Amazon verwijdert encryptieondersteuning uit Fire OS - update

Amazon verwijdert de ondersteuning voor volledige schijfencryptie uit zijn op Android gebaseerde Fire OS. Gebruikers die versleutelde gegevens op hun Kindle-apparaat hebben en willen upgraden naar Fire OS 5, moeten eerst een factory-reset doorvoeren om encryptie te verwijderen.

Amazon heeft de wijziging zonder enige ruchtbaarheid doorgevoerd, klagen gebruikers, en het is dan ook niet bekend waarom de ondersteuning voor versleuteling is gestopt. Gebruikers van bijvoorbeeld een Fire HD- of Fire HDX-tablet met Fire OS 4 die willen upgraden en van versleuteling gebruikmaken krijgen de waarschuwing dat de encryptieondersteuning is gestaakt bij Fire OS 5 en dat ze een back-up moeten maken. Daarna moeten gebruikers een factory-reset uitvoeren om encryptie te verwijderen en de update naar Fire OS 5 doorvoeren.

Fire OS is gebaseerd op Android 5.0, dat standaard wel encryptie ondersteunt. De stap van Amazon komt op een moment dat er veel discussie is over de versleuteling van gebruikersgegevens op apparaten. Inlichtingendiensten willen in bepaalde gevallen toch bij die gegevens komen maar sterke versleuteling maakt dit moeilijk. Amazon is een van de techbedrijven die Apple steunt in zijn zaak tegen de FBI. Apple weigert om speciale firmware te ontwikkelen die de FBI toegang geeft tot de data van de iPhone van een aanslagpleger.

Update, vrijdag, 08.16: Amazon heeft diverse media, waaronder de Guardian, laten weten dat de encryptiemogelijkheid verwijderd is bij Fire OS 5 omdat niemand deze gebruikte. Het bedrijf beschouwde encryptie als enterprisefunctionaliteit en haalde deze al in september vorig jaar uit het OS. Dat het nu pas in het nieuws komt, is waarschijnlijk toe te schrijven aan het feit dat oudere Fire-tablets nu de mogelijkheid krijgen te upgraden.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 03-03-2016 21:3064

03-03-2016 • 21:30

64 Linkedin

Lees meer

Amazon Kindle Paperwhite 2015

vanaf € 124,62

Score: 5

Alles over dit product

Amazon brengt Fire HD-tablet uit met spraakdienst Alexa Nieuws van 8 september 2016
Amazon brengt dunnere en lichtere Kindle-reader uit Nieuws van 22 juni 2016
Amazon waarschuwt Kindle-gebruikers te updaten voor behoud internet Nieuws van 21 maart 2016
'Apple-ingenieurs bereid om op te stappen vanwege FBI-rechtszaak' Nieuws van 19 maart 2016
'Amerikaanse autoriteiten worstelen ook met encryptie in WhatsApp' Nieuws van 13 maart 2016
President Obama benadrukt noodzaak van een encryptie-backdoor Nieuws van 12 maart 2016
Amazon brengt encryptie terug naar Fire OS Nieuws van 5 maart 2016
Prijs Amazon Fire Phone VS daalde in afgelopen maanden met 70 procent Nieuws van 26 november 2014
Amazon introduceert nieuwe Fire-tablets en Kindle-e-readers Nieuws van 18 september 2014
Amazon kondigt nieuwe 7" en 8,9" Kindle Fire-tablets aan Nieuws van 25 september 2013
Meer producten en artikelen
E-readers Amazon Kindle

Reacties (64)

-Moderatie-faq
64
60
44
9
0
11
Wijzig sortering
Pietervs
3 maart 2016 21:49
Zeer verbazingwekkende stap van Amazon: eerst zeggen Apple te steunen, om ze vervolgens op deze manier een mes in de rug te zetten?

Ik vraag me af wat hier achter zit, zo'n ommezwaai komt niet uit de lucht vallen...
atlaste
@Pietervs3 maart 2016 21:56
Het blijft gewoon speculatie, maar: Apple steunen in woorden is iets anders dan de rechtszaken te willen voeren met alle ellende van dien.

Daarnaast levert Amazon vermoed ik ook aan de US Government. Als je dat doet, worden de inkoopvoorwaarden gewoon afgedwongen. Ik heb hier ook nog wat papiertjes liggen van US Gov inkoopvoorwaarden, die ik om allerlei (vooral juridische) redenen simpelweg niet heb getekend... dat kan, maar kost wel geld. Het zou me niets verbazen als ze er inmiddels ook dingen in hebben staan over encryptie e.d.

*update* en go, link gevonden. Grootste klant van "Good Old" Amazon zijn de vrienden in het zwarte CIA pak: http://www.theatlantic.co...-deal-with-amazon/374632/ . Ze gebruiken niet eens HTTPS by default...

En anders is er nog wel een mogelijk iets met Hanlon's razor .

Hoe dan ook, ik vind het een slechte zaak van Amazon. Voorlopig ga ik in ieder geval geen hardware van ze kopen.

[Reactie gewijzigd door atlaste op 3 maart 2016 22:02]

Anoniem: 145867
@atlaste4 maart 2016 07:15
Hardware leuk en aardig. Maar hoe zit het dan met hun Cloud service? AWS?
Daar ben ik nog bezorgder voor, voor als Europese bedrijven met AWS in zee gaan. Dat al die data gestolen kan worden.
ToolkiT
@Anoniem: 1458674 maart 2016 11:36
Bij AWS kan je kiezen in welke regio je service is, zo heb je zones in Ireland en in Duitsland. Deze vallen onder EU wetgeving.

Daanaast kan je je data natuurlijk encrypt opslaan en versturen zodat je zelf volledige controle erover hebt. AWS was daar heel open over in hun presentaties.
hackerhater
@ToolkiT4 maart 2016 11:53
Alleen heeft de USA-overheid maling eraan dat die data in Europa staat gezien het om Amerikaanse bedrijven gaat.
ToolkiT
@hackerhater4 maart 2016 12:46
Het antwoord op een soortgelijke reactie uit het publiek was:
AWS geeft in principe geen EU data door aan US, maar als je ons niet vertrouwd (wat begrijpelijk is in bepaalde toepassingen) dan kan je encrypted data storage en transmissie implementeren.
tERRiON
@Anoniem: 1458674 maart 2016 08:10
En dan niet eens zomaar bedrijven. Een week of 2 geleden was er een artikel te lezen dat Philips met Amazon gaat samenwerken om de diensten van Amazon te gaan gebruiken voor backupfaciliteit voor de data die hun medische apparatuur genereert.

"Met de dienst kunnen ziekenhuizen hun informatie over patiënten beter beschermen, aldus Philips."
Tegen wie moet die informatie nou beschermd worden!?

http://www.nu.nl/economie...rkt-samen-met-amazon.html
atlaste
@Anoniem: 1458674 maart 2016 08:40
Daar golden tot voorkort de 'safe harbor' verdragen voor. Afgelopen tijd best veel in het nieuws geweest. Kan je dat vertrouwen? Laat ik het zo stellen:

Ik doe ook wat zaken met overheden en ziekenhuizen... daar mag je ook niet zomaar je data in (AWS / Azure / de cloud) bewaren; met name dingen als patientgegevens en gegevens over burgers moeten op servers die in het slechtste geval achter een firewall staan en in het beste geval gewoon geen lijntje hebben met het internet.

Vind het verhaal van Phillips & Amazon ook in die zin een beetje vreemd...
Armin
@atlaste3 maart 2016 23:53
Beetje conspiracy denken. Microsoft verkoopt ook aan de overheid en biedt Bitlocker aan - een encryptie system waarbij zelfs Microsoft zelf er niet bij kan.

Ook logisch als je even nadenkt, want de overhead heeft er zelf belang ook bij als haar eigen systemen deugdelijk versleuteld zijn. Het idee dat het geen encryptie mag hebben indien je aan de overhedi wil leveren is dus nogal onlogisch. Sterker nog, het omgekeerde is waar: om aan bepaalde overheidsdiensten in de USA te mogen leveren moet je aan minimale encryptie-eisen voldoen.

Ofwel, ik gooi het op een andere verklaring: de feature werd niet gebruikt en is dus verwijderd, samen met diverse andere enterprise featuires die niet in het nieuws kwamen :)

Voor mij overigens een reden om dat tablet nu links te laten liggen, maar ik zou er niet meteen iets achter zoeken.
contrast
@Armin4 maart 2016 00:20
Ik weet niet waar je vandaan haalt dat Microsoft niet bij BitLocker kan, maar bij Windows 10 wordt een backup van de BitLocker key online op de servers van Microsoft opgeslagen (OneDrive). Zie ook: http://thenextweb.com/microsoft/2015/07/29/wind-nos/.

Tuurlijk claimen ze dat ze er niets mee doen, maar niemand die dat meer geloofd na de onthullingen van het afgelopen jaar.
Armin
@contrast4 maart 2016 00:33
Ik weet niet waar je vandaan haalt dat Microsoft niet bij BitLocker kan

Uit de Snowden onthullingen. Zelfs de NSA kon er niet bij bleek uit herhaalde documenten.

Uiteraard als je je key upload naar Microsoft of bedrijfs servers kan men die key daar vandaan halen. Net zoals wanneer ik de uitgeprinte key thuis heb liggen ik dat kan.

Maar dat is geheel optioneel, en bij het gebruik van een lokaal account zelfs niet eens mogelijk. Idem bij Windows Phone.

Is de key echter niet geupload, kan Microsoft er niet bij. Anders dan bijvoorbeeld in het Apple voorbeeld, waarbij Apple alternatieve firmware erin kan flashen. Bij Bitlocker zorgt dat voor het blokeren of zelfs wissen van de key.
contrast
@Armin4 maart 2016 00:45
Hieronder een quote uit de eerste bron. De tweede bron bevestigd dit.
".... should consider Microsoft’s BitLocker—a program that was later proven through Snowden documents to have been exploited by American intelligence.""

bron 1: https://www.rt.com/usa/24...truecrypt-security-audit/
bron 2: https://theintercept.com/...ign-steal-apples-secrets/

Uit deze bronnen blijkt dat zelfs de CIA bij BitLocker kan. Ik zou graag jou bronnen willen zien dat Snowden zichzelf tegenspreekt en zegt dat het dus niet mogelijk is.
Armin
@contrast4 maart 2016 01:09
Nee dat blijkt niet uit die bronnen. Als je namelijk in de gelekte documenten zelf gaat zoeken, blijkt het het hier om side channel aanvallen (met nog steeds maar beperkt success) gaat op de TPM's van draaiende systemen. Niet op Bitlocker zelf.

Een bekende aanval, waar ook bescherming tegen bestaat als je Microsoft's Bitlocker adviezen opvolgt. Denk aan een PIN op de TPM.

Vage high level berichten van journalisten die doorgaans er geen bal van snappen is geen goede bron. O.a. Schneier is een betere bron.

Als je je bovendien verdiept in hoe Bitlocker werkt, dan kan dat ook eigenlijk niet. Het is onmogelijk om een backdoor te maken aangezien de standaard bit voor bit gedefinieerd en controleerbaar is. Dus men moet of meervoudige compelxe hashen kraken of AES-128. Beide zouden voorpagina nieuws in alle cryptografische bladen zijn. Dus blijft over side channel aanvallen zoals op TPM's.
contrast
@Armin4 maart 2016 01:23
En nog steeds geef je me geen enkele specifieke bron. Ik wil me er graag een verdiepen, dus voor de derde keer: geef me een bron waarop jou verhaal gebaseerd is i.p.v. claimen dat het journalisten zijn die er geen bal van begrijpen zonder een goede onderbouwing.
Armin
@contrast4 maart 2016 01:53
Hapklare broken doe ik niet aan :)

Om het te begrijpen moet je eerst weten hoe Bitlocker werkt. Plus zélf wat Bing/Google werk doen.

Als je weet hoe het system werkt, weet je vanzelf waar de inherente zwakheden zijn. In security termen, waar het threatmodel niet opgelet heeft. Bij Apple bijvoorbeeld dat men zichzelf vetrouwde. Bij Bitlocker deed men dat niet, ook omdat 'zichzelf' hier ook Chinze OEM's zou betekenen. Men moest het systeem dus ook dicht houden voor de eigen hardware fabrikanten.

Bitlocker wordt door de security als waterdicht gezien behalve wanneer je het system draaiend kunt krijgen. het is dan ook niet verwonderlijk dat de enige aanvallen die de NSA op Bitlocker beperkt mogelijk kreeg was aanvallen op systemen mét TPM, alwaar de encryptie key automatisch afgegeven wordt aan het OS. Dan ben je er nog niet, maar dan kun je in beperkte mate soms wat success halen.

Echter dit soort aanvallen zijn tegen te gaan door Microsoft's adviezen op te volgen betreft configuratie van die PIN in de EUFI.

Als je oprecht geintereseerd bent, is het niet een kwestie van wat artikelen lezen hopende dat je snel iets kunt vinden om meteen als reactive op mijn bericht te posten. O-) Als je écht geintereseerd bent moet je je verdiepen in die werking zodat je zelf ook kunt vaststellen dat het threatmodel zelf goed is, en enkel side channel aanvallen mogelijk zijn.

Of je bent bereid dat te geloven en direct die side channel aanvallen te onderzoeken. En Schneier is een skeptische bron.

Samengevat: Er zijn geen aanwijzingen voor een backdoor, en geen andere berichten in de Snowden files die aangeven dat men het heeft kunnen kraken. Wél zijn er side channel aanvallen mogelijk zoals Evil Maid en aanvallen op de TPM indien niet geconfigureerd met een PIN. (Op PC's kun je eventueel de TPM ook uitschakelen ten koste van gebruiks gemak.)
atlaste
@Armin4 maart 2016 08:55
Wat een onzin. Uitzoeken tot op de bodem is niet eens nuttig in dit geval: Ultimo moet je het Microsoft encryptie team op hun blauwe ogen geloven, omdat je de specificaties niet kan valideren met de werkelijke broncode. Simple as that.

On that bombshell, we weten allang dat de NSA probeert in dergelijke 'encryptie teams' minions te verzamelen om doelbewust de encryptie te verzwakken of backdoors in te bouwen. Heeft niets met conspiracy denken te maken, dat staat gewoon keihard in de Snowden documenten.

Maar geloof vooral mij niet, vertrouw uw eigen experts...:
As prominent cryptographer Bruce Schneier has written, “In the cryptography world, we consider open source necessary for good security; we have for decades.”
Microsoft removed Elephant Diffuser from Windows 8 by NSA request [...] Without Elephant (and just plain AES-CBC), BitLocker loses its edge over XTS-based disk crypto.
Interesting; removal of Elephant diffuser makes targeted attacks on TPM-only BitLocker volumes much, much easier.
Armin
@atlaste4 maart 2016 18:02
Ultimo moet je het Microsoft encryptie team op hun blauwe ogen geloven, omdat je de specificaties niet kan valideren met de werkelijke broncode.

Bitlocker is een disk encryptie protocol. Je kunt - en dat is ook gedaan - bit voor bit controleren wat op disk staat en kijken of dat met de specificatie overeen komt. Dus een backdoor is daardoor niet mogelijk. Er is geen open source nodig om dat mathematisch te bewijzen.

Overigens heb jij geen zicht in de broncode, maar talloze grote bedrijven en hun security experts wel. Het complot zou dan wel heel veel mensen moeten omvatten.

Maar wat je ook gemist hebt uit mijn postings, is dat uit de Snowden onthullingen bleek dat de NSA dus geen toegang had. Dus als er een backdoor in zat, waarom heeft men dan geen toegang?

Enige qua backdoor wat ik zou kunnen bedenken, en ook wel eens geopperd is, is dat er iest met de random nummer generator zou zijn. Echter ook dat is enigsinds te controleren door simpelweg veel keys te maken met een distributie. Plus dat het oorspronkelijk Microsoft ontwikkelaars waren die de backdoor in het NIST eliptical curve algorithme vonden van de NSA. Dus als die twee samen in bed liggen, hadden die security ressearchers kennelijk de boodschap niet begrepen :)
Anoniem: 112442
@Armin4 maart 2016 12:02
Hapklare broken doe ik niet aan :)
Je bent een echte Microsoft medewerker. Aan hapklare brokken deed Ballmer ook niet.

nieuws: Ballmer: Linux schatplichtig aan Microsoft
nieuws: Microsoft: 'Open source schendt 235 MS-patenten'

Ik wacht nog steeds op voorbeelden van Mr FUD.
Die heeft hij en Microsoft tot op heden nog nooit gegeven.

Als jij iets beweert moet je het ook onderbouwen zonder onderbouwen heeft het geen enkele waarde, dat er mensen je een +2 geven bevreemd me erg.

In de meeste diskencryptie mechanismen kun je meerdere paswoorden ter versleuteling definiëren. Als Microsoft er een niet zichtbaar maakt maar toch stiekem zet is dat zeer wel mogelijk.

Ik weet niet of Microsoft dat al dan niet doet. Het boeit me ook niet echt, ik gebruikt geen Microsoft producten.
Armin
@Anoniem: 1124424 maart 2016 18:13
In de meeste diskencryptie mechanismen kun je meerdere paswoorden ter versleuteling definiëren. Als Microsoft er een niet zichtbaar maakt maar toch stiekem zet is dat zeer wel mogelijk.

Als je niet weet hoe Bitlocker werkt, is het verastandig geen losse flodders te roepen. Ik bedoel dat niet belerend, maar bepaalde zaken zijn niet mogelijk omdat disk encryptie die aanvallen inherent afslaat qua ontwerp.

Bij AES encryptie is er bijvoorbeeld welgeteld één sleutel. In elk disk encryptie protocol dus ook, tenzij de data twee keer opgeslagen wordt. Wat vaak gebeurd is die master key met zogenaamde key-protectors verschillende malen versleutelen. Bijvoorbeeld een password-key en een emergency key die je in een kluis legt of upload naar eeb veerrouwde servers (als je die server vertrouwd :-) )

Zo werkt Bitlocker (evenals TrueCrypt, etc) ook. Maar probleen in jouw theorie is, dat het aantal key-protectors bekend is want op disk opgeslagen - per definitie. Immers elke keer als jij de master-key opnieuw genereerd, moeten alle key-protectors opnieuw gegenereerd worden. Dus zelfs al jij er eentje offline zou hebben, elke keer dat Bitlocker suspend/resumed is (instalaltie hardware, BIOS/UIFI. handmatig, na initiele OS setup, etc), zijn de oude ongeldig. Dat kun je als paranoid gebruikers desnoods gewoon zelf doen, net zoals je je wachtworod van een online regelmatig dienst kunt wijzigen.

Ik wil niet vervelend zijn, maar de meeste conspiracy theorieen zijn technisch niet mogelijk als je weet hoe Bitlocker (en andere disk encryptie systemen) werkt. Veel kritiek is - met alle respect - gewoon losse floder werk zoals dat het open source moet zijn, dat er een extra key kan zijn, etc. Dat sort aanvallen zijn inherent onmogelijk ivm de gebruikte mathematische algorithmen. Dat is ook waarom Bitlocker (en TrueCrypt, etc) zo ontworpen is, om inherent bepaalde backdoors te kunnen uitsluiten.

Side-channel aanvallen zijn eigenlijk de enige die mogelijk effectief zijn. Dus daar gaat ook de meeste aandacht naar uit. Me name TPM chips zijn bekende relatieve zwakheden. Die blijtk de NSA dan ook vooral aan te vallen.
Anoniem: 112442
@Armin6 maart 2016 10:33
In de meeste diskencryptie mechanismen kun je meerdere paswoorden ter versleuteling definiëren. Als Microsoft er een niet zichtbaar maakt maar toch stiekem zet is dat zeer wel mogelijk.

Als je niet weet hoe Bitlocker werkt, is het verastandig geen losse flodders te roepen. Ik bedoel dat niet belerend, maar bepaalde zaken zijn niet mogelijk omdat disk encryptie die aanvallen inherent afslaat qua ontwerp.

Bij AES encryptie is er bijvoorbeeld welgeteld één sleutel. In elk disk encryptie protocol dus ook, tenzij de data twee keer opgeslagen wordt. Wat vaak gebeurd is die master key met zogenaamde key-protectors verschillende malen versleutelen. Bijvoorbeeld een password-key en een emergency key die je in een kluis legt of upload naar eeb veerrouwde servers (als je die server vertrouwd :-) )

Zo werkt Bitlocker (evenals TrueCrypt, etc) ook. Maar probleen in jouw theorie is, dat het aantal key-protectors bekend is want op disk opgeslagen - per definitie. Immers elke keer als jij de master-key opnieuw genereerd, moeten alle key-protectors opnieuw gegenereerd worden. Dus zelfs al jij er eentje offline zou hebben, elke keer dat Bitlocker suspend/resumed is (instalaltie hardware, BIOS/UIFI. handmatig, na initiele OS setup, etc), zijn de oude ongeldig. Dat kun je als paranoid gebruikers desnoods gewoon zelf doen, net zoals je je wachtworod van een online regelmatig dienst kunt wijzigen.

Ik wil niet vervelend zijn, maar de meeste conspiracy theorieen zijn technisch niet mogelijk als je weet hoe Bitlocker (en andere disk encryptie systemen) werkt. Veel kritiek is - met alle respect - gewoon losse floder werk zoals dat het open source moet zijn, dat er een extra key kan zijn, etc. Dat sort aanvallen zijn inherent onmogelijk ivm de gebruikte mathematische algorithmen. Dat is ook waarom Bitlocker (en TrueCrypt, etc) zo ontworpen is, om inherent bepaalde backdoors te kunnen uitsluiten.

Side-channel aanvallen zijn eigenlijk de enige die mogelijk effectief zijn. Dus daar gaat ook de meeste aandacht naar uit. Me name TPM chips zijn bekende relatieve zwakheden. Die blijtk de NSA dan ook vooral aan te vallen.
Zie: BitLocker Drive Encryption Overview
When a local administrator initializes BitLocker, the administrator should also create a recovery password or a recovery key. Without a recovery key or recovery password, all data on the encrypted drive may be inaccessible and unrecoverable if there is a problem with the BitLocker-protected drive.

[Reactie gewijzigd door Anoniem: 112442 op 6 maart 2016 10:35]

contrast
@Armin4 maart 2016 08:02
Hapklare broken doe ik niet aan :)

Lekker makkelijk natuurlijk :+, maar nu doe je je verhaal overkomen als een feit zonder enige vorm van onderbouwing.

Ook leuk dat je met een verhaal komt hoe BitLocker werkt (waar dit hele thema overigens niet over gaat). Hier ook geen enkele bron die dat bevestigd.

Dus nee, ik ga me niet, in ieder thema die hier op Tweakers voorbij komt, tot op de bodem verdiepen om je te geloven. Dus nogmaals, geef een bron die jouw stelling onderbouwt.

edit: uit je eigen 'betrouwbare bron':
EDITED TO ADD (3/12): Starting with Windows 8, Microsoft removed the Elephant Diffuser from BitLocker. I see no reason to remove it other than to make the encryption weaker.
Ook hier wat leesvoer waarin het e.e.a. over backdoors wordt geschreven.
Despite the requests being informal, Schneier and other surveillance experts are concerned.
http://mashable.com/2013/...er-backdoor/#5kCTjP89t8qu

edit 2: typo

[Reactie gewijzigd door contrast op 4 maart 2016 09:03]

ikweethetbeter
@Armin4 maart 2016 07:38
En nog steeds mist het bewijs dat jouw stelling onderbouwt...
sirdupre
@ikweethetbeter4 maart 2016 08:26
In de laatste link van @Armin lijkt anders toch te worden uitgelegd dat de genoemde aanvallen op BitLocker werken door middel van side channel aanvallen op de TPM van vijf specifieke hardware leveranciers, en geen directe aanvallen die zwakheden in Bitlocker zelf uitbuiten.

Aangezien Bitlocker kennelijk werkt met AES-128 en allerlei complexe hashfuncties is het niet heel geloofwaardig dat de inlichtingendiensten de encryptie van Bitlocker kunnen kraken. Dit zijn standaard algoritmes zijn waarvan (vrijwel) iedereen die er goed over nagedacht heeft niet gelooft dat ze serieuze zwakheden bevatten. Het probleem is dat je dat nooit kunt bewijzen: misschien zien alle grote wiskundigen en experts wel een hele geniale aanval over het hoofd. Maar dat is niet erg waarschijnlijk en het is nog minder waarschijnlijk dat een journalist iets ziet wat alle experts over het hoofd zien.

Wat waarschijnlijker is, is dat de inlichtingendiensten proberen op een alternatieve aan de cryptografische sleutel te komen, bijvoorbeeld door zwakheden van een specifieke chip aan te vallen. Met de sleutel kunnen ze vervolgens de gegevens ontsleutelen op dezelfde manier als de gebruiker van de computer dat zou kunnen doen. Nu kun je misschien denken dat dat dus een zwakheid van Bitlocker is, maar het hele principe van een cryptografisch systeem is dat iemand met de sleutel gewoon toegang kan krijgen.

Die sleutel is kennelijk opgeslagen in een specifieke hardware module (de TPM) en als die module van een bepaalde fabrikant zwakheden bevat, kan het dus toch mogelijk zijn om op die manier een sleutel te bemachtigen en toegang te krijgen tot een met Bitlocker versleuteld systeem. Dat wil niet zeggen dat de Bitlocker software te kraken is, maar is gewoon een gevolg van het principe dat de veiligheid van een systeem wordt bepaald door de zwakste schakel: in zo'n geval dus een hardware module die de sleutel beheert.

Maar het punt bljift natuurlijk dat je het nooit zeker weet. Het enige wat je kunt doen is je verdiepen in hoe de cryptografische algoritmes precies werken en jezelf overtuigen dat het niet waarschijnlijk is dat het gekraakt kan worden, bijvoorbeeld omdat alle soorten aanvallen die we kennen niet gaan werken. Zeker weten doe je het echter nooit.
Armin
@sirdupre4 maart 2016 17:56
Dat wil niet zeggen dat de Bitlocker software te kraken is, maar is gewoon een gevolg van het principe dat de veiligheid van een systeem wordt bepaald door de zwakste schakel: in zo'n geval dus een hardware module die de sleutel beheert.

Uitstekende samenvatting!

Als aanvulling voor de toekomstige lezer. De TPM anders dan zijnde een potentiele zwakheid heft echter ook weer wat voordelen. Zo kent de TPM de mogelijkheid om automatisch de sleutel te wissen bij 'tampering'. In het geval van Apple vs de FBI zoals nu in de media, zou bij Bitlocker men nooit een nieuwe firmware erin kunnen flashen. De TPM via secure boot merkt dat en blokeerd of wist de sleutel. Microsoft hoeft dus niet bang te zijn dat de FBI bij heb hen op de stoep staat.

Maar ben je heel paranoide, kun je bij Bitlocker de TPM uitzetten. Je moet dan bij elke boot of een (sterk) password invoeren of een externe USB met key bij je hebben. Verlies van gebruiksgemak, maar je kunt dan helemaal vertrouwen op de standaard security algorithmen zoals gepubliceerd en uitvoerig geaudit en gecontroleerd. (Immers Bitlocker is verder bit-voor-bit gespecificieerd en dus controleerbaar.) Dat is ook zoals Bitlocker standaard werkt op PC's die geen TPM hebben.
stresstak
@contrast4 maart 2016 00:39
... bij Windows 10 wordt een backup van de BitLocker key online op de servers van Microsoft opgeslagen (OneDrive).
Kunstig als mijn gebitlockte pc niet aan het net hangt.
contrast
@stresstak4 maart 2016 00:48
Dan is mijn Windows 7 bak die niet ge-encrypt is en ook niet aan het net hangt net zo veilig tegen aanvallen van buitenaf :+ . Zie ook mijn reactie hierboven.
stresstak
@contrast4 maart 2016 00:52
Dan is mijn Windows 7 bak die niet ge-encrypt is en ook niet aan het net hangt net zo veilig tegen aanvallen van buitenaf :+ .
Helemaal waar. Net als mn XP-bak, hoewel die bezaaid is met TrueCrypt.
kiang
@Pietervs4 maart 2016 09:54
Als de overheid apparaten inkoopt is het vaak net een vereiste dat die beveiligd kunnen worden. Ik moet nog de eerste publieke aanbesteding zien waarin staat 'en deze beveiligingsfunctie mag er zeker NIET in zitten' :/
ToolkiT
@Pietervs4 maart 2016 11:38
Ik vermoed iets heel simpels: het kost nogal wat moeite aan development/maintenance om deze feature te houden. Als er weinig gebruikers de feature ook echt gebruiken word het gedescoped zodat de beperkte dev-tijd aan features die wel populair zijn (en dus sales bevorderen) gegeven word.
Pietervs
@ToolkiT4 maart 2016 22:05
Moeite? Dit draait op Android versie 5, volgens de tekst. En die ondersteunt gewoon encryptie, out of the box.

@kiang
Ik lees nergens terug dat dit te maken heeft met overheid, dan wel aanbestedingen, wel wat gespeculeer daarover.
mg794613
3 maart 2016 21:38
Merde, pardon my French.
Aan de ene kant "steunen" ze appel, maar doen ze dit?? Wat mis ik hier?
Ed Vertijsment
@mg7946133 maart 2016 21:43
Ik vermoed dat ze simpelweg niet de moeite willen doen om dit soort dingen aan te vechten en er gewoon niet aan willen beginnen...

Lijkt mij slechte ontwikkeling als tech bedrijven al geen zin hebben om bij hun principes te blijven...
Anoniem: 16328
@Ed Vertijsment3 maart 2016 21:58
Lijkt mij slechte ontwikkeling als tech bedrijven al geen zin hebben om bij hun principes te blijven...
Het principe van een beursgenoteerde onderneming is zoveel mogelijk geld verdienen om de aandeelhouders tevreden te houden.

Edit: Dit is een goed artikel om de hypocrisie van Apple te duiden. http://www.latimes.com/bu...china-20160226-story.html
Since the iPhone was officially introduced in China seven years ago, Apple has overcome a national security backlash there and has censored apps that wouldn't pass muster with Chinese authorities. It has moved local user data onto servers operated by the state-owned China Telecom and submits to security audits by Chinese authorities.

[Reactie gewijzigd door Anoniem: 16328 op 3 maart 2016 22:02]

Spectaculous
@Anoniem: 163283 maart 2016 22:26
Culturen verschillen, en dat kan je op twee manieren oplossen, in verschillende culturen verschillend handelen, of we moeten met z'n allen 1 richting in, hetgeen de komende jaren nog niet zal gebeuren.

Ik zou persoonlijk ook geen tegenstander zijn van het feit dat de iCloud voor NL'ers in Nederland zou worden gehost, zonder connectie met de VS, met security audits van de Nederlandse Overheid om zeker te stellen dat deze data het land niet verlaat.

We gaan er met z'n allen vanuit dat China dit doet om redenen die meer met censuur te maken hebben dan met de privacy van haar inwoners, en truth be told, dat zal het ook wel zijn, maar we concluderen vaak over zaken waar we niet altijd (uitzonderingen daargelaten) het fijne van weten.
Iblies
@Spectaculous3 maart 2016 23:50
China heeft meer inwoners dan Europa en de VS bij elkaar. India heeft ook veel meer inwoners.

Dat dergelijke landen eisen stellen is niet vreemd. Zelfs Nederland met haar 17mln inwoners stelt eisen aan Facebook en heeft het voor mekaar dat een derde partij op de servers mag kijken of er data te vinden is;
http://www.omroepbrabant....mpje+Eindelijk+actie.aspx

Dat Amazon een stap terug met de kindle wil ik wel geloven. Het is in eerste instantie gericht op consument. Wat in het midden wordt gelaten is wat er gebeurt met de cloud-services. Daar zijn bedrijven de grootste afnemers. Als de mogelijkheid tot encryptie daar achterwege wordt gelaten is het vragen om problemen. Het is sowieso afvragen wat er overblijft van alle cloud-services nu overheden zo strak op deze services zitten.
Kalief
@Iblies4 maart 2016 02:10
Dat Amazon een stap terug met de kindle wil ik wel geloven. Het is in eerste instantie gericht op consument.

Deze logica volg ik niet. Wat heeft volgens jou de stap terug in security te maken met het feit dat Kindle voor consumenten is (i.t.t. een zakelijke of overheidsmarkt)?
ToolkiT
@Kalief4 maart 2016 11:41
De gemiddelde consument heeft security nogal laag op de prioriteiten lijst staan, terwijl dat bij de zakelijke markt anders is..
fevenhuis
@Anoniem: 163283 maart 2016 22:24
Ik vermoed dat deze stap wel iets aan inkomsten kan schelen zodra mensen er van horen dat Amazon electronica niets bied voor hun veiligheid.
ToolkiT
@fevenhuis4 maart 2016 11:42
Ik vermoed dat ze wel wat mislopen, maar dat het niet significant in het grote geheel... Amazon is ook niet gek die kijkt natuurlijk naar kosten en baten..
bozotheclown
@Anoniem: 163283 maart 2016 23:58
Want alles wat op internet staat is waar.
kaasboer09
3 maart 2016 21:56
Amazon stop veel geld in hun FireOS. Dit soort berichten zullen alleen maar in de weg staan van massa adoptie. Ik kan mij daarom ook niet voorstellen dat Amazon door de knieēn is gegaan.

Meewerken aan het unlocken van een encrypted device (of zelfs een backdoor inbouwen) is één ding. Maar het totaal verwijderen van de mogelijkheid tot encryptie is een tweede. Ik vermoed daarom dat er misschien iets anders achter zit.... Ik ben benieuwd.
South_Styler
@kaasboer093 maart 2016 23:21
Ik denk zelf dat er twee redenen zijn. Allereerst draait het OS op langzamere hardware. Encryptie zorgt op snelle hardware, zoals in de nieuwste Android telefoons, niet voor merkbare vertaging. In de budgethardware kan ik me dat wel voorstellen. Dus, om de snelheid te verhogen en zodoende de gebruikerservaring te vergroten kan ik me voorstellen dat ze dit doen.
Daarnaast zal het ook te maken hebben met de contracten en publiciteit.
Ongeacht de redenen vind ik het persoonlijk niet goed te praten.
Anoniem: 145867
@South_Styler4 maart 2016 07:20
Vaak zijn bepaalde encrypties verwerkt in de SoC als hardware. Dus zal geen resources nemen van de CPU. Dat zit vaak zelfs in goedkope microcontrollers van een paar dollar al.
ToolkiT
@Anoniem: 1458674 maart 2016 11:43
Paar dollar keer paar miljoen devices is nog steeds een hoop geld, en de softwaredevelopment hebben we dan nog niet eens meegerekend..
Anoniem: 145867
@ToolkiT5 maart 2016 09:09
Heel veel software zaken zoals encryptie algoritmen worden omgezet in hardware. Dit betekend dat de CPU daar zich niet mee bezig hoeft te houden. En de dedicated stukje hardware (Wat ingebakken zit in de chip) doet dat velen malen efficiënter.

Die paar dollar was met betrekking dat het zelfs al in goedkope microcontrollers zit. Dat het in een gewone normale SoC niet zit zou een schande zijn.
Anoniem: 16328
3 maart 2016 21:56
Enige reden om encryptie uit te zetten is als de hardware het simpelweg niet aan kan. Android 5.0 biedt juist verbetering qua snelheid voor devices met lagere specs. Sowieso is het vreemd omdat de eerdere devices wel beschikte over de encryptie mogelijkheid. Nu vind ik een e-Reader eigenlijk ook weer niet zo belangrijk, daar de FBI ook een kijkje kan komen nemen in je boekenkast.
downtime
@Anoniem: 163283 maart 2016 23:28
Dat lijkt mij ook. Als je de autoriteiten wilt plezieren kun je ook voor zwakkere encryptie kiezen of een backdoor inbouwen.
ToolkiT
@Anoniem: 163284 maart 2016 11:46
kindle fire is meer dan alleen een e-Reader.. het is in feite gewoon een android tablet met een custom OS..

De naam Kindle Fire is ook een beetje verwarrend want het heeft weinig met de Kindle e-readers temaken.. maar ze liften natuurlijk wel mee op de merknaam..
Anoniem: 740375
4 maart 2016 05:15
Maar uiteindelijk hebben FBI ,CAI, NSA zelf ook encryptie nodig ,die onkraakbaar is ,voor hun eigen geheimen. Dat geld ook voor systemen die online moeten zijn ,maar toch encryptie nodig hebben.
Energie centrales ,waterdammen ,orkaan waarschuwingen ,terrorisme ,en informatie over Noord Korea ,China ,Iran ,Rusland enz .Er moet gecommuniceerd worden via beveiligde kanalen .
Dus is er zeker soft ware die veilig is ,maar of dat van Microsoft of Apple af komt ?

Ook een e-reader mag veilige encryptie verwachten omdat je boeken prive zijn en kunnen aanleiding geven om je te classificeren in sommige landen ,waar onder de U.S.A ./ Rusland .
Dus het is de vraag geworden welk product is het meest veilig .Ik heb er niet veel verstand van maar op Linux met 256 bit encryptie ,zullen ze toch het moeilijker hebben ,dan met een Windows of Apple O.S met 128 bit encryptie.Omdat standaard O.S , zoals Windows en Apple dat zijn , meer kwetsbaar zijn, in hun structuur opbouw van het OS,vanwege het standaard missen van implementatie voor bepaalde zaken.
Lees dit artikel maar https://luxsci.com/blog/2...tls-maximal-security.html

[Reactie gewijzigd door Anoniem: 740375 op 4 maart 2016 05:28]

FreshMaker
@Anoniem: 7403754 maart 2016 08:06
Maar uiteindelijk hebben FBI ,CAI, NSA zelf ook encryptie nodig ,die onkraakbaar is ,voor hun eigen geheimen. Dat geld ook voor systemen die online moeten zijn ,maar toch encryptie nodig hebben.
Energie centrales ,waterdammen ,orkaan waarschuwingen ,terrorisme ,en informatie over Noord Korea ,China ,Iran ,Rusland enz .Er moet gecommuniceerd worden via beveiligde kanalen .
De echt zware geheimen staan op airgapped devices.
Waarschijnlijk met inderdaad encryptie op hoog niveau, maar ( als je het goed doet ) moet je een kritisch apparaat maximaal beveiliging, en de eerste stap daarin is toegangsbeperking.

Niet softwarematig, maar gewoon ouderwets.
Slot, sleutels, bewakers en bovenal controle op de eerste drie.

Geen makkelijke route's zoals een remote acces, of zelfs maar een terminal op locatie, buiten de kamer.
Maar helaas wint "gemak" het van veiligheid, en komen dus foutjes zo bovendrijven
My Tec Master
3 maart 2016 22:18
Dat ze geen zin in hebben om verzoeken te krijgen voor de encryptie van Fire OS is 1 ding, alleen volgens mij schaadt dit hun imago toch echt wel. Dat imago hebben ze wel nodig met de Amazon Cloud activiteiten.
satya
3 maart 2016 22:59
Ben benieuwd later gaat gebeuren rondom AWS en aanverwante producten :/
Will_M
3 maart 2016 23:37
Op zich wel "grappig" dat een boekenwinkel welke een 'OS" samen gesteld heeft op basis van een ander OS (Android) zichzelf terug trekt uit een encryptie "strijd".

De encryptie waar het (in het San Berdino / Apple geval) over gaat betreft "hardware" encryptie (encryptie op basis van Hardware ID's).

Amazon wil schijnbaar dus iets provoceren én 100% softwarematig gaan encrypten (waarbij het OS onafhankelijk van de hardware gaat draaien en er ergens een "sleutel" open/bloot komt te liggen in de software)?

[Reactie gewijzigd door Will_M op 3 maart 2016 23:48]

Kalief
4 maart 2016 02:18
Mensen die een Kindle kochten deden dat om boeken te lezen, wat kan hen encryptie schelen?

En andersom, welke specifieke Fire OS gebruikers moeten zich nu wél even achter de oren gaan krabben?
mashell
@Kalief4 maart 2016 11:19
Mensen die een Kindle kochten deden dat om boeken te lezen, wat kan hen encryptie schelen?
De encryptie is misschien zelfs wel vooral voor Amazon van belang. Dat er geen boeken van een gestolen Kindle in het illegale circuit terecht komen.
Ik vermoed dat die Fire dingen zo verliesgevend zijn dat ze een heel lage prioriteit hebben en het handjevol ontwikkelaars dat er nog aan werkt zonder medeweten van boven de encryptie eraf gesloopt heeft omdat dat de dingen gewoon veel gemakkelijker maakt.
Forage
4 maart 2016 08:51
Amazon is niet de enige fabrikant die de encryptie mogelijkheid uit Android heeft verwijderd. Oppo heeft met zijn ColorOS hetzelfde gedaan. Zij reageren echter niet op de vraag waarom. Gezien het feit dat dit een bedrijf uit het niet-privacy-liefhebbend land China is lijkt mij dat er andere motieven dan "gebruikers gemak" spelen.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee