Document bewijst dat FBI ssl-sleutels van Lavabit wilde vanwege Snowden

Bij een nieuwe publicatie van rechtbankdocumenten met betrekking tot de Lavabit-zaak hebben de Amerikaanse autoriteiten verzuimd het e-mailadres van Edward Snowden onleesbaar te maken. Daarmee is bewezen dat de klokkenluider doelwit was van de FBI's opvragingen.

Het was al lang en breed duidelijk dat de FBI bij de aanbieder van versleutelde e-maildiensten Lavabit aanklopte vanwege Snowden, maar de eigenaar van de dienst, Ladar Levison, mocht hier niets over zeggen en de naam was verwijderd uit documenten over de zaak. Per abuis hebben de Amerikaanse autoriteiten een keer het e-mail-adres Ed_Snowden@lavabit.com vergeten te verwijderen uit een nieuwe publicatie, online gezet door Cryptome, waarmee inmiddels onomstotelijk vast staat dat het om de klokkenluider ging.

Uit de documenten blijkt ook dat Levison in principe tegemoet wilde komen aan de vordering van de FBI, maar dan door de tijd en datum van logins en -outs, het ip-adres en niet-inhoudelijke e-mailheaders van Snowdens account te verstrekken. De Lavabit-eigenaar wilde hiervoor 2000 dollar compensatie voor gemaakte kosten, met nog eens 1500 dollar bij frequente opvragingen.

De FBI wees het voorstel van de hand en eiste 'alle informatie die nodig is om communicatie van en naar het e-mailaccount te ontsleutelen, waaronder encryptiesleutels en ssl-sleutels' en 'alle informatie die nodig is om data te ontsleutelen die zich in het account bevindt of daarmee geassocieerd is'. In de praktijk betekende dit dat de FBI hiermee toegang kon krijgen tot de communicatie van alle 400.000 gebruikers. Iets waar Lavabit zich tegen verzette.

Lavabit ging uiteindelijk overstag en droeg de ssl-sleutels inderdaad over, geprint op papier. De FBI moest daardoor alle karakters overtypen, met grote kans op fouten. Uiteindelijk werd de dienst opgedragen de sleutels elektronisch te verstrekken. Lavabit deed dat maar besloot tegelijkertijd dat het onmogelijk was zijn werkzaamheden voort te zetten. Uit de documenten blijkt nog dat de FBI klaagde dat zes weken aan data van Snowden niet meer ingezien kon worden door het traineren door Lavabit.

Lavabit Snowden

IT-banen

Reacties (127)

The Zep Man

Encryptie
Netwerk en systeembeheer
Politiek en recht

18 maart 2016 11:58

En hierom is het belangrijk dat soortgelijke diensten forward secrecy implementeren. Bij forward secrecy worden eerst de identiteiten vastgesteld (zoals normaal is bij SSL/TLS), en vervolgens tijdelijke sleutels gegenereerd, gebruikt en weggegooid op een zodanige manier dat die met het originele SSL/TLS sleutelmateriaal en cipher text niet meer te verkrijgen zijn.

[edit]
Van wat ik er verder van lees, kon het wel eens zo zijn dat de FBI de servers van Lavabit wilde spoofen en als man-in-the-middle tussen live verkeer van Snowden en anderen zou gaan zitten. Daar helpt zelfs forward secrecy niet tegen, en het is niet zo verbazingwekkend dat Lavabit meteen de handdoek in de ring gooide. Overigens schijnt het dat ze met een opvolger willen komen.

[Reactie gewijzigd door The Zep Man op 2 augustus 2024 00:12]

SampleUser @The Zep Man • 18 maart 2016 12:29

Ik heb DH-16384, dat zal waarschijnlijk wel goed zijn ga jk vanuit?

The Third Man @SampleUser • 18 maart 2016 14:53

Wat levert dat op tegenover 4096 of 8192? Dat lijkt me sowieso al niet de zwakste schakel in de keten.

swinferno 18 maart 2016 11:12

En dit jongens en meisjes, is waarom het een goede zaak is dat Apple weigert een backdoor voor de Amerikaanse overheid te openen in haar iPhone software

Jay47 @swinferno • 18 maart 2016 11:24

Ben ik niet mee eens, voor normale brugers ok.
Maar een terrorist.....nee!

robvanwijk

Encryptie
Politiek en recht
Netwerk en systeembeheer

@Jay47 • 18 maart 2016 11:37

Het probleem is dat ze dit niet kunnen doen alleen voor die ene telefoon; als ze zo'n OS-"upgrade"-met-backdoor produceren, dan is die voor alle iPhones van hetzelfde type bruikbaar, ook die van alle "normale burgers".

De FBI heeft overigens al tientallen andere iPhones klaar liggen waarop ze rond willen neuzen. De reden dat ze Apple deze opdracht nog niet eerder hebben gegeven is omdat ze prima wisten dat hun zaak niet sterk genoeg was; ze hebben gewoon zitten wachten op een zaak die "media-technisch" de meeste kans van slagen had.

walteij @robvanwijk • 18 maart 2016 11:47

Niet alleen de FBI, alleen de staat New York heeft al 175 iPhones liggen waar ze hetzelfde mee willen doen. Dat is slechts 1 van de staten.

Daarnaast is het probleem, als Apple deze firmware maakt, is het wachten op een ander land dat dezelfde eis gaat neerleggen bij Apple.
Laten we beginnen met Canada (dat door de USA als een bondgenoot en vriendschappelijk land wordt gezien), als zij dezelfde firmware zouden krijgen, komen vanzelf andere landen ook aankloppen. Dat begint natuurlijk bij andere bondgenoten (UK, Australie etc), maar uiteindelijk ook landen waar de privacy nog minder hoog in het vaandel staat (China, Syrië, Rusland).

Als Apple de firmware niet aan deze landen geeft, kun je er nagenoeg zeker van zijn dat Apple en/of de FBI aangevallen gaan worden, om de firmware te verkrijgen.
Ook als Apple de firmware maakt en deze alleen maar aan één overheidsorganisatie dan ook geeft, zullen zowel Apple als die overheidsorganisatie de nodige aanvallen te verduren krijgen.

Verwijderd @Jay47 • 18 maart 2016 11:40

Wat doe je dan als de overheid het standpunt inneemt: "Alle normale burgers zijn potentiële terroristen"?
Een verdachte (die dus niet veroordeeld is!) is per definitie een normale burger. Een verdachte heeft namelijk niks fout gedaan tot het tegendeel bewezen is.

[Reactie gewijzigd door Verwijderd op 2 augustus 2024 00:12]

Stoney3K

Politiek en recht
Encryptie

@Verwijderd • 18 maart 2016 12:04

Wat doe je dan als de overheid het standpunt inneemt: "Alle normale burgers zijn potentiële terroristen"?

Dan zijn plots de rollen omgedraaid, en wordt niet de burger, maar de overheid de grootste terrorist. Terrorists win.

JAVE @Jay47 • 18 maart 2016 11:35

Techniek maakt geen onderscheid tussen terrorist en niet-terrorist.
Als het voor de een kan, kan het ook voor de ander.

Je kan dus niet een oplossing schrijven die alleen maar op telefoons van terroristen werkt.
Dat betekent dat als de overheid eenmaal een manier heeft om toegang te krijgen, ze dit overal kunnen toepassen.

En dat is wat je niet wilt. Dat is ook waarom Lavabit ermee is opgehouden.
Terrorist (of verdacht van terrorisme) of niet.

Jay47 @JAVE • 18 maart 2016 11:36

Daar heb je wel gelijk in helaas.

Madrox @Jay47 • 18 maart 2016 12:07

En waarom is dat helaas? Omdat de overheid niet te vertrouwen is; gemaakte afspraken houden geen stand en worden telkens opgerekt of gewoon klinklaar overtreden. In het geniep natuurlijk want owee als dat uitlekt.

mashell @Madrox • 18 maart 2016 12:23

De oveheid is altijd meer te vertrouwen dan terroristen...
Als je in een westers democratisch land durft te beweren dat de overheid (alsof dat een zelfdenkende entiteit zou zijn) niet te vetrouwen is dan is er tenminste nog vrijheid van meningsuiting.
De overheid is geen entiteit, maar een groep mensen die we aangesteld hebben deze taak uit te voeren. De bestuurders van deze overheid hebben we zelf gekozen. En natuurlijk bestaat de overheid uit mensen en die mensen maken fouten, net als alle andere mensen, maar om daarom te stellen dat de overheid niet te vertrouwen is gaat me veel te ver.

Madrox @mashell • 18 maart 2016 12:26

Dat mag je vinden maar als je leest wat verschillende overheids instanties allemaal uitspoken kan ik niet anders oordelen. Keer op keer word het vertrouwen van de burger geschonden en keer op keer gebaggetaliseerd, onder het tapijt geschoven of gewoon bot weg gezwegen. Soms komt er een onderzoek, vaak "voor de buhne".

Verwijderd @mashell • 18 maart 2016 23:41

Als je zelf echt nog geloofd in democratie dan ben je erg naïef. Er is hier geen democratie in Europa. Nederland stemde tegen de EU ergens in 2000 en we zitten nu nog steeds met de gebakken peren. Om maar een voorbeeld te noemen.

mashell @Verwijderd • 21 maart 2016 13:56

Helemaal niet naief. Ja de EU mag nog wel wat democratischer. Het verdrag van Nice van 2000 heeft Nederland voorgestemd. De Europese grondwet, in 2005 heeft het volk in een referendum afgekeurd, terwijl die grondwet de EU notabena democratischer zou maken. Alleen was de tegenstem bij het referendum niet zozeer een stem tegen de EU of het grondwet verdrag maar tegen de eindeloze stroom zuur van Balkenende.

Verwijderd @mashell • 21 maart 2016 17:02

Het is wel naïef. Europa is niet democratisch. Ooit gehoord van ukip en hun leider Nigel farage? Zoek hem maar eens op. Hij zegt hetzelfde. Democratie wordt hier in Europa de kop ingedrukt.

mashell @Verwijderd • 21 maart 2016 17:28

Je kunt Nigel Farage toch niet serieus nemen? Die man roept dat we het Europarlement moeten afschaffen (weg democratie), maar is er zelf wel lid van en loopt toeslagen te incasseren. Farage is typisch zo'n gek die er voor z'n eigen portomonaille zit.

Verwijderd @mashell • 21 maart 2016 18:25

Europa is een schijndemocratie. Er is niks democratisch aan. De Europese Unie is een legale organisatie die legaal van zn bevolking steelt. Ik kan ook echt niet wachten tot het in elkaar stort. Ik zal er persoonlijk geen enkele last van hebben dus.

O wacht zullen we even over Rutte en Pechtold beginnen? Die lopen ook zakken te vullen door hun eigen bevolking uit te kleden.

De Europese Unie is een grote bende. Ik heb geen pensioen meer. Mijn pensioen is weg!!! Schuld van de europese Unie. Meer dan 125.000.000 mensen leven in armoede in het geweldige Europa. Ja Europa is geweldig. NOT.

Farage is de ENIGE in dat klote brussel die iets durft te zeggen. Ik snap ook niet waarom jij zo Pro Europa bent. Of ben je soms zn VVD tokkie die er wel op vooruit gaat???

mashell @Verwijderd • 21 maart 2016 18:42

Ik ben nogal geen VVDer (nep liberalen vind ik dat) maar heb als Nederlander in het buitenland inderdaad nogal belang bij de Unie. Ik realiseer mee goed dat het kleine land Nederland dat amper wat produceert en eigenlijk niet meespeelt op het wereldtoneel zijn hele naoorlogse welvaart aan de Europese Unie te danken heeft.

ANW @mashell • 25 maart 2016 10:57

Zijn hele naoorlogse welvaart?
Naoorlogs: vanaf mei 1945
Europese Unie: vanaf november 1993
Europese Economische Gemeenschap: vanaf maart 1957

Dus je bedoelde de EEG?

mashell @ANW • 25 maart 2016 13:07

EU of EEG is natuurlijk lood om oud ijzer.

latka @mashell • 18 maart 2016 12:55

Ik durf niet zo stellig te zeggen dat de overheid meer te vertrouwen zou zijn dan terroristen: beide streven een doel na en zijn dientengevolge voorspelbaar in de acties. De overheid als organisatie is echter politiek gedreven. En politiek is, zeker tegenwoordig, meer een kwestie van "wat komt me nu electoraal handig uit' en dealtjes maken met zoveel stakeholders dat ik het resultaat niet meer kan voorspellen (het verkiezingsprogramma van de huidige regering is in ieder geval niet in lijn met de besluiten die de overheid neemt op dit moment).
Een terrorist heeft minder stakeholders en belangen en kan ik eenvoudiger voorspellen (let wel: beide gaat over de grote lijnen, niet over acties van individuen binnen overheid of terroristengroep).

mashell @latka • 18 maart 2016 13:24

het verkiezingsprogramma van de huidige regering is in ieder geval niet in lijn met de besluiten die de overheid neemt op dit moment

De regering is dan ook een coalitie en de het regeerakkoord een compromis uit de beide verkiezingsprogramma's.

Fiander @mashell • 18 maart 2016 12:57

Nee, terroristen kun je vertrouwen op onbetrouwbaar zijn. Zelfs daarin kun je overheden niet vertrouwen.

Jay47 @Madrox • 18 maart 2016 12:13

Helaas dat idioten dan niet gepakt kunnen worden en helaas dat overheid gaat kloten.

Verwijderd @JAVE • 18 maart 2016 12:03

Volgende verplichte vraag bij het instellen van de telefoon:
Bent u een terrorist
o ja
o nee
o mijn naam is Ahmed en ik ben dood (Jeff Dunham

)

Het is redelijk onzinnig om te denken dat je een verschil kan maken tussen telefoons van terroristen en niet-terroristen.

Blokker_1999

Politiek en recht
Netwerk en systeembeheer

@Jay47 • 18 maart 2016 11:37

Voro een waardeloze iPhone waarvan met grote waarschijnlijkheid geweten is dat er geen gevoelige informatie op te vinden is. die stond vermoedelijk wel op de vernietigde telefoons die in de vuilbak zijn gevonden.

Daarnaast is ook al geweten dat de FBI ondertussen al meer dan een dozijn telefoons heeft klaarliggen waarop men deze truck ook wenst toe te passen. Men heeft alleen een precedent nodig en dat verkrijgt men eenvoudiger dankzij het magische woord terrorisme.

En als eenmaal de FBI toegang krijgt tot deze data, hoe lang denk je dat het zal duren vorodat andere diensten en landen hetzelfde gaan beginnen eisen? Het is een utopie om te denken dat wanneer ze eenmaal de mogelijkheid hebben dat het dan ook maar bij 1 enkel toestel zal blijven.

Jay47 @Blokker_1999 • 18 maart 2016 12:26

Yes heb je zeker gelijk in.
Denk dat overheidsdiensten maar een ander manneir moet vinden om die gasten te pakken!

Verwijderd @Jay47 • 18 maart 2016 11:37

Nu is het terrorisme, straks diefstal en straks gewoon standaard dingetje...

Smultie @Jay47 • 18 maart 2016 11:38

En welke objectieveling gaat bepalen wie of wat een terrorist is? Jij?

telenut @Jay47 • 18 maart 2016 11:44

tot iemand plots zegt te vermoeden dat jij een terrorist bent...
En ik kan het weten.
Ik ben hier dus volledig tegen

Jay47 @telenut • 18 maart 2016 12:27

Hoe kan jij het weten hebben ze vermoeden dat jij er een bent?

Deakers @Jay47 • 18 maart 2016 13:26

waarom weten ? een "anonieme" tipgever die zegt dat jij er een bent is mogelijk genoeg om verdenking te rechtvaardigen...

telenut @Jay47 • 18 maart 2016 16:00

Als de politie plots aan uw deur staat weet je het wel eh...

killercow @Jay47 • 18 maart 2016 12:15

Een terrorist als Edward Snowden?

Jay47 @killercow • 18 maart 2016 12:28

Edward Snowden is geen terrorist maar een held!

killercow @Jay47 • 18 maart 2016 12:48

mijn punt precies.

Timoo.vanEsch @Jay47 • 18 maart 2016 11:34

Wat is het verschil?

Verwijderd @Jay47 • 19 maart 2016 10:37

Definieer "terrorist." Is Snowden een terrorist?

it0 @swinferno • 18 maart 2016 11:17

Nee, die backdoor zit er al, immers met andere firmware lees je dat ding uit. Apple heeft zich aan de wet te houden en moet de data verstrekken.

Apple had een betere telefoon moeten designen zodat deze backdoor niet mogelijk was.

Nu is het alleen maar marketing en propaganda.

Pendora @it0 • 18 maart 2016 11:24

Euhm Apple moet nu een firmware ontwerpen die over de huidige geïnstalleerd kan worden om zo de 10 poging limiet te omzeilen.
Apple hoeft niet en kan niet de data lezen wat op de iPhone staat. Er is dus geen backdoor bekend.

it0 @Pendora • 18 maart 2016 11:26

Waarom denk je dat de FBI/NSA dat niet zelf kan?

@hieronder

Ik ben van mening dat als je met een simpele firmware aanpassing een bruteforce attack kunt doen om toegang te krijgen tot data een backdoor is.

Daarnaast denk ik dat de NSA/FBI over genoeg resources beschikt om een key achterhalen, resignen etc.

En als een rechter, die de wet volgt zegt dat je iets moet doen, dan heb je dat toch te doen, zo werkt het toch volgens mij?

[Reactie gewijzigd door it0 op 2 augustus 2024 00:12]

Pendora @it0 • 18 maart 2016 11:30

Omdat zij niet de broncode hebben en de handtekening om zelf een iOS versie uit te brengen. Iets wat zij nu ook eisen.

ATS @it0 • 18 maart 2016 11:33

Omdat de key om de firmware te signen zodat hij ook te installeren is bij Apple is, en de broncode ook.

Madden @it0 • 18 maart 2016 11:36

Omdat het reverse-engineeren en het aanpassen zodat die 10-pogingen limiet omzeild wordt nogal wat tijd kost, zelfs voor ervaren ontwikkelaars. Het is dus sneller om Apple engineers (die ervaring hebben met het bouwen aan iOS) het te laten doen.

Technisch gezien kunnen ze overigens wel bij de data. Die is kennelijk niet vernietigt, maar alleen de sleutels ervan zijn gewist/veranderd. De FBI kan de data dus prima kopieren, maar ontsleutelen kost wat jaartjes, vanwege de gebruikte encryptie. Als ze dus het decrypten kunnen overlaten aan de telefoon zelf en gewoon onbeperkt inlogcodes kunnen proberen zullen ze sneller de juiste code vinden en de data weer leesbaar krijgen. Is het idee althans.

Een goede uitleg van wat er nu eigenlijk aan de hand is wordt hier gegeven: https://stratechery.com/2...for-apple-and-encryption/.

dehardstyler @it0 • 18 maart 2016 12:27

Omdat ze wetten uit 1700 gebruiken en er een heel media circus van maken. Net alsof het uitgelekt was als ze het zelf konden doen?

edit: typo

[Reactie gewijzigd door dehardstyler op 2 augustus 2024 00:12]

Warpozio @it0 • 18 maart 2016 11:36

De wet is duidelijk, Apple moet niets doen....

https://backchannel.com/t...s-9ae60c3bbc7b#.5cxlyyoei

Communications Assistance for Law Enforcement Act (CALEA) that does not allow the government to tell manufacturers how to design or configure a phone or software used by that phone — including security software used by that phone.

themac1983 @it0 • 18 maart 2016 11:38

die andere firmware bestaat alleen niet, en zou gemaakt moeten worden.

ShellGhost @it0 • 18 maart 2016 11:46

Geef even aan over welke wet je het hebt en ook meteen bewijs dat er in iOs9 de backdoor in zit waar je naar verwijst.

mddd @it0 • 18 maart 2016 12:06

Immers met andere firmware lees je dat ding uit.

Dat klopt. Maar die firmware moet wel door Apple zijn uitgebracht (om preciezer te zijn: getekend zijn met de key van Apple). Pas op het moment dat Apple dat zou doen wordt de backdoor aangebracht. Wat meteen al aangeeft waarom je stelling:

Nee, die backdoor zit er al

niet waar is.

Verwijderd @swinferno • 18 maart 2016 12:04

Apple die gooit alle privacy van Chinese gebruikers weg voor financieel gewin: http://www.latimes.com/bu...china-20160226-story.html In het geval van het westen stribbelen ze meer tegen voor hun eigen imago.

walteij @Verwijderd • 18 maart 2016 12:35

Kleine nuance hier.
Apple heeft ook aan de FBI keurig alle data geleverd die op iCloud stond, net zoals ze dit bij China doen.
Lees het artikel nog eens goed. Ze vergelijken de volgende dingen met elkaar:

It has moved local user data onto servers operated by the state-owned China Telecom and submits to security audits by Chinese authorities.

The approach contrasts with Apple's defiant stance against the FBI, which is heaping pressure on the company to decrypt an iPhone that belonged to San Bernardino shooter Syed Rizwan Farook.

Ja, inderdaad. Apple blijft 'opstandig' als het gaat om de iPhone te decrypten (of firmware te schrijven waarmee de beveiliging omzeilt wordt).
Maar ze hebben aan de andere eisen van de FBI voldaan (o.a. aanleveren data die op iCloud stonden).
Het spijt me heel erg, maar het artikel waarnaar je hier linkt en de conclusie die je trekt, klopt gewoon niet. De kop is duidelijk clickbait, er zit wat meer nuance in het artikel zelf.

The environment will get even tougher, Apple says, if the FBI prevails in seeking a so-called backdoor to Farook's Phone. That could set a precedent for China's authoritarian leaders to demand the same in a country where Apple has never publicly defied orders.

De rest van het artikel is vooral bashen op de regelgeving in China en hoe weinig respect China heeft voor privacy en bedrijsgeheimen in het buitenland, waarbij ik direct moet toegeven dat China inderdaad (voorzichtig uitgedrukt) er niet goed op staat wat dat betreft.

Tukkertje-RaH @swinferno • 18 maart 2016 11:16

Hoezo? Ik ben met je eens dat die backdoor in de iPhone er niet moet komen - maar hoe ondersteunt deze zaak van Lavabit en Snowden precies de argumenten voor de iPhone backdoor?

locke960 @swinferno • 18 maart 2016 12:10

En dit jongens en meisjes, is waarom het een goede zaak is dat Apple weigert een backdoor voor de Amerikaanse overheid te openen in haar iPhone software

Euuh, nee. Ja, het is een goed zaak dat bedrijven niet zomaar klakkeloos meewerken aan al die informatie eisen van overheden, maar dat is niet de les die we zouden moeten leren.

De les die we hier moeten leren is dat het niet uitmaakt hoe technisch gesofisticeerd een systeem is, als de controle ergens anders ligt dan bij de gebruiker, dan is het systeem kwetsbaar. Derde partijen als Apple en Lavabit kunnen, zoals blijkt, succesvol afgedreigd worden.
De conclusie zou dus moeten zijn dat systemen zodanig ontworpen moeten worden dat zelfs de fabrikant/leverancier niets met de data kan doen zonder medewerking van de gebruiker.

langzaam @swinferno • 18 maart 2016 12:24

Voor mensen die niet willen dat de Amerikaanse overheid kan meekijken moeten dan maar een ander OS installeren en waar dit niet mogelijk is omdat dit afgeschermd is, dan maar een ander merk aanschaffen waarbij dit wel mogelijk is.... Ohhhh heeft Appel dan geen bestaansrecht meer? So be it.

Verwijderd @langzaam • 18 maart 2016 23:45

Feit is wel dat Apple erg weinig over hun gebruikers opslaat. Zoals ze zelf zeggen. We just doet wanna know.

Microsoft en Google met al die vreemde privacy verhalen daarentegen.

.SnifraM 18 maart 2016 11:16

Lavabit ging uiteindelijk overstag en droeg de ssl-sleutels inderdaad over, geprint op papier. De FBI moest daardoor alle karakters overtypen, met grote kans op fouten.

Dit is dan toch wel weer humor.

Stoney3K

Politiek en recht
Encryptie

@.SnifraM • 18 maart 2016 12:02

[...]
Dit is dan toch wel weer humor.

Zo is dus ook de PGP-encryptie de Verenigde Staten uit gesmokkeld. PGP was in de jaren 80 nog verboden om te exporteren als 'sterke encryptie' onder de Amerikaanse wapenwet, dus wat de ontwikkelaars hebben gedaan is simpel: Ze hebben de broncode uitgeprint en met de post naar Nederland verzonden als drukwerk, waarna in Nederland de hele handel weer is ingetypt en gecompileerd.

Volledig legaal, want de wapenwet ging als het om cryptografie ging alleen om computerprogramma's, niet over afgedrukte broncode die onder het briefgeheim valt.

Jerie

@Stoney3K • 18 maart 2016 12:44

PGP bestond niet in de jaren 80. PGP komt uit 1991. Je hebt het over groot deel van begin jaren 90.

Daniel J. Bernstein (de Bernstein van Universiteit van Chicago, Qmail, cr.yp.to, enz) heeft de Amerikaanse regering aangeklaagd, en de Amerikaanse regering heeft toen de wetgeving aangepast.

Bronnen,

https://en.wikipedia.org/wiki/PGP
https://en.wikipedia.org/wiki/Bernstein_v._United_States

robvanwijk

Encryptie
Politiek en recht
Netwerk en systeembeheer

@Stoney3K • 18 maart 2016 13:33

Met het grote verschil dat de PGP source is uitgeprint in een lettertype specifiek geoptimaliseerd voor OCR en op een normaal formaat; de Lavabit key is zo klein mogelijk geprint, dat het nog net leesbaar te noemen was, juist om OCRen onmogelijk te maken.

Ik weet niet wie de eerste persoon was die het gezegd heeft, maar ik heb inmiddels meerdere keren de redenatie gehoord dat het misschien beter geweest zou zijn als sterke encryptie onder de wapenwet was blijven vallen. Dan zouden ze ofwel nooit aan encryptie kunnen komen, of eindelijk hun compleet gestoorde wapenwetgeving moeten fixen (dan zitten we nog steeds met backdoors in onze encryptie, maar in elk geval worden Amerikaanse middelbare scholen veiliger dan het gemiddelde oorlogsgebied).

robvanwijk

Encryptie
Politiek en recht
Netwerk en systeembeheer

@.SnifraM • 18 maart 2016 11:44

Aanzienlijk minder humor is dat Lavabit daardoor stopgezet is... Een bedrijf dat niks fout heeft gedaan, kapot gemaakt door de FBI, goed bezig hoor!

@Jerie: Ik bedoelde "niks fout gedaan" in de zin "geen wetten overtreden".

[Reactie gewijzigd door robvanwijk op 2 augustus 2024 00:12]

Jerie

@robvanwijk • 18 maart 2016 12:39

Niks fout had gedaan? Het was niet veilig. Het had veilig kunnen zijn wanneer er end to end encryption gebruikt zou zijn, zoals Moxie Marlinspike betoogd. Daarnaast had ook iedere gebruiker's email met eigen disk encryption beveiligd kunnen zijn.

wizzkizz @Jerie • 18 maart 2016 13:24

Je kunt het nog zo versleuteld opslaan, ze moeten ook de sleutels geven die gebruikt werden tijdens het transport van de emails. Dan tap je gewoon de SMTP/IMAP/web servers en ontsleutel je alle verkeer met behulp van de verkregen sleutels.

Alleen emails die afzonderlijk versleuteld worden (PGP bijvoorbeeld) waarbij de uiteindelijke ontvanger de private key nooit aan derden heeft verstrekt of gelekt heb je dan niet. Maar dat is voor veel gebruikers al snel weer te moeilijk en integreert niet zo lekker met webbased clients, dus bieden providers dan maar aan om het sleutelbeheer voor de gebruikers te doen. In theorie nog steeds end-to-end encryptie, maar dan wel kwetsbaar voor Law Enforcement.

Jerie

@wizzkizz • 18 maart 2016 13:47

Heb me er nog even in verdiept via o.a.

https://en.wikipedia.org/..._providers#Digital_rights

Zal ook even in gaan op

In theorie nog steeds end-to-end encryptie, maar dan wel kwetsbaar voor Law Enforcement.

Bitmessage bestond toen al, namelijk sinds november 2012.

Er was dus een concurrent die het wel goed deed (end to end encryption en zero knowledge).

GPG is inderdaad volgens onderzoek te moeilijk voor gebruikers, maar in web-based client is het niet moeilijk.

Het enige dat je aan de klant uit moet leggen is dat ze 2 wachtwoorden nodig hebben.

Dat zou trouwens ook een goeie voor LastPass ed. zijn. Alhoewel dat gehost wordt in de VS.

Wanneer mensen geen public key cryptografie gebruiken, volgens een standaard (GPG ligt dan wel heel erg voor de hand), dan is het vragen om problemen.

Wat betreft de huidige keus in maart 2016, je hebt er 3:

Bitmessage,
Protonmail,
Tutanota.

Bitmessage is de oudste.

Ze zijn allemaal open source.

Tutanota heeft als nadeel dat het gehost wordt in Duitsland (als EU burger blijf je dan wel in de EU, bijv NL + DE). Dat is een nadeel dat Protonmail en Bitmessage niet hebben want die worden in Zwitserland gehost. Bitmessage is distributed, Protonmail is centralized. Bitmessage werkt via Tor, de andere twee in de praktijk niet omdat ze Javascript gebruiken.

Tenslotte is het een interessante optie om te verkassen naar Zwitserland. Ken diverse mensen die dit al gedaan hebben. De Zwitsers hebben al 2 wereldoorlogen overleeft zonder deel te nemen.

Verwijderd @robvanwijk • 18 maart 2016 12:22

Dit gebeuren toedichten aan de FBI gaat te ver. Het is toch echt, die door velen gezien goede president van de VS, Obama die achter de heksenjacht op Snowden zit. Onder zijn regering wordt er keihard opgetreden tegen klokkenluiders.

aryan1171 @Verwijderd • 18 maart 2016 12:32

Ik weet niet of je sarcastisch probeert te zijn maar nee, het is niet Obama. Als je dat echt denkt moet je eigenlijk een lesje overheden en marionetten krijgen. De FBI is hier gewoon verantwoordelijk voor het wegpesten van Lavabit.

Blizz @aryan1171 • 18 maart 2016 13:17

Ik vind het heel idealistisch dat je zo strijdt voor de president die veranderingen zou brengen, maar geheel machteloos is de commander-in-chief ook niet. Het is niet meer dan een feit dat zijn regering (inclusief Hillary Clinton) hevig strijdt tegen klokkenluiders.

Since Barack Obama entered the White House in 2009, his government has waged a war against whistleblowers and official leakers. On his watch, there have been eight prosecutions under the 1917 Espionage Act – more than double those under all previous presidents combined.

[1] [2]

DigitalExorcist @Blizz • 18 maart 2016 13:38

Maar : is hij dat, of is dat door toedoen van de Republikeinen? Obama moet een héle hoop gedaan krijgen, waarbij steun van de Republikeinen voor belangrijke wetswijzigingen nodig is.

En als je steun van de Republikeinen, en 'dus' je wetsvoorstellen wil krijgen, moet je concessies doen.

Maar ja. De waarheid zal vast ergens rondom het midden te vinden zijn...

Verwijderd @DigitalExorcist • 18 maart 2016 23:47

Obama heeft voor genoeg wetten gewoon zijn veto gebruikt hoor.

DigitalExorcist @Verwijderd • 19 maart 2016 13:04

Dat zal best, maar de discussie gaat over déze wet.

Verwijderd @aryan1171 • 18 maart 2016 13:37

Dan denk je ook serieus dat de FBI de meeting tussen Putin en Obama heeft afgezegd toen Snowden op de vlucht was? De FBI heel Zuid-Amerika onder druk hebben gezet om Snowden vooral niet politiek asiel aan te bieden? En ook de FBI opdracht heeft gegeven tot het laten landen en doorzoeken van het presidentiële vliegtuig van Bolivia omdat ze dachten dat Snowden wel eens aanboord kon zijn? Zoals je zelf ook snapt heeft de FBI hier niets mee te maken.

[Reactie gewijzigd door Verwijderd op 2 augustus 2024 00:12]

bbob

Politiek en recht
Encryptie
Netwerk en systeembeheer

@Verwijderd • 18 maart 2016 12:56

Obama, change idd maar of die change nu de goede kant op gegaan is ?

Verwijderd @bbob • 18 maart 2016 13:09

Verandering is ook niet per definitie een verbetering. Alleen daarom al is die slogan ontzettend dom en nog dommer zijn de mensen die er slaafs achteraan lopen. Dat is echter een mening, hetgeen ik hierboven heb geschreven zijn gewoon feiten.

ATS @.SnifraM • 18 maart 2016 11:35

Ja. 11 pagina's op 4pt geprint. Succes er mee!

Verwijderd @ATS • 18 maart 2016 11:50

We hebben toch scanners tegenwoordig die het omzet in plain text of ben ik nu gek ?

supersnathan94

Politiek en recht

@Verwijderd • 18 maart 2016 11:54

Met sommige lettertypen is dat echter nog steeds erg slecht mogelijk en de kans op fouten is heel erg groot. Het is dan dus makkelijker om het zelf maar over te typen, want je moet het toch handmatig kopieren.

THA_ErAsEr @supersnathan94 • 18 maart 2016 13:02

Comic sans, superscript, 1pt, enzoverder.

418O2 @THA_ErAsEr • 18 maart 2016 13:05

Of in wingdings, kan je ook lachen

supersnathan94

Politiek en recht

@THA_ErAsEr • 18 maart 2016 13:17

Een lettergrootte van 1pt is echter wel heel erg flauw. Dit is voor mensen al niet leesbaar. Laat staan voor machines. Op die manier zal het nooit voldoen aan een van de verzoeken. Het had juist zo duidelijk mogelijk moeten zijn, zodat er nooit verwarring kan ontstaan over welke letter het is. Oftewel 1 A4 per letter. Ik weet niet hoe lang de gemiddelde SSL sleutel is, maar met 512 characters (4Kbit) zit je dan toch al op een fiks boekwerk. Uiteraard met paginanummers, maar niet op volgorde leggen natuurlijk, foutje van de stagiare

ATS @Verwijderd • 18 maart 2016 12:01

Probeer het eens met een document met 4pt geprinte tekst, en vergelijk het resultaat met de input... Onthoudt: één foutje is genoeg om de key waardeloos te maken.

StraightOn.NL @.SnifraM • 18 maart 2016 12:01

Dit is echt humor, mijn afdeling hier kan er wel mee lachen haha

Hoeveel pagina's zou het zijn geweest? En hopelijk is het dan ook nog aangeleverd in een formaat /lettertype en uitlijning die bijna niet te scannen/OCR'en is geweest...

en/of de digitale PDF variant zonder OCR aangeleverd is geworden.

Maar fun-stuff-asside...ja het is bijzonder triest dat een secure dienst 'gedwongen' wordt hun bestaansrecht op te heffen...

[Reactie gewijzigd door StraightOn.NL op 2 augustus 2024 00:12]

Blizz @StraightOn.NL • 18 maart 2016 13:08

Hoeveel pagina's zou het zijn geweest? En hopelijk is het dan ook nog aangeleverd in een formaat /lettertype en uitlijning die bijna niet te scannen/OCR'en is geweest… en/of de digitale PDF variant zonder OCR aangeleverd is geworden.

Het was met een heel kleine fontgrootte geprint.

Rinzwind @.SnifraM • 18 maart 2016 11:33

Ocr?

diyoo @Rinzwind • 18 maart 2016 12:43

Optical Character Recognition, ofwel de mogelijkheid een document in te scannen (als plaatje) en door de computer om te laten zetten naar tekst. Dit gaat over het algemeen vrij goed, maar is nog niet geheel foutloos. Juist met kleinere lettertypen, of lettertypen die meer op handschrift lijken dan op typemachine tekst, kunnen nog weleens foutjes voorkomen. Niet zo erg als je een document hebt wat je door een spelling checker kan halen, of door mensen begrepen wordt ondanks de foutjes. Bij een encryptiesleutel is volledig foutloze herkenning echter cruciaal, omdat anders de versleutelde documenten niet kunnen worden ontsleuteld.

Kan me trouwens niet voorstellen dat een simpele google query niet dezelfde info had kunnen verschaffen, maar wellicht zit je in een andere bubble dan ik ;-)

Meer info:
(engels) https://en.wikipedia.org/wiki/Optical_character_recognition
(nederlands) https://nl.wikipedia.org/wiki/Optical_character_recognition

[Reactie gewijzigd door diyoo op 2 augustus 2024 00:12]

Rarz @diyoo • 18 maart 2016 14:01

Je gaat het ook niet 1 keer door de OCR halen. Je zorgt er voor dat je meerdere scanners en meerdere OCR pakketten hebt. Haal het 'n keer of 10 door elke combinatie en vergelijk de bestanden. Je kijkt alleen naar de verschillen en die zet je met de hand recht.

Kan me niet voorstellen dat de FBI dat niet al heeft staan of het budget heeft om dat in een middagje te regelen.

robvanwijk

Encryptie
Politiek en recht
Netwerk en systeembeheer

@Verwijderd • 18 maart 2016 13:20

1) Hij heeft inderdaad een veroordeling voor "contempt of the court" aan zijn broek gekregen (vermoedelijk eerder een boete dan een gevangenisstraf, maar ik kan de details zo snel niet vinden).

2) Normaal gesproken heb je gelijk, maar er zijn van die situaties dat (ambtenaren van) de overheid even uit het zicht verliest waar ze mee bezig zijn en herinnerd moet worden aan de grenzen van "het doel heiligt de middelen". Leesvoer: https://en.wikipedia.org/wiki/Civil_disobedience of https://nl.wikipedia.org/wiki/Burgerlijke_ongehoorzaamheid

blouweKip @Verwijderd • 18 maart 2016 16:10

Het ironische is natuurlijk wel dat de informatie die snowden naar buiten bracht misdrijven betroft van dezelfde overheid waar de FBI ook onder valt: dus als we het gaan hebben over wie er nu in het gevang had moeten zitten....

Offens1490 18 maart 2016 11:17

+ 1 voor verstrekken van gegevens op papier.

Ze moesten digitale versie sturen dus pdf genoeg.

Maar goed wel een goede zaak dat bedrijven weerstand bieden dat is nl niet vanzelfsprekend.

Pim0377 @Offens1490 • 18 maart 2016 11:26

dat zal niet veel moeite opleveren, een PPDF kan je OCR'en of editten, ghostscript leest dat ook heel makkelijk uit en halt alle beveiligingen eraf die erop zijn gezet.

maar idd kudos voor het op papier printen van de key, gewoon zo lang mogelijk etteren,

ATS @Pim0377 • 18 maart 2016 11:36

Zelfs dan: een PDF die een scan bevat van dezelfde printjes is natuurlijk net zo lastig te ORC-en als de originele print.

svennd @Pim0377 • 18 maart 2016 11:39

De papieren versie kan ook OCR'n daar is de kans op fouten te groot, dus ook een gerenderde versie zou kans op fouten leveren. Maar het feit dat de rechtbank het bedrijf hiertoe dwingt zegt genoeg over hoe krachtig de FBI niet is, daar kun je als bedrijf niet tegenop.

Stoney3K

Politiek en recht
Encryptie

@Offens1490 • 18 maart 2016 12:05

+ 1 voor verstrekken van gegevens op papier.

Ze moesten digitale versie sturen dus pdf genoeg.

Maar goed wel een goede zaak dat bedrijven weerstand bieden dat is nl niet vanzelfsprekend.

Dat kun je maar zo ver rekken tot je een aanklacht aan je broek krijgt voor obstructie van de rechtsgang, of zelfs voor minachting van het hof.

bArAbAtsbB 18 maart 2016 11:44

ik snap het niet, zou John Mcafee dan gewoon gelijk krijgen, wil de FBI niet de beste hackers inhuren ofzo? als je de beste hacker die beschikbaar is genoeg rekenkracht en tijd geeft kan ie toch alles hacken!? John zei dat ze de beste hackers niet in willen huren omdat ze niet binnen het profiel van een FBI agent passen qua mentaliteit en kleding ed....ze willen geen buitenbeentjes zeg maar!

robvanwijk

Encryptie
Politiek en recht
Netwerk en systeembeheer

@bArAbAtsbB • 18 maart 2016 14:11

Er zijn twee beveiligingen in het spel:

De ene zorgt dat na x foute pogingen om de pincode in te voeren het toestel volledig gewist wordt. Als je dat netjes implementeert (éérst wegschrijven dat je een poging gaat doen, dan pas daadwerkelijk controleren; als je het andersom doet kan een cracker net op het goede moment de batterij eruit trekken waardoor de poging niet geteld wordt) dan is daar niet omheen te werken.

De andere zorgt dat alleen nieuwe firmware geladen kan worden die door Apple is ondertekend. Als ze dat soort digitale handtekeningen kunnen faken dan is er echt ergens iets helemaal misgegaan.

Als je het systeem simpel genoeg maakt, dan is het op zich best mogelijk dat zelfs de beste cracker er niet in komt. Het is heel erg lastig om een klein beetje toegang te geven, maar sommige delen afgeschermd te houden (een gewoon, niet-admin, gebruikersaccount bijvoorbeeld). Dan kan een cracker foutjes vinden, dingen waar de ontwerpers niet aan gedacht hebben. Bij een systeem wat alleen maar een heel eenvoudige check doet en daarop besluit om wel of geen toegang te geven (volledige toegang of helemaal niks) is het veel makkelijker om geen fouten te maken en ook de allerbeste crackers buiten te houden.

hackerhater @bArAbAtsbB • 18 maart 2016 14:20

Genoeg rekenkracht is juist het punt hier

Je praat over duizenden (en meer) jaren om 1 bericht te bruteforcen met hedendaagse technologie.

My Tec Master 18 maart 2016 11:14

Dus ook in deze zaak wou de FBI niet 1 account inzien maar gelijk de toegang tot alle accounts hebben. Ziekelijke organisatie dat veel te veel macht wil hebben.

FreshMaker 18 maart 2016 11:46

Misschien mijn naïviteit, of sceptische instelling, maar ALS dit soort berichten waar zijn, vraag ik me af HOE Snowden zo'n positie heeft kunnen bereiken.

Hij wil als voorvechter van privacy iedereen wijzen op anonimiteit online, een basis om redelijk in de hand te kunnen houden hoever je 'achtervolgd' wordt, MAAR .....
Gebruikt zijn eigen naam in diverse maildiensten, had een FB account met private data.
Maakte de 'fout' met opzetten van zijn twitteraccount om de mail notificatie niet uit te zetten ?

Ik denk eerder dat dit wat false flags zijn door de US overheid om hem meer en meer in diskrediet te brengen als "amateur" dan dat hij werkelijk zoveel foutjes aan het maken zou zijn.

robvanwijk

Encryptie
Politiek en recht
Netwerk en systeembeheer

@FreshMaker • 18 maart 2016 14:14

Wat maakt het uit of ie een amateur of een expert is? Mijns inziens is het enige relevante of de data die hij naar buiten heeft gebracht authentiek is (en ik heb nog geen reden gehoord om daaraan te twijfelen).

FreshMaker @robvanwijk • 18 maart 2016 14:21

Ik twijfel toch ook niet aan zijn uitspraken ?

Ik twijfel aan de berichtgeving achteraf over hoe hij 'foutjes' gemaakt zou hebben.
Persoonlijk geloof ik namelijk niet dat hij zo "dom" zou zijn om een e-mailadres aan te maken bij een beveiligde dienst op zijn eigen naam, net zoals ik niet in zijn twitteraccount geloof.

xmenno 18 maart 2016 11:28

Dus het volgende bedrijf dat er op deze manier mee gaat kappen is Apple.

ATS @xmenno • 18 maart 2016 11:38

Apple kappen om zoiets? Vergeet het maar. Ze verzetten zich wellicht tot het uiterste, maar ze zullen niet het bedrijf opdoeken. Kan ook niet, aangezien de aandeelhouders daar nooit mee akkoord zouden gaan.

hackerhater @ATS • 18 maart 2016 14:21

Stoppen nee. Maar verhuizen uit de VS naar bijvoorbeeld Europa?

ATS @hackerhater • 18 maart 2016 16:03

Helpt waarschijnlijk weinig. Ze zouden zich 100% moeten terugtrekken van de markt in de VS, en dat zie ik niet gebeuren.

hackerhater @ATS • 18 maart 2016 16:07

True maar als het dat is of failliet gaan?
Dan zie ik het nog wel gebeuren.

ATS @hackerhater • 18 maart 2016 16:15

Waarom zou Apple failliet gaan als ze uiteindelijk toch meewerken? Ik ben bang dat het uiteindelijk het gros van de gebruikers geen bal kan schelen. Merk op dat andere smartphonemakers in hetzelfde schuitje zitten uiteindelijk. Als iedereen gedwongen wordt om zo mee te werken heb je als consument toch eigenlijk geen veilige keus.

hackerhater @ATS • 18 maart 2016 16:19

Eindgebruikers ben ik inderdaad ook bang voor, maar bedrijven?
Het is niet alleen Apple en helaas ook niet smartphones. Dit kan je doortrekken tot alle pc-achtige apparaten.

Hoe draai je als land Silicon Valley de nek om?

Maar is het is koffiedik kijken op dit moment.
Evengoed zou ik als techbedrijf niet in de VS willen zitten met hoe de regering de laatste jaren doet.

[Reactie gewijzigd door hackerhater op 2 augustus 2024 00:12]

ATS @hackerhater • 18 maart 2016 17:07

Dit is zeker niet iets van de laatste jaren, maar minder is het ook niet geworden.

hackerhater @ATS • 18 maart 2016 17:09

Dat de USA-overheid zelfs digitale informatie van niet-amerikanen wilt hebben en er zelfs wetten voor schrijft?
Dat is weldegelijk iets van de laatste 10 jaar.

Verwijderd @ATS • 18 maart 2016 23:52

Ze hebben meer dan 120 miljard cash liggen. Apple heeft financieel gezien genoeg resources om heel die Government de nek om te draaien. met hun 1,7 biljoen schuld. Als zometeen Apple, MS Google, en alle andere techbedrijven samen die rechtszaak zouden bevechten heeft de USA helemaal geen poot meer om op te staan.

Maurits van Baerle @xmenno • 18 maart 2016 11:39

Een deel van hun developers heeft in ieder geval kennelijk gezegd ontslag te nemen als ze door de rechter gedwongen worden mee te werken. Apple Encryption Engineers, if Ordered to Unlock iPhone, Might Resist

Verwijderd 18 maart 2016 11:26

Ik vind het alleen maar goed wat snowden heeft gedaan, laat maar zien hoe corrupt het zooitje is allemaal.

ATS @Verwijderd • 18 maart 2016 16:04

Corrupt? Wellicht, maar daar gaat het hier in elk geval niet over. Corruptie is iets anders dan mass surveilence, en het helpt niemand als je van alles op één hoop gaat vegen.

Timoo.vanEsch 18 maart 2016 11:37

auwtsj.
Weer eens een blatant voorbeeld van de arrogantie van de macht.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (127)

Sorteer op:

Weergave: