NFI ontsleutelt BlackBerry PGP-mails in het kader van gerechtelijk onderzoek

De site Misdaadnieuws is in het bezit van documenten waaruit blijkt dat het NFI met PGP versleutelde e-mailberichten heeft ontsleuteld. De berichten waren opgeslagen op een BlackBerry-telefoon en werden met speciale software uitgelezen. Het NFI had fysieke toegang tot het apparaat.

Uit de documenten, die dateren uit 2014, zou verder blijken dat het NFI in staat was 279 van de 325 aangetroffen berichten te ontsleutelen. Dit gebeurde met gebruik van de software UFED4PC, ontwikkeld door het bedrijf Cellebrite. De gegevens zouden zijn uitgelezen uit versleutelde bestanden die aanwezig waren in het flashgeheugen van het apparaat.

De lengte van het gebruikte wachtwoord zou volgens het NFI niet uitmaken bij de decryptie. Wel is het nodig dat er fysieke toegang tot het apparaat is, uitlezen op afstand zou niet mogelijk zijn. Een woordvoerder van het NFI laat aan Tweakers weten dat het in 2014 niet de eerste keer was dat de software van Cellebrite ingezet werd.

Er wordt in de documenten niet ingegaan op de precieze methode die is gebruikt voor het ontsleutelen van de bestanden, bijvoorbeeld een dictionary attack. De woordvoerder van het NFI wilde tegenover Tweakers ook niet verder ingaan op deze vraag.

Een soortgelijk onderzoek werd ook door het NFI uitgevoerd in het kader van een zaak tegen een verdachte die op 3 december 2015 voor drugsdelicten is veroordeeld door de rechtbank Oost-Brabant. De rechtbank merkte de door decryptie verkregen berichten aan als wettelijk bewijs.

Voorbeeld van de UFED4PC-software van Cellebrite

Door Sander van Voorst

Nieuwsredacteur

Feedback • 22-12-2015 13:4480

22-12-2015 • 13:44

80 Linkedin

Lees meer

Door politie gebruikte hacktool voor data-extractie verschijnt op eBay Nieuws van 27 februari 2019
Israëlisch bedrijf adverteert met dienst om op iOS 11-toestellen in te breken Nieuws van 27 februari 2018
Beveiligingsteam van Adobe publiceert per ongeluk persoonlijke PGP-sleutel Nieuws van 24 september 2017
Nederlandse politie doet doorzoekingen bij leverancier versleutelde BlackBerry's Nieuws van 9 mei 2017
Politie ontsleutelt 3,6 miljoen BlackBerry PGP-berichten - update 2 Nieuws van 9 maart 2017
Forensisch bedrijf Cellebrite is slachtoffer van hack Nieuws van 12 januari 2017
Encryptie voor Outlook en Android in de vorm van Pretty Easy Privacy uitgekomen Nieuws van 4 juli 2016
Canadese politie had master-key voor messagingdienst BlackBerry Nieuws van 14 april 2016
Aantal op Schiphol doorzochte telefoons stijgt fors Nieuws van 7 maart 2016
BlackBerry komt met nieuwe digitale beveiligingsdienst Nieuws van 25 februari 2016
Hackers nemen grootste reclamepaneel van België tijdelijk over - update Nieuws van 28 december 2015
Security-expert Schneier: e-mail is in beginsel niet te beveiligen Nieuws van 13 november 2015
Protonmail voegt ondersteuning voor versleutelde Facebook-mails toe Nieuws van 23 september 2015
Nederlands bedrijf introduceert webmaildienst met pgp-ondersteuning Nieuws van 17 november 2014
Hacker kraakt op privacy gerichte smartphone Blackphone binnen vijf minuten Nieuws van 10 augustus 2014
'Google wil gebruik van pgp in Gmail vergemakkelijken' Nieuws van 22 april 2014
Meer producten en artikelen
Netwerk en systeembeheer BlackBerry Pgp

Reacties (80)

-Moderatie-faq
80
76
59
11
1
6
Wijzig sortering
Anoniem: 710439
22 december 2015 14:05
De lengte van het gebruikte wachtwoord zou volgens het NFI niet uitmaken bij de decryptie.
Dat betekent dat ze de header van het bericht hebben ontsleuteld.

Een PGP bericht bestaat uit twee delen. De header bevat een AES sleutel waarmee de daadwerkelijke berichttekst versleuteld is. De AES sleutel is op zijn beurt versleuteld met een public/private keypair.

Ik gok:
Wel is het nodig dat er fysieke toegang tot het apparaat is, uitlezen op afstand zou niet mogelijk zijn.
Ze trekken de private key uit de telefoon waarmee de header van het bericht is versleuteld. Dan hebben ze de AES, en dan het bericht te pakken.

Als de private key in een secure element zit (vaak het geval in moderne telefoons) dan kan het ook nog zo zijn dat ze er in geslaagd zijn het secure element de opdracht te geven om de header te ontcijferen.

Aangezien ze er verder stil over zijn is dit ook een gokje van mijn kant natuurlijk.

[Reactie gewijzigd door Anoniem: 710439 op 22 december 2015 14:06]

P1nGu1n
@Anoniem: 71043922 december 2015 14:32
Deels off-topic, maar waarom wordt een e-mail met een AES-key encrypted en die AES-key encrypted met de public key in de header, en niet de mail zelf met de public key?
nielso
@P1nGu1n22 december 2015 15:02
zo werkt SSL/TLS ook .. er wordt bijna altijd hybride encryptie gebruikt, omdat asymmetrische (pub/priv key) encryptie nooit bedoeld was om grote blokken data mee te encrypten, het is nl. veel cpu intensiever, en over het algemeen gedesigned voor het encrypten van kleine blokjes data. dus je gebruikt bijv. RSA (asymmetrische encryptie) om de AES key (symmetrische encryptie) over te zenden, en gebruikt daarna AES om de grote blokken data naar elkaar te verzenden.

heel simplistisch gebeurt er dit:

A. genereert RSA public/private key pair (met de public key kan je de data alleen encoden, met de private key kan je de data ook decoden, die laatste houdt A. dus voor zichzelf)
A. zendt de public key in unencrypted formaat naar B. (dit mag iedereen wel meelezen want je kan met deze key immers alleen data encrypten, niet decrypten)
B. genereert een AES key, en encrypt deze met de pub.key ontvangen van A. en zendt deze naar B.
B. (en alleen B. omdat alleen B. de private key heeft) kan deze key nu decrypten.

nu weten A. en B. de AES key, en de rest van de wereld niet. nu kunnen ze dus heen en weer grotere blokken data gaan zenden AES encrypted.

[Reactie gewijzigd door nielso op 22 december 2015 15:03]

Nico Klus
@nielso22 december 2015 20:59
B. genereert een AES key, en encrypt deze met de pub.key ontvangen van A. en zendt deze naar B.
B. (en alleen B. omdat alleen B. de private key heeft) kan deze key nu decrypten.
moet dat niet zijn:
B. genereert een AES key, en encrypt deze met de pub.key ontvangen van A. en zendt deze naar BA.
BA. (en alleen BA. omdat alleen BA. de private key heeft) kan deze key nu decrypten.
of snap ik het gewoon niet ;)
djwice
@nielso22 december 2015 22:42
Thanks voor de heldere uitleg, dit helpt mij het anderen uit te leggen.

Kleine correctie
.B. genereert een AES key, en encrypt deze met de pub.key ontvangen van A. en zendt deze naar B A.
Patriot
@P1nGu1n22 december 2015 14:47
Ik weet niet of het bij PGP zo is, maar SSL werkt op eenzelfde manier (er wordt met behulp van assymetrische encryptie een session key uitgewisseld die symmetrisch is) en daar draait het om snelheid.
JackBol
@P1nGu1n22 december 2015 14:49
Het hele bericht met een asymmetrische key versleutelen is mathematisch erg zwaar. Met een symmetrische key is dat eenvoudiger.
Dabono
@P1nGu1n22 december 2015 14:55
RSA is tamelijk traag, in ieder geval trager dan symmetrische encryptie met bv. AES.
Daarnaast kan je nu makkelijk van AES-key wisselen, zonder dat je weer een nieuw public/prive-key pair hoeft te genereren.
sspiff
@P1nGu1n22 december 2015 15:11
Asymmetrische cryptografie is erg traag, in tegenstelling tot symmetrische cryptografie als AES. AES heeft echter het nadeel dat er een pre-shared secrect (de sleutel) nodig is om te gebruiken.

Dus voor grote payloads over het internet (denk aan PGP/GPG emails met attachments, HTTPS of andere SSL/TLS trafiek) wordt meestal gekozen om een symmetrische key exchange te laten verlopen met de trage asymmetrische encryptie, en de data zelf uit te wisselen na symmetrische encryptie. Op die manier kunnen de voordelen van beide technieken gecombineerd worden.
mxcreep
@Anoniem: 71043923 december 2015 09:09
Maar hoe verklaar je dan dat ze fysieke toegang nodig hebben ?

Als de header decrypten de oplossing was geweest dan zou het opvangen van de berichten dezelfde data moeten opleveren. Mijn gok is dat de berichten op de telefoon zelf anders worden opgeslagen dan hoe ze verstuurd worden en dat het ze gelukt is om dat te decrypten.
NLKornolio
22 december 2015 14:06
Het NFI heeft de apparatuur om devices uit te lezen zelf ontwikkeld en wordt natuurlijk alleen bij strafzaken gebruikt.
https://www.forensicinsti..._products/memory_toolkit/
Het lijkt me dat de authenticatie van het device gekraakt is ipv het protocol.

[Reactie gewijzigd door NLKornolio op 22 december 2015 14:11]

The Zep Man
@NLKornolio22 december 2015 14:26
Het NFI heeft de apparatuur om devices uit te lezen zelf ontwikkeld en wordt natuurlijk alleen bij strafzaken gebruikt.
Hoe weet jij dat dit soort apparatuur alleen bij strafzaken wordt gebruikt?

Let wel: er is een verschil tussen gebruiken en geacht te gebruiken.
NLKornolio
@The Zep Man22 december 2015 14:41
Het NFI gebruikt ze alleen voor strafzaken (iets met de bureaucratie)
De apparaten worden gewoon verkocht dus dat andere overheden er misschien andere doelen mee hebben kan je niet uitsluiten.
Kalief
@The Zep Man22 december 2015 14:53
Ze moeten fysieke toegang tot het apparaat hebben. Dat kan alleen als ze het in beslag genomen hebben. Dat moet worden goedgekeurd door een rechter-commissaris. Anders mag het later niet worden gebruikt als bewijs.
eltweako
22 december 2015 14:15
Is nou niet meteen schokkend nieuws. Dit is immers waar de UFED voor bedoeld is.
UFED4PC is overigens de software die je op je "normale" pc kunt draaien met een speciale usb adapter.
De UFED zelf is een handheld apparaat, in feite niet meer als een Windows machine met alle adapters ingebouwd en fullscreen UFED software.

Overigens doet de UFED (of ufed4pc) alleen een image maken van de telefoonopslag, hierbij maakt het "misbruik" van lekken in de telefoons.
Het "slimme" decoderen gebeurt achteraf met de Physical Analyzer (losse software van cellebrite), niet met UFED.
robertwebbe
@eltweako22 december 2015 14:30
UFED en pricacy 8)7

http://www.marketwired.co...a-extractions-2007652.htm

[Reactie gewijzigd door robertwebbe op 22 december 2015 14:31]

GoldenBE
22 december 2015 13:51
Dus het is officieel dat PGP onveilig is? Iemand die iets weet van alternatieven?
GekkePrutser
@GoldenBE22 december 2015 14:06
Dat is helemaal niet officieel zo! PGP is nog steeds een veilig algoritme, en dit bewijst zeker niet het tegendeel.

Het namelijk is helemaal niet duidelijk wat hier precies gebeurd is. Ze hebben enkele emails die met PGP waren beveiligd, gekraakt met het apparaat waar ze oorspronkelijk op gelezen waren. Grote kans dat er iets op het apparaat zelf niet goed beveiligd was. Wellicht had het apparaat de encryptiekey ergens gecached, was de keystore niet goed beveiligd, enz...

Het feit dat ze niet alle emails hebben kunnen kraken geeft al aan dat ze niet de PGP key van de ontvanger zelf hebben gekraakt, want dan hadden ze alles gewoon kunnen lezen. (Edit: Tenzij sommige berichten in de 'verzonden' map stonden en naar andere mensen waren verzonden, dan kan het weer wel. Met PGP kan je je eigen verzonden berichten niet lezen).

De meeste aanvallen op encryptie gaan niet via de encryptietechniek zelf maar via de de beveiliging van het endpoint (laptop, telefoon enz) en de manier waarop de gebruiker er mee omgaat. Endpoint security is ontzettend moeilijk en doet vaak de encryptie totaal teniet. Bijvoorbeeld iemand die zijn data met AES-256 encrypt en vervolgens een paswoord gebruikt van 8 tekens, dat dus totaal niet de entropie heeft die je nodig hebt voor 256-bits encryptie. Daarvoor heb je een paswoord nodig van minstens 44 random tekens (afhankelijk van wat voor tekens enz). Maar de meeste mensen kunnen dat niet onthouden dus gebruiken ze per definitie verzwakte paswoorden.

De manier van werken van de gebruiker en de apparatuur zijn veel interessantere ingangen voor een aanval dan het encryptiealgoritme zelf. En andersom betekent het gebruik van een bepaald algoritme niet dat de data ook echt goed beveiligd is.

[Reactie gewijzigd door GekkePrutser op 22 december 2015 14:16]

Anoniem: 16328
@GekkePrutser22 december 2015 14:20
Waar haal je vandaan dat je minimaal 44 tekens moet gebruiken? Bron graag :). De aanvaller weet toch helemaal niet hoeveel cijfers, letters klein en/of groot en/of tekens jij hebt gebruikt voor het wachtwoord. Op basis van statistieken kan hij misschien gokken, maar zelfs dan nog komt dat uit op ontzettend veel mogelijkheden.
GekkePrutser
@Anoniem: 1632822 december 2015 14:25
Omdat als je dat niet doet, het paswoord veel makkelijker te bruteforcen is dan de AES-key zelf.

44 random tekens was een voorbeeld van mij, dat had ik berekend met hoofdletters, kleine letters en cijfers. Dan is de entropie (aantal mogelijke combinaties) ongeveer 62^44, dit ligt in de orde van 10^78. Een AES-256 key heeft een entropie van 2^256, dit is ongeveer 10^77.

Alsje bijvoorbeeld een paswoord gebruikt van 8 tekens met alleen kleine letters, dan heb je een entropie van 26^8, dus in de orde van grootte van 10^11. Dat zijn nog steeds ontzettend veel combinaties, maar vergis je daar niet in. Een moderne GPU kan afhankelijk van het algoritme tot miljarden hashes per seconde doen (zie hier voor wat benchmarks), en dan heb je in een paar minuten dat paswoord gekraakt. In plaats van langer dan de tijd van het universum die het zou kosten om een echte random sleutel met 256 bits entropie te kraken.

Als je dit opschaalt naar de middelen die een overheid heeft (denk aan geld voor een heel datacenter vol GPUs) dan geldt eigenlijk wel ongeveer: Als je het paswoord als mens makkelijk kan onthouden dan is het voor een overheid absoluut te kraken. En dan heb ik het alleen nog maar over brute-forcing, terwijl er veel makkelijkere dingen te bedenken zijn. Je kan die tijd flink verkorten met woordenlijsten e.d.

[Reactie gewijzigd door GekkePrutser op 22 december 2015 14:34]

Nico Klus
@GekkePrutser22 december 2015 21:23
Dat klinkt wel mooi dat je met 26^8 een entropie het van 10^11, maat jij weet helemaal niet of ik alleen klein of hoofdletters of alleen leestekens gebruik.
Dus moet je uitgaan van ofwel alle letters,cijfers,leestekens en heb je een entropie van ongeveer 10^14, of je moet gokken dat er alleen kleine letter gebruikt worden.
In dat laatste geval zouden allemaal hoofdletters ' beter' zijn dat allemaal kleine letters terwijl ze precies dezelfde entropie hebben.
Dus entropie zegt niet alles.
GekkePrutser
@Nico Klus22 december 2015 21:34
Klopt, degene die de bruteforcing uitvoert weet het vaak niet, maar omdat dat zo snel gaat probeer je de meest gebruikte combinaties (met alleen, of zo veel mogelijk, kleine of grote letters) natuurlijk eerst. Het kost je geen tijdverlies omdat je toch alle combinaties zou moeten proberen en als er inderdaad zo'n simpelere combinatie gebruikt wordt dan heb je die in een mum van tijd gevonden. En alles dat korter is dan 8 tekens is sowieso secondenwerk met moderne apparatuur.

Er zijn veel psychologische effecten die hierbij komen kijken, bijv dat mensen die gedwongen hoofdletters of leestekens moeten gebruiken dit vaak aan het begin of eind doen. Daar hou je natuurlijk ook rekening mee.

Dus als je het slim aanpakt heb je eenvoudige paswoorden toch snel gevonden. Entropie kan je trouwens alleen zo berekenen als de gekozen tekens echt random zijn! Als je patronen gaat gebruiken zoals woorden ligt deze lager en daar kan je met woordenlijsten gebruik van maken. Je test de combinaties met woorden er in dan eerst. Vandaar dat ik dat in vet had gedrukt hierboven. Dus in mijn voorbeeld van 26^8 was dat ook nog de best mogelijke situatie qua entropie. De meeste mensen die wachtwoorden van 8 tekens gebruiken zullen niet zo heel veel om beveiliging geven (anders gebruikten ze wel langere) en dus is de kans groot dat het iets simpels is.

[Reactie gewijzigd door GekkePrutser op 22 december 2015 22:18]

laptopleon
@GekkePrutser23 december 2015 13:23
Vaak wordt hier op Tweakers gesuggereerd dat door woordenlijsten en analyse van uitgelekte wachtwoorden te gebruiken, soort van gegarandeerd de tijd om de encryptie te breken wordt gedecimeerd.

Andersom lees ik nooit dat het omgekeerde dan ook mogelijk moet zijn: Door een minder voordehandliggend wachtwoord te kiezen, gokt de krakende partij op de verkeerde paarden en doet hij er juist langer over dan gemiddeld.

Er zijn uiteraard ook mensen die echt willekeurige wachtwoorden kiezen met een random generator bijvoorbeeld.
Anoniem: 16328
@GekkePrutser22 december 2015 14:39
Bedankt voor je informatie :).
Anoniem: 14842
@GekkePrutser23 december 2015 08:13
In theorie heeft ChicaneBT wel gelijk: als onbekend is hoeveel tekens een wachtwoord bevat dan kan een wachtwoord van 3 tekens net zo lastig te bruteforcen zijn als eentje van 50 tekens. Ligt er simpelweg aan op welke manier je het probeert.

In de praktijk proberen ze natuurlijk eerst wachtwoorden tot 1-2-3-4-5-6-7-8-etc. tekens, dus is het wel veel sneller te kraken.

En dan nog: ik zou tegelijkertijd ook een dictionary attack, inclusief l33t speak en v fervangen door f enzo doen. Kans is groot dat je hem binnen 10 minuten hebt.

Moet zeggen dat ik wel een groot voorstander ben van dit soort technieken. Dit is hoe een recherche zou moeten werken. En aangezien nu bewezen is dat ze wachtwoorden kunnen kragen mag de wet dat je je wachtwoord moet afstaan en dus mee moet werken aan je eigen veroordeling er ook weer af.
Bacchus
@GekkePrutser22 december 2015 14:40
Bijvoorbeeld iemand die zijn data met AES-256 encrypt en vervolgens een paswoord gebruikt van 8 tekens, dat dus totaal niet de entropie heeft die je nodig hebt voor 256-bits encryptie. Daarvoor heb je een paswoord nodig van minstens 44 random tekens (afhankelijk van wat voor tekens enz). Maar de meeste mensen kunnen dat niet onthouden dus gebruiken ze per definitie verzwakte paswoorden.
Je bedoelt dat je 44 willekeurige tekens die je met een gemiddeld toetsenbord direct kunt typen (iets minder dan 100 verschillende over het algemeen) nodig hebt om 256 bits aan entropie te krijgen. Zolang je die niet hebt is je wachtwoord inderdaad makkelijker aan te vallen dan je symmetrische sleutel.
GekkePrutser
@Bacchus22 december 2015 14:49
Inderdaad, precies! Ik ging daar uit van 62 mogelijke tekens en dat was alleen maar als voorbeeld.

De PGP private key is normaal gezien namelijk beveiligd met symmetrische crypto op basis van een paswoord (eventueel gesalt en natuurlijk gehashd maar dat maakt voor het bruteforcen niet veel uit). Aangezien je dit voor elk bericht in moet tikken, zullen de meeste mensen uit praktische overwegingen niet iets heel ingewikkelds gebruiken. En daarmee stoppen ze dus zelf een flinke achilleshiel in het hele cryptoverhaal.

Overigens zijn hier wel goede oplossingen voor: Zoals het gebruik van een OpenPGP smartcard, die beperkt het aantal pogingen in hardware. Na enkele pogingen de PIN te raden blokkeert de smartcard zichzelf. Maar dat is op mobiele apparatuur niet makkelijk te doen ivm drivers en smartcard hardware. De enige oplossing die ik tot nu toe heb gezien die dit kan is de Yubikey Neo (NFC versie) met OpenPGP applet in combinatie met de OpenKeyChain app op Android.(Alleen in veel Yubikeys zit weer een enorme fout die de hele beveiliging teniet doet, dus ruil hem vooral om als je deze functie gebruikt)

[Reactie gewijzigd door GekkePrutser op 22 december 2015 15:08]

Bacchus
@GekkePrutser22 december 2015 15:18
Ik wil er trouwens wel bij aantekenen dat 256-bits AES echt wel heel zwaar is. Zelfs de Amerikaanse overheid acht 128-bits AES goed genoeg voor alles behalve "top-secret". Voor alle privé- en eigenlijk alle commerciële toepassingen zal 128-bits dan ook wel voldoende zijn. Rondom een standaard als PGP is het symmetrische algoritme waarschijnlijk ook het minst kwetsbaar, zelfs een dinosaurus als 3DES is nog niet gekraakt.
GekkePrutser
@Bacchus22 december 2015 15:24
Dat is waar, maar het gebruik van de symmetrische encryptie in combinatie met een door de gebruiker verzonnen wachtwoord maakt het ontzettend kwetsbaar. Dat bedoelde ik te zeggen. De keylengte van de AES key maakt dan eigenlijk niks meer uit omdat het paswoord dat gebruikt wordt om de AES key te genereren zo zwak is. Edit: Ik heb het hier dus over de symmetrische encryptie die gebruikt wordt om de private key te beschermen, niet de symmetrische encryptie van de diverse emails die je verstuurt, die gebruiken namelijk een random key, en zijn bovendien niet interessant om te bruteforcen omdat ze voor elke email veranderen.

Maar inderdaad er zijn nog meer aanvallen mogelijk op PGP, het wordt ook heel interessant want de quantumcomputer techniek gaat doen op dit gebied, aangezien die naar verluidt RSA totaal gaat breken, en laat dat nou net de basis zijn voor de standaard asymmetrische crypto in PGP.

[Reactie gewijzigd door GekkePrutser op 22 december 2015 15:39]

sokolum01
@GekkePrutser22 december 2015 18:51
Begrijp het niet helemaal, ja ik kan ook op mijn toestel de emails lezen, waarom zou FNI dat niet kunnen? Wat mis ik? Wanneer je op je BB kunt inloggen, dan heb je lijkt mij ook toegang naar je email?
GekkePrutser
@sokolum0122 december 2015 21:38
Het gaat hier om PGP in het bijzonder. Daarbij kan je je mails niet zomaar lezen zonder ze eerst te decrypten. Het is een extra tool die je gebruik bovenop (of in plaats van) de email client van je telefoon.

[Reactie gewijzigd door GekkePrutser op 22 december 2015 22:08]

johnkeates
@GoldenBE22 december 2015 13:54
Het lijkt me eerder dat "PGP-email-op-BlackBerry-type-X" niet veilig is voor offline attacks. Dat is dus een stuk meer dan eventjes alle PGP op de wereld.
trevanian
@GoldenBE22 december 2015 17:41
Tip: gebruik een zin als wachtwoord, bijvoorbeeld: mijnwachtwoordbestaatvanafvandaaguit45tekens.
treative
@trevanian22 december 2015 22:31
Dat gaat je ook niet helpen, nog steeds te eenvoudig.
jp
@treative22 december 2015 23:12
Jantje zag eens pruimen hangen, als eieren zo groot.

sometimes i'm gonna break down and cry, Notting to do with my time

Zijn alle twee prima te onthouden. :+
treative
@jp23 december 2015 10:57
Zijn alle 2 ook prima te kraken. ;)

Wachtwoorden die zo makkelijk te onthouden zijn, zijn meestal ook makkelijk te kraken.
jp
@treative23 december 2015 14:00
Je kan moeilijk alle kinderversjes en populaire liedjes proberen als je wachtwoord aan het kraken bent. En ik denk dat
"Jantje zag eens pruimen hangen, als eieren zo groot"
voor een computer lastiger te kraken is dan
"Xku@xcike39"
RGAT
@GoldenBE22 december 2015 13:54
Hooguit bij fysieke toegang.
Lijkt me dat Bitlocker/alternatief dit kan voorkomen, sowieso handig om fysieke toegang minder gevaarlijk te maken door encryptie op disks...
wjvds
@GoldenBE22 december 2015 14:00
Nee, PGP is niet per se gekraakt. Ze hebben fysieke toegang nodig terwijl PGP juist bedoeld is voor versleuteling onderweg. Wat hier gebeurd is, zou een probleem kunnen zijn in Blackberry's implementatie van PGP. (waar worden bijvoorbeeld de private keys opgeslagen?)
DJMaze
@GoldenBE22 december 2015 14:00
PGP is niet gekraakt, als je fysiek toegang hebt kan je ook het wachtwoord uit het geheugen halen.
Zelfde geld voor elke encryptie methode, zodra je een sleutel in het geheugen hebt staan of in de swap.

Alternatieven: blowfish, twofish
poststamp
22 december 2015 13:51
Op deze manier kan ik er goed mee leven, fysieke toegang tot de telefoon door het NFI. Dat je bij voorbaat al bespioneert wordt is gewoon kwalijk, een overheid die zijn eigen burgers niet vertrouwd is het niet waard om macht te hebben.
NL-RaVeR
@poststamp22 december 2015 13:55
een overheid die zijn eigen burgers niet vertrouwd is het niet waard om macht te hebben
Dat is wel een beetje kort door de bocht. Er zitten tenslotte ook "rotte appels" tussen en daar zal toch ook wat aan gedaan moeten worden. Desondanks is deze manier van ontsleutelen natuurlijk wel beter dan dat het op afstand kan gebeuren voor de privacy. Maar privacy en veiligheid gaan nou niet altijd samen helaas...
rboerdijk
@NL-RaVeR22 december 2015 14:07
Het verschil is echter dat in deze zaak gericht werd gezocht, er een verdachte was die ( vermoedelijk na toestemming van een rechter) is aangehouden, waarbij een toestel in beslag is genomen en dit toestel ook noodzakelijk was om de berichten te ontsleutelen.

Als op die manier de rotte appels worden aangepakt kan ik daar prima mee leven.
Dat is gewoon van een heel ander nivo als "alles van iedereen afluisteren" danwel "laten we encryptie verbieden" (engeland).
Iblies
@NL-RaVeR22 december 2015 14:23
Indien er een reden is kan/mag/ en moet zelfs privacy even opzij worden geschoven,
probleem is dat de wetgeving steeds meer neigt om iedereen verdacht te maken, en dat we uiteindelijk belasting betalen om onszelf in de gaten te houden.

En of deze rechtszaak te maken heeft met privacy,
niet echt.
Het gaat om een verdachte die een aantal strafbare feiten heeft begaan waarbij materiaal wordt verzameld. De fysieke telefoon en informatie daarop maakt daar onderdeel van uit en eventuele encryptie is zo oud als de weg naar Rome. Het recht van de verdachte om niet mee te werken aan zijn eigen veroordeling (cq verplicht wachtwoord afgeven ) moet daarbij gewaarborgd blijven.

Met die informatie kan politie/justitie verder rechercheren wat veel wenselijker is en net zo effectief zoniet effectiever dan heel Nederland bijhouden als potentiële crimineel.


Overigens mag het in beslag nemen en kraken van toestellen van mij ook bij bijvoorbeeld zwaardere verkeersongevallen. Het is al redelijk gebruikelijk dat de politie speurt naar een telefoontoestel,
als om wat voor reden het toestel niet meer doet en verdachte ligt bijvoorbeeld in coma, of er is sprake van te hard rijden met zwaar letsel als gevolg.
gjmi
@poststamp22 december 2015 14:10
Dus alle burgers zijn te vertrouwen? Dat vind ik erg naïef. Vooral als je weet hoeveel misdaden gepleegd worden.
En het is ook niet zo dat we bij voorbaat bespioneerd worden, er moet al aanleiding zijn.
poststamp
@gjmi22 december 2015 14:42
Hoeveel misdaden worden er gepleegd dan, waarbij het van cruciaal belang is om IEDEREEN te bespioneren? geef eens wat cijfers want dat geloof ik niet. En Plasterk werkt hard aan de uitbreiding van de afluisterbevoegdheden zonder daar mededelingen over te willen doen, we moeten maar geloven dat onze data in veilige handen is komt.
blorf
@poststamp22 december 2015 15:33
De houding van het NFI in dit verhaal geeft al min of meer een indicatie van hoe de overheid tegenover de burger staat als het gaat om controle over informatie:
Er wordt in de documenten niet ingegaan op de precieze methode die is gebruikt voor het ontsleutelen van de bestanden, bijvoorbeeld een dictionary attack. De woordvoerder van het NFI wilde tegenover Tweakers ook niet verder ingaan op deze vraag.
M.a.w. "Je gegevens zijn i.i.g. voor ons niet veilig maar daar heb je niks mee te maken." De waarheid ligt denk ik iets genuanceerder: De totale controle over informatie ligt niet bij de overheid. En anoniem zijn en je communicatie beschermen is best haalbaar, zelfs voor dit soort zaken.
Anoniem: 404283
@gjmi22 december 2015 15:23
Er moet aanleiding zijn? Op welke planeet heb jij de laatste jaren vertoeft dat je niets meegekregen hebt van wat Snowden vertelt heeft? Hoe passen de sleepnettechnieken die overheidsinstanties gebruiken om alles van iedereen te weten te komen exact in jouw verhaal dat er aanleiding moet zijn? Natuurlijk worden we bij voorbaat bespioneerd.

En niet alle burgers zijn te vertrouwen maar de overgrote meerderheid gelukkig wel, ik denk dat je de mensen in jouw omgeving meer kan vertrouwen als je overheid, tenminste dat hoop ik toch voor jou.
Anoniem: 404283
@Anoniem: 38273224 december 2015 11:53
Het feit dat hij de documenten heeft om zijn claims te ondersteunen, het niet ontkent word en hij natuurlijk niet in Rusland zit omdat het daar zo mooi vertoeven is. Je gaat niet voor de lol even je leven weggooien. 8)7
RoestVrijStaal
22 december 2015 13:53
Dat PGP praktisch is gekraakt, is an sich al zorgwekkend. Maar ik vind dit:
De rechtbank merkte de door decryptie verkregen berichten aan als wettelijk bewijs.
Nog zorgwekkender. Waar is het briefgeheim gebleven? Is hier nog sprake van een rechtstaat of rechtse staat?
Omega Supreme
@RoestVrijStaal22 december 2015 13:58
Brief geheim geldt voor brieven, je weet wel, die papieren dingen. Niet voor electronische communicatie.

Gezien het huidige klimaat zie iik dat helaas niet snel uitgebreid worden.
_Pussycat_
@Omega Supreme22 december 2015 14:01
Het geldt niet voor brieven die bij jou thuis liggen.
pasarica
@Omega Supreme22 december 2015 14:14
Briefgeheim is omgezet in Brief- en Telecommunicatiegeheim dat wel degelijk ook e-mail beslaat.
Synthiman
@pasarica22 december 2015 15:17
Briefgeheim is omgezet in Brief- en Telecommunicatiegeheim dat wel degelijk ook e-mail beslaat.
De link waar je naar verwijst is slechts een wetsvoorstel.
De wet is nog niet aangepast; e-mail valt er dus nog steeds niet onder.

http://www.denederlandseg...vihlf299q0sr/vgrnbac43qvy

Het briefgeheim geldt niet voor e-mail.

Bron: http://www.iusmentis.com/technologie/email/briefgeheim/

Edit: stijlfoutje...

[Reactie gewijzigd door Synthiman op 22 december 2015 15:34]

Omega Supreme
@pasarica22 december 2015 15:20
Als ik naar artikel 13 van de grondwet kijk zie ik daar nog steeds geen electronisch briefgeheim in staan.

Wat ik mij meen te herinneren is dat dit plan in de ijskast is gezet omdat de regeringspartijen onze inlichtingendiensten meer bevoegdheden wilde geven en de uitkomst van die wetgeving af wilde wachten.

Wat jhij hier linkt is een verklaring dat er reden is om een wetswijziging voor te stellen. Politieke gebakken lucht dus.
Anoniem: 382732
@Omega Supreme23 december 2015 21:15
Dat geeft aan dat de wettekst niet deugt. Als je bij iedere nieuwe technische ontwikkeling de wet zou moeten aanpassen is die niet goed opgesteld. Maak er iets als "communicatie tussen 2 of meer personen" van en de wet dekt alles op een zelfde manier.
ironx
@RoestVrijStaal22 december 2015 14:51
PGP is praktisch niet gekraakt. We weten de details niet...

Hadden ze toegang tot de private key? Denk vrijwel zeker van wel: "Wel is het nodig dat er fysieke toegang tot het apparaat is, uitlezen op afstand zou niet mogelijk zijn.", en dat is dan ook gelijk de grootste zwakte.

Ze kunnen dan eventueel gaan brute-forcen. "De lengte van het gebruikte wachtwoord zou volgens het NFI niet uitmaken bij de decryptie". De lengte niet nee. Maar mischien wel de tijd die ze nodig hebben om het wachtwoord te vinden... En wie weet wat de verdachte heeft gedaan? Mischien heeft deze zelf wel het wachtwoord gegeven?

Bovendien: mensen zijn nogal lui als het om wachtwoorden gaat. Vaak gebruiken ze simpele dingen als een datum, naam of noem maar op. En dan ook nog eens vaak hetzelfde wachtwoord voor meerdere (zo niet alle) wachtwoord beveiligde sites/computers/programma's...

Nogmaals: we weten de details niet. En in mijn oren klinkt dit nieuws meer als 'bangmakerij' richting PGP-gebruikers. Kijk, we kunnen PGP berichten ontcijferen, maar hoe zeggen we niet. Maar we hebben echter wel je hele device nodig...

[Reactie gewijzigd door ironx op 22 december 2015 14:56]

Omega Supreme
@ironx22 december 2015 16:08
Het kan natuurlijk ook zijn dat de pgp implementatie op de BB sporen van de sleutel achterlaat, waardoor ze helemaal niet de encryptie kraken, maar de sleutel achterhalen.

Dat zullen ze natuurlijk nooit hardop gaan roepen, want dan zijn ze een onderzoeksoptie kwijt. Ondertussen zit iedereen die een legitiem belang heeft bij die beveiliging met een twijfels. Wie weet nog meer van dit lek en zijn die wel te vertrouwen.
Kuusje
@RoestVrijStaal22 december 2015 13:57
Old school inkt-op-papier = briefgeheim. Mail, SMS, WhatsApp - volgens mij valt niet anders onder briefgeheim.
mar-10
@RoestVrijStaal22 december 2015 13:57
Het briefgeheim geldt enkel tijdens het transport van een bericht.

Jouw vraag suggereert dat jij het ook bezwaarlijk vind, dat brieven die in je kluis tijdens een huiszoeking gevonden worden, als bewijsstuk gebruikt worden. Het toegang verkrijgen tot de telefoon gebeurd pas na het verkrijgen van een gerechtelijk bevel, dus de rechtsstaat is in actie ;)
xtra
@RoestVrijStaal22 december 2015 14:02
Het kan zijn dat brieven voor opsporing worden geopend en dat dat dan wettelijk bewijs is. Dat maakt geen verschil met decryptie.
De voorwaarden rondom decryptie bepalen meer hoe de staat van de rechtsstaat is.
gjmi
@RoestVrijStaal22 december 2015 14:14
Ik ga er van uit dat er al een huiszoekingsbevel was, en dan is briefgeheim niet van toepassing.
PolarBear
@RoestVrijStaal22 december 2015 14:44
Het briefgeheim geldt alleen tijdens het transport (en niet na ontvangst door de geadresseerde) en is niet absoluut. De rechter kan het briefgeheim opheffen.
Deem
@RoestVrijStaal22 december 2015 14:16
En hoe is bewezen dat het ontsleutelde bericht het daadwerkelijke bericht is.... hmm.
Anoniem: 382732
@Deem23 december 2015 21:17
Niet. De beste codering is nog altijd om in een soort geheimtaal te spreken. Dan komt er leesbare tekst uit, maar dat wil nog steeds niet zeggen dat je weet wat er staat.

"Het bier staat koud" kan immers betekenen "om 12.15 overvallen we de snackbar".
Master_duck
22 december 2015 14:17
Waarschijnlijk is er niks gekraakt of gehakt.

het flash geheugen is niet encrypted. de user heeft vast het bestand geopend (mail) en een app heeft dat waarschijnlijk gecashed op de flash disk.

Dan kan je met een soort van low level sector scan de sectoren bij sector zoeken welke bij elkaar horen en zo files die gedeleted zijn weer terug vinden. zelfs meer data kan je terug vinden dan de grooote van je disk (geld ook voor NON SSD). Als je er fatsoenlijke software voor hebt.

Een oude disk van 256GB kan best 280GB aan data hebben of zelf meer.
Bacchus
@Master_duck22 december 2015 21:26
Als PGP echt gekraakt zou zijn, dan zou dat wereldnieuws zijn op cryptogebied. PGP is misschien wel de meest gereviewde crypto-software die bestaat, daar een serieus cryptografisch gat in vinden is echt heel bijzonder. Om eerlijk te zijn acht ik de cryptologische kwaliteiten van het NFI niet zo hoog, dus hebben ze inderdaad waarschijnlijk gewoon een of andere cache of swapfile met een handjevol plaintexts ofzo uitgelezen.
Anoniem: 16328
22 december 2015 14:04
Had hij ook maar Blackberry apparaat encryptie moeten aanzetten. Geen code voor inlog, geen toegang :). Blackberry encryptie is volgens mij nog steeds niet gekraakt.

Deze encryptie is op basis van AES-256: http://help.blackberry.co...tml/ada1406165491914.html Dit geldt voor BB10 apparaten.

[Reactie gewijzigd door Anoniem: 16328 op 22 december 2015 14:09]

nannoe
22 december 2015 14:08
Wat mij niet duidelijk wordt uit het artikel: gaat het hier om de volledig versleutelde berichten die zijn uitgelezen uit het flashgeheugen die zijn gekraakt, of zijn er uit het flashgeheugen (fragmenten van) ontsleutelde berichten gehaald (end device is the weakest link) waarmee een deel van de encrypte berichten kan worden geëxtrapoleerd (lineare crypto-analyse binnen IDEA algorithme dat PGP gebruikt).
Raindeer
22 december 2015 14:23
Veel commenters gaan ervan uit dat de key uit het geheugen gehaald is. Maar dat verklaard niet waarom niet alle berichten ontsleuteld zijn.

Kan het zijn dat veel berichten ongecrypt in het werkgeheugen/cache van de telefoon staan? De telefoon moet de berichten ontsleutelen om ze aan je te tonen. Als het geheugen/cache niet netjes schoon gemaakt is, dan kan een bericht daar nog best lang in staan. Windows cache geheugen was ook een plek waar onderzoekers altijd veel belastend materiaal konden vinden.

[Reactie gewijzigd door Raindeer op 22 december 2015 14:34]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee