon RX 5700 (XT) en RX 5500 (XT). De interface is
back wards compatibel, zodat apparaten met een
oudere PCIe-versie ook zonder problemen op TRX40-
moederborden draaien.
Alle Threadripper-processors hebben naast een
PCIe-root-hub een andere controller voor chipset-
functies zoals usb en sata 6G. Bij de Threadripper
3000 zijn die samen met de geheugencontroller naar
een aparte chip in de processor verplaatst (I/O-die).
De snelheid van de vier usb-poorten in de cpu en de
acht poorten in de chipset stijgt naar 10 Gbit/s, wat
ook wel USB 3.2 Gen2 wordt genoemd. De moeder-
bordfabrikanten verbinden echter niet altijd alle
poorten daarmee, waardoor die maximaal maar 5
Gbit/s halen.
De TRX40-chipset is geen directe opvolger van
de X399-chipset van het oude Threadripper-plat-
form, maar is volledig nieuw ontwikkeld. Om resour-
ces te besparen, gebruikt AMD een 14nm-variant van
de I/O-die van de Ryzen 3000 met uitgeschakelde
geheugen controller. In tegenstelling tot de nauw ver-
wante X570-chipset van het AM4-platform, activeert
de chipsetfabrikant echter alle 24 PCIe 4.0-lanes.
Acht van die lanes dienen voor het koppelen van de
chipset met de processor. Vergeleken met zijn voor-
ganger waarbij de data-uitwisseling nog over vier
PCIe 3.0-lanes liep, resulteert dit bij het nieuwe plat-
form in een verviervoudiging van de overdracht van
4 naar 16 GB/s.
Als representant van het TRX40-platform hebben
we met de Asus ROG Zenith II Extreme onderzocht
hoe snel de cpu en chipset in de praktijk data uitwis-
selen. De gecombineerde transferrate van drie PCIe
4.0-ssd’s die met de chipset zijn verbonden, kwam
uit op 11 GB/s, terwijl ze individueel 5 GB/s halen. We
hebben ook een test uitgevoerd met zes NVMe-ssd’s,
waarbij de data via de PCIe-aansluitingen naar de
processor lopen. Daar haalden we een cumulatieve
doorvoer van 30 GB/s. Het is mogelijk dat daar nog
meer uit te halen is, maar we hadden slechts zes PCIe
4.0-ssd’s tot onze beschikking.
De TRX40-chipset stelt ook vier SATA-6G-poorten
ter beschikking en acht USB 3.2 Gen2-poorten voor
randapparaten. Daarnaast zijn er ook nog twee USB
2.0-poorten. Van de 16 PCIe 4.0-lanes voor aanvul-
lende chips en uitbreidingskaarten kunnen de moe-
derbordfabrikanten er acht naar keuze voor PCIe 4.0
of SATA 6G gebruiken, om bijvoorbeeld beide typen
voor M.2-ssd’s te kunnen ondersteunen.
Afhankelijk van de constructie van het moeder-
bord werkten beide opties echter niet tegelijkertijd.
In sommige gevallen waren de sata-poorten niet
meer beschikbaar zodra we een schijf op een M.2-
slot aansloten. Enkele M.2-slots moeten PCIe-lanes
delen met uitbreidingspoorten. Als die laatste ge-
bruikt worden, hebben de M.2-ssd’s nog maar twee
in plaats van vier PCIe-lanes. Als je een Threadripper-
systeem bouwt, kom je er daarom niet omheen
Test / Ryzen Threadripper-moederborden
uitgave 4/2020 113
Asrock hoopt met de TRX40 Creator
game designers, filmproducenten en ar-
chitecten aan te spreken. Het moeder-
bord biedt de mogelijkheid om vier
grafische kaarten te gebruiken, om bij-
voorbeeld veeleisende renderprojec-
ten te versnellen. Het uitwisselen van
data met een NAS of server gaat snel
omdat de fabrikant meteen twee snel-
le netwerkchips met een capaciteit van
10 en 2,5 Gbit/s op het moederbord
heeft geplaatst. Bij de 10-Gbit-poort van
de Aquantia-chip lukte het ons echter
niet om de pc wakker te krijgen via Wa-
ke-on-LAN. Voor grote externe opslag-
media is er USB 3.2 Gen 2x2. Ondanks
zijn goede uitrusting behoort de As-
rock tot de ‘goedkopere’ Threadripper
3000- moederborden.
Na de eerste keer starten werd bij ons
exemplaar het wifi niet meteen herkend.
Dat werkte pas na het verwijderen en op-
nieuw plaatsen van de WiFi 6-module.
Waarschijnlijk was de kaart niet goed in
het bijbehorende M.2-slot onder het dek-
sel van het I/O-panel gestoken. Voor ou-
dere toetsenborden en muizen is er een
PS/2-aansluiting. Aan de bovenrand van
de printplaat zit naast de cpu-aansluiting
een koeler met ventilator voor de span-
ningsomvormers. Die kan in de weg ko-
men te zitten met een waterkoel systeem
onder de bovenkant van de kast .
De TRX40 Creator bereikt gemiddel-
de waarden voor de opstarttijd en het
energieverbruik tijdens gebruik. In de
stand-by- en soft-off-modus was hij zui-
niger dan de andere drie.
Asrock TRX40 Creator
twee snelle ethernetpoorten
laag stand-byverbruik
matige wifiprestaties
om de handleiding door te nemen. De
moeder bordfabrikanten stellen die hand-
leidingen gratis ter beschikking om te
downloaden.
ALTERNATIEVE AUDIO
Voor de verbinding van de audiochip
moesten de moederbordfabrikanten iets
nieuws bedenken. De Ryzen Thread ripper
3000-cpu's beschikken namelijk niet over
een high-definition (HD) audiocontroller.
Vermoedelijk is die niet aanwezig in de
grote I/O-die, die origineel voor de Epyc
server-cpu werd ontwikkeld. Daarom is
er ook geen HD-audio-link beschikbaar
waar de fabrikanten een Digital Ana-
log Converter (DAC), zoals de Realtek
ALC1220, mee kunnen verbinden.
De fabrikanten bewandelen daar-
om een kleine omweg en solderen de
ALC4050H-audiochip op het moederbord,
die ze via usb 2.0 met de TRX40-chip-
set verbinden. Die biedt niet alleen een
audio- uitgang en microfooningang, maar
kan ook via de I2S-interface (inter-IC
sound) een extra DAC aansturen, zoals de
Realtek ALC1220 7.10-audiochip, die je op
veel high-end moederborden ziet. Asus
en Gigabyte voorzien hun moederborden
bovendien van ESS-chips, die eveneens
een zeer hoge signaalruisverhouding van
120 dB bieden.
De geteste moederborden van Asus,
Asrock en MSI zijn voorzien van de eer-
ste usb-controller die via USB 3.2 Gen 2x2
een dubbele snelheid van 20 Gbit/s le-
vert. De Asmedia ASM3242 is verbonden
via vier PCIe 3.0-lanes en stelt een USB-
C-poort beschikbaar. In tegenstelling tot
de usb-snelheidsklassen tot nu toe, wor-
den bij 20 Gbit/s-USB beide USB-C-data-
leidingen parallel ingezet.
Terwijl we de moederborden aan het
testen waren, kwam er een WD Black
P50 binnen, de eerste ‘SuperSpeed USB
20 Gbps’ externe ssd. De snelheid kwam
Bij een Threadripper 3000 is een voeding met twee achtpolige ATX12V-stekkers een een vereiste: de cpu verbruikt ook zonder overklokken al 280 watt.
tijdens het schrijven bij alle vier de
moeder borden uit op rond de 2 GB/s. Bij
het lezen levert de schijf gegevens met 1,8
GB/s een klein tikje trager. Daarmee is de
usb-interface inmiddels vier keer zo snel
als SATA 6G.
HEEL VEEL GEHEUGEN
Voor onze test hebben we de TRX40-
moederborden voorzien van een Ryzen
Threadripper 3970X, de snelste cpu voor
desktops die momenteel beschikbaar is.
Zijn 32 cores halen een kloksnelheid van
4,5 GHz. De processors uit die serie – in-
clusief de 64-core Ryzen Threadripper
3990X die begin 2020 moet verschijnen
– hebben een Thermal Design Power van
280 watt. Op alle moederborden blijft
de cpu tijdens de zogenaamde Package
Power maar net binnen die maximale
waarde.
Omdat de Threadripper-cpu’s geen
grafische unit bevatten, hebben we voor
de test een zuinige Nvidia GeForce GT
1030 gebruikt. AMD heeft bij de Threadrip-
per 3000 onder andere de RAM-controller
vernieuwd. Die heeft zoals voorheen vier
kanalen. Als je maar één module per ka-
naal wilt plaatsen, kun je ook DDR4-3200-
geheugen gebruiken. Vanaf april moeten
de eerste DIMM’s beschikbaar zijn die
deze snelheid JEDEC-conform met ti-
mings op 1,2 volt bieden. Die hebben we
ook voor deze test gebruikt.
Als je alle geheugenslots van modu-
les voorziet, hangt de snelheid mede af
van de manier waarop de DIMM’s geor-
ganiseerd zijn. Als je acht single-rank-
modules gebruikt, specificeert AMD een
geheugensnelheid van DDR4-2933. Met
acht dual-rank-modules is dat DDR4-
2666. Inmiddels zijn er ongebufferde mo-
dules (UDIMM's) met een capaciteit van
32 GB. Daarmee kun je een Threadripper-
systeem dan voorzien van 256 GB werk-
geheugen.
De sTRX4-processors ondersteunen
ECC-RAM, dat veel bij servers en work-
stations gebruikt wordt. Als je profes-
sionele toepassingen gebruikt, kun
je overwegen dat geheugen op een
TRX40-systeem met Error Correction
Code (ECC) te gebruiken.
TERUGKEER VAN DE
CHIPSETKOELER
De TRX40-chipset verbruikt meer energie
dan zijn voorganger X299, waardoor de
moederbordfabrikanten gedwongen zijn
om hem actief te koelen. Zolang de tem-
peratuur van de chipset echter onder een
114 www.ct.nl
Test / Ryzen Threadripper-moederborden
De Asus ROG Zenith II Extreme moet
meerdere gebruikersgroepen tegelijk
tevreden stellen: overklokkers kunnen
via meetpunten de spanning controle-
ren, professionele gebruikers kunnen
vier grafische kaarten inpluggen en voor
hardwareliefhebbers is er een lichtshow
met een oled-display. Dit display toont
de foutcodes bij het opstarten of infor-
matie zoals de cpu-temperatuur. In soft-
off verbruikt het moederbord daardoor
zo’n 6 watt als het display actief is. Als de
ErP-modus in de BIOS-instelling geacti-
veerd is, gaan de lichten volledig uit en
daalt het energieverbruik tot 0,2 watt.
De Asus beschikt over twee con-
nectors voor USB-C-aansluitingen aan
de voorzijde van de kast en een tweede
LAN-aansluiting met 10-Gbit/s-ether-
net. Door al die interfaces heeft Asus veel
compromissen moeten sluiten, waarvan
we er een paar uitpikken: als het twee-
de M.2-slot bezet is, wordt voor het on-
derste PEG-slot slechts vier in plaats van
acht PCIe-lanes ter beschikking gesteld.
De derde M.2-poort schakelt terug naar
twee lanes als je de onderste vier SATA-
6G-poorten wilt gebruiken. Alle acht USB
3.0-poorten zijn via hubchips verbon-
den met de TRX40-chipset en moeten de
doorvoer daarom delen.
De vele mogelijkheden eisen niet al-
leen hun tol wat de prijs van 815 euro be-
treft, maar ook qua energieverbruik: als
Windows niets aan het doen is, verbruikt
de Zenith II Extreme 70 watt, ongeveer 15
watt meer dan het TRX40-moederbord, de
zuinigste in deze test.
Asus ROG Zenith II Extreme
Bij het ontwerp van de TRX40 Aorus Mas-
ter blijkt uit kleine dingetjes dat de in-
genieurs goed rekening hielden met pc-
hobbyisten: het I/O-paneel is bevestigd
aan de printplaat, zodat het vervelen-
de bevestigen van het meestal scher-
pe plaatwerk niet meer nodig is. Boven-
dien heeft Gigabyte de ATX-stekker in
een hoek van 90 graden aangebracht.
Dat is erg handig als je de kabels in de
pc- behuizing langs de achterzijde van de
moederbordbevestiging laat lopen.
De TRX40 Aorus Master is het enige
van de geteste moederborden die naast
de vier PEG-slots een PCIe x1-slot heeft.
De tweede LAN-poort biedt 5-Gbit/s-
ethernet. De andere fabrikanten heb-
ben hun moederborden van een twee
keer zo snelle chip van Aquantia voor-
zien. Bovendien ontbreekt USB 3.2 Gen
2x2, zodat snelle externe ssd’s data met
maximaal 1 GB/s kunnen lezen en schrij-
ven. Als er bij het updaten van het BIOS
iets mocht misgaan, zit er nog een twee-
de flashchip op het moederbord waar
de TRX40 Aorus Master dan van kan op-
starten.
In de ruststand neemt het moeder-
bord van Gigabyte genoegen met 55
watt. Met het inschakelen van het PCIe
Link Power Management konden we 4
watt besparen onder Windows 10. Tij-
dens het opstarten deed het moeder-
bord er enkele seconden langer over dan
de andere moederborden: het duurde
na het inschakelen in totaal 37 seconden
voordat het bureaublad van Windows op
het scherm verscheen.
Gigabyte TRX40 Aorus Master
De MSI Creator TRX40 is voorbestemd
voor systemen met veel NVMe-ssd's.
Naast de drie poorten op het moeder-
bord levert de fabrikant de M.2 XPan-
der-Aero Gen4 uitbreidingskaart. Die
past in een PEG-slot, je kunt er vier extra
PCIe 4.0-ssd's in M.2-formaat op kwijt.
Om te voorkomen dat de ssd's te heet
worden, is de uitbreidingskaart voor-
zien van een ventilator. Daardoor gaat
het geheel nogal op een grafische kaart
lijken. Met de momenteel beschikbare
PCIe 4.0 ssd's kan een snelheid van 20
GB/s worden gehaald.
Door de talloze M.2-slots heeft het
moederbord van MSI echter maar zes in
plaats van acht SATA-6G-poorten voor
harde schijven, 2,5-inch ssd's en opti-
sche schijven.
Het onderste M.2-slot op het moe-
derbord bevindt zich direct naast de
chipsetventilator en krijgt dus ook een
deel van de warmte van de spanning-
somvormers mee, die daar via een heat-
pipe naartoe wordt geleid. Dit had wel
als resultaat dat een van de ssd's tijdens
onze test te heet werd.
Met het systeem in idle had het
moederbord een energieverbruik van
56 watt. Daarmee was de MSI Creator
TRX40 een van de zuinigere Thread-
ripper 3000-moederborden. Als enige
van de geteste moederborden bieden
de 19-polige pinaansluitingen voor de
usb-frontaansluitingen een USB 3.2
Gen 2-snelheid met 1 GB/s. De andere
moederborden komen slechts tot 400
MB/s.
MSI Creator TRX40
kortste bootduur
veel M.2-aansluitingen
hoog energieverbruik
relatief zuinig
8 × SATA 6G
geen USB 3.2 Gen 2x2
relatief zuinig
adapterkaart voor M.2-ssd's
slechts 6 × SATA
uitgave 4/2020 115
Op het moederbord van MSI kun je geen M.2-ssd’s met een koellichaam kwijt omdat de bevestigingsbeugel met warmtegeleidende pads dan in de weg zit.
drempelwaarde blijft, draaien de geregelde ventila-
toren bij Asus, Gigabyte en MSI niet, zodat je ze ook
niet hoort. Als er echter vlak bij de ventilator een gra-
fische kaart zit die zijn warme lucht richting de chip-
set blaast, heb je kans dat de ventilator aanslaat.
Op de moederborden van Asrock, Asus en Giga-
byte zitten ook extra ventilatoren op de koellichamen
van de spanningsomvormers. MSI bewandelt een an-
dere weg en heeft een heatpipe geplaatst die naar de
chipsetventilator loopt. De fabrikanten bevestigen
ook koellichamen met warmtegeleidende pads boven
de M.2-slots om oververhitting van de ssd's te voor-
komen. Veel moderne M.2- ssd's, met name die met
PCIe 4.0-interfaces, beschikken echter al over hun ei-
gen koellichamen. Afhankelijk van het moederbord is
het dan niet meer mogelijk om de ssd vast te schroe-
ven – of hij past door zijn afmetingen niet in het slot.
Ondanks het verhoogde energieverbruik van de chip-
set verbruiken de TRX40-moederborden in ruststand
minder energie dan hun TR4-voorgangers. Dat is
waarschijnlijk te wijten aan het gewijzigde processor-
ontwerp. Bij Threadripper 2000 waren er tot vier dies
met I/O-functies, die idle nog gedeeltelijk actief wa-
ren. Bij de Threadripper 3000 bevinden de I/O-func-
ties zich in de I/O-die van de processor. Daardoor
kunnen de CPU Core Dies (CCD's) volledig uitgescha-
keld worden.
Het energieverbruik kan nog steeds met een paar
watt worden verminderd door het Active State Power
Management (ASPM) van PCI Express bij Windows
10 in te schakelen. De lagere vermogensstanden
kunnen worden ingeschakeld in het Configuratie-
scherm bij ‘Hardware en geluiden / Energiebeheer /
Energie besparing / De schema-instellingen wijzigen
/ Geavanceerde energie-instellingen wijzigen / PCI
Express / Link State Power Management activeren’,
door de optie 'Maximale energiebesparing' te selec-
teren. Gemiddeld daalde het energieverbruik van de
vier moederborden met ongeveer 5 watt.
Bij volle belasting verschilde het energieverbruik
tussen de vier TRX40-moderborden slechts een paar
watt, omdat ze allemaal voldoen aan de door AMD
vastgestelde cpu-vermogenslimiet. Ook op de snel-
heid van de interfaces hadden we niets aan te mer-
ken. De M.2-slots en usb-aansluitingen leveren de te
verwachten snelheid.
Alleen de SATA 6G-poorten van het Asus-moeder-
bord, die via de Asmedia sata-chip aangesloten zijn,
zijn met 400 MB/s ongeveer 150 MB/s langzamer dan
die van de chipsets. Die poorten kun je dan ook beter
Overklokken van de Threadripper 3000
Wat overklokken betreft, lijkt de derde ge-
neratie van AMD's high-end processors sterk
op de nauw verwante Ryzen 3000 [1]. Er zijn
drie verschillende modi beschikbaar, die je
kunt activeren in het BIOS of via het Win-
dows-programma Ryzen Master van AMD
(zie de link op de volgende pagina).
Bij de Precision Boost Overdrive (PBO)
ben je niet meer beperkt tot de limiet die
AMD heeft gesteld voor de Package Power
Tracking (PPT) van 280 watt, Thermal De-
sign Current (TDC) van 215 ampère en Elec-
trical Design Current (EDC) van 300 ampère.
Het is nu mogelijk om die limieten te verho-
gen tot de specificaties van de moederbord-
fabrikant. Voor het moederbord van Asus
waren dat PPT 1000 W, TDC 490 A en EDC 630
A. De cpu mag bij de PBO tot de maximale
turbokloksnelheid gaan.
Met die instellingen rekende de 32-core
Threadripper 3970X met de Cinebench R20
rendering-benchmark slechts 1,2 procent
sneller. Het energieverbruik van het hele
systeem steeg daarbij echter met maar liefst
29 procent van 389 naar 503 watt.
Een nieuwe toevoeging is het ‘auto over-
klokken’. Dat werkt net als PBO, maar de
maximale frequentie is vrij instelbaar tot 200
MHz boven de maximale boostkloksnelheid.
Ook daar was de prestatiewinst van 2,1 pro-
cent wel meetbaar, maar in de praktijk niet
merkbaar. Het systeem verbruikte daarbij
532 watt.
In de handmatige modus is het moge-
lijk de frequentie van elke kern afzonderlijk
in te stellen, of in groepen van losse CCX’en
en CCD’s, of van alle cpu-kernen samen. Ons
32-core exemplaar bereikte slechts circa 4,0
GHz onder belasting op alle kernen, wat on-
geveer op hetzelfde niveau zit als met de
auto matische overklokfunctie.
AMD put bij de Ryzen Threadripper 3000
de maximale kloksnelheid in nominaal be-
drijf al grotendeels uit. De kleine prestatie-
winst vertaalt zich daarbij met name in een
wel aanzienlijk hoger energieverbruik en
is daarom eigenlijk nauwelijks de moeite
waard.
Met de Ryzen Master Tool is het mogelijk om de kloksnelheid van alle 32 kernen van een Threadripper 3970X apart in te stellen.
116 www.ct.nl
Test / Ryzen Threadripper-moederborden
gebruiken voor langzame opslagmedia, zoals harde
schijven en optische drives.
CONCLUSIE
Elke hardwareliefhebber zal al gelukkig worden van
alleen het kijken naar de TRX40-moederborden.
De vele functies en talloze poorten voor het werk-
geheugen en uitbreidingskaarten tonen wat er mo-
menteel mogelijk is op het gebied van pc-techno-
logie. Ze werken ook nog eens goed en stabiel en
bieden alle mogelijkheden die je maar kunt wensen.
De ontwerpers van de moederborden hebben
zich flink kunnen uitleven, maar daarbij hebben de
fabrikanten wel de prijs uit het oog verloren. Zelfs
de goedkoopste Threadripper 3000-moederborden
zitten flink boven de 400 euro. Dat is ruim 100 euro
meer dan het gemiddelde TR4-moederbord voor
voorganger Threadripper 2000. Als je niet een enorm
aantal PCI-Express-lanes nodig hebt en je genoeg
hebt aan maximaal 16 cores, kun je beter gaan voor
een AM4-platform met X570-moederbord en een
Ryzen 3000-cpu. Daarmee kun je enkele honderden
euro's besparen.
Literatuur
[1] Christian Hirsch en Noud van Kruysbergen, Need for Speed, Ryzen 3000 overklokken, c't 12/2019, p.88
www.ct.nl/softlink/
2004112
Fabrikant, model Asus ROG Zenith II Extreme Asrock TRX40 Creator Gigabyte TRX40 Aorus Master MSI Creator TRX40
Cpu- of cpu-socket / chipset sTRX4 / TRX40 sTRX4 / TRX40 sTRX4 / TRX40 sTRX4 / TRX40
Format (afmetingen) E-ATX (310 × 278 mm) ATX (305 × 244 mm) E-ATX (305 × 269 mm) E-ATX (305 × 277 mm)
Chipset SATA-6G 4 8 8 6
SATA-chips (eigenschappen) 2 × ASM1062 (PCIe; 2 × SATA 6G) n. a. n. a. n. a.
LAN-chip(s) (eigenschappen) AQC-107 (10 Gbit/s), i211 (1 Gbit/s) AQC-107 (10 Gbit/s), RTL8125AG (2,5Gbit/s) AQC-108 (5 Gbit/s), i211 (1 Gbit/s) AQC-107 (10 Gbit/s), i211 (1 Gbit/s)
Wifi-chip (eigenschappen) AX200 (PCIe; Wi-Fi 6, 2×2, 2,4 Gbit/s) AX200 (PCIe; Wi-Fi 6, 2×2, 2,4 Gbit/s) AX200 (PCIe; Wi-Fi 6, 2×2, 2,4 Gbit/s) AX200 (PCIe; Wi-Fi 6, 2×2, 2,4 Gbit/s)
Audio-chip (eigenschappen) S1220 + ESS9018Q2C (USB) ALC1220 (USB) ALC1220 + ESS9218 (USB) ALC1220 (USB)
Usb-chip(s) (eigenschappen) ASM3242 (PCIe; 1 × USB 3.2 Gen 2x2), 2 × USB-hub (USB 3.0), 1 × USB-hub (USB 2.0)
ASM3242 (PCIe; 1 × USB 3.2 Gen 2x2) 1 × USB hub (USB 2.0) ASM3242 (PCIe; 1 × USB 3.2 Gen 2x2)
Foutdiagnose OLED-display, 4 status-leds segment-display segment-display, 4 status-leds segment-display, 4 status-leds
Geheugenpoorten / max. RAM 8 × DDR4-3200 / 256 GB 8 × DDR4-3200 / 256 GB 8 × DDR4-3200 / 256 GB 8 × DDR4-3200 / 256 GB
Uitbreidingspoorten 4 × PEG (x16, x8, x16, x8), 3 × M.2-2280/60/42, kaart met 2 × M.2-22110/80/60/42
4 × PEG (x16, x8, x16, x8), 2 × M.2-2280/60, 1 × M.2-22110/80/60/42/30
4 × PEG (x16, x8, x16, x8), 1 × PCIe x1, 2 × M.2-2280, 1 × M.2-22110/80/60/42/30
4 × PEG (x16, x8, x16, x8), 2 × M.2-2280/60/42, 1 × M.2-22110/80/60/42, kaart met 4 × M.2-22110/80/60/42
Interne aansluitingen 8 × SATA 6G, 2 × USB 3.0 type A1, 2 × USB 3.2 type C, 2 × USB 2.01, 1 × HD-audio, TPM, 4 × RGB-led
8 × SATA 6G, 2 × USB 3.0 type A1, 1 × USB 3.2 type C, 1 × USB 2.01, 2 × HD-audio, TPM, 4 × RGB-led
8 × SATA 6G, 2 × USB 3.0 type A1, 1 × USB 3.2 type C, 2 × USB 2.01, 1 × HD-audio, TPM, 4 × RGB-led
6 × SATA 6G, 2 × USB 3.0 type A1, 1 × USB 3.2 type C, 2 × USB 2.01, 1 × HD-audio, TPM, 3 × RGB-led
Ventilatoraansluitingen 2 × cpu (4-pins), 2 × waterkoeling (4-pins), 2 × behuizing (4-pins), 1 × VRM (4-pins)
2 × cpu (4-pins), 3 × behuizing (4-pins) 2 × cpu (4-pins), 6 × behuizing (4-pins) 1 × cpu (4-pins), 1 × waterkoeling (4-pins), 6 × behuizing (4-pins)
ATX-backplate 5 × analoog audio, 1 × SPDIF Out optisch, 1 × USB C (20 Gbit/s), 1 × USB C (10 Gbit/s), 6 × USB A (10 Gbit/s), 4 × USB A (5 Gbit/s), 2 × LAN, 2 × wifi, knop: Clear CMOS, BIOS Flashback
5 × analoog audio, 1 × SPDIF Out optisch, 1 × USB C (20 Gbit/s), 2 × USB A (10 Gbit/s), 4 × USB A (5 Gbit/s), 2 × LAN, 1 × PS/2, 2 × wifi, knop: Clear CMOS, BIOS Flashback
5 × analoog audio, 1 × SPDIF Out optisch, 1 × USB C (10 Gbit/s), 5 × USB A (10 Gbit/s), 2 × USB 2.0, 2 × LAN, 2 × wifi, knop: Clear CMOS, BIOS Flashback
5 × analoog audio, 1 × SPDIF Out optisch, 1 × USB C (20 Gbit/s), 5 × USB A (10 Gbit/s), 4 × USB A (5 Gbit/s), 2 × LAN, 2 × wifi, knop: Clear CMOS, BIOS Flashback
Meegeleverd 8 × SATA-kabel, wifi-antenne, tempera-tuursensoren, ventilatorkaart
4 × SATA-kabel, SLI-brug, wifi-antenne 4 × SATA-kabel, wifi-antenne, tempera-tuursensoren, RGB-kabel
4 × SATA-kabel, wifi-antenne, tempera-tuursensoren, RGB-kabel
Energieverbruik, datatransfer
Soft-off (met ErP) / zuinige modus / idle / belasting
6,0 W (0,2 W) / 7,7 W / 70 W / 404 W 2,5 W (0,4 W) / 3,9 W / 62 W / 400 W 3,6 W (0,2 W) / 4,9 W / 55 W / 402 W 3,9 W (0,2 W) / 6,1 W / 56 W / 395 W
PCIe 4.0 x4 SSD chipset / cpu: lezen (schrijven)
5016 (4267) / 5036 (4287) MB/s 5036 (4280) / 5034 (4271) MB/s 5030 (4290) / 5025 (4280) MB/s 5021 (4270) / 5021 (4270) MB/s
I/O-backplate: USB 3.0 / USB 3.2 Gen 2 / USB 3.2 Gen 2x2: lezen (schrijven)
435 (408) / 1030 (944) / 1828 (2047) MB/s 419 (419) / 1031 (945) / 1821 (2022) MB/s n. a. / 1030 (944) MB/s / n. a. 436 (408) / 1027 (961) / 1812 (2022) MB/s
Front-aansluitingen: USB-3.2 Gen 2 / USB 3.0: lezen (schrijven)
1030 (944) / 435 (408) MB/s 1031 (943) / 443 (411) MB/s 1030 (945) / 443 (412) MB/s 1031 (943) MB/s / n. a.
LAN 1/2: ontvangen (zenden) 119 (119) / 1184 (1185) MB/s 297 (298) / 1184 (1185) MB/s 119 (119) / 592 (595) MB/s 119 (119) / 1183 (1184) MB/s
Wifi 5 GHz / 2,4 GHz (20 m) 102 / 313 Mbit/s 198 / 176 Mbit/s 77 / 220 Mbit/s 87 / 219 Mbit/s
Functietests
Secure-booten in- / CSM-uitschakelbaar v / v v / v v / v v / v
Wake on LAN: stand-by / soft-off v / – v / v2 v / v v / v
USB: 5V in soft-off / wekken via usb- toetsenbord uit stand-by (soft-off)
v / v (–) v / v (–) v / v (–) v / v (–)
Duur booten tot welkomstscherm 29 s 33 s 37 s 32 s
Analoog multichannel geluid (soort) / 2e audiostream
v (7.1) / v v (7.1) / v v (7.1) / v v (7.1) / v
Audio: weergave / opname ++ / + ++ / + ++ / + ++ / +
Ventilatorregeling: cpu/ behuizing: 3-pin / 4-pin
20 … 100 % / 8 … 12 V / 20 … 100 % 0 … 100 % / 0 … 12 V / 0 … 100 % 0 … 100 % / 0,8 … 12 V / 0 … 100 % 0 … 100 % / 0 … 12 V / 0 … 100 %
Prijs / garantie € 815 / 36 maanden € 500 / 36 maanden € 630 / 36 maanden € 760 / 36 maanden
1 telkens twee poorten per header 2 niet via 10 Gbit-LAN ++ zeer goed + goed ± voldoende - slecht -- zeer slecht v aanwezig – werkt niet n.a. niet aanwezig
TRX40-moederborden voor Ryzen Threadripper 3000
uitgave 4/2020 117
ALLES OVER DIT ONDERWERP
Inleiding en overzicht 118
Opensource-licenties 124
VCV Rack: verdienen met add-ons 126
Krita: gefinancierd door gi� en 128
LibreOff ice: profijtelijk project 130
WIE BETAALT DAT?
Businessmodellen met opensource-software
* Software 55,-
* Support 10,-
* Add ons 5,-
* Bugfi xes 12,-
* Extra's v.a. 3,-
118 www.ct.nl
Achtergrond / Opensource businessmodellen
Linux-distributies zoals die van SUSE zijn geenszins fundamenteel gratis. Ze zijn toch opensource.
code in te zien is, maar niet vrij kan worden gewijzigd.
Dat onderscheid wordt echter niet altijd strikt aange-
houden, ook vanuit marketingoverwegingen. Daar-
naast is er de ‘officiële’ definitie van Open Source die
wordt beheerd door het Open Source Initiative (OSI),
die je vindt via de link op de laatste pagina van dit ar-
tikel. De definitie van het OSI omvat bovenstaande
punten, maar specificeert ook andere dingen, zoals
verbodsbepalingen om groepen mensen of bepaalde
gebruiksdoeleinden van de software te discrimineren.
Er wordt ook gesproken over ‘vrije software’, een
veel meer politieke woordkeuze. Voorstanders van
‘vrije software’ –vooral de Free Software Foundati-
on (FSF) – zien niet-vrije software als een sociaal pro-
bleem. Naar hun mening is de ontwikkeling van vrije
software moreel noodzakelijk en moet die worden ge-
dreven door sociale overwegingen. Voorstanders van
‘open source’ – het OSI is daar de maatgevende orga-
nisatie – zien meer de praktische aspecten op de voor-
grond en pleiten voor opensource omdat daarmee
betere programma’s kunnen worden geschreven. Zij
hebben liever geen politieke of ideologische impli-
caties, in tegenstelling tot het FSF – zie de link. Zo ver-
schillend als de filosofieën zijn: vrije software is bijna
noodzakelijkerwijs opensource software in de zin van
het OSI, en opensource software is in de meeste geval-
len ook vrij volgens de regels van de FSF. In het Engels
wordt dergelijke software daarom vaak ‘free and open
source software’ genoemd – FOSS.
Helaas is de term ‘free’ ook het uitgangspunt voor
een veelvoorkomend misverstand: ‘vrij’ kan worden
opgevat als een synoniem voor ‘gratis’, waar in het En-
gels natuurlijk hetzelfde woord voor gebruikt wordt.
Maar vrije software hoeft helemaal niet gratis te zijn.
Toch blijft het misverstand bestaan, terwijl er al jaren
geprobeerd wordt dat duidelijk te krijgen met onder
meer slogans als "free as in freedom of speech, not as
in free beer".
In reactie op de dubbele betekenis van ‘free’ werd
de term FLOSS bedacht, ‘free/libre open source soft-
ware’, omdat het Latijnse ‘libre’ niet de connotatie
‘gratis’ heeft. Maar uiteindelijk hebben die misverstan-
den en de pogingen om daar duidelijkheid in te krij-
gen, alleen maar geleid tot een relatief verwarrende
situatie. Je moet er op letten wie een bepaalde term
gebruikt om hem te kunnen classificeren. In dit artikel
zullen we het simpelweg hebben over ‘opensource’,
hoewel de softwareprojecten waar we het over heb-
ben ook ‘vrij’ zijn in de zin van de FSF.
GRATIS BIER
Maar als de broncode zichtbaar is en kan worden aan-
gepast, betekent dat dan niet dat de software ook echt
gratis is? Wie koopt het dan als je het gratis kunt krij-
gen? Die vraag is gebaseerd op een onjuist uitgangs-
punt: het product en de broncode zijn niet noodzake-
lijkerwijs gratis te verkrijgen.
Zoals we al zeiden, betekent opensource software
dat de broncode veranderd kan en mag worden. De
broncode hoeft echter niet openbaar of gratis ter be-
schikking te worden gesteld. Alleen de ontvangers van
Opensourcesoftware is allang niet meer alleen iets van hobbyistische vrijetijdsprogrammeurs – als dat al ooit zo was. Toch blijft het beeld bestaan bij vrije software dat dit niet in de buurt komt van ‘commerciële’ producten, maar wel gratis is. We laten zien hoe verkeerd dat beeld is
Sylvester Tremmel en Noud van Kruysbergen
De ontwikkeling van software kost tijd en geld,
en die zullen toch op de een of andere manier
ergens vandaan moeten komen. Of je voor een
product moet betalen heeft weinig te maken met de
vraag of het opensource software is of niet. Er bestaat
zowel propriëtaire freeware als dure opensource soft-
ware. Ook welke producten miljoenen waard zijn en
welke een beetje voor de hobby zijn, kun je niet af-
lezen aan de licentie.
Hieronder geven we een overzicht van waar het
geld voor opensource-ontwikkeling vandaan komt
en welke verschillende financieringsmodellen er be-
staan. Maar eerst moeten we enkele misverstanden
en onduidelijkheden uit de weg ruimen die er mede
verantwoordelijk voor zijn dat het genoemde scheve
beeld zo hardnekkig is.
FOSS EN FLOSS
De term opensource-software wordt soms gebruikt
om software te beschrijven waarvan de broncode toe-
gankelijk is. Dat ligt voor de hand, want ‘opensource’
betekent ‘openbare code’, maar meestal betekent
‘open’ meer dan alleen maar ‘leesbaar’. De code van
een product moet – in ieder geval door de koper –
ook aan te passen zijn. Dat is een kwestie van zowel
het recht hebben om dat te mogen als de praktische
mogelijkheid om de code te wijzigen. Men wil er on-
der meer voor zorgen dat het product permanent
en naar believen kan worden gebruikt en verbeterd.
Opensource software is dus software die naar believen
kan worden gebruikt, waarvan de broncode toeganke-
lijk is en waarvan de broncode kan worden aangepast.
Om een onderscheid te maken, spreekt men ook
van ‘source available’ of ‘shared source’ als de bron-
Illustratie
Alb
ert
Hu
lm
uitgave 4/2020 119
Betaal wat je wilt. Bij ‘Custom’ kun je ook nul dollar invoeren en dan krijg je elementary OS gratis.
Donkere wolken
Vorig jaar hebben sommige aanbieders
van databasesystemen van zich doen spre-
ken door hun producten, die voorheen als
opensource werden aangeboden, geheel
of gedeeltelijk om te zetten naar eigen li-
centies. Bekende voorbeelden zijn Redis –
waarbij het slechts om enkele modules en
niet om het kernproduct zelf gaat –, Cock-
roachDB en MongoDB.
Het probleem is dat grote cloudleve-
ranciers zoals Amazon de opensource-pro-
ducten van die leveranciers hebben over-
genomen en die ‘as a service’ beschikbaar
hebben gesteld aan hun eigen klanten. Der-
gelijke Software-as-a-Service-aanbiedingen
zijn echter de strategie die Redis en aanver-
wanten zelf gebruiken als financiering. De cl-
oudaanbieders concurreren dus niet alleen
rechtstreeks met die bedrijven, maar kun-
nen – dankzij een uitgekiende integratie met
hun eigen cloudproducten – veel klanten
ook een beter product bieden.
Door het herzien van de licenties van
hun producten, verbieden de database-
producenten dat gedrag meestal. Maar dat
is genoeg om de opensource-definitie van
het OSI te schenden. De softwareontvanger,
bijvoorbeeld Amazon, heeft niet langer het
recht om de software te gebruiken zoals hij
dat wil. De producenten stellen dat zij daar-
mee een probleem in de opensource-defini-
tie oplossen. Tegenstanders vinden echter
dat dergelijke licenties niet als opensource
mogen worden beschouwd en dat het pro-
bleem eerder de marktmacht is van cloud-
aanbieders – ongeacht het licentiemodel.
het product moeten toegang hebben, bijvoorbeeld
door de code bij het product te leveren. Die ontvan-
gers kunnen wel degelijk betalende klanten zijn. Het
is zeker niet nodig om een gecompileerde uitvoer-
bare applicatie gratis aan te bieden om opensource te
worden.
PRODUCTEN VERKOPEN
In de opensource-wereld is het dus heel gewoon om
van softwareontwikkeling te leven door simpelweg de
ontwikkelde software te verkopen. Vooral bij grotere
softwareprojecten neemt de inspanning om vanuit
de broncode te compileren al snel enorme proporties
aan, vooral omdat elke update en patch gecompileerd
en toegepast moet worden. Daarom passen zelfs gro-
tere softwareprojecten het businessmodel toe om
hun product rechtstreeks aan (eind)klanten te verko-
pen. Bekende voorbeelden zijn Linux-distributies, met
name die zich richten op bedrijven, zoals Red Hat En-
terprise Linux en SUSE Linux Enterprise Server. Er
zijn ook betaalde versies van het veelgebruikte Libre-
Office, die vooral bedoeld zijn voor bedrijven (zie pa-
gina 130).
In dit business-to-business-segment zijn klanten
in verhouding ook meer bereid te betalen, omdat er
zelden gratis alternatieven zijn. Moeilijker hebben
het bijvoorbeeld Linux-distributies die gericht zijn op
particuliere klanten. Niet alleen zijn er veel gratis al-
ternatieven, maar het overgrote deel van alle compu-
ters wordt sowieso met een besturingssysteem aange-
schaft, namelijk met Microsoft Windows of macOS. Die
zijn op zich niet gratis, maar bij de aanschaf van een
pc zijn de kosten van het besturingssysteem meestal
al in de prijs inbegrepen. Welk deel van de aankoop-
prijs dan gaat zitten in de gebruikerslicentie voor het
besturingssysteem, is vaak niet transparant. Die kos-
ten worden niet gezien als een afzonderlijke prijs voor
een afzonderlijk product.
Dat is een obstakel voor alle alternatieve bestu-
ringssystemen, maar voor pc’s zijn ze in ieder geval
bijna allemaal opensource. Toch kunnen opensource
besturingssystemen ook aan particuliere gebruikers
verkocht worden: de Linux-distributie elementary OS
gebruikt bijvoorbeeld een ‘betaal wat je wilt’-model.
Klanten kopen het product en kunnen de aankoop-
prijs zelf bepalen. De voorgestelde prijzen zijn 10, 20
of 30 dollar, maar je kunt ook 0 dollar als aankoopprijs
invoeren. In de praktijk doet het overgrote deel van de
klanten dat laatste ook, maar de rest genereert vol-
doende inkomsten om de distributie te financieren.
In principe is dat verkoopmodel vergelijkbaar met een
permanente reclamecampagne die het product als
een geschenk geeft aan sommige klantgroepen – al-
leen al om de klanten te laten aangeven of ze behoren
tot de groep ‘bereidwillig om te betalen’ of ‘niet bereid
om te betalen’.
Iets vergelijkbaars geldt ook voor het business-
model om verschillende verkoopkanalen te gebruiken
en hetzelfde product tegen een vergoeding op het ene
kanaal aan te bieden en gratis op het andere kanaal.
Dat lijkt misschien vreemd, maar komt veel voor in de
app-stores. De schildersoftware Krita is bijvoorbeeld
tegen betaling verkrijgbaar via Steam en Microsofts
store, hoewel de producent ook gratis installers aan-
biedt op zijn website. Het artikel op pagina 128 gaat
dieper in op dat concept.
VRIJWILLIGE GIFTEN
Van dergelijke pay-what-you-want-modellen is het
slechts een kleine stap naar financieringsmodellen die
volledig gebaseerd zijn op vrijwillige giften. Dat wordt
vaak geassocieerd met de clichématige (af)zonder-
lijke programmeur in een kelder, die daar zijn brood
niet eens mee kan verdienen. Ook dat is een vertekend
beeld. Er zijn veel projecten, vooral kleinere, die vooral
bestaan door de inzet van liefhebbers en hun vrije tijd.
Maar dat betekent niet dat de op donatie gebaseerde
120 www.ct.nl
Achtergrond / Opensource businessmodellen
De meeste mensen weten wel dat Wikipedia afhankelijk is van donaties. Zelfs dergelijke gigantische projecten kunnen op de lange termijn gefinancierd worden met behulp van vrijwillige donaties.
financieringsmodellen niet kunnen worden opge-
schaald of op de lange termijn niet duurzaam zouden
zijn. Een bekend voorbeeld van grote projecten die
door donaties worden gefinancierd is Wikipedia en de
bijbehorende verschillende zusterprojecten. Die wor-
den ondersteund door de Wikimedia Foundation, die
ruim 100 miljoen dollar waard is en grotendeels wordt
gefinancierd door donaties – met gemiddeld 15 dollar
per donatie.
Het 3D modelleer- en animatieprogramma Blen-
der, waarover in deze c’t het derde artikel uit een
serie workshops staat, is een ander voorbeeld. Dat
programma, dat veel gebruikt wordt in de media-in-
dustrie, wordt grotendeels gefinancierd door het Blen-
der Development Fund. Dat fonds wordt gefinancierd
door particulieren en grote industriële donoren. Op
die manier ondersteunen ze een programma dat ze
gebruiken in hun workflow of waarvan ze op een ande-
re manier profiteren. Elke maand wordt bijna 100.000
euro ingezameld, wat voldoende is om onder meer 15
ontwikkelaars in dienst te hebben.
Dergelijke financieringsmodellen staan ook open
voor kleinere projecten. In plaats van zelf donaties te
verzamelen of sponsors te werven, vaak met een be-
perkt bereik, kunnen ze worden gefinancierd via een
fonds, vergelijkbaar met Blender en Wikipedia. Die
hebben meestal een grotere reikwijdte en bieden
meer zekerheid voor de gefinancierde projecten.
GEMEENSCHAPSGEEST
Alle tot nu toe genoemde financieringsmodellen kun-
nen ook door closedsource-projecten gebruikt wor-
den. Waarom zijn projecten dan opensource? Een van
de redenen is dat opensource-software het veel mak-
kelijker en beter mogelijk maakt om een community
op te bouwen. Het feit dat iedereen zelf verbeterin-
gen aan de code kan aanbrengen, trekt vaak geïnte-
resseerden aan, moedigt pure gebruikers aan om deel
te nemen aan het project en stelt derden in staat om
het project te verbeteren op manieren die voor hen
belangrijk zijn. Een dergelijke groeiende gebruikers-
gemeenschap is meestal gunstig voor projecten, on-
geacht de wijze waarop ze gefinancierd worden.
Maar bovenal geeft opensource de community be-
paalde garanties. Als een applicatie bijvoorbeeld een-
maal als broncode met de community gedeeld is, kan
die niet daar niet zomaar weer uit weggenomen wor-
den. Een verkoper van propriëtaire software kan zijn
software gratis weggeven om een gebruikersgemeen-
schap op te bouwen en er dan van de ene op de andere
dag geld voor in rekening brengen. Gebruikers worden
dan gedwongen te betalen of op zijn minst afgesneden
van verdere ontwikkeling. Bij een community rondom
opensource software kan dat niet gebeuren.
Vanaf de laatste versie die als opensource is uitge-
bracht, is de broncode beschikbaar en op basis daar-
van kan de software onafhankelijk van de oorspronke-
lijke producent verder ontwikkeld worden. Bovendien
is het bij opensource-licenties vaak nodig om toekom-
stige versies van de software als broncode beschik-
baar te stellen voor de community. In het artikel op
pagina 124 worden de details van dat concept, dat
‘copy left’ wordt genoemd, uitgelegd.
Dergelijke zekerheden maken de community aan-
trekkelijker voor alle deelnemers, omdat ze weten
dat hun werk niet op een bepaald moment eenzijdig
wordt verkocht of volledig nutteloos wordt. Dat is ook
een van de redenen waarom organisaties die zich rich-
ten op het algemeen belang vaak de voorkeur geven
aan opensource, dit promoten of zelfs afdwingen. Je
ziet dan ook regelmatig dat overheidsinstanties over-
stappen op opensource-oplossingen – en vaak de
overstap terug weer maken, maar dat is een verhaal
dat zich op een ander niveau afspeelt.
CONCURRENTIE IS GOED
Bovendien maken dergelijke zekerheden de communi-
ty aantrekkelijk voor andere commerciële aanbieders.
Enerzijds kunnen derde partijen diensten en produc-
ten, zoals add-ons en ondersteuning, aanbieden op de
horizontale markt rondom de software. En ze kunnen
hun eigen producten ontwikkelen en verkopen op ba-
sis van de software, de zogenaamde verticale markt.
Beide zouden met een aanzienlijk ondernemersrisico
gepaard gaan als opensource niet de beschikbaarheid
van het kernproduct op lange termijn zou garanderen.
Veel softwareprojecten nemen dit principe ook als
businessmodel: een kern die op zichzelf functioneel is,
wordt ontwikkeld als – vaak gratis – opensource soft-
ware. Inkomsten worden daarbij gegenereerd met
diensten die hier omheen worden aangeboden en –
mogelijkerwijs propriëtaire – add-ons. Het in het arti-
kel op pagina 126 beschreven VCV Rack is een voor-
beeld van een dergelijke ontwikkeling. Veel van de in
het begin genoemde Linux-distributies hebben ook
gratis versies die op zichzelf gebruikt kunnen worden
en die een groot deel van de community binden, zoals
Fedora Linux voor Red Hat en openSUSE.
Door de open kern kunnen concurrenten ook gaan
concurreren met het eigen commerciële aanbod, maar
uitgave 4/2020 121
Ook de Linux-distributie Ubuntu wordt gefinancierd door donaties. Je kunt zelf aangeven aan welk doel je je geld wilt besteden.
Industrie-reuzen verenigd: voor de meer dan duizend zakelijke leden van de Linux Foundation is het economisch gezien zinvol om samen Linux te promoten.
vaak geldt daarbij dat concurrentie goed is voor het
bedrijf. De open kern en de verbeteringen van derden
voeden de community zozeer dat die groei opweegt
tegen de negatieve effecten van extra concurrentie.
Een uitzondering wordt beschreven in het kader op
pagina 120.
Onder bepaalde omstandigheden kan het beheer
van de kern zelfs volledig in handen van een neutra-
le instantie gelegd worden, zoals het geval is met de
Linux-kernel, die onder de hoede staat van de Linux
Foundation. Het LibreOffice-project wordt ook op die
manier beheerd. Het artikel op pagina 130 beschrijft
dat systeem in meer detail.
Een community kan nog op een veel indirectere
manier geld in het laatje brengen. De Mozilla Founda-
tion, die onder andere grotendeels de ontwikkeling fi-
nanciert van de browser Firefox, haalt een groot deel
van de inkomsten uit contracten met zoekmachines.
Die betalen om de standaard zoekmachine in Firefox
te worden. Dat is voor zoekmachines alleen aantrek-
kelijk – en winstgevend voor Mozilla –zolang Firefox
een grote community van gebruikers heeft.
De voordelen zijn nog meer indirect voor projecten
als de browser Chrome van Google en het besturings-
systeem Android. Beide hebben een opensourcepro-
ject als kern, respectievelijk de Chromium-browser en
het Android Open Source Project (AOSP). Maar ook
de daarop gebaseerde projecten zijn gratis beschik-
baar voor consumenten en stimuleren daarmee – sa-
men met hun opensource-kern – grote community’s
van gebruikers en ontwikkelaars. Chrome en vooral
de browser-engine Blink domineren de browsermarkt
net zo sterk als Android de markt voor mobiele bestu-
ringssystemen.
Voor Google loont dat al meer dan genoeg om-
dat het bedrijf zo veel invloed heeft op grote delen
van de voor hen relevante IT-infrastructuur. Het kan
daarmee de distributie en het gebruik van de eigen
producten promoten, zoals het zoeken in de browser
met Google of de eigen apps op smartphones. Goog-
le profiteert ook van producten zoals de Play Store.
Derde partijen die het gecreëerde ecosysteem ge-
bruiken om hun eigen producten op aan te bieden,
betalen een vergoeding aan Google voor het verwer-
ken van de verkopen.
CONCLUSIE
Opensource software verdient uiteindelijk altijd geld
via de community. Dat kan doordat gebruikers er ge-
woon voor moeten betalen, of omdat de community
andere bronnen van inkomsten aanbiedt. Dit kan va-
riëren van directe donaties en subsidies tot commer-
ciële extra aanbiedingen, die de opensource-ontwik-
keling weer helpen financieren. Veel projecten maken
gebruik van gemengde financiering. Je kunt aan veel
projecten geld doneren, zelfs als ze andere primai-
re bronnen van inkomsten hebben. In ieder geval is
de omvang en de dynamiek van de vaak wereldwijde
community’s een cruciale factor voor het succes van
software – en opensource is vaak erg afhankelijk van
dergelijke community’s
www.ct.nl/softlink/
2004118
122 www.ct.nl
MakerMagazine
PROJECTEN VOOR
JONG EN OUD
ALLES OVER DE
RASPBERRY PI 4,
ARDUINO, NANOPC
EN MEER
BOUW JE
EIGEN ROBOT
BESTEL JOUW EXEMPLAAR VIA
WWW.FNL.NL/MAKERMAGAZINE
ALLES OVER DIT ONDERWERP
Inleiding en overzicht 118
Opensource-licenties 124
VCV Rack: verdienen met add-ons 126
Krita: gefinancierd door gi� en 128
LibreOff ice: profijtelijk project 130
LICENTIE-CODE
Verschillen bij opensource-licentiesEr zijn honderden manieren om opensource-soft ware te licentiëren. Maar wat zijn de belangrijkste verschillen tussen de licenties en waarom zijn er zo veel?
Sylvester Tremmel en Noud van Kruysbergen
De Europese Unie, IBM, Microsoft , Nokia, Sun –
elke organisatie die iets voorstelt, lijkt zijn eigen
opensource-licentie te hebben ontworpen. Der-
gelijke ijdelheden komen wel vaker voor, maar de gang-
bare opensource-licenties zijn niet voor niets in het le-
ven geroepen. In principe worden dergelijke licenties
geacht de samenwerking tussen soft wareontwikke-
laars te vergemakkelijken. De daaruit voortkomende,
deels wereldwijde ontwikkelaarscommunity’s zijn een
van de sterkste punten van opensource soft ware ten
opzichte van closedsource-ontwikkelingen.
Er zijn echter honderden opensource-licenties,
die vooral bij code-integratie en soft waredistributie in
het oog gehouden moeten worden. Het wordt moei-
lijk wanneer verschillende gelicentieerde codes in één
product moeten worden gecombineerd. Vaak is dat wel
mogelijk, maar de details zijn niet triviaal – en sommige
licenties hebben nu eenmaal tegenstrijdige eisen, zodat
ze niet samen voor kunnen komen.
Er zijn verschillende redenen voor het grote aantal
verschillende licenties. Ten eerste weerspiegelt dat de
verschillende ideeën over ‘opensource’ en ‘vrije’ soft -
ware (zie het vorige artikel). Hier gebruiken we ‘open
source’ als een – niet geheel correcte – generieke term.
Daarnaast zijn er verschillende versies van veel licen-
ties, die onder andere onduidelijkheden van hun voor-
gangers oplossen, ongewenste mazen in de wet dichten
of rekening houden met nieuwe ontwikkelingen op het
gebied van soft waretechnologie.
Sommige licenties komen veel vaker voor dan alle
andere, die voornamelijk bestaan uit relatief zelden ge-
bruikte exoten. Vaak worden versies gebruikt van de
GNU General Public License (GPL) of een moderne va-
riant van de BSD-licentie. Ook Apache- en MIT-licenties
kom je veel tegen, net als de Mozilla Pub License (MPL)
en varianten van de GPL, zoals de LGPL (GNU Lesser Ge-
neral Public License).
WAT IS TOEGESTAAN?
Licenties kunnen globaal worden onderverdeeld in
‘permissieve’ en ‘copyleft ’ licenties. Licenties met copy-
left vereisen het volgende: als de programmacode
wordt gewijzigd of geïntegreerd in andere program-
ma's, wordt de resulterende broncode ook gelicenti-
eerd onder dezelfde licentie. Daardoor blijft het project
open source en kunnen verbeteringen en aanpassingen
weer ten goede komen aan de opensource-beweging.
Om dat te laten werken, dwingen copyleft -licenties
naast hun eigen voortgezette gebruik nog iets anders
af: soft ware die op die manier gelicentieerd is, mag al-
leen worden doorgegeven als de broncode ervan ook
beschikbaar wordt gesteld – in ieder geval aan de ont-
vangers van de soft ware.
De bekendste copyleft -licentie is de GPL, die ge-
bruikt wordt om bijvoorbeeld de Linux-kernel in licentie
te geven. Als een bedrijf verbeteringen aan de broncode
aanbrengt, mag het die aangepaste kernel en zijn code
ook alleen onder de voorwaarden van de GPL doorge-
ven. De kernel mag bijvoorbeeld alleen gedistribueerd
worden als de kopers ook toegang krijgen tot de bron-
code –zodat de kopers zelf verdere verbeteringen kun-
nen aanbrengen.
COPYLEFT EN COPYRIGHT
Binnen de copyleft -licenties zijn er fijnere onderverde-
lingen, die meestal sterke en zwakke copyleft worden
genoemd. Zwakke licenties zoals de LGPL en MPL ma-
ken het bijvoorbeeld mogelijk om open source soft ware-
bibliotheken te gebruiken in een propriëtair program-
ma. Sterke copyleft -licenties zoals de GPL beschouwen
dat als een ontoelaatbare combinatie. De Aff ero GPL
(AGPL) vereist een copyleft die sterk en bijzonder ver-
gaand is. Zelfs als gebruikers alleen via een netwerk met
AGPL-soft ware communiceren, oft ewel ‘Soft ware-as-a-
Service’ gebruiken, moet de broncode van die soft ware
aan hen worden doorgegeven. Copy left heeft niets te
maken met de afwezigheid van copy right. Integendeel:
copyleft -licenties werken alleen dankzij het auteurs-
recht. Ze krijgen die naam omdat ze het doel van het au-
teursrecht omkeren, niet omdat ze ermee in strijd zijn.
Het daadwerkelijk afstaan van het copyright valt onder
het begrip ‘public domain’. Dat is een stap die ver gaat en
juridisch soms helemaal niet eens mogelijk is.
De andere grote categorie van licenties zijn de li-
centies die geen copyleft afdwingen. Dergelijke ‘per-
missive’ licenties maken het mogelijk om wijzigingen
en combinaties van programma's te publiceren onder
elke licentie – zelfs een propriëtaire. Ze vereisen ook niet
dat soft ware geleverd wordt met de broncode erbij. Een
124 www.ct.nl
Achtergrond / Opensource businessmodellen: licenties
Varianten van de GPLv3 hebben zelfs eigen logo's om ze te promoten.
Oude garde: Richard Stallman is onder meer oprichter van de FSF, de oorspronkelijke auteur van de GPL en grondlegger van het copyleft-concept.
www.ct.nl/softlink/
2004124
dergelijke eis zou sowieso niet effectief zijn onder een
permissive licentie: het programma zou eenvoudigweg
iets kunnen worden aangepast en vervolgens geleverd
worden onder een andere licentie die niet het delen ver-
eist van de broncode.
Ontwikkelaars geven dus meer controle over hun
code uit handen als ze permissive licenties gebruiken.
Bekende voorbeelden van dat type licentie zijn de BSD-
en Apache-licenties. De eerder genoemde release van
software in het public domain is ook een extreme vorm
van permissive ‘licentie’.
GAAT HEEN EN VERMENIGVULDIGT U
Daarnaast zijn er verschillende versies van veel licenties.
Die ontstaan meestal omdat na verloop van tijd bepaal-
de tekortkomingen bij bestaande licenties aan het licht
komen of er nieuwe gebruiksmogelijkheden ontstaan
waar licenties geen rekening mee hebben gehouden.
Een bekend voorbeeld daarvan zijn de digitale video-
recorders van het bedrijf TiVo. Die maakten gebruik van
open source software onder versie 2 van de GPL en stel-
den de broncode beschikbaar aan klanten. De gebrui-
kers konden zo hun eigen varianten van de TiVo software
maken –zoals de GPL het bedoeld heeft. De TiVo hard-
ware weigerde echter om dergelijke varianten uit te voe-
ren, waardoor ze praktisch nutteloos zijn. Dat werd vaak
gezien als een schending van de geest van de GPL en
werd door de tegenstanders aangeduid als ‘tivoization’.
Versie 3 van de GPL bevat daarom clausules die der-
gelijk gedrag voorkomen – naast andere aanpassingen
om bijvoorbeeld te beschermen tegen de gevolgen van
softwarepatenten. Nieuwe versies van een licentie ma-
ken de oude versies echter niet noodzakelijkerwijs over-
bodig, maar zijn slechts een alternatief. Terwijl oude
versies van software min of meer snel van het toneel ver-
dwijnen door gebrek aan ondersteuning, blijven licen-
ties bruikbaar en geldig. Linus Torvalds, als hoeder van
de Linux-kernel vrij invloedrijk, heeft bijvoorbeeld niet
veel met de GPLv3 en geeft de voorkeur aan versie 2.
COMPATIBILITEITSPROBLEMEN
Het grootste probleem met het groeiende aantal li-
centies en licentievarianten is dat ze niet noodzakelij-
kerwijs compatibel zijn met elkaar. Zo kunnen bijvoor-
beeld pure GPLv2- en pure GPLv3-programma's niet
worden gecombineerd binnen één software project:
beide versies van de licentie vereisen dat ze voor het
hele project worden gebruikt. Een combinatie zou
een wijziging van de licentie vereisen en daarmee toe-
stemming van alle auteursrechthouders die code heb-
ben bijgedragen aan ten minste één van de projecten
– schier onmogelijk bij grote, oude projecten.
Ironisch genoeg is een van de manieren om dat
probleem aan te pakken, het bieden van extra licen-
tie-varianten. Een voordeel van de GPLv3 ten opzichte
van de GPLv2 is de compatibiliteit met meer licenties
van derden. De op dit moment veel gebruikte b2- en
3-clausulevarianten van de BSD-licentie zijn compati-
bel met de GPL (in beide versies), in tegenstelling tot
de 4-clausulevariant die je bijna niet meer tegenkomt.
Als alternatief kan de code vanaf het begin onder
meer dan één licentie gepubliceerd worden, wat be-
kend staat als multi-licentie. Om een multi-licentie-
programma te combineren volstaat het als slechts
één van de gebruikte licenties compatibel is met de li-
centie van het andere programma. Een bijzonder ge-
bruikelijke variant van een dergelijke meervoudige li-
centie is het vrijgeven van code onder de GPLv2 of v3
met de toevoeging ‘of later’. De software wordt dan bij
wijze van spreken automatisch meervoudig gelicen-
seerd met de volgende versies van de GPL, en com-
binaties van code met verschillende versies zijn geen
probleem.
OVERZICHT VERSCHAFFEN
De Free Software Foundation (FSF), de organisatie
achter de GPL-licenties, houdt lijsten bij om de situa-
tie overzichtelijk te houden. Het Open Source Initiative
(OSI), als de centrale bewaker van het ‘open source’
label, biedt ook relevante informatie, en daarnaast
diverse Linux-distributies (zie de link op deze pagina).
De organisaties geven een inschatting van welke
licenties compatibel zijn met welke andere en onder
welke licentie nieuwe projecten in principe zouden
moeten worden geplaatst. Bovendien zijn dergelijke
lijsten bedoeld om een wildgroei te voorkomen aan
nieuwe licenties die enkel ontstaan uit onwetendheid
over bestaande licenties.
De hele situatie is uiteindelijk niet ideaal, maar –
en dat mag niet worden vergeten – wel duidelijk beter
dan bij de closed-source-wereld. Dankzij open source
licenties kunnen bedrijven zonder voorafgaande con-
tractonderhandelingen samenwerken en kunnen par-
ticulieren vrijelijk experimenteren met producten die
zij hebben aangeschaft – inclusief de software van die
producten
Br
on
Fre
e S
oft
wa
re F
ou
nd
ati
on
(P
ub
lic
Do
ma
in)
uitgave 4/2020 125
In VCV Rack zet je verschillende synthesizermodules in rijen naast elkaar en verbind je ze met elkaar door met je muis te klikken.
Hartmut Gieselmann en Noud van Kruysbergen
Modulaire synthesizers zijn tegenwoordig weer
enorm populair. Honderden kleine hardware-
makers verkopen hun modules in soms zeer
kleine oplages. Die worden door de kopers in grote
kasten geschroefd en gekoppeld tot gigantische syn-
thesizers. Dat die modules allemaal samenwerken,
is aan Dieter Döpfer te danken. Hij ontwierp in het
midden van de jaren 90 het zogenaamde Eurorack-
formaat. Daarbij gelden uniforme specificaties voor
de stroomvoorziening, de overdracht van de audio-
signalen en stuurspanningen en de afmetingen.
Döpfer maakte met die specificaties de eerste mo-
dules en behuizingen voor de Eurorack-synthesizer
A-100. Andere fabrikanten mogen dat open formaat
naar wens gebruiken, zonder royalty’s aan Döpfer te
hoeven betalen. Naast de doe-het-zelf-scene van hob-
byisten en eenmanszaken zijn grote fabrikanten zoals
Moog en Behringer op de Eurorack-trein gesprongen.
Maar al zijn Eurorack-synthesizers populair, de
kosten schrikken menigeen af. Met gemiddelde prijzen
voor een enkele module van 200 tot 500 euro betaal
je zelfs voor een klein basissysteem makkelijk 2000
Euro. Er is daarom erg veel interesse in een soft ware-
ALLES OVER DIT ONDERWERP
Inleiding en overzicht 118
Opensource-licenties 124
VCV Rack: verdienen met add-ons 126
Krita: gefinancierd door gi� en 128
LibreOff ice: profijtelijk project 130
GELUID MAKEN
Geld verdienen met virtuele synthesizer-modulesHet begon ooit als een hobbyproject, maar inmiddels is synthesizersoft ware VCV Rack met meer dan 150.000 gebruikers een van de snelst groeiende muziekprogram-ma’s. Om het economische succes te garanderen, moest ontwikkelaar Andrew Belt echter de opensource-licentie van het programma veranderen – en dat had gevolgen.
implementatie waarmee je nieuwe modules kunt
uitpro beren of een hardware-rack kunt uitbreiden.
Daarbij speelt Andrew Belt, oprichter van VCV,
een grote rol. De soft ware-ontwikkelaar is in 2016 be-
gonnen met het opensource-project VCV Rack, dat
Eurorack-synthesizers simuleert op een computer met
Windows, macOS of Linux. Daar is inmiddels een snel-
groeiende onderneming uit voortgekomen: volgens
Belt heeft VCV Rack nu meer dan 150.000 geregistreer-
de gebruikers. Er zijn ook ongeveer 150 externe pro-
grammeurs die tot nu toe meer dan 1600 soft ware-
modules voor VCV Rack ontwikkeld hebben – elke dag
worden er twee tot drie nieuwe modules toegevoegd.
Ongeveer 90 procent van die modules kan gratis in het
VCV-rack worden geladen. Ongeveer 10 procent wordt
verkocht tegen prijzen van 10 tot 30 euro.
LICENTIEMODEL
Belt heeft VCV Rack onder de GNU Public License 3.0
(GPLv3) geplaatst. Andere programmeurs kunnen zijn
C++-code, gepubliceerd op GitHub, en de bijbehoren-
de Application Programming Interface (API) van VCV
Rack gebruiken om eigen soft waremodules te ontwik-
kelen. Die moeten zij dan ook onder de GPLv3 aanbie-
den, samen met de broncode (gratis of betaald).
Als je geen code van Belt gebruikt, dan zit je
ook niet vast aan de GPLv3, maar wordt elke ande-
re licentievorm toegestaan – inclusief de propriëtaire
closed source – zolang de module maar gratis wordt
aangeboden. Er is altijd de mogelijkheid van ‘donation-
ware’, waarbij de ontwikkelaar vraagt om vrijwillige
donaties.
Om de modules met een andere licentie te mo-
gen verkopen, moet je met Belt onderhandelen over
een commerciële licentie – inclusief de toestemming
om de grafische bibliotheek Grayscale commer cieel
te mogen gebruiken, die afbeeldingen bevat voor
knoppen, aansluitingen en faders. Anders wordt de
Grayscale-bibliotheek beschermd door de CC BY-NC-
ND 4.0-licentie, die commercieel gebruik verbiedt.
Module- ontwikkelaars zijn wel vrij om hun eigen
graphics te gebruiken, wat in het VCV-rack dan ook
leidt tot een kleurrijke mix.
GEÏNTEGREERDE ONLINE SHOP
Om gebruikers direct te bereiken, heeft VCV een online
winkel aan het rack gekoppeld. Gebruikers loggen in
met hun account op de website van VCV Rack en kun-
nen alle beschikbare modules selecteren in een lijst in
de VCV-bibliotheek. Betaalde modules kunnen in een
winkelwagen worden geplaatst en vervolgens worden
126 www.ct.nl
Achtergrond / Opensource businessmodellen: add-ons
De bibliotheek barst inmiddels uit zijn voegen. De modules zijn gesorteerd op categorie en fabrikant. Daar is 90 procent gratis van beschikbaar, de rest is te koop in de geïntegreerde onlineshop.
betaald met PayPal, Apple Pay of Google Pay. De vol-
gende keer dat VCV Rack wordt gestart, logt de soft-
ware in met het account van de gebruiker en down-
loadt de updates en nieuw aangeschafte modules in
één keer – wat erg handig is.
Voor module-ontwikkelaars is het daarom es-
sentieel om vertegenwoordigd te zijn in de officiële
VCV-bibliotheek, omdat gebruikers hun modules an-
ders nauwelijks zullen vinden. Er worden alleen leve-
ranciers geaccepteerd die zich houden aan de ‘Plugin
Ethics Guidelines’ van Belt, die bijvoorbeeld het kopi-
eren van hardwaremodules verbiedt zonder toestem-
ming van de fabrikant.
Matthew Friedrichs moest bijvoorbeeld stoppen
met de verkoop van de softwaremodule Floats omdat
die de hardwaremodule Maths kopieerde zonder toe-
stemming van fabrikant Make Noise. “Het is voor mij ui-
terst belangrijk dat VCV Rack niet de reputatie krijgt van
piraterijsoftware voor Eurorack-modules”, legt Belt uit.
Hij werkt zelf het liefst samen met de fabrikan-
ten. Zo heeft VCV officiële implementaties van Euro-
rack-modules van Audible Instruments en Befaco gra-
tis uitgebracht. Volgens Befaco is de verkoop van de
hardwaremodules sindsdien ook aangetrokken. VCV
Rack levert ook inkomsten op voor hardwarefabrikan-
ten zoals de Brit Andrew Ostler, die onder de naam
Expert Sleepers speciale audio-interfaces aanbiedt
die geschikt zijn voor het aansturen van Eurorack-
hardware met VCV Rack.
GESCHIL MET MIRACK
Hoewel de distributie via de eigen winkel goed werkt
op desktopbesturingssystemen, gaat dat op mobie-
le platforms niet samen met de bedrijfsmodellen van
Google en Apple. Aangezien de juridische en tech-
nische inspanningen hiervoor buitenproportioneel
groot zijn, heeft Belt nog niet op de planning staan om
VCV Rack naar iOS en Android te porten.
Er bestaat voor iPads echter een variant van VCV
Rack onder de naam miRack. Die werd uitgebracht
door de Nieuw-Zeelander Vitaly Pronkin, die de code
en honderden vrij beschikbare modules uit de ou-
dere bètaversie 0.5 van VCV Rack haalde en conver-
teerde naar iOS. Hij heeft Andrew Belt of de VCV-
Rack- community daar echter niet bij betrokken. Die
reageerden dan ook wat verbolgen toen Pronkin hun
code gebruikte om zijn commerciële applicatie in de
App Store te verkopen voor bijna acht euro.
Tot versie 0.6 stond VCV Rack nog steeds onder
een BSD-licentie, waardoor andere leveranciers zoals
Pronkin de code vrij konden kopiëren en gebruiken.
“Toen ik besloot om een BSD-licentie te gebruiken,
had VCV Rack 30 gebruikers, waarvan velen vrienden.
Destijds kon ik de gevolgen niet inschatten. Ik moest
juridisch advies inwinnen voordat ik de overstap naar
de GPLv3 maakte met de toevoegingen voor commer-
cieel en niet-commercieel gebruik”, legt Belt uit. Belt
heeft de licentievoorwaarden bij VCV Rack versie 1.0,
dat in juni 2019 werd uitgebracht, daarom gewijzigd.
Pronkin heeft alle verwijzingen naar VCV Rack verwij-
derd en blijft miRack zelfstandig ontwikkelen.
VOORUITZICHTEN
Met de inkomsten uit de verkoop van betaalde modu-
les heeft Belt nu vijf ontwikkelaars in dienst kunnen
nemen bij VCV. Op die manier kan hij ervoor zorgen dat
de officiële versie van VCV altijd de meest geavanceer-
de is en dat geen enkele concurrent zijn code simpel-
weg kan kapen en er mee aan de haal gaan.
VCV Rack zal in de toekomst gratis blijven, inclusief
belangrijke basisfuncties zoals MIDI-ondersteuning,
gelijktijdige uitvoer naar meerdere audio-interfaces
en het wegschrijven van wave-bestanden naar de har-
de schijf door een recordermodule. Ontwikkelaars die
niet in C++ willen programmeren, kunnen de proto-
type-module gebruiken om nieuwe functies eerst in
Javascript en Lua te implementeren.
Voor de host-module, waarmee VST-2 plug-ins in
het rack geïntegreerd kunnen worden, moet wel wor-
den betaald. Die plug-ins zijn handig als je het geluid
wilt oppeppen met galm, echo, equalizers en com-
pressors. Als je dit leest moet ‘VCV Rack for DAWs’ zijn
verschenen, waarmee het rack zelf een VST-plug-in
wordt. Die kun je dan integreren in programma’s als
Ableton Live, Bitwig Studio en Cubase. VCV wil dat
gaan verkopen voor 99 dollar.
Tegelijkertijd zal VCV Rack 2.0 verschijnen. Belt be-
looft prestatieverbeteringen en een betere shop-inte-
gratie. Inmiddels is er namelijk een kritische massa be-
reikt, waardoor het voor muzikanten steeds moeilijker
wordt om uit de honderden beschikbare modules de
juiste te vinden.
De hele ontwikkeling van VCV Rack zou echter niet
werken zonder de community van programmeurs, mu-
zikanten en YouTube-kanalen, die actief ideeën uitwis-
selen en beginners voorzien van tutorials op het forum
van de website vcvrack.com. Er zijn YouTube-kanalen
die regelmatig nieuwe modules presenteren en tips
geven over patches. Belt communiceert heel open-
lijk met de community en wordt voor zijn vertrouwen
beloond. Daardoor kan hij ook in de toekomst even-
tuele botsingen met concurrenten met een gerust hart
tegemoet zien.
uitgave 4/2020 127
Hoewel de Kickstarter-campagnes geld opbrachten voor het Krita-project, vroeg dat aardig wat inspanningen van het kleine team.
Keywan Tonekaboni en Noud van Kruysbergen
Als je de website van Krita bezoekt, valt je oog
meteen op de donatieknop. Daarnaast staat in-
formatie over hoeveel mensen die maand een
donatie gedaan hebben. Als je Krita wilt downloaden,
komt prominent in beeld dat je het voor Windows in de
App-Store van Microsoft of bij Valves Steam kunt ko-
pen voor iets minder dan tien euro. Hoewel zowel de
gratis Linux-versies als een gratis installatieprogram-
ma voor Windows slechts één klik verwijderd zijn,
draagt de verkoop van apps wezenlijk bij aan de ont-
wikkelkosten van de gratis soft ware.
Boudewijn Rempt leidt op dit moment een team
van vier betaalde ontwikkelaars. Hij kan inmiddels
leven van het werken aan Krita. En dat is ook goed
voor de Krita-community: “De betaalde ontwikkelaars
hebben de vrijwilligers niet verdrongen,” benadrukt
Rempt, “We hebben meer vrijwilligers dan ooit.”
Hij en zijn team hebben een moeizame weg afge-
legd naar de huidige situatie, hoewel of misschien juist
omdat Krita een speciale niche inneemt. Toen Rempt
15 jaar geleden op vrijwillige basis de rol van main-
tainer – oft ewel projectmanager en hoofdontwikke-
laar tegelijk – overnam, was die ontwikkeling nog niet
te voorzien. In die tijd was Krita nog voornamelijk be-
doeld als een beeldbewerkingsprogramma voor de
Linux- desktop KDE en maakte het deel uit van KOff ice.
ALLES OVER DIT ONDERWERP
Inleiding en overzicht 118
Opensource-licenties 124
VCV Rack: verdienen met add-ons 126
Krita: gefinancierd door gift en 128
LibreOff ice: profijtelijk project 130
AFHANKELIJK VAN GIFTEN
Krita: gefi nancierd door giften en app-verkopen
Achter het tekenprogramma Krita, dat oorspronkelijk voor KDE is ontwikkeld, zit geen vaste sponsor. Toch slaagt het project erin zijn eigen hoofdontwikkelaars te betalen.
BETAALD PROJECTWERK
De verandering begon ruim tien jaar geleden, toen
Krita- ontwikkelaar Lukáš Tvrdý aan het eind van zijn
studie was en op zijn diploma-uitreiking aan het wach-
ten was. Hij bood aan om al die saaie bugfixes aan te
pakken waar hobbyprogrammeurs in hun vrije tijd
niet veel zin in hadden. Krita hoefde alleen zijn onder-
houdskosten te regelen, dan kon hij dat noeste werk
drie maanden lang voor zijn rekening nemen. “Lukáš
had net zijn scriptie geschreven over de penseel-engi-
nes in Krita en kende de broncode heel goed,” herin-
nert Boudewijn Rempt zich. “We organiseerden toen
onze eerste fondsenwerving en hij werkte geen drie
maanden aan Krita, maar een jaar lang. We konden de
meeste bugs wegwerken en Krita werd stabiel.”
In die periode is een andere strategische koers
uitgezet. Krita probeerde altijd Photoshop en GIMP
na te bootsen, maar kon het opensource GIMP niet
bijhouden. “We besloten ons te concentreren op het
schilderdeel,” vervolgt Rempt. “Je kunt niet voor alles
zorgen, je moet een focus hebben. Dat is mijn motto.”
Krita werd daardoor in de eerste plaats een program-
ma om digitaal mee te schilderen. Het vulde daarmee
een gat tussen de beeldbewerkingssoft ware GIMP en
het vectorafbeeldingsprogramma Inkscape. Dat gaf de
ontwikkelaars een richting en hielp bij het opbouwen
van een loyale gebruikersbasis.
Ondanks incidentele opdrachten of door bedrij-
ven gesponsorde beurzen voor studenten, bleef de
ontwikkeling in eerste instantie grotendeels onbe-
taald. De Russische student Dmitry Kazakov had deel-
genomen aan meerdere “Summer of Code” genoem-
de beurzen. Toen hij in 2014 zou gaan afstuderen, was
het voor Boudewijn Rempt duidelijk: “Als deze man
op een andere plek gaat werken, verliezen we hem
als Krita- ontwikkelaar en dat zou een ramp zijn. Om
genoeg geld in te zamelen voor het salaris van Kaza-
kov, startte het project een campagne via de crowd-
fundingsite Kickstarter onder de paraplu van de in-
middels opgerichte Krita Foundation. Dat leverde
uiteindelijk iets minder dan 20.000 euro op. De cam-
pagnes in de daaropvolgende jaren bleven stijgen met
respectievelijk 30.000 en 38.000 euro.
KICKSTARTER DOOD SPOOR
Maar zo'n oproep tot donaties op Kickstarter loopt
niet bepaald vanzelf. Rempt stelde gezamenlijk met
zijn vrouw Irina en de Krita-ontwikkelaar Wolthera van
Hövell tot Westerflier een plan op om potentiële do-
nateurs tevreden te stellen en het campagnedoel te
bereiken. Daar kregen ze in de jaren die volgden wel
128 www.ct.nl
Achtergrond / Opensource businessmodellen: donaties
Computerwetenschapper Agata Cacko was af en toe actief in de community totdat Krita-maintainer Boudewijn Rempt haar in dienst nam.
De Krita Foundation geeft op haar website informatie over de actuele donaties.
meer ervaring in, maar dat vergde ook wel wat van
hun krachten. “Kickstarter is bijna dood deze dagen,”
zegt Rempt ontnuchterd. “Er wordt verwacht dat je
het doel in een mum van tijd zult bereiken.” Het is ech-
ter nauwelijks realistisch om onder dergelijke voor-
waarden de ontwikkeling van software te financieren.
Ondertussen is het Krita-team overgestapt op een
zelf beheerd platform en heeft daar in 2018 de laatste
fondsenwervingscampagne gevoerd, die bijna 30.000
euro opleverde. “We hebben meer geld opgehaald
dan met Kickstarter,” benadrukt Rempt. “Niet wat de
omzet betreft, maar uiteindelijk wel omdat Kickstarter
een aanzienlijk deel daarvan inhoudt.” Het Krita-team
heeft de dure beloningen voor crowdfunders, die ge-
bruikelijk zijn bij Kickstarter, achterwege gelaten. In
plaats daarvan konden donateurs aangeven aan wel-
ke onderdelen zij graag hadden dat de ontwikkelaars
gingen werken.
De nadruk ligt op transparantie. De stichting pu-
bliceert regelmatig financiële verslagen. Je kunt ook
zien waar de huidige donaties aan gespendeerd wor-
den. Volgens Rempt hebben op dit moment zo'n vijftig
mensen een doorlopende donatie ingesteld. De afge-
lopen maanden sprokkelde de website gemiddeld bij-
na 2300 euro aan donaties bij elkaar. Daarnaast wor-
den volgens Rempt maandelijks meer dan 10.000 euro
aan inkomsten geïnd via de App Stores.
In het verleden zijn verschillende andere vormen
van financiering uitgeprobeerd, zoals het verkopen
van een Krita Artbook en trainingsmateriaal. Maar
beide bleken verliesmakende zaken te zijn. Het pro-
duceren en verzenden van het Artbook was vrij duur
en bij het commerciële trainingsaanbod kwam de Be-
lastingdienst aankloppen. De Krita Stichting liep als
non- profit-stichting tegen beperkingen aan en ook
de tewerkstelling van Dmitry Kazakov in Rusland was
fiscaal gezien complexer dan verwacht. De Belasting-
dienst eiste aanvankelijk 25.000 euro belastinggeld en
bracht de stichting bijna aan het faillissement. Toen
dat bekend werd, leidde een genereuze individuele
donatie ertoe dat de Krita Foundation die tegenslagen
overleefde. Belangrijke omzet wordt nu via Rempts
eigen bedrijf afgehandeld en verrekend met de Krita
Foundation. De stichting vermijdt na deze wijze lessen
belastingtechnische valkuilen.
DONATIES, VERKOOP EN SUBSIDIES
In de loop der jaren is er een gemengde financiering
ontstaan. Naast donaties en verkoop in de App Store
maken ook projecten met andere bedrijven daar deel
van uit. Intel financiert bijvoorbeeld een project waar-
bij Krita-ontwikkelaars hun software aanpassen aan
de huidige Intel-hardware. Daarnaast zijn er subsidies,
zoals de recente 25.000 dollar in het Megagrant-pro-
gramma, waarmee gameproducent Epic opensource-
projecten met betrekking tot de Unreal-engine wil on-
dersteunen.
Krita is er nog niet in geslaagd om een permanen-
te financiering op te zetten die vergelijkbaar is met
het Blender Development Fund voor die succesvol-
le opensource 3D-modelleringssoftware. “Ik moet er
meer werk en tijd in investeren om dat aantrekkelijker
te maken,” geeft Rempt toe. Het grootste deel van de
bijdragen komt nog steeds van particulieren die Krita
niet alleen op Linux, maar ook op macOS en Windows
gebruiken.
Toch is het aantal betaalde programmeurs ge-
groeid van incidentele banen voor studenten naar vijf
vaste functies. Naast Kazakov en Wolthera van Hövell
tot Westerflier zijn dat Ivan Yussi en Agata Cacko. Dat is
geen software-imperium te noemen, maar het is toch
respectabel voor een klein project zonder een groot
bedrijf erachter.
Bij de fondsenwerving in 2018 rekende het project
voor de kosten van een fulltime baan gemiddeld 3500
euro per maand. De Krita-ontwikkelaars worden dus
niet rijk van hun werk, maar ze kunnen er wel de kost
mee verdienen – en het werken aan een zinvol project
is ook wat waard. “Aan de cijfers kun je zien dat we
geen salaris krijgen zoals in Silicon Valley”, grapt Bou-
dewijn Rempt echter tevreden.
uitgave 4/2020 129
Bugfixing en features als een dienst, ook ten behoeve van de community – opensource maakt het mogelijk.
Thorsten Behrens en Noud van Kruysbergen
De meeste mensen hebben wel eens van Libre-
Off ice gehoord. De opensource, gratis off ice-
suite heeft een lange, soms turbulente geschie-
denis, die teruggaat tot 1985 en begint bij het Duitse
bedrijf Star Division. Vandaag de dag is LibreOff ice de
opvolger van OpenOff ice en een uitstekend voorbeeld
van een succesvol opensource-project. Sinds 2011
staat het onder hoede van de Duitse non-profit-stich-
ting The Document Foundation. De doorontwikkeling
van de off ice-suite wordt ondersteund door een com-
munity van vrijwillige en betaalde ontwikkelaars. Die
laatste zijn meestal in dienst van bedrijven die com-
merciële producten en diensten aanbieden rondom
het vrije Off ice, en die ook met elkaar concurreren.
Op het eerste gezicht lijkt het misschien vreemd
dat concurrerende bedrijven samenwerken aan een
gratis product. Het feit dat de ondersteunende stich-
ting LibreOff ice-versies gratis publiceert, bevordert in
elk geval wel de verspreiding van de suite: er zijn we-
reldwijd vele miljoen installaties van LibreOff ice en
het verwante OpenOff ice. Maar dat betekent niet dat
er een overeenkomstig grote markt voor commercieel
aanbod is – veel mensen gebruiken LibreOff ice nou
net omdat het niets kost.
ALLES OVER DIT ONDERWERP
Inleiding en overzicht 118
Opensource-licenties 124
VCV Rack: verdienen met add-ons 126
Krita: gefinancierd door gi� en 128
LibreOff ice: profijtelijk project 130
OPEN OFFICE
Geld verdienen met
LibreOffi ce
IT-bedrijven die kun klanten off ice-producten willen aanbieden, hebben in principe twee mogelijkheden: het ontwikkelen van een eigen off ice-pakket of ondersteuning leveren voor het off ice-pakket van een andere leverancier. Maar er is een derde optie.
PRODUCT GRATIS, ONDERSTEUNING
TEGEN BETALING
In feite is een van de belangrijkste argumenten voor
bedrijven om de opensource off ice-suite in te voeren
dat het niets kost. Toch is er bereidheid om te betalen
wanneer de kosten worden gecompenseerd door di-
recte positieve eff ecten op de dagelijkse gang van za-
ken. Dat is bijvoorbeeld het geval bij de aankoop van
trainingen of consultancy. Net als bij support voor pro-
priëtaire producten kunnen externe bedrijven onder-
steuning bieden aan eindgebruikers, hulp bij migraties
en integraties, service-level-agreements, enzovoort.
Dergelijke kosten kunnen dan makkelijk aan afzon-
derlijke afdelingen of eenmalige budgetten worden
toegewezen en belasten daarmee niet de algemene,
vaak krappe IT-begroting. Bij een opensource com-
munity-project als LibreOff ice kunnen dienstverleners
nog meer bieden door direct betrokken te raken bij
de ontwikkeling. Zo kunnen ze aanbieden om bugs in
LibreOff ice waar een bepaalde klant last van heeft te
verhelpen binnen de gemaakte klantafspraken. Klan-
ten met speciale eisen kunnen ook opdracht geven
voor het ontwikkelen van individuele functies om het
off ice-pakket aan hun eigen behoeft en aan te passen.
Dergelijke diensten zijn door hun unieke karakter po-
pulair in de wereld van off ice-suites. De aanbieder CIB
is daar een van de grootste in. Dergelijke klantspeci-
fieke ontwikkeling komt vanzelfsprekend het meest
voor bij grote installaties bij bedrijven en in de publie-
ke sector.
Dergelijke features en bugfixes worden echter
niet intern en alleen voor de betreff ende klant geïm-
plementeerd, maar ook ‘upstream’, oft ewel in het ge-
zamenlijke LibreOff ice-project. Dat biedt voordelen
voor alle partijen: de klant ontvangt automatisch ‘zijn’
functie in alle volgende LibreOff ice-versies, de Libre-
Off ice-community profiteert van de continue ontwik-
keling, en de bedrijven die bijdragen krijgen snel feed-
back en verdere verbeteringen van de code vanuit de
community.
Het is dan ook van essentieel belang dat bedrij-
ven die dergelijke diensten verlenen, een goed con-
tact hebben met de upstream-projectcommunity en
daar op goede voet mee staan. Anders bestaat het ri-
sico dat informatie die in het project beschikbaar is,
zoals geplande beveiligingspatches, niet of niet tijdig
beschikbaar is voor klanten. Het is ook in het belang
van de bedrijven die betrokken zijn bij LibreOff ice om
ervoor te zorgen dat de community bloeit en dat het
eco systeem samen met de ondersteunende The Docu-
ment Foundation blijft bestaan.
130 www.ct.nl
Achtergrond / Opensource businessmodellen: support
Een klein deel van de wereldwijde community achter LibreOffice. De kaart toont alleen de meer dan duizend medewerkers die al op de LibreOffice-blog hebben gestaan.
BEWIJS VAN BEKWAAMHEID
De gemeenschappelijke en vooral open codebasis
zorgt ook voor grote transparantie en vergelijkbaar-
heid. Klanten hoeven niet te vertrouwen op (reclame)
beloftes, maar kunnen – als ze voldoende technische
kennis in huis hebben – op elk moment zelf een kijk-
je nemen in de bugtracker of Git-repository. Daar kun
je zien hoe de respectievelijke dienstverleners in het
verleden hebben bijgedragen en waar zij een contro-
leerbare competentie hebben die in het project wordt
erkend. Een goede ontwikkelafdeling kan dus een di-
recte, positieve uitwerking hebben.
De Document Foundation heeft ook certificerings-
programma's ontwikkeld voor ontwikkelaars, trainers
en migratie-experts. Net als elders in de IT-sector be-
wijzen dergelijke certificaten de competentie in zwart-
wit en zijn ze ook begrijpelijk voor klanten die minder
technisch onderlegd zijn. Momenteel voeren vrijwilli-
gers van The Document Foundation die certificeringen
op verzoek gratis uit, om de vergelijkbaarheid binnen
het ecosysteem te waarborgen.
PRODUCT TEGEN BETALING,
ONDERSTEUNING INBEGREPEN
De gratis versies van LibreOffice worden bijna een
jaar lang voorzien van met bugfixes en beveiligings-
updates. Het is echter mogelijk dat derde partijen ook
na die periode verdere updates verstrekken als een
klant een dergelijke versie voor een langere periode
wil gebruiken. Er zijn dus geen definitief stopgezette
versies of verplichte updates. Desondanks nemen de
kosten en de inspanningen van dergelijke diensten
snel toe: de kloof tussen de verouderde klantversie en
het upstreamproject wordt immers steeds groter.
Een uitweg daaruit is om minstens één keer per
jaar een grote versie-update te installeren. Vooral bin-
nen bedrijven worden dergelijke frequente versie-up-
dates vaak overgeslagen omdat ze kosten met zich
meebrengen voor tests en instrueren van het perso-
neel. Bovendien zijn er risico’s aan verbonden en kan
het onrust onder werknemers veroorzaken. Aanbie-
ders als CIB en Collabora vullen die leemte dan ook
met hun eigen versies van LibreOffice, zoals ‘Libre-
Office powered by CIB’ en ‘Collabora Office’. Hoewel
die niet gratis zijn, worden ze geleverd met aanzien-
lijk langere ondersteuningsperiodes. Daarom worden
ze ook wel LTS-versies genoemd (Long Term Support).
Tijdens de ondersteuningsperiode worden nieu-
we beveiligingsupdates altijd opgenomen in een LTS-
versie. Bugfixes zijn ook inbegrepen, vooral als ze van
invloed zijn voor LTS-klanten. Daarom kan het zakelijk
gezien zinvol zijn om na enkele jaren met de gratis ver-
sie over te stappen naar zo'n LTS-versie waar licentie-
kosten voor moeten worden betaald – zelfs als je oor-
spronkelijk naar LibreOffice bent overgestapt omdat
dat niets kost.
LICENTIEVRAGEN
Maar wat koop je dan eigenlijk – afgezien van de in-
begrepen ondersteuning – wanneer je een versie met
een betaalde licentie koopt van een open en gratis
product? Gelicentieerd wordt daarbij (naast de merk-
bescherming van de productnaam) de selectie, con-
trole en verfijning van de vele duizenden wijzigingen
uit het upstream-project van LibreOffice, toegepast op
de respectievelijke LTS-versie. Op het totaal rust dan
een auteursrechtelijke bescherming.
De individuele wijzigingen in de broncode blijven
echter opensource onder de respectievelijke project-
licentie, alleen de samenstelling en de gecompileerde
binaire uitvoerbare versie zijn onderworpen aan de
betreffende licentievoorwaarden. Dat wordt veiligge-
steld door de Mozilla Public License als algemeen aan-
vaarde projectlicentie van LibreOffice, die zogezegd
minder sterke copyleft-eigenschappen heeft. In het
artikel op pagina 124 is dat concept nader toegelicht.
GROOT DENKEN
Naast al deze directe diensten biedt het Libre Office-
project bedrijven ook de mogelijkheid om overstij-
gende producten te ontwikkelen op basis van het
Libre Office-project. In tegenstelling tot bij proprië-
taire software worden de mogelijkheden hierbij niet
beperkt door de beschikbare (of zelfs ontbrekende)
interfaces, maar kan ontbrekende functionaliteit een-
voudigweg achteraf ingebouwd worden.
Projecten als LibreOffice zijn daarmee dus niet alleen
een community waar particuliere en commerciële ont-
wikkelaars met elkaar van gedachten kunnen wisselen,
omdat dit direct in hun eigen voordeel is. Het belangrijk-
ste, gemeenschappelijke doel is veeleer het creëren van
een opwaartse spiraal van producten die op elkaar voort-
bouwen en elkaar verbeteren. Bedrijven kunnen hun ei-
gen werk te gelde maken en worden aangemoedigd om
ten minste een deel van hun winst te herinvesteren in het
opensource-project. De vooruitgang die met LibreOffice
is geboekt, stelt de deelnemende bedrijven in staat om
hun producten verder te verbeteren. En over het geheel
genomen komen die herinvesteringen ook ten goede
aan andere belanghebbenden, zoals particuliere Libre-
Office-gebruikers. De particuliere gebruiker is blij met de
nieuwe functies, beveelt de office-suite aan zijn vrien-
den aan – of zijn baas – waardoor het totale project blijft
groeien.
uitgave 4/2020 131
TEGELS OPPOETSEN
Tips voor het startmenu van Windows 10
Hajo Schulz en Noud van Kruysbergen
Het startmenu van Windows 10 heeft geen goede
reputatie: te rommelig, lelijk, en voortdurend
knipperende live-tegels met overbodige infor-
matie. Je kunt het menu op veel gebieden aanpassen
aan je eigen voorkeuren, maar Microsoft heeft enkele
noodzakelijke stappen onnodig ingewikkeld gemaakt.
Toch is het op de lange termijn zinvoller om je daar
even mee bezig te houden dan om je meerdere keren
per dag te ergeren aan het weinig populaire lanceer-
platform.
Bij een nieuw geïnstalleerde Windows 10 is het startmenu
een vrij rommelige verzameling van tegels. Met een beetje
onderhoud wordt het echter een handige manier om toe-
gang te krijgen tot je regelmatig gebruikte programma's.
Het startmenu is grofweg verdeeld in drie gebieden
die naast elkaar staan: om te beginnen een smalle ko-
lom helemaal links met een knop voor de instellingen
en daarboven enkele links naar persoonlijke mappen
en een knop voor afmelden of aanmelden als andere
gebruiker. In de kolom rechts daarvan heeft het klas-
sieke startmenu zijn thuisbasis, met een alfabetisch ge-
sorteerde lijst van alle geïnstalleerde apps en applica-
ties. Het grootste gebied uiterst rechts bevat de tegels:
pictogrammen van verschillende grootte die verwijzen
naar programma's of apps, die ook kunnen verschij-
nen als ‘live tiles’. Dat zijn velden die op de achtergrond
worden bijgewerkt en korte informatie presenteren –
afhankelijk van de app eventueel ook geanimeerd.
Vanuit de bedieningsfilosofie is het klassieke start-
menu het centrale deel. Het wordt door het systeem
beheerd en heeft een volledige lijst van geïnstalleerde
toepassingen. Het tegelgebied behoort daarentegen
aan de gebruiker: daar kun je tegels verwijderen, snel-
koppelingen naar je favoriete programma's toevoegen
en de items naar eigen smaak rangschikken.
KLASSIEK STARTMENU
Het deel met het klassieke startmenu is min of
meer hetzelfde als wat je waarschijnlijk al ken-
de van Windows 7 en eerder. Het bevat alle items
die set-up programma's aanmaken bij het installe-
ren van normale toepassingen, plus de Universal
Windows Platform-apps die zijn geïnstalleerd vanuit
de Microsoft Store. Windows sorteert de items alfabe-
tisch en voegt een kopregel toe voor elke beginletter.
132 www.ct.nl
Praktijk / Windows Startmenu
Enkele knoppen waarmee je het gedrag van het startmenu in detail kunt aanpassen, staan bij de instellingen onder ‘Persoonlijke instellingen / Start’.
Een klik op een van die regels opent een lijst met alle
beschikbare beginletters. Door daarin te klikken ga je
naar de bijbehorende letter.
Standaard voegt Windows een sectie in met de
items waarvan het denkt dat je ze binnenkort zult wil-
len gebruiken. Dat is meestal de plaats waar de zes
meest recentelijk gebruikte programma’s staan. Als er
net een of meer nieuwe applicaties geïnstalleerd zijn,
worden hun startmenu-items daar een paar dagen
lang in het zonnetje gezet. Dat dynamische gebied kan
worden gedeactiveerd bij de Instellingen onder ‘Per-
soonlijke instellingen / Start’. De bijbehorende knop-
pen heten ‘Meestgebruikte apps weergeven’ en ‘Re-
cent toegevoegde apps weergeven’ – Microsoft bedoelt
met ‘apps’ hier zoals gewoonlijk niet alleen UWP-apps,
maar alle applicaties.
De items in het klassieke deel van het startme-
nu worden onder meer gebruikt voor de resultaten
van het zoekveld op de taakbalk. Dezelfde zoekre-
sultaten krijg je door het startmenu te openen met
een klik op de Start-knop of eenvoudigweg met de
Windows-toets en vervolgens een zoekterm te typen
in de lege ruimte. De apps-sectie met klassieke appli-
caties en UWP-apps verschijnt bovenaan de lijst. Dat
is de snelste manier om een programma te starten
waar je op het bureaublad, op de taakbalk of op het
tegelgedeelte van het startmenu geen snelkoppeling
voor hebt aangemaakt.
Wat betreft de bestanden en mappen op de har-
de schijf, gedraagt de klassieke startmenu-kolom zich
groten deels zoals gebruikelijk bij oudere Windows-
versies. De items en submenu's voor normale pro-
gramma’s bestaan uit snelkoppelingen of submappen
die afkomstig zijn uit twee verschillende mappen op de
harde schijf, namelijk een systeembreed en een gebrui-
kersspecifiek deel. De systeembrede startmenu- items
worden opgeslagen in %ProgramData%\Microsoft\
Windows\Start Menu\Programs en de submappen
daarvan, en de gebruikersspecifieke items worden op-
geslagen in de map %AppData%\Microsoft\Windows\
Start Menu\Programs. Voor wijzigingen aan de glo-
bale items zijn administratorrechten nodig. De afkor-
ting %AppData% staat voor een map in het gebruiker-
sprofiel, meestal C:\username\AppData\Roaming. De
bijbehorende gebruiker heeft daar schrijfrechten voor.
Je kunt niet zien in welke van de twee mappen
een bepaald startmenu-item op de harde schijf staat.
In het contextmenu van de items die bij normale toe-
passingen horen (dus niet bij UWP-apps), kun je ech-
ter bij ‘Meer’ de opdracht ‘Bestandslocatie openen’
vinden. Daarmee open je een Verkenner-venster in de
map waar de bijbehorende snelkoppeling zich bevindt.
Uitgaande van de juiste rechten, kun je die verwijderen
om hem niet meer te zien in het startmenu – als je het
overzichtelijk wilt houden, kun je je meteen ontdoen
van de readme- en uninstall-links, die sommige in-
stallatieprogramma’s onnodig aanmaken. Om snel te
achterhalen waar een link naar verwijst, kun je in het
snelmenu voor die link het item ‘Bestandslocatie ope-
nen’ gebruiken. Daarmee kom je in één keer bij de map
waar het programma in staat.
De labels van de startmenu-items komen over-
een met de bestandsnamen van de desbetreffende
snelkoppelingen. Je wijzigt ze door die een andere
naam te geven. Je kunt dat niet alleen voor cosmeti-
sche doeleinden gebruiken, maar ook uit praktische
overwegingen: stel dat je de hex-editor HxD hebt ge-
installeerd, maar die niet vaak gebruikt en daardoor
zijn naam niet meer weet. Als je ‘Hex’ in het zoekveld
intypt, zul je hem niet vinden. Je kunt dat veranderen
door de snelkoppeling te hernoemen naar ‘Hex-Editor
HxD’. Open daarna het startmenu en typ de eerste paar
letters in, en de tool zal snel gevonden worden.
De bovengenoemde mappen kunnen ook worden
gebruikt om items toe te voegen aan het startmenu
voor programma's die geen eigen installatieroutine
hebben. Vooral kleine tools hebben vaak geen set-up
nodig, maar worden eenvoudigweg gekopieerd naar
een willekeurige map op de harde schijf en kunnen
direct worden gebruikt. Om dergelijke programma's
comfortabel te kunnen benaderen, kun je ze snel een
tegel geven. Als je in plaats daarvan alleen een start-
menu-item wilt maken, klik je met de rechtermuisknop
op het EXE-bestand in Verkenner en selecteer je de op-
tie ‘Kopiëren’. Typ vervolgens %AppData%\Microsoft\
Windows op de invoerregel van Verkenner in of klik
door naar die map, klik met de rechtermuisknop in een
vrij gebied en selecteer ‘Nieuw / Snelkoppeling’. Door
de snelkoppeling te hernoemen, kun je de tekst voor
het startmenu-item naar wens aanpassen.
De items voor UWP-apps die met Windows wor-
den meegeleverd of uit de winkel van Microsoft komen,
kunnen niet worden verwijderd of bewerkt in het klas-
sieke startmenu. Om er vanaf te komen, moet je de be-
treffende app verwijderen.
TEGELS
Dat is anders bij het tegelgedeelte van het startmenu:
Elke tegel – ongeacht of die bij een app of een normaal
programma hoort – heeft het contextmenu-item ‘Van
Start losmaken’ en kan daarmee worden verwijderd.
Word je alleen gestoord van het knipperen van een
tegel, zoals die van de weer-app, dan moet de optie
‘Live-tegel uitschakelen’ in het submenu ‘Meer’ van het
snelmenu voldoende zijn
Zoals hierboven al gezegd: het tegelgedeelte van
het startmenu is helemaal van en voor jou als gebrui-
ker. Je hebt de volledige controle over welke symbolen
uitgave 4/2020 133
daar verschijnen en hoe ze gesorteerd worden. Hoewel
het gebied gevuld is met Microsofts voorselectie bij een
pas geïnstalleerde Windows of een nieuw aangemaakt
gebruikersaccount, kun je die als gebruiker naar be-
lieven wijzigen. Klassieke toepassingen en UWP-apps
zullen daar nooit vanzelf verschijnen. Dat is een goede
zaak – Microsoft heeft geleerd van het verleden: in de
tijd van Windows XP waren er massa's rondzwerven-
de programma's die zichzelf vereeuwigden met één of
zelfs meer pictogrammen op de snelstartbalk tijdens
de installatie. Dat is met de tegels van het startmenu
niet mogelijk: er is eenvoudigweg geen gedocumen-
teerde programmeerinterface waarmee applicatie-
ontwikkelaars daar wijzigingen kunnen aanbrengen.
De andere kant van de medaille: om de tegels ver-
standig te gebruiken, moet je ze handmatig aanpassen
aan je voorkeuren en gewoontes. En ja, dat kost tijd.
Maar die win je terug door sneller toegang te krijgen
tot je veelgebruikte programma's. Je kunt de indeling
van de tegels wijzigen door ze simpelweg naar de ge-
wenste positie te slepen terwijl je de muisknop inge-
drukt houdt. Als je de muisknop loslaat, valt een tegel
altijd in een door het systeem gedefinieerd raster. De
tegels zijn onderverdeeld in groepen met koppen, die
je bijvoorbeeld kunt gebruiken om ze te categorise-
ren. Je kunt de kopregel bij een groep wijzigen door er
eenvoudigweg op te klikken. Als je een tegel verplaatst
naar een positie die niet bij een groep hoort, wordt een
nieuwe regel gemaakt met een aanvankelijk lege kop.
Als je de laatste tegel van een groep verwijdert, ver-
dwijnt hij samen met zijn kop. Met de twee horizon-
tale lijnen die verschijnen wanneer de muisaanwijzer
op een kopregel staat, kun je een hele groep oppakken
en naar een nieuwe positie slepen. Een rechtermuisklik
op een kopregel opent een menu met als enige vermel-
ding ‘Groep van Start losmaken’. Let op: dat comman-
do verwijdert niet alleen de groepskop, maar ook alle
tegels in de groep.
TEGELGEBIED
De grootte van het tegelgebied kan worden gewijzigd
door de boven- of rechterrand ervan met de muis vast
te pakken en naar wens te verplaatsen. Daardoor kun
je de hoogte traploos aanpassen en kun je afzonderlijke
Zonder handmatig een XML-bestand te hoeven aanpassen, voert TileIconifier de stappen uit die nodig zijn om het uiterlijk van de tegels op te poetsen.
kolommen in de breedte toevoegen of verwijderen.
Je kunt de breedte van de kolommen vergroten door
‘Meer tegels weergeven in het Startmenu’ aan te vinken
bij de instellingen ‘Persoonlijke instellingen / Start’. Het
selectievakje ‘Start in volledig scherm gebruiken’ cre-
eert nog meer ruimte voor tegels en herstelt het start-
menugedrag dat sommige gebruikers misschien nog
wel kennen van Windows 8. Het opent niet alleen een
menu, maar de tegels vullen het hele scherm.
Windows laat minder dan één tegelkolom niet
toe bij het slepen van de rechterrand van het start-
menu. Als je helemaal geen tegels wilt, moet je ze al-
lemaal verwijderen met ‘Van Start losmaken’ of door
alle groepen te verwijderen. Het klassieke startmenu
kan worden uitgeschakeld met de knop ‘Lijst met apps
in Startmenu weergeven’ bij de hierboven genoemde
instellingspagina. Als je dat doet, verschijnen er twee
nieuwe knoppen in de linkerbovenhoek van het start-
menu, waarmee je kunt schakelen tussen het klassieke
startmenu (‘Alle apps’) of een weergave met alleen te-
gels (‘Vastgemaakte tegels’).
Over instellingen gesproken: op de genoemde pa-
gina staat onderaan ook een link met de naam ‘Kie-
zen welke mappen in Start worden opgenomen’. Daar
kun je bepalen welke pictogrammen er in de linker-
kolom van het startmenu boven het ‘Aan/uit’-picto-
gram worden weergegeven. Naast de instellingen en
de bestandsverkenner kun je je gebruikersprofiel en
enkele persoonlijke mappen kiezen zoals Documen-
ten, Downloads of Muziek. Je kunt dezelfde lijst ope-
nen door met de rechtermuisknop op een van de be-
staande menu-items te klikken en de opdracht ‘Deze
lijst aanpassen’ te selecteren.
Je kunt het tegelgebied uit twee verschillende
bronnen vullen. Aan de ene kant bevat elk item van het
klassieke startmenu de snelmenuopdracht ‘Aan Start
vastmaken’. Als alternatief kun je een startmenu-item
ook naar het tegelgebied slepen.
Vanuit Verkenner kunnen uitvoerbare bestanden
direct als tegels in het startmenu worden gezet. Ze bie-
den ook het commando ‘Aan Start vastmaken’ in hun
rechtermuisklikmenu. Op de achtergrond maakt Win-
dows bij deze opdracht ook een snelkoppeling in de
hiervoor beschreven map met het klassieke start menu
van de gebruiker, maar die wordt niet getoond in de
alfabetische programmalijst. Met de snelmenu-optie
‘Bestandslocatie openen’ kun je wel naar deze snel-
koppeling navigeren, om de tegel bijvoorbeeld te her-
noemen.
Met een tegel kun je veelgebruikte programma’s
niet alleen snel starten via twee muisklikken, rechts-
klikken op de tegel biedt ook toegang tot hun Jump-
lists. Net als bij een taakbalkpictogram bevat het
snelmenu voor een tegel een lijst met bestanden die
recent geopend zijn met het betreffende program-
ma (de Jumplist). Sommige toepassingen verbergen
daarin ook ‘Taken’: daarmee kies je direct popu laire
programmafuncties zoals ‘Nieuw venster openen’ bij
browsers of het starten van de Integrated Scripting
Environment (ISE) bij Windows PowerShell. Daar-
naast zit de optie ‘Als administrator uitvoeren’ in het
134 www.ct.nl
submenu ‘Meer’ bij het tegelsnelmenu van gewone
toepassingen.
TEGELUITERLIJK
Elke tegel heeft een submenu met de naam ‘Formaat
wijzigen’ in het snelmenu. De opties bestaan uit de
items ‘Klein’ en ‘Middelgroot’ voor klassieke toepas-
singen. ‘Breed’ en ‘Groot’ zijn extra opties bij UWP-ap-
ps. Een ‘kleine’ tegel beslaat één veld in het tegelraster,
een ‘middelgrote’ tegel beslaat twee keer twee velden.
Een ‘brede’ tegel is ook twee velden hoog, maar vier
breed en een ‘grote’ tegel beslaat vier keer vier velden.
Nieuw gecreëerde tegels hebben de grootte ‘medium’
voor traditionele toepassingen. Een ontwikkelaar kan
de initiële grootte voor een app instellen.
Middelgrote tegels voor normale toepassingen zien
er meestal niet erg mooi uit. Windows maakt hun pic-
togram namelijk niet groter dan het bureaubladpic-
togram van dezelfde toepassing. Zo’n tegel bevat dus
veel ongebruikte ruimte. Het omschakelen van alle te-
gels naar ‘klein’ is ook geen oplossing, omdat de labels
dan verloren gaan en veel kleine tegels al snel verwar-
rend worden.
Maar er is een manier om het standaard pictogram
dat bij een tegel wordt weergegeven te vervangen door
iets van je eigen hand. Dat is eigenlijk alleen bedoeld
voor apps, maar dat werkt ook voor normale toepas-
singen. Om dat helemaal handmatig te doen is echter
een heel gedoe. We raden daarom aan om dat over te
laten aan een tool zoals het programma TileIconifier
(zie de link op deze pagina). Die tool heeft altijd al per-
fect gewerkt, is gratis beschikbaar en staat onder een
opensource-licentie.
Als je geen speciaal gereedschap wilt gebrui-
ken, moet je eerst minstens één, maar liever twee af-
beeldingen maken en die in de map zetten waar het
EXE-bestand van de applicatie is opgeslagen. Je kunt
GIF-, PNG- of JPG-bestanden gebruiken in de forma-
ten 150 × 150 en 70 × 70 pixels. Als alleen de grotere be-
schikbaar is, zal Windows die schalen om een kleine te-
gel weer te geven. Als startpunt kun je een screenshot
maken vanuit verkenner, in de map van het applicatie-
bestand met een van de grotere pictogramweergaven.
Je moet de bitmaps in een XML-bestand invoe-
ren, dat in dezelfde directory als het EXE-bestand
thuishoort en dat de naam moet hebben van het
programma bestand. Daarbij vervang je de extensie
‘.exe’ door ‘.VisualElementsManifest.xml’. De indeling
van dat XML-bestand kun je onderaan deze pagina
zien. De namen van de twee bitmaps horen thuis bij
de attributen Square70x70Logo en Square150x150-
Logo van de <VisualElements>-tag. Als er maar één
afbeelding aanwezig is, dan hoort die bestandsnaam
in beide velden thuis. Het attribuut ShowNameOn-
Square150x150Logo kan aan of uit staan en bepaalt
of de naam van het programma wordt weergegeven als
het tegelformaat op Middelgroot staat. Als het weerge-
ven ervan ingeschakeld is, bepaalt het Foreground-
Text-attribuut of Windows daar een licht of een donker
lettertype voor gebruikt. Het BackgroundColor-attri-
buut bevat een van de voorgedefinieerde kleurnamen
of een RGB-code voor een kleur die bekend is uit de HT-
ML-syntaxis. Zo staat #800080 voor een donkerpaarse
kleur. Om ervoor te zorgen dat Windows de verande-
ringen accepteert, moet je de snelkoppeling aanpas-
sen die ten grondslag ligt aan de tegel. Het is voldoen-
de om de datum van de laatste wijziging te updaten
met een tool als touch, die meestal beschikbaar is
voor C++-ontwikkelaars, zodat Windows de oude tegel
uit de cache verwijdert. Hetzelfde kun je doen met een
PowerShell-commando volgens het patroon
(gi Prog.lnk).LastWriteTime = Get-Date
waarbij je Prog.lnk moet vervangen door de bestand-
snaam van de snelkoppeling die bij de tegel hoort.
Het zou mooi zijn als de mogelijkheden van het
tegeluiterlijk bekend zouden zijn bij alle program-
ma-ontwikkelaars. Dan zouden ze de hier beschre-
ven bestanden standaard met hun applicaties kunnen
meeleveren, zeker als die toch al door een set-up-
programma geïnstalleerd worden. Een mooie tegel is
een leuke gimmick voor veel Windows 10-gebruikers.
AAN HET WERK!
Het aanpassen van het startmenu van Windows 10 aan
je eigen voorkeuren vergt even wat werk. Maar de tijd
die je daaraan besteedt is goed geïnvesteerd. Het be-
spaart je onder andere meerdere muisklikken en het
zoeken naar minder vaak gebruikte programma's in
de door Microsoft bedachte structuur. Bovendien is het
startmenu een onderdeel van Windows dat je normaal
gesproken meerdere keren per dag ziet. Het is daarom
een goed idee dat zo in te richten dat je makkelijk je
weg erin kunt vinden, in plaats van je telkens weer te
ergeren aan het feit dat je niet kunt vinden wat je zoekt.
Als je na je eigen experimenten tot de conclusie komt
dat je niet kunt opschieten met wat Windows je op dit
vlak te bieden heeft, heb je nog steeds de mogelijkheid
om een alternatief startmenu te installeren. Als je daar
onze laatste vergelijkende test van startmenu-pro-
gramma’s op naleest [1], moet je er rekening mee dat
het programma Classic Shell, waar we redelijk positief
over waren, nu Open-Shell heet (zie ook de link op deze
pagina).
www.ct.nl/softlink/
2004132
Literatuur
[1] Jan Schüssler, Terug naar vroeger, Klassieke startmenu's voor Windows 10, c’t 7-8/2018, p.80
<?xml version="1.0" encoding="utf-8"?>
<Application xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<VisualElements Square150x150Logo="MyAppLarge.png"
Square70x70Logo="MyAppSmall.png"
ShowNameOnSquare150x150Logo="on"
ForegroundText="dark"
BackgroundColor="silver"
/>
</Application>
Met behulp van een XML-bestand en twee bitmaps kun je het uiterlijk van de tegels in het startmenu aanpassen aan je eigen esthetische voorkeuren.
Praktijk / Windows Startmenu
uitgave 4/2020 135
Veel configuratiedialogen voor Windows zijn eigenlijk snap-ins voor de beheerconsole. Ze kunnen worden gecombineerd in een enkel venster.
Axel Vahldiek en Noud van Kruysbergen
De meeste dialoogvensters voor de configuratie
van Windows bevinden zich in het Configuratie-
scherm en sinds Windows 8 bij de Instellingen.
Maar er is nog een derde plaats: de Microsoft Manage-
ment Console (MMC). Veel gebruikers weten niet eens
van het bestaan ervan, hoewel ze er af en toe toch mee
te maken hebben, maar het niet als MMC herkennen.
In plaats daarvan hebben ze het gevoel dat ze te ma-
ken hebben met Computer-, Schijf- of Apparaatbeheer,
Hyper-V Manager, Groepsbeleid enzovoort – maar dat
zijn allemaal niet meer dan ‘snap-ins’ van de MMC.
Dat ze vaak niet als zodanig worden ervaren, is
ook te wijten aan het feit dat ze meestal niet op een
uniforme manier gestart worden. Sommige zijn te
vinden in het Windows+X-menu. Bij andere, zoals het
Groeps beleid, moet je de bestandsnaam (gpedit.msc)
typen in het vak Uitvoeren (Windows+R) en veel men-
sen starten het Apparaatbeheer via het Configuratie-
scherm onder Systeem (Windows+Pause).
Je kunt met een paar muisklikken echter ook een
eigen MMC-snap-in maken. Die kun je daarna dan met
twee keer klikken oproepen. De snap-in kan bijvoor-
beeld alle modules bevatten die je in het dagelijks le-
ven nodig hebt.
ALLES ONDER ÉÉN DAK
Tips voor de Management Console van WindowsWat hebben logboeken, schijfbeheer, apparaatbeheer en taakplanning met elkaar gemeen? Het zijn allemaal snap-ins voor de Microsoft Management Console. Die kun je ge-bruiken om met een paar muisklikken alle verspreide tools in één venster te combineren.
MMC EN SNAP-INS
Wat je ook configureert bij een snap-in, de instellingen
komen niet in de snap-in zelf terecht. Je kunt snap-ins
zien als een soort sjabloonbestand dat je in de MMC
laadt – meer precies in mmc.exe. In werkelijkheid
bevatten snap-ins zelfs geen configuratiedialogen,
omdat het slechts XML-bestanden zijn. De XML-code
verwijst daarbij naar GUID's die ook in het register te
vinden zijn – dat is immers de plek waar de infor matie
wordt opgeslagen over welke DLL-bestanden het ei-
genlijke werk doen.
De snap-ins worden meestal opgeslagen in C:\Win-
dows\System32, herkenbaar aan de bestandsextensie
.msc (MMC Snap-in Control). De snelste manier om ze
te vinden is door die map te openen met Verkenner,
de weergave om te schakelen naar Details met de klei-
ne knop rechtsonder en dan te klikken op het kleine
pijltje in de kolomkop Type. Selecteer ‘Microsoft Com-
mon Console-document’ in het uitklapmenu. Hoeveel
er daar staan is afhankelijk van de editie van je Win-
dows-installatie. Windows Home heeft er minder dan
Pro en Enterprise, omdat Home onder andere Groeps-
beleid mist. Het hangt ook af van welke Windows-
functies zijn ingeschakeld: Als Hyper-V bijvoorbeeld
niet is geïnstalleerd, ontbreekt ook virtmgmt.msc
(Hyper-V Manager). Extra snap-ins kunnen op de com-
puter terechtkomen door het achteraf installeren van
applicaties. De tabel bij dit artikel toont een selectie
van de meest voorkomende snap-ins.
ALLES IN ÉÉN
In plaats van het moeizaam onthouden van alle na-
men in de tabel, is het veel handiger om je eigen snap-
in te maken. Zoals eerder vermeld, kunnen snap-ins
andere snap-ins bevatten, en het meest voorkomende
voorbeeld daarvan is waarschijnlijk Computerbeheer:
die bevat de Task Scheduler, Logboeken, Apparaat-
beheer en nog meer snap-ins.
Het samenstellen van een eigen snap-in is vrij een-
voudig: druk op de Windows-toets en typ mmc.exe in.
Daarmee start je een leeg venster genaamd ‘Con sole1’
– Microsoft noemt snap-in-compilaties een con sole.
Klik in het menu op ‘Bestand / Module toevoegen/
verwijderen’. Er wordt een selectiedialoogvenster ge-
opend waar je snap-ins aan je console kunt toevoegen
die je handig vindt of nodig hebt. Je moet de modu-
les die je niet kent of die je niets zeggen gewoon over-
slaan, en ze niet uit nieuwsgierigheid toch activeren.
Sommige snap-ins zijn namelijk zo krachtig dat je iets
kapot kunt maken als je ze verkeerd gebruikt. Je kunt
je selectie later altijd nog aanpassen.
Om er een te selecteren, markeer je de snap-in en
klik je op Toevoegen. In sommige gevallen wordt ge-
vraagd of je de snap-in wilt gebruiken om je lokale
computer te beheren of een andere computer. Voor je
eigen pc is ‘De lokale computer’ de juiste keuze.
Soms kun je een vinkje zetten voor "Er mag een
andere computer worden gekozen wanneer de con-
sole vanaf de opdrachtregel wordt gestart’. Je kunt
dat negeren, want als je een snap-in toevoegt die deze
functie niet ondersteunt, zal dat toch niet werken.
136 www.ct.nl
Praktijk / Microsoft Management Console
Snap-ins kun je met de muis samenstellen en naar believen rangschikken.
Snap-ins voor de Management Console (selectie)
Bestandsnaam Functie Home Pro/
Enterprise
compmgmt.msc Computerbeheer v v
devmgmt.msc Apparaatbeheer v v
diskmgmt.msc Schijfbeheer v v
eventvwr.msc Logboeken v v
fsmgmt.msc Gedeelde mappen v v
gpedit.msc Groepsbeleid – v
lusrmgr.msc Lokale gebruikers en groepen –1v
perfmon.msc Broncontrole v v
printmanagement.msc Afdrukbeheer – v
secpol.msc Lokaal beveiligingsbeleid – v
services.msc Services v v
taskschd.msc Taakplanner v v
virtmgmt.msc Hyper-V-Manager – v
WF.msc Windows Defender Firewall met geavanceerde beveiliging
v v
1 aanwezig, maar functieloos
Bovendien is er ook een meer betrouwbare manier om
een console later te veranderen – waarover zo meer.
De snap-ins verschijnen later in de console als een
lijst aan de linkerkant van het venster. Je kunt de volg-
orde waarin de snap-ins op de lijst verschijnen aan-
passen. Selecteer gewoon een snap-in in het selectie-
dialoogvenster en klik op Omhoog of Omlaag om hem
een positie in de betreffende richting te verplaatsen.
Voor veel snap-ins kun je ook klikken op de knoppen
‘Uitbreidingsmod. bewerken’ en ‘Geavanceerd’. Als
het slechts een snap-in is om een enkele pc te behe-
ren doen die verder weinig, dus die moeite kun je je-
zelf besparen.
Wanneer je selectie voltooid is, klik je op OK onder-
aan het venster, waarna de snap-ins verschijnen in een
boomstructuur aan de linkerkant. Klik op ‘Opslaan
als’ in het menu Bestand. Selecteer bijvoorbeeld het
bureau blad en een naam naar keuze als bestemming.
Alleen de bestandsextensie is al ingesteld op .msc.
AUTEURSMODUS
Je kunt je console nu al gebruiken, maar die heeft nog
één klein nadeel: zodra je het venster sluit, wordt je ge-
vraagd of je de console-instellingen in je MSC-bestand
wilt opslaan. In het dagelijks leven wordt dat al snel
vervelend, want wat je ook wilt configureren met je ei-
gen MSC-bestand, je eigen console hoort daar meestal
niet bij.
De achtergrond van dat alles is dat de MMC con-
soles kan openen in verschillende modi, en voor jouw
console is dat standaard de ‘Auteursmodus’ waarin
hij kan worden geconfigureerd. Maar als dat eenmaal
gedaan is, heb je die modus niet meer nodig, dus kun
je deze wijzigen: klik in het Bestand-menu van je con-
sole op Opties. Daar verander je de Consolemodus in
‘Gebruikersmodus - volledige toegang’ en verwijder je
het vinkje bij ‘De gebruiker kan weergaven aanpassen’.
Klik op Toepassen, sluit het venster en beantwoord
voor de laatste keer de vraag of de instellingen moeten
worden opgeslagen – maar deze keer met Ja! Vanaf de
volgende keer dat je de console opent, blijft die vraag
bij het afsluiten achterwege.
Als je later iets aan je console wilt veranderen, roep
hem dan op met een Opdrachtregel-commando (ge-
bruik het juiste pad en de naam voor je MSC-bestand):
mmc m:\mmc\axv.msc /a
De toegevoegde parameter /a zorgt ervoor dat MMC je
console weer opent in de auteursmodus, zodat de be-
werkingscommando's weer beschikbaar zijn.
OVERDRAAGBAAR?
Aangezien snap-ins alleen XML-code bevatten met ver-
wijzingen naar lokale bibliotheken, zou je verwachten
dat ze overdraagbaar zijn – wat dan ook zou moeten
opgaan voor je zelfgemaakte consoles. Dat is ook zo,
maar met enkele beperkingen. Een snap-in kan alleen
werken als op een pc alles daarvoor beschikbaar is.
Het heeft dus geen zin om bijvoorbeeld de snap-ins
voor het Groepsbeleid of de Hyper-V Manager over te
zetten naar een Windows 10 Home-installatie via een
MSC-bestand. Het oproepen daarvan leidt dan alleen
tot een foutmelding omdat op die pc geen Groeps-
beleid en Hyper-V beschikbaar zijn. Andere snap-ins
daarentegen werken zonder problemen, zelfs na het
overzetten op een andere pc.
Soms kunnen echter ook andere problemen ertoe
leiden dat een snap-in niet werkt. De snap-in ‘Lokale
gebruikers en groepen’ bevat informatie over op welke
pc de console is toegevoegd. Op elke andere pc zal die
snap-in van je console dan klagen over een ongeldig
netwerkadres waardoor hij geen toegang tot de bron-
computer kan krijgen. Dat houdt overigens dus ook in
dat MSC-bestanden persoonlijke informatie kunnen
bevatten, zoals hier de computernaam van de machi-
ne. Je kunt die snap-in daarom beter niet verspreiden.
In de praktijk is dit geen serieus probleem: als je
het concept eenmaal begrijpt, is het bij elkaar klikken
van een nieuwe console zo snel voor elkaar dat je het
makkelijk op al je eigen pc's kunt doen.
uitgave 4/2020 137
RISC-V IN DE PRAKTIJK
Werken met RISC-V-microcontrollerboard Sipeed Longan Nano
Een instap in de wereld van de opensource technologie RISC-V hoeft niet meer te kosten dan een euro of tien – exclusief verzendkosten. We hebben het RISC-V-board Longan Nano eens uitgeprobeerd met PlatformIO onder Windows 10.
Christof Windeck en Noud van Kruysbergen
De instructieset-architectuur RISC-V belooft
open chipontwerpen zonder achterdeu-
ren. Maar tot nu toe zijn er nog maar wei-
nig RISC-V-processors beschikbaar om die gloed-
nieuwe technologie uit te proberen. Een van de
eerste RISC-V-chips is de 32-bit GD32V-microcon-
troller van de Chinese fabrikant Gigadevice. Die chip
wordt door de firma Sipeed uit Shenzhen op het
controllerboard Longan Nano gesoldeerd. Dit mi-
crocontrollerboard is voor tien euro te koop in Ne-
derland of voor vijf dollar in China. Het mooie eraan:
de kleine printplaat in het duimlange Arduino-Nano-
formaat wordt geleverd met een klein LC- display
dat met een foliekabel verbonden is. Daar kunnen
teksten en foto's op weergegeven worden met 160
× 80 gekleurde pixels, en met een trucje kun je se-
quenties van foto’s ook als video laten afspelen.
De Longan Nano leest dergelijke gegevens van een
microSD-kaart, waarvoor aan de onderkant van de
printplaat een insteekslot beschikbaar is. Daarnaast
wordt de Longan Nano geleverd met een eenvoudige
kunststof behuizing en twee pinheaders, die je even-
tueel zelf moet vastsolderen.
Op de Longan Nano zit de GD32V-variant GD-
32VF103C met 20 kB SRAM en 64 kB flashgeheugen.
De RV32IMAC-processorkern kan tot 108 MHz. Hij is
afkomstig van het Chinese bedrijf Nuclei Systems
en is gedocumenteerd onder de naam Bumblebee.
Naast USB-C heeft de Longan Nano 34 aansluitin-
gen die niet alleen gebruikt kunnen worden als GPIO-
pinnen, maar ook als analoge in- en uitgangen, ti-
mers en interfaces voor SPI, I2C, UART en CAN-bus.
De GPIO-pinnen kunnen maximaal 3,6 volt aan.
Om de Nano te programmeren, adviseert Sipeed
de gratis ontwikkelingomgeving PlatformIO, waar-
voor ook vier Longan-Nano-probeerprojecten be-
staan. Om die aan de gang te krijgen, moet je echter
enkele hindernissen overwinnen en informatie ver-
zamelen uit verschillende bronnen, waarvan som-
mige in het Chinees. We hebben drie programma-
voorbeelden uitgeprobeerd onder Windows 10. Meer
informatie en verwijzingen zijn te vinden via de link
op de laatste pagina van dit artikel.
HORDENLOOP
Het bedrijf Sipeed onderhoudt een wiki over de Lon-
gan Nano en verschillende branches in het open
codemanagementsysteem GitHub. Maar zonder
voorafgaande kennis en ervaring is het moeilijk om
alle benodigde informatie te vinden. Daarom hier
een overzicht van de belangrijkste concepten.
PlatformIO (PIO) maakt het eenvoudiger om
hobby boards te programmeren, omdat de betreffende
fabrikanten – of een ontwikkelaars community – daar
voor GitHub geschikte configuratie gegevens voor op-
slaan. De PIO-kern is geschreven in de programmeer-
taal Python, die geïnstalleerd moet worden op de
laptop of de pc waar je op wilt programmeren. Maar
in theorie hoef je je daar niet zelf om te bekommeren
(meer daarover later), want PIO is weer een uitbrei-
ding van de gratis code- editor Microsoft Visual Studio
Code ( VSCode) en kan van daaruit ook geïnstalleerd
worden. PIO transformeert VSCode in een Integrated
Development Environment (IDE) voor PIO-compa-
tibele boards. Daarmee kun je (voorbeeld)code uit
GitHub importeren, compileren, debuggen en via usb
op het gewenste ontwikkelbord zetten.
PIO heeft een wizard die de juiste configuratie-
bestanden en voorbeeldprojecten voor de Longan
Nano klaarzet. Om de uiteindelijk code van PIO naar
138 www.ct.nl
Praktijk / RISC-V-microcontroller programmeren
PlatformIO is een extensie voor Visual Studio Code die het programmeren van veel ontwikkel-borden door middel van configuratiebestanden en projectvoorbeelden vereenvoudigt.
de Longan Nano te schrijven, kan de USB type C-
interface worden gebruikt. Afhankelijk van de laptop
of pc heb je een USB-A-naar-C-adapterkabel nodig.
De usb-aansluiting voorziet de Longan Nano
met een van stroom. Hij heeft minder dan 50 mA no-
dig tijdens het gebruik, inclusief het display. Bij het
Apparaat beheer van Windows 10 verschijnt de Lon-
gan Nano in eerste instantie niet of alleen als ‘On-
bekend apparaat’. Om de usb-interface te kunnen
gebruiken, moet het gratis driverprogramma Zadig
handmatig geïnstalleerd worden.
JUISTE VOLGORDE
Met de bovenstaande voorkennis is het wel duidelijk
dat je eerst VSCode op je pc moet installeren. Daar-
na is een reboot nodig, omdat het later geïnstalleer-
de PlatformIO bepaalde informatie alleen kan vinden
als het in het zoekpad van Windows staat – en dat
werkt hier via de Windows-systeemvariabele PATH.
Maar voordat je PlatformIO als extensie instal-
leert in VSCode, moet je Python 3.8 apart installeren
– en de optie ‘Add Python to environment variables’
selecteren om Python aan de PATH-variabele toe te
voegen. En dan moet je nogmaals herstarten. Zonder
de PATH-verwijzing naar Python 3.8 stuitten we op
het probleem dat PlatformIO versie 1.10.0 onder VS-
Code 1.40.2 automatisch Python versie 3.7.5 instal-
leerde, maar niet correct draaide.
Het bleek ook dat Git op Windows apart moet
worden geïnstalleerd. Anders komt PlatformIO
zelf wel aan de benodigde branches in de GitHub-
repository, maar de Git-functies in VSCode zullen niet
werken. Die zijn handig voor het handmatig kopië-
ren van willekeurige codeprojecten van GitHub. Git is
makkelijk te downloaden via de link aan het eind van
dit artikel.
USB-DRIVERS INSTALLEREN
Voordat je begint met programmeren, kun je het bes-
te de usb-driver van Zadig voor de Longan Nano in-
stalleren. Download daar de Zadig-software voor,
maar start die nog niet. Open het Apparaatbeheer
van Windows – dat is het makkelijkst te doen via de
toetsencombinatie Windows+X. Sluit vervolgens de
Longan Nano aan op de pc met de USB-C- of adapter-
kabel. De Longan Nano verschijnt niet onmiddellijk
in het Apparaatbeheer, maar alleen wanneer je hem
via usb in de apparaatmodus voor Direct Firmware
Update (DFU) zet. Om dat te doen, moet je eerst de
kleine knop BOOT0 op de Longan Nano die via usb
aangesloten is ingedrukt houden, dan kort op de
RESET- knop drukken en tenslotte de BOOT0-knop
loslaten. Dan verschijnt er een ‘Onbekend apparaat’
in het Apparaatbeheer. Dat had bij ons de USB-ID
28E9/0189.
Start de Zadig-software, selecteer dat usb-appa-
raat (waarschijnlijk ‘Unknown device #1’) en klik op
‘Install driver’ – het zal dan een tijdje duren totdat
het stuurprogramma geïnstalleerd is. Indien gewenst
kun je de Longan Nano ook een usb-apparaatnaam
geven met Zadig (via de knop Edit).
Als je na het installeren van het stuurprogramma op-
nieuw op de resetknop op de Longan drukt, schakelt
die over naar de normale modus en verdwijnt hij uit
het Apparaatbeheer. Als je weer naar de USB-DFU-
modus overschakelt, zou hij opnieuw moeten ver-
schijnen.
PLATFORMIO STARTEN
Dan kun je beginnen met het voorbereiden van het
codevoorbeeld. Als de combinatie VSCode / Platform-
IO / Python eenmaal draait, werkt het vrij goed, maar
het spreekt allemaal niet voor zich.
De Longan Nano wordt geleverd met een firm-
ware die de led met verschillende kleuren laat knip-
peren. Die originele firmware kan echter nergens
gedownload worden. Als eerste eigen project heb-
ben we gekozen voor het gebruikelijke eenvoudige
knipper-project, waardoor de led van de Nano alleen
rood knippert.
Na het starten van VSCode start PlatformIO na de
standaard installatie automatisch, maar wel na een
korte wachttijd. Als het venster ‘PIO Home’ niet ver-
schijnt, klik dan op het kleine Home-pictogrammetje
in de linkerbenedenhoek van het VSCode- venster.
Rechts daarvan verschijnen later twee andere be-
langrijke pictogrammen: een vinkje, dat het com-
pilatieproces start, en een pijl die naar rechts wijst,
waarmee je de gecompileerde code als een firm-
ware-image via usb in het geheugen van de Longan
Nano kunt schrijven.
Maar daarvoor moet je eerst een project maken
in VSCode en wat code bewerken. In het venster ‘PIO
Home’ staat de knop "+ New Project" in de rechter-
bovenhoek onder ‘Quick Access’. Met een klik daar-
op start de Project Wizard. Daar geef je eerst een
naam aan het nieuwe project, bijvoorbeeld Longan-
Nano-01. Selecteer vervolgens ‘Sipeed Longan Nano’
uitgave 4/2020 139
In Apparaatbeheer van Windows 10 verschijnt de Longan Nano eerst als een ‘Onbekend apparaat’, maar met Zadig installeer je het stuurprogramma libwdi.
Bij de eenvoudige codevoorbeelden voor de Longan Nano hoef je alleen maar een regel toe te voegen voor het ‘upload_protocol’ in het platformio.ini-bestand via PIO.
onder ‘Board’, die bevindt zich in de categorie ‘Giga-
Device GD32V’. Laat de standaardinstelling ‘Giga-
Device GD32V SDK’ onder Framework zoals die is. Na
klikken op Finish, zal PlatformIO een directory aan-
maken in de Documenten-map van de ingelogde ge-
bruiker voor PlatformIO, oftewel in C:\Gebruikers-
naam\Documenten\PlatformIO\Projects.
Het is een beetje verwarrend dat het voorbeeld-
project niet in de zojuist aangemaakte map terecht-
komt, maar ernaast in dezelfde bovenliggende map
– maar dat is alleen visueel storend. Selecteer ‘lon-
gan-nano-blink’ als eerste voorbeeldproject door dit
te importeren bij ‘Project Examples’. PlatformIO ko-
pieert de code van GitHub dan naar een nieuwe lo-
kale directory. Het zal dan verschijnen in de linker
VSCode-kolom Explorer in de huidige ‘Workspace’.
Als je de broncode van het voorbeeld – geschreven
in C – wilt bekijken, klik dan op het bestand ‘main.c’
onder ‘src’ in de Explorer-kolom. Om het voorbeeld
via usb naar de Longan Nano te schrijven, is een extra
regel code in het bestand ‘platformio.ini’ nodig. On-
deraan de sectie [env:sipeed-longan-nano] moet je
‘upload_protocol = dfu’ toevoegen.
Compileer het project dan door op het vinkje in
de statusregel onder te klikken. Er wordt dan auto-
matisch een terminalvenster geopend onder de
codeweergave, waarin de voortgang en eventue-
le foutmeldingen worden getoond. Aan het einde
verschijnt ‘Terminal will be reused by tasks, …’ – de
firmware- image is dan klaar.
Sluit de Longan Nano vervolgens aan (indien nog
niet aangesloten) en activeer de usb-communicatie-
modus. Met een klik op het eerder genoemde pijl-
symbool start het flash-proces, dat enkele seconden
duurt – in het terminalvenster verschijnt een voort-
gangsbalk, gevolgd door een foutmelding over een
ontbrekende digitale handtekening, die je kunt nege-
ren. Ook kan het zijn dat je upload-error 74 krijgt, dan
is het flashen toch gelukt maar komt er geen status-
melding terug. Ook dat kun je negeren.
Na het succesvolle flashen schakelt de Lon-
gan Nano automatisch over naar de normale mo-
dus, voert een reset uit en vervolgens de nieu-
we code. Het voorbeeldproject laat nu alleen
nog maar de onboard-led boven de A1-pin knip-
peren. Het project ‘arduino-blink’, ook beschik-
baar als voorbeeld, verschilt van het eerste pro-
ject doordat het in C++ is geschreven en een
Arduino-bibliotheek voor de GD32V-chip bevat.
VIDEOVOORBEELD
Een project waarbij het display van de Longan Nano
eerst het logo van het bedrijf Sipeed toont en ver-
volgens de cartoon Bad Apple is veel complexer dan
de knipperende voorbeelden. Dat is interessant om-
dat het een aantal complexere I/O-functies laat zien
die je kunt gebruiken voor je eigen projecten. Daar-
bij worden de microSD-reader en het LC-display ge-
bruikt – dat laatste via SPI. De LCD-bibliotheek be-
vat ook lettertypes voor het tonen van letters op het
minidisplay. Om de microSD-kaart te kunnen lezen,
maakt een FAT16-stuurprogramma deel uit van het
codevoorbeeld.
De instructies voor het voorbeeld van de video-
code zijn geschreven in het Chinees, maar kunnen
op een redelijk begrijpelijke manier worden vertaald
met Google Translate. In de code zelf staan helaas
ook veel Chinese opmerkingen – toch is het voor-
beeld nuttig. Je leert bijvoorbeeld dat de GD32V de
160 × 80 pixels grote afbeeldingen in twee stroken
140 www.ct.nl
Praktijk / RISC-V-microcontroller programmeren
van elk 160 × 40 pixels opdeelt, die hij via SPI na
elkaar naar het display stuurt.
De GD32V-chip kan bitmapbestanden en ook vi-
deo’s echter niet rechtstreeks lezen, maar alleen een
speciaal binair formaat. Voorbeelden daarvan zijn
ook op GitHub te vinden. Het genoemde bedrijfslogo
staat in het bestand logo.bin en de video in bmp.bin.
Het voorbeeldprogramma toont eerst de afbeel-
ding logo.bin gedurende 1,5 seconde en dan de 2190
afbeeldingen in het bestand bmp.bin als een video.
Om dat uit te proberen, heb je een microSD-geheu-
genkaart, een kaartlezer en de bovengenoemde Git-
installatie op je systeem nodig. Kopieer het voorbeeld
bij de link op deze pagina eerst met het commando ‘git
clone’ naar de momenteel geselecteerde directory.
Gebruik daarvoor de toetsencombinatie Ctrl+Shift+P
in VSCode om een commandline-prompt te starten
waar je ‘git clone’ intypt. VSCode zal dan de url op-
vragen en de bestanden vervolgens kopiëren.
In de subdirectory ‘put_into_tf_card’ staan dan
de bestanden, die je in de hoofddirectory van de
microSD-kaart zet. Stop die in de kaartlezer aan de
onderkant van de Longan. De broncode hoeft niet
aangepast te worden, maar het bestand platformio.
ini wel. Ook daar ontbreekt de regel ‘upload_proto-
col = dfu’.
Herhaal vervolgens de stappen compileren (vink-
je), Longan in USB-DFU-modus zetten (druk op de
knoppen in de juiste volgorde) en de firmware via usb
schrijven (pijlsymbool). Na een korte pauze toont het
display het logo en vervolgens de film.
EIGEN VIDEO’S
Het uitgewerkte voorbeeldprogramma vertoont met
een minimale verandering ook je eigen foto's en
‘video's’ op het display van de Longan Nano. Daar-
voor hoef je ze alleen in het juiste bestandsformaat
en met de namen logo.bin en bmp.bin op te slaan op
de microSD-kaart. Sipeed levert een Python-script
(zie de link op deze pagina) dat bitmapbestanden
omzet in het juiste formaat.
Afbeeldingen moeten eerst worden bijgesne-
den of geschaald tot 160 × 80 pixels met een beeld-
bewerkingsprogramma zoals IrfanView en worden
opgeslagen als BMP-bestanden met 24-bit kleur-
diepte. Je kunt je eigen video omzetten naar een
serie BMP-screenshots van 160 × 80 pixels. Dat kan
bijvoorbeeld met PotPlayer. Daarna moet je alle BMP-
bestanden converteren naar 24-bit kleurdiepte met
behulp van batch-postprocessing met bijvoorbeeld
IrfanView. Als laatste zet het Python- script bmp2hex
de bitmaps in bestanden met de extensie .bin.
We hebben dat geprobeerd met ons c't logo en
een 16 seconden durende video van 344 frames (24
frames per seconde). Daar was slechts één wijziging
voor nodig in de broncode van main.c, namelijk bij de
frameteller (343 in plaats van 2189).
EXPERIMENTEREN MAAR
De Sipeed Longan Nano maakt praktische experimen-
ten mogelijk met een goedkope RISC-V-chip. Voor-
delen ten opzichte van een Arduino Nano zullen er ech-
ter maar bij een paar projecten zijn. Bovendien is de
Longan Nano nog gecompliceerder te programmeren
dan een Arduino. Dat is ook te wijten aan de onvolle-
dige documentatie die verspreid is over verschillen-
de websites – deels in het Chinees. websites. De pro-
grammeervoorbeelden lijken snel bij elkaar geklust,
maar het eerste contact met RISC-V kost niet veel en
bewijst dat de opensource technologie werkt.
De aansluitpinnen van de Longan Nano kunnen worden geconfigureerd als verschillende interfaces en kunnen maximaal 3,6 volt aan.
www.ct.nl/softlink/
2004138
uitgave 4/2020 141
Hotline
UNICODE-TEKENS IN WORD INVOEREN
? Onlangs wilde ik in een tekst een maalteken
voor vermenigvuldigen invoegen. Dat werkt
moei zaam via de ‘Speciale tekens’-optie. Op een
hulppagina van Microsoft las ik dat ik de Unicode
U+00D7 moest gebruiken. Maar hoe voeg ik die in? Dat
werkte in Word niet zoals beschreven met Alt+X.
! Een universele methode om Unicode-tekens
in Windows-programma’s in te voegen gaat
via een combinatie van een ingedrukte Alt-toets
en het intypen van de decimale tekencode met het
numerieke cijferblok. Wat die code is, kom je te weten
via de speciale tekens in Windows. Die open je door
in de zoekbalk van het startmenu van Windows de
naam van de tool ‘Speciale tekens’ in te typen. Open
de tool en zoek het gewenste teken op. In dit geval het
vermenigvuldigingsteken ‘×’. Rechtsonder in de hoek
van het venster zie je dan de juiste toetsencombinatie
verschijnen: Alt+0215. Bij Word kun je met die
combinatie het teken dan direct invoegen.
AUTOMATISCHE FRAMERATES BIJ SHIELD TV
? Ik gebruik de streamingbox Shield TV van
Nvidia om films op Netflix, YouTube en van mijn
persoonlijke bibliotheek te streamen. Helaas stotteren
veel video’s bij het bekijken. Bij de instellingen heb
ik 60 hertz al geactiveerd. Is er een manier om het
stotteren te verhelpen?
! Films van Netflix en video’s van YouTube hebben
verschillende framerates. Bioscoopfilms heb-
ben in het algemeen 23,976 beelden per seconde,
maar video’s op YouTube moeten veelal worden
afgespeeld met 60 beelden per seconde. Veel andere
mediabestanden hebben dan weer 25 beelden per
seconde. Helaas biedt Shield TV geen mogelijkheid
de videoweergave automatisch aan te passen aan de
framerate van videobestanden.
Gelukkig heeft iemand de moeite genomen om
daar een Android-app voor te programmeren. De app
‘Refresh Rate’ is gratis verkrijgbaar bij Google Play.
Nadat je de app geïnstalleerd hebt, kun je instellen
voor welke video-apps de videoweergave auto matisch
moet worden aangepast. Naar wens kun je ook je ei-
gen shortcuts maken om de framerate met een druk
op de knop zelf aan te passen. De installatiehandlei-
ding staat bij de link aan het eind van dit artikel.
Als je de mediacentersoftware Kodi gebruikt, hoef
je daar de refreshrate-app niet te activeren. Bij de uit-
gebreide instellingen van Kodi kun je instellen dat de
software de framerate automatisch moet aanpassen.
VIRUSSCANNERS TESTEN
? Op mijn Windows-pc heb ik een virusscanner
geïnstalleerd, maar ik heb het idee dat die al
tijden lang geen waarschuwingen meer geeft. Werkt
hij überhaupt nog wel? Is er een manier om dat te
testen – zonder meteen mijn systeem te infecteren?
! Om een virusscanner te testen zonder je systeem
in gevaar te plaatsen, heeft het European
Institute for Computer Anti-Virus Research (EICAR,
www.eicar.org) een korte codestring ontwikkeld in
de vorm van een uitvoerbaar DOS-programma. Dat
doet niets anders dan zijn naam ‘EICAR-STANDARD-
ANTIVIRUS-TEST-FILE!’ als output geven. Het is dus
volledig onschuldig, maar wordt desondanks door
alle virusscanners als virus herkend. De string is:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-AN-
TIVIRUS-TEST-FILE!$H+H*
Je kunt de string op de website eicar.org selecteren en
kopiëren. Plak hem in een nieuw tekstbestand en sla
dat op als eicar.com. Dan zou de virusscanner alarm
moeten slaan.
OFFICE-PROBLEEM MET
DROPBOX EN ONEDRIVE
? Wij werken met ons team samen aan Office-
bestanden in een Dropbox. Sommige team-
leden kunnen de bestanden zonder problemen
bewerken, maar anderen niet. Dat ligt niet aan de
toegangsrechten –hetzelfde probleem treedt op in
OneDrive.
! Mogelijk kan het bestandsformaat van de
Office-bestanden de oorzaak zijn, wellicht ge-
combineerd met gebruikers die de bestanden via
Android, iOS of via de browser benaderen. Als je
Dropbox en OneDrive via de browser benadert, open
je de Office-bestanden in Microsofts online-versie van
Office. Op smartphones en tablets met iOS en Android
draaien de mobiele versies van Office.Stotterende video’s draaien weer soepel: met de gratis Android-app Refresh Rate past de Nvidia-streambox Shield TV de videoweergave automatisch aan de framerate van een video aan.
142 www.ct.nl
De mobiele en de online versie van Office zijn beide
krachtige apps, maar vergeleken met de desktop versie
hebben ze hun beperkingen. Met name de schrijftoe-
gang werkt alleen met actuele bestandsformaten van
Office. Oudere bestandsversies van Office 2003 en eer-
der (met de extensies .ppt, .xls en .doc, dus zonder x
aan het eind) kunnen door die applicaties alleen gele-
zen worden. Onder sommige omstandigheden wordt
er een conversie aangeboden, maar dan heb je twee
bestandsversies in de cloud staan.
De makkelijkste oplossing is daarom die oude
Office- formaten niet meer gebruiken en alle bestan-
den naar de moderne formaten (met de extensies
.pptx, .xlsx en .docx) converteren. Die kun je ook met
alle recente officepakketten bewerken – het lukte ons
in ieder geval een .xlsx-bestand zonder problemen te
bewerken met een OpenOffice-versie uit 2009.
OUTLOOK: REGELS EX- EN IMPORTEREN
? Ik heb in Outlook regels opgesteld waarmee
ik e-mails volgens bepaalde criteria sorteer
en archiveer. Een collega van mij wil die regels ook
gebruiken. Is er een manier om mijn regels naar zijn pc
te kopiëren, of moet hij de regels opnieuw definiëren?
! Dat laatste hoeft niet, want daar is een methode
voor. Outlook biedt de mogelijkheid om een
hele regelset te in- en exporteren, alleen is de functie
om dat te doen enigszins verborgen. De onderstaande
instructies gelden voor Outlook 2013, 2016, 2019
en Outlook dat is geïnstalleerd met een Office
365-abonnement. Klik op het menu-item Bestand en
vervolgens op ‘Regels en waarschuwingen beheren’.
Rechts in het venster dat opent zit de knop Opties.
Klik daarop en er opent een dialoogvenster waarop de
knoppen ‘Regels exporteren’ en ‘Regels importeren’
staan. Met een druk op de eerste sla je de complete
regelset op als een bestand met de extensie .NWZ. Dat
bestand geef je aan je collega, die volgens dezelfde
stappen de regels dan kan importeren.
DOS-PROGRAMMA ONDER WINDOWS 10
? Op internet staan talloze tips over hoe je oude
DOS-games bij Windows 10 aan de praat kunt
krijgen. Ik heb enkele programma’s onder Windows 7
nog aan de praat gekregen, maar bij Windows 10 lukt
dat niet bij alle. Hebben jullie een goede tip?
! Er zijn inderdaad meerdere manieren om DOS-
programma’s onder Windows 10 uit te voeren,
die wij echter niet allemaal ook hebben getest. Bij de
32-bit versie van Windows 10 moet het mogelijk zijn
om NTVDM als legacy-component in te richten (via
de optionele onderdelen van Windows). NTVDM was
de uitvoerlaag in Windows NT en diens opvolgers,
waarmee het mogelijk was om 16-bit programma’s en
DOS uit te voeren.
Sommige virtualisatieprogramma’s zoals VirtualBox
en VMware kunnen DOS in een virtuele omgeving uit-
voeren. Daarvoor installeer je DOS in een virtuele pc
of kopieer je een bestaande installatie daar naartoe.
De tool DOSBox emuleert een DOS-omgeving.
Vooral gamers zijn lovend over die emulatie, maar hij
kan ook voor ‘serieuze’ programma’s worden gebruikt.
Vermoedelijk is dat nog de eenvoudigste oplossing.
BESTANDEN UIT SUBMAPPEN TONEN
? Ik heb veel foto's in allerlei onderliggende
submappen staan en ik wil ze graag allemaal
kopiëren naar één enkele map op een andere schijf.
Moet ik dan elke map afzonderlijk openen met
Windows Verkenner en de bestanden kopiëren?
! Nee, dat hoeft niet. Microsoft heeft Verkenner
wel nooit van een ‘flat view’-functie voorzien
waarmee je de inhoud van een hele mappenstructuur
in één lijst kunt weergeven, maar voor dat doel kun je
de zoekfunctie van Verkenner kan prima gebruiken.
Ga naar de bovenste map van de boomstructuur
waarin de bestanden in submappen staan. Klik dan
rechtsboven op het zoekveld. De menubalk van
Verkenner schakelt over naar ‘Hulpprogramma’s voor
zoeken’. Let erop dat onder Locatie de instelling ‘Alle
onderliggende mappen’ actief is. Typ in het zoekveld
dan ‘*.*’ in en druk op de Enter-toets. Vervolgens
worden alle bestanden in de submappen op een
lijst weergegeven. Op die lijst kunnen de bestanden
op de gebruikelijke manier worden geselecteerd
en vervolgens worden gekopieerd, verplaatst of
verwijderd. In plaats van ‘*.*’ kun je ook een meer
specifieke zoekopdracht opgeven, zoals het zoeken
op bestanden met een .jpg- extensie door ‘*.jpg’ in te
voeren. Je krijgt dan alle foto's in JPEG-formaat uit de
submappen als zoek resultaat te zien.
Hotline / De redactie aan het woord
Complete regelsets kun je vanuit Outlook exporteren om er een back-up van te maken of te delen met een andere gebruiker.
uitgave 4/2020 143
XBOX ONE S EN PS4-CONTROLLER
VOOR APPLE ARCADE
? Apple Arcade heeft enkele actiegames in het
aanbod die lastig te bedienen zijn met een
touchscreen. Is het ook mogelijk om een gamepad van
een Playstation 4 of Xbox One S te gebruiken?
! Ja, dat is mogelijk. In de nieuwste versies van het
besturingssysteem heeft Apple ondersteuning
voor console-gamepads toegevoegd. Voor het arcade-
abonnement moet op de iPhone iOS 13 draaien, op de
iPad iPadOS, op de Apple TV tvOS 13 en op een Mac
macOS Catalina.
Om de controllers via Bluetooth te koppelen, druk je
op de PS4-controller de Share en de PS-knop tegelijker-
tijd in totdat het gamepad-lampje knippert. Op de Xbox
One S-controller druk je kort op de grote X-knop en hou
je Connect-knop aan de voorzijde ingedrukt tot de X
snel gaat knipperen. Daarmee kun je beide controllers
via de bluetooth-instellingen van de Apple- apparaten
koppelen. De controllers kosten zo'n 50 euro per stuk
en zijn verkrijgbaar in de winkels als ‘Sony Playstation
4 – Dualshock 4 Wireless Controller’ en ‘Microsoft Xbox
Wireless Controller’. Let echter wel op: oudere draad-
loze Xbox-controllers ondersteunen geen bluetooth en
kunnen niet worden aangesloten op Apple- apparaten.
Bij die modellen zit de X-knop geïntegreerd in de plas-
tickap die deel is uitmaakt van de voorzijde van de con-
troller. Bij de bluetooth-modellen is de X-knop geïnte-
greerd in de bovenkant van de behuizing.
Alle Apple Arcade-spellen die we hebben getest,
herkenden de bluetooth-controllers auto matisch.
Vooral actiegames als ‘ceanhorn 2, Hot Lava en Shin-
sekai into the Depths zijn beter te bedienen met een
controller. Die zijn dermate goed afgesteld dat je het
gevoel hebt dat je op een echte console zit te gamen.
De spellen maken gebruik van beide analoge sticks, de
bedieningsknoppen voor de rechterduim en de knop-
pen aan de voor zijde. De vibratiemotoren en versnel-
lingsmeters, en het touchvlak van de PS4-regelaar
blijven echter ongebruikt. Voor andere games buiten
Apple Arcade hangt het maar net van de betreffende
titel af. Bij de spelbeschrijvingen in de App Store kun
je zien of een game met een controller kan worden ge-
speeld.
VINGERAFDRUK-BUG IN SMARTPHONE
? Ik heb gelezen dat de beschermfolie voor een
touchscreen storingen kan veroorzaken bij een
smartphone waar de vingerafdruksensor achter het
scherm is aangebracht. Kan mijn smartphone op die
manier gekraakt worden?
! Tot nu toe is er slechts één geval bekend met een
speciale folie en een bepaalde smartphone van
Samsung. En ook in dat geval was het daarmee niet
mogelijk achteraf nog bij de smartphone in te breken.
Het is niet mogelijk om de folie op een vergrendelde
mobiele telefoon te plakken en daarmee een soort
universele vingerafdruk te maken.
De fout trad alleen op wanneer de folie al voor de
eerste registratie van een vingerafdruk op het scherm
was aangebracht. De scan werd daardoor zozeer beïn-
vloed dat alle vingers voor de smartphone er hetzelfde
uitzien. Het kan zijn dat de scanner de structuur van de
folie registreerde, en niet die van de vinger.
Volgens Samsung gebeurde dat alleen bij de Ga-
laxy S10, S10+, Note 10 en Note 10+, die met een ultra-
sone vingerafdrukscanner werken. Voor zover bekend
is de fout tot nu toe alleen opgetreden bij een gel-folie
van een bepaalde derde partij. Het is onwaarschijnlijk
dat juist die folie ook bij andere smartphones de meer
gebruikelijke optische scanners stoort. Desondanks is
het denkbaar dat een andere folie dat wel doet.
Daarom is het aan te raden een vingerafdruksen-
sor te controleren – niet alleen wanneer je een be-
schermfolie gebruikt, maar ook als je denkt ongebrui-
kelijke vingerafdrukken te hebben, die bijvoorbeeld
flink afgeschuurd zijn of juist zeer diepe ribbels heb-
ben.
De test is eenvoudig: scan een vinger in en probeer
je smartphone met een andere te ontgrendelen of laat
iemand anders het proberen. Als dat lukt, moet je de
vingerafdruk verwijderen en het voortaan bij de pin-
code of wachtwoord houden.
IDENTIFICEREN VAN 32-BIT TOEPASSINGEN
! In c’t 1-2/2020 op pagina 98 staat een artikel
over het 32-bit subsysteem in een 64-bit
Windows-versie. In dat artikel zeggen we dat je bij
het Taakbeheer op het tabblad Details kunt zien of en
welke 32-bit toepassingen er op het systeem actief zijn
door op de kolom Platform te klikken. Daar hebben
we bij over het hoofd gezien dat je ook al op het eerste
tabblad Processen kunt zien of een proces 32-bit is.
Windows voegt daar dan namelijk eenvoudig ‘(32 bit)’
aan toe.
www.ct.nl/softlink/
2004142
Bij Xbox-controllers moet je opletten of het een actueel model is met bluetooth (onder).
144 www.ct.nl
F&LMEDIA
C'T IS EEN UITGAVE VAN
F&L MEDIA COMPUTER BV
in licenti e van Heise Medien
GmbH & Co. KG, Hannover
ALGEMEEN DIRECTEUR
Arjan Kropman
BR AND MANAGER
Noud van Kruysbergen
REDACTIE
Daniel Dupré, Marco den Teuling,
Alieke van Sommeren
MET MEDEWERKING VAN Ernst Ahlers, Jo Bager, Leo Becker, Thorsten Behrens,
Mirko Dölle, Liane M. Dubowy, Ronald Eikenberg,
Markus Feilner, Hartmut Gieselmann, Arne Grävemeyer,
Sven Hansen, Christi an Hirsch, Gottf ried Hofmann,
Nico Jurran, Lutz Labs, Piet-Jan Lentjes, Michael Link,
Jan Mahn, Urs Mansmann, Andrijan Möcker,
Oliver Mueller, Florian Müssig, Stefan Porteck,
Dennis Schirrmacher, Jürgen Schmidt, Hajo Schulz, Tim
Schürmann, Peter Siering, Carsten Spille,
Keywan Tonekaboni, Sylvester Tremmel, Axel Vahldiek,
Christof Windeck, Jörg Wirtgen, Stefan Wischner,
Christi an Wölbert, David Wolski
VORMGE VING
Tom Gerrits, Nick Groenewold,
Mylene Nales, Susan Gerbrands
SALES
Thijs de Hoogh
+31 (0)24 2404641
MARKETING
Marijn van Gelder
+31 (0)24 2404556
DRUKKERIJ
Habo DaCosta bv, Vianen
NIEUWSREDACTIE / PERS
redacti [email protected] of adresgegevens
zie hieronder o.v.v.
redacti e c’t magazine
BEZOEK ADRES F&L MEDIA
Jonkerbosplein 52, 6534 AB Nijmegen
ISSN
ISSN 1388-0276
ABONNEMENTSINFORMATIE
C’t magazine kost €6,99 per nummer. Het
verlengtarief is in Nederland €62,- en in België
€64,50 voor 10 nummers. Deze prijs geldt bij
betaling per automati sche incasso. Voor betal-
ing via een (digitale) factuur geldt een toeslag
van €2,50.
Je kunt eenvoudig een machti ging afgeven via
www.fnl.nl/machti gen. Abonnementen worden
automati sch verlengd, tenzij anders vermeld.
Het opzeggen van een abonnement kan een-
voudig telefonisch via +31 (0)85 2250 505.
COPYRIGHTHet auteursrecht op deze uitgave en op de daarin verschenen arti kelen wordt door de uitgever voorbehouden. Het verlenen
van toestemming tot publicati e in deze uitgave houdt in dat de auteur de uitgever, met uitsluiti ng van ieder ander onherroe-
pelijk machti gt de bij of krachtens de auteurswet door derden verschuldigde vergoedingen voor kopiëren te innen en dat de
auteur alle rechten overdraagt aan de uitgever, tenzij anders bepaald, dat geldt ook als de arti kelen via een ander medium
gepubliceerd worden. Niets uit deze uitgave mag worden overgenomen, vermenigvuldigd of gekopieerd zonder uitdrukkelijke
toestemming van de uitgever. De uitgever stelt zich niet aansprakelijk voor eventuele onjuistheden, welke in deze uitgave
mochten voorkomen.
KLANTENSERVICE
WIL JE ABONNEE WORDEN OF HEB JE VRAGEN
OVER JE ABONNEMENT? JE KUNT ONS EENVOUDIG
BEREIKEN OP EEN VAN DE VOLGENDE MANIEREN:
ONLINE
Hier vind je de meest actuele informati e en
ook het antwoord op veelgestelde vragen.
W W W.FNL.NL/KL ANTENSERVICE
Stel je vraag eenvoudig per e-mail aan een
van onze service medewerkers.
VR AGEN A AN DE REDACTIE
Heb jij opmerkingen, suggesti es of
vragen aan de redacti e?
TELEFOON
We zijn er maandag tot en met vrijdag van 09.00
tot 17.00 uur om jouw vragen te beantwoorden.
+31 (0)85 2250 505
WWW.CT.NL
ACTIONCAMS GEEN SPEELGOED MEER
Actioncams maken video’s en foto’s op plekken waar je een gewone camera’s niet mee naar-
toe wilt nemen, waar het nat en drassig is en waar je beide handen al hard zat nodig hebt.
De overgang naar 4K stelt hoge eisen aan de hardware en de optica.
Meer lezen?Voor het laatste nieuws op ICT-gebied, extra
reviews, achtergronden en IT-vacatures kun
je terecht op onze website: www.ct.nl
twitter.com/ct_magazine
c't – IT-magazine voor de liefhebber
@
Het Ultieme Raspberry Pi Handboek – deel 2
in de winkel en online
Windows 10 Totaalgids
in de winkel en online
BOVENDIEN
DESKTOP-PC UPGRADEN
Hoe kun je een wat oudere pc zodanig opfrissen zodat hij weer fatsoenlijk mee kan komen? We
kijken naar de voornaamste bottlenecks die je pc kunnen vertragen en voor welke overzienbare
kosten je daar wat aan kunt doen om hem weer een boost te geven.
USB-STICKS MET 128 GB
Als je even een film op een usb-stick wilt zetten of je je werk daar naartoe wilt kopiëren, hoef je
niet lang meer te wachten. De snelle usb-sticks van vandaag de dag zijn met meer dan 100 MB/s
te beschrijven, en hoeven niet meer dan een paar tientjes te kosten.
OFFICE-DOCUMENTEN SAMEN BEWERKEN
Met de nieuwe versie van Microsoft Office kunnen meerdere gebruikers tegelijkertijd aan een
Word-document, een Excel-spreadsheet of een PowerPoint-presentatie werken. We laten zien
hoe je dat doet en wat de voorwaarden en beperkingen zijn.
STOORZENDERS IN
JE NETWERK
Als je huisgenoten klagen dat het
netwerk zo irritant traag is, moet je
als beheerder snel kunnen achter-
halen wat er precies aan de hand
is. Met een klein beetje degelijke
voorbereiding, de juiste switch en
de handige monitoring-tool ntopng
kun je snel zien wie of wat de boel
loopt op te houden.
Nummer 5 verschijnt op 7 april 2020
In de volgende c't
146 www.ct.nl
Based on The New Intel® Xeon® processor E5-2600 v4 product family
• Accelerate Applications by up
to 30% and Run Demanding
Workloads with Record
Breaking Performance
The Industry’s Largest Portfolio of
Server and Storage Solutions
Simply Double NVMe Simply Double SAS3
GPUs/Intel® Xeon Phi™
MicroBlade
HyperScale Storage
1U TwinPro™
Intel Inside®. Powerful Productivity Outside.
03
_Q
3_
SM
_U
SP
_0
70
61
6_
Ma
ste
rFile
Learn more at supermicro.com/E5-2600v4
© Super Micro Computer, Inc. Specifications subject to change without notice. Intel, the Intel logo, the Intel Inside logo, Xeon, and Intel Xeon Phi are trademarks of Intel
Corporation in the U.S. and/or other countries.All other brands and names are the property of their respective owners. 0
3_
Q3
_S
M_
US
P_
07
06
16
_M
ast
erF
ile
SMBE Belgium
+32 495 533 245
www.smbe.be
TWP Computer
+31 20 638 9057
www.twp.nl
NCS International
+31 544 47 0000
www.ncs.nl
Server Storage Solution
+32 9 261 5310
www.s3s.be
• Keep IT Green and Maximize Energy
Savings with up to 35% System
Power Efficiency Increase
• Accelerate Applications by up
to 30% and Run Demanding Workloads
with Record Breaking Performance