Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'BelgiŽ kiest voor zelfontwikkelde encryptie voor communicatie Defensie'

Door , 130 reacties

De Belgische regering houdt een aanbesteding voor hard- en software waarmee Defensie beveiligd kan communiceren. Daarbij wordt gebruikgemaakt van in BelgiŽ ontwikkelde encryptiealgoritmes om niet afhankelijk te zijn van buitenlandse organisaties.

Een woordvoerder van minister Steven Vandeput zegt over de keuze voor Belgische encryptie tegen Datanews: "We hebben geoordeeld dat er een veiligheidsrisico is als we dit door een organisatie buiten België laten ontwikkelen, daarom kiezen we er voor om met onze eigen onderzoeksinstellingen samen te werken." Volgens de site gaat het daarbij om de Koninklijke Militaire School en andere Belgische universiteiten.

Datanews meldt dat er een bedrag van 17,8 miljoen euro is uitgetrokken voor de aanschaf van de beveiligde hard- en software. Wat er precies wordt gekocht, wil het ministerie van Defensie om veiligheidsredenen niet bekendmaken. De aankoop, waarvoor nog geen datum is vastgelegd, zou nodig zijn omdat de huidige producten verouderd zijn.

Uiteindelijk moet het ook mogelijk zijn om met internationale partners en andere overheden beveiligd te communiceren. In Nederland gaat het Nationaal Bureau voor Verbindingsbeveiliging, oftewel NBV, over de beveiliging van communicatie van de overheid, bijvoorbeeld bij staatsgeheimen. Daartoe onderhoudt de organisatie een lijst met goedgekeurde producten voor verschillende beveiligingsniveaus. In 2014 koos Defensie het toen nog Nederlandse Fox-IT als encryptiepartner.

Door Sander van Voorst

Nieuwsredacteur

07-07-2017 • 19:36

130 Linkedin Google+

Reacties (130)

Wijzig sortering
Ik wist dat Nederland apathisch is qua IT in de overheid, maar blijkbaar kan BelgiŽ het ook. Waarom wordt hier in godsnaam niet gekozen voor een open standaard die al jaren lang door meerdere auditbedrijven wordt geaudit. Waarom moet er zelf iets bedacht en ontwikkelt worden?

Blijkbaar hebben de verantwoordelijken hun lesje Security 101 gemist: security by obscurity en Kerckhoffs’s Principle.
Ik zou hier geen uitspraak over durven doen.
Een 'zelfontwikkelde encryptie' hoeft niet te betekenen dat de 'aangeleverde encryptiealgorithmen' geen gebruik maken van open standaarden.
Ze willen niet afhangkelijk zijn van 3rd party tools dus ontwikkelen ze er zelf, de gebruikte techniek kan daarbij best gebruik maken van open standaarden, het moet immers ook gebruikt kunnen worden om met internationale partners te communiceren.
Er zijn drie regels met betrekking tot encryptiesystemen:

1.
Ontwikkel nooit zelf een cryptografisch algoritme.

2.
Implementeer nooit zelf een cryptografisch algoritme.

3.
Al begrijp je niet waarom regels 1 en 2 bestaan, dan is het zeker dat ze jouw hele leven op jou van toepassing zullen zijn. De reden is dat je fouten gaat maken. Fouten die ervoor zorgen dat wat jij maakt nooit zo veilig zal zijn als wat er op de markt is. Fouten die ervoor zorgen dat je in een wereld van schijnveiligheid zal leven. De wake-up call uit die wereld wil je niet meemaken.

Gebruik iets van de plank (bij voorkeur open-source), implementeer en beheer het naar best practices, trek af en toe een blik academici open voor auditing en hou de boel up-to-date.

[Reactie gewijzigd door The Zep Man op 7 juli 2017 22:13]

Met dat soort argumentatie zou niemand nog nieuwe algoritmes mogen ontwikkellen. Zonder de aanbesteding te lezen en na te gaan wat er exact gevraagd wordt is het trouwens onmogelijk om uitspraken te doen over wat men net wenst te ontwikkellen. Wel is duidelijk dat ze er de juiste mensen willen bij betrekken, inclusief de door U aangehaalde academici.
Met dat soort argumentatie zou niemand nog nieuwe algoritmes mogen ontwikkellen.
Natuurlijk wel, alleen kost het jaren voordat het door heel veel mensen gevalideerd en beproeft is, en dat laatste lukt je alleen als je algoritme genoeg mensen weet te interesseren. Dus sowieso open en interessant genoeg om academici te interesseren om te proberen je algoritme op alle mogelijke manieren te breken.

Als uiteindelijk je algoritme een winnaar blijkt te zijn, en dat is maar een fractie van wat er wordt bedacht, dat is de volgende stap de implementatie. En ook die moet door zo veel mogelijk mensen geaudit kunnen worden die echt gemotiveerd zijn om zwakke plekken te vinden.

Kortom een nieuw algoritme maken en implementeren kan, maar kost vele jaren voordat het zich bewezen heeft en alleen als je algoritme en implementatie voldoende gemotiveerde crypto analisten weet te motiveren om je algoritme en implementatie proberen te breken.
Als software ontwikkelaar inderdaad niet. De mensen die het algoritme ontwikkelen weten alle pitfalls en leveren daarom meestal implementaties.
Er zijn open source algoritmes die door en door getest zijn op fouten en getest blijven worden.

Een eigen encryptie is leuk maar vraagt gewoon veel kennis met de kans op fouten die benut kunnen worden.
Ik zie dat je een label "cryptografie" hebt. Dan weet je ook dat die standaarden die je noemt ook op een dag nieuw waren. Saillant detail; vele van Frans/Belgische bodem ;)
Maar ben het wel in grote lijnen met je eens. "Don't roll your own crypto", maar dat is een advies die niet _altijd_ van kracht is.
Gebruik iets van de plank (bij voorkeur open-source), implementeer en beheer het naar best practices, trek af en toe een blik academici open voor auditing en hou de boel up-to-date.
Ja, want Heartbleed heeft aangetoond dat dat een heel veilige methode is :)
Ja, want Heartbleed heeft aangetoond dat dat een heel veilige methode is :)
Zeker, bij elke implementatie die niet in het spotlicht staat blijven dit soort bugs jaren (of voor altijd) onopgemerkt behalve dan misschien voor geheime diensten die een zwakte voor zichzelf houden en jaren lang kunnen misbruiken om mee te kijken met je "veilige" verbinding. Heartbleed was ook in no time gepatched zodra het probleem bekend werd.

Stel dat je voor dat je duizenden verschillende SSL implementaties zou hebben, dan zou niemand die bugs vinden en zou je niet weten welke wel en welke niet veilig zouden zijn. Hoe meer ogen hoe groter de kans is dat je problemen vind en hoe kleiner de kans dat iemand een probleem geheim kan houden om voor zichzelf te gebruiken; er zijn voldoende anderen zodat een ander dit probleem ook vind.
Zeker, bij elke implementatie die niet in het spotlicht staat blijven dit soort bugs jaren
Heartbleed zat juist al enkele jaren in de code...
Ditto geld voor POODLE, en de onderliggende vunerabilities die FREAK mogelijk maakten zaten er al sinds de jaren 90 in.

[Reactie gewijzigd door Zer0 op 8 juli 2017 11:50]

Er zijn drie regels met betrekking tot encryptiesystemen:

1.
Ontwikkel nooit zelf een cryptografisch algoritme.

2.
Implementeer nooit zelf een cryptografisch algoritme.

3.
Al begrijp je niet waarom regels 1 en 2 bestaan, dan is het zeker dat ze jouw hele leven op jou van toepassing zullen zijn. De reden is dat je fouten gaat maken. Fouten die ervoor zorgen dat wat jij maakt nooit zo veilig zal zijn als wat er op de markt is. Fouten die ervoor zorgen dat je in een wereld van schijnveiligheid zal leven. De wake-up call uit die wereld wil je niet meemaken.

Gebruik iets van de plank (bij voorkeur open-source), implementeer en beheer het naar best practices, trek af en toe een blik academici open voor auditing en hou de boel up-to-date.
AES is een Belgisch algoritme. Het lijkt me dat ze daar dus wel de expertise hebben om iets van wereldklasse te ontwikkelen. Overigens gelden jouw 3 regels alleen voor "normale" programmeurs, niet voor cryptografen, anders zou nooit iemand een encryptie algoritme kunnen ontwikkelen.
O zo, En de Britten en Amerikanen zijn in dit opzicht al helemaal niet te vertrouwen. Suffe Nederlsnders die Fox-IT aan Engeland lieten verkopen. :(
Het voor Nederland gevoelige deel van Fox-it is ondergebracht in een aparte B.V. en niet meeverkocht, een B.V. waarop de staat eerste kooprecht heeft.
Devil's advocate: zelf een versleutelingsalgoritme maken sluit Kerkhoff's Principle niet uit. Ook zijn er zeer goede algoritmen bij onze zuiderburen vandaan gekomen. Als kleine organisatie of leek moet je dit soort dingen uiteraard aan de professionals overlaten.
De hamvraag:

Om welk encryptiealgoritme gaat dit?
Waar staat de whitepaper?


Ongelofelijk dat je dit artikel kunt schrijven zonder dat erbij te vermelden zeg.

EDIT: Nou, blijkbaar weten de Belgen het zelf ook nog niet. Uit de bron:
Eens aangekocht zal de hard- en software worden uitgerust met algoritmen die door de Koninklijke militaire school en andere Belgische universiteiten zal worden aangeleverd.
Nou dit klinkt wel logisch. Eerst hardware en software kopen en dan daarna 'uitrusten met algoritmen' die de militaire school wel gaat aanleveren... :O

How about eerst een wedstrijd voor een nieuw algoritme uitschrijven?

De Belgische universiteiten (en klink raar, maar ik zou wiskunde faculteiten kiezen en niet de militaire school) whitepapers laten indienen en dan pas als een panel van experts hier de beste uit gekozen heeft en geacht heeft dat deze zich kan meten met de bekende varianten, pas dan besluiten om software te gaan bouwen??

Waarschuwing vooraf: Dit kan jaren duren en je weet niet eens zeker dat hier inderdaad een geschikt algoritme uit komt rollen.

Gelukkig hebben ze een flink budget ter beschikking:
Datanews meldt dat er een bedrag van 17,8 miljoen euro is uitgetrokken
Ha ha haha!!! :z

[Reactie gewijzigd door OddesE op 7 juli 2017 21:13]

Sorry volgens mij klets je er op los en besef je niet dat BelgiŽ tot de wereldtop behoort wat encryptie betreft dus het is perfect logisch dat alles 'in huis' wordt ontwikkeld.

Om welk encryptiealgoritme gaat dit?
In het artikel laten ze enkel weten dat het algoritme ontwikkeld wordt op eigen bodem. Ik vermoed een encryptiesysteem dat gebaseerd is op chaos-synchronisatie. (Ontwikkeld door VUB-brussel)

Nou dit klinkt wel logisch. Eerst hardware en software kopen en dan daarna 'uitrusten met algoritmen' die de militaire school wel gaat aanleveren... :O
Er staat gewoon dat er 17,8 miljoen euro is uitgetrokken en dat ze daar hardware en software gaat met kopen. Waarschijnlijk zijn is het telecommunicatieaparatuur zoals laptops, smartphones, en ander militair materiaal. Hardware & software dus. Perfect normaal.

Eens aangekocht zal de hard- en software worden uitgerust met algoritmen die door de Koninklijke militaire school en andere Belgische universiteiten zal worden aangeleverd.

De universiteit van Leuven en Brussel hebben trouwens een jarenlange ervaring met encrypties en behoren tot de wereldtop. In Leuven zijn de grondlegger van AES. En dat wordt nog alitjd door de Amerikaanse staat gebruikt. En IMEC (Onderzoekscentrum Vlaamse overheid in Leuven.) werkt al een tijdje met Barco Silex samen rond encryptie van IoT

Waarschuwing vooraf: Dit kan jaren duren en je weet niet eens zeker dat hier inderdaad een geschikt algoritme uit komt rollen.

Paniek voor niets: Volgens dit persbericht bestaat er al een kant en klaar algoritme dat ontwikkeld is aun de universiteit van Brussel. Het encryptiesysteem is gebaseerd op chaos-synchronisatie. Het is dus niet zo dat ze van een wit blad papier starten.

Onderzoekers van de Applied Physics Research Group (APHY) van de VUB hebben een alternatieve manier ontwikkeld om sleutels te maken die werkelijk onkraakbaar zijn. Daarvoor maakten ze gebruik van chaos-synchronisatie. Een chaotisch signaal – zoals ruis op een analoge tv – lijkt onregelmatig, maar is wel degelijk afkomstig van een wiskundig welomschreven of ‘deterministisch’ systeem.

Het systeem biedt verschillende voordelen ten opzichte van traditionele encryptiesystemen. Er is niet erg veel rekenkracht nodig om een bericht te versleutelen, waardoor het systeem real-time is. En omdat de sleutel gegenereerd wordt uit een chaotisch signaal, is het uitgesloten dat er ooit een identieke sleutel wordt aangemaakt. Deze eigenschappen leiden volgens de onderzoekers tot een erg aantrekkelijk encryptiesysteem.

Het systeem is praktisch implementeerbaar met zowel hedendaagse elektronica en glasvezelapparatuur.

(en klink raar, maar ik zou wiskunde faculteiten kiezen en niet de militaire school)
Ze kiezen onderandere de Militaire school maar dan waarschijnlijk voor het vastleggen van de specificaties en implementatievoorwaarden en niet om het wiskundige model te bouwen. Daar bestaan de universiteiten met afdelingen zoals Applied Physics Research Group (APHY), Cryptography and Network Security , COSIC – Computer Security and Industrial Cryptography group etc. Het lijkt me logisch dat er militaire school ook betrokken is als zal gebruikt worden voor militaire doeleinden.

Dus volgens mij zit je iedereen (inclusief de redactie van Tweakers) Uit te lachen for no reason. Ongelofelijk dat je deze reactie kunt schrijven zonder enig idee te hebben waar je het over hebt.

[Reactie gewijzigd door Coolstart op 8 juli 2017 20:20]

Wat een non reactie is dit. Het is tegenwoordig de mode om alles wat de overheid doet onmiddellijk neer te sabelen. Waarom? Heb je dat informatie die erop wijst dat het mis zal gaan? Zoals Coolstart al aanhaalt, BelgiŽ behoort tot de wereldtop als het op encryptie aankomt...
Denjmk dat het gewoon gaat om de software en overige techniek. Waardoor je veel backdoors kan uitsluiten en daarmee meer zekerheid over je kanalen hebt.

... Maar misschien ook nieuwe introduceert....
Wellicht Rijndael alvorens het onder handen genomen werd door NIST en als AES tot standaard uitgeroepen werd. Alu hoedjes willen wel eens beweren dat AES simpelweg Rijndael is plus een sidechannel attack doormiddel van het verkleinen van de RNG uitkomsten.
Om welk encryptiealgoritme gaat dit?
Als men het systeem mooi modulair maakt maakt dat in deze fase nog niet uit, dan kun je encryptiemodules erin hangen en eruithalen naar gelang het uitkomt. Een beetje zoals GnuPG vroeger opgezet was, je kon een .dll of .so maken met een encryptieroutine en die erin hangen (en dat werd ook gedaan, met name met algorithmes die in de begintijd mogelijk nog onder patenten vielen zoals RSA en IDEA).
Bij encryptie ga je er best van uit dat de "tegenstander" je systeem kent.
Niet als je algoritmes 'geheim' zijn. Dan zit je meer op het pad van 'security through obscurity'. En dat is bewezen verkeerd.

Ik begrijp wel dat de NSA wil voorkomen dat mensen inzichten krijgen in hun denkwijze voor de algoritmes die ze maken, maar je hebt wel het risico dat je een tunnelvisie krijgt en bepaalde zwakheden over het hoofd ziet.
Ik snap je wel, maar het is niet omdat een minister niet prijsgeeft wat er nu net gekocht wordt, dat men alle principes overboord heeft gegooid. Zowel KUL als VUB werken aan encryptie, het zou me verbazen dat ze uitgaan van security through obscurity. Ze behoren tot de wereldtop...
Ook zijn er zeer goede algoritmen bij onze zuiderburen vandaan gekomen.
Symmetrische ja. Public key systemen niet VZIW.
De meeste militaire systemen maken gebruik van symmetrische encryptie waarbij de sleutels fysiek gedistribueerd worden door speciale koeriers. Het beheer en de distributie van cryptografische sleutels bij krijgsmachten is een vak op zichzelf (letterlijk).
Is dat nog steeds zo? Wat primmitief. Het Duitse leger is wat dat betreft een stuk moderner, die gebruiken al public-key systemen die deels in hardware geimplementeerd zijn. Bron: ik werk momenteel voor een bedrijf dat dat soort systemen maakt.
Ik heb het niet over statische of kantooromgevingen, maar over mobiele wapenplatformen die moeten communiceren met een veelheid aan (NATO) partners. De operationele systemen zeg maar, bij de verbindingen naar de NL hoofdkwartieren kan er wel gebruikt gemaakt worden van land-specifieke oplossingen.
OK, dat zal werkbaar zijn in die situatie, al lijkt het me ook veel makkelijker om die systemen elk met een unieke secret key uit te rusten. Dan kun je het systeem ook makkelijk blokkeren van communicatie als het in handen van een vijand valt.
De meeste militaire systemen maken gebruik van symmetrische encryptie waarbij de sleutels fysiek gedistribueerd worden door speciale koeriers.
Vreemd verhaal. Voor VPN-achtige verbindingen gaat het altijd om SINA achtige doosjes met smartcards. En die smartcards zijn zeer zeker NIET in beheer bij het leger zelf, maar bij de ADIV.
Ik kan me voorstellen dat het gaat over het bepalen van zaken zoals de te gebruiken trapdoor functies. Meestal zijn dat Elliptic curves. Er zouden er al een paar bedacht zijn waarmee de key eenvoudiger te achterhalen is dan publiek geweten. M.a.w. wiskundigen (die bij bv. de NSA werken) hebben die curves bedacht en gepubliceerd. Maar als je sommige ervan gebruikt zou het moeten mogelijk zijn om eenvoudiger dan vooreerst theoretisch gedacht (door de andere wiskundigen die de truc niet kennen) de keys teweten te komen.

ps. Ik ben hier wel geen expert in. Heb enkel een amateurinteresse.
De huidige standaard komt toch van onze zuiderburen? Huur die mannen in, en laat ze een variant maken. Lijkt me een haalbaar doel.
Als ICT beheerder bij de overheid, ten eerste "de overheid" is enorm groot, alle ministeries hebben eigen ADDS en werkomgeving. Het netwerkbeheer is voor het grootste gedeelte van Defensie verder staat alles "los" van elkaar. Om over lokale overheden nog maar te zwijgen. De conclusie dat de IT in de overheid apathisch is raakt kant noch wal, het is uitermate onredelijk om de hele overheid over 1 kam te scheren al hebben projecten als SAP speer niet echt aan een positief beeld meegewerkt.

[Reactie gewijzigd door dezwarteziel op 9 juli 2017 10:49]

Hopelijk houden ze rekening met dit onderzoek:

http://www.wired.co.uk/ar...l-intelligence-encryption
Collega en ik hadden tijdje geleden bedacht "Security by Obsolescence" spul dat we tegen kwamen was zo oud dat CVE's er niet voor gelden. (uiteraard vele andere security lekken wel) Dit is iets wat de overheid ook lijkt te praktiseren regelmatig.

Er moest een business case gemaakt worden om deze apparatuur te vervangen. Maar die troep was zo oud dat alle CVE's niet van toepassing waren. (Ook het lek van Juniper tijd geleden, de JunOS was zo oud dat de achterdeur er niet in zat).

Met encryptie zelf is overigens niks mis. Alles boven AES1024 bit is nog wel tijdje veilig, met AES4096 bit zit je zeker goed. (Er zijn ook andere uiteraard) Het gevaar zit meer in hoe het toegepast wordt(de software er om heen). Als iets gekraakt/gehacked wordt, wordt altijd de manier van implementeren gekraakt en niet de encryptie zelf.

[Reactie gewijzigd door kr4t0s op 8 juli 2017 16:39]

Collega en ik hadden tijdje geleden bedacht "Security by Obsoletion"
Je wou een zeldzaam 19de-eeuws woord dat in geen enkel modern woordenboek meer staat nieuw leven inblazen?
Ik weet niet of dat woord zelfs wel bestaat, het staat niet in de 1913 Webster in elk geval... MAAR de vraag is of obsolescence als vervangend woord de lading wel dekt.
Obsoletion staat alleen in de Century Dictionary uit 1889, met als definitie "The act of becoming obsolete; disuse; discontinuance.". Volgens mij dekt dat ook niet de precieze lading die bedoeld wordt. Er is natuurlijk niets op tegen om het woord een moderne betekenis te geven, maar dan heeft het woord nog een lange weg te gaan voor het in die nieuwe betekenis algemeen bekend en geaccepteerd wordt.
Ik had het paradigm 'security by rarity' bedacht. Het is namelijk zo dat mainframes zelden of nooit gehackt worden. Dat komt niet alleen omdat deze goede systeem software hebben, maar ook omdat het hardware platform niet voor iedereen te verkrijgen is om op te ontwikkelen. Een hacker zou dus niet in staat zijn een exploit voor zo'n mainframe te maken.

Veel hacks en exploits zijn gebaseerd op PC hardware en Windows besturingssystemen welke op elke hoek van de straat te verkrijgen zijn en goed bekend zijn. Iedere hacker kan daar een exploit voor ontwikkelen.
Dit lijkt me iets wat net niet op apathie wijst. Het is natuurlijk onduidelijk wat de minister met eigen ontwikkelde algoritmes bedoelt maar het lijkt me niet onlogisch dat ze ervoor kiezen om de IKEv2 standaard als basis te kiezen en daarin beginnen te schrappen: oude algoritmes mogen niet, optionele elementen worden verplicht, misschien een zelfgekozen DH groep (EC met parameters gekozen door de universiteiten - de KMS heeft ook een ingenieursafdeling trouwens),... Het zal resulteren in een kleinere code base die beter te auditen valt.
Dat hierdoor een standaard Cisco niet geschikt is en dit kansen biedt aan de eigen industrie is natuurlijk mooi meegenomen en perfect volgens de Europese regels (hoewel ik niet direct een zuiver Belgische kandidaat zou kunnen noemen).
Omdat er al is aangetoond dat in apparatuur van de bekende fabrikanten "features" zitten waardoor men deze open standaarden eenvoudig kan decrypten. Dat kan doordat de RNG (random number generator) niet zo random is als dat hij zich voordoet of doordat er andere belangrijke parameters voor de encryptie achterhaald kunnen worden.

Dan mag het protocol ansich wel openbaar en goed zijn, als je vervolgens zwakke of herleidbare sleutels gebruikt dan heb je er zo weinig aan.

Het kan in dat opzicht wellicht verstandig zijn om het hele systeem 'vanaf scratch' opnieuw te gaan implementeren, helemaal in eigen beheer.

Google oa op: Dual_EC_DRBG
Wow, eindelijk een land wat eigen innovatie een stimulans geeft en met de oorsprong van RijnDael in de pocket zou je kunnen stellen dat BelgiŽ er aan werkt om een autoriteit te worden op Encryptiegebied.
Daar zou de Nederlandse overheid eens een voorbeeld aan kunnen nemen met hun "kenniseconomie plannetjes" terwijl bij de overheid het ene buitenlandse product na het andere naar binnen wordt gesleept. En de ene buitenlandse na de andere buitenlande software ontwikkelaar naar binnen wordt gehaald.
n00b op encryptiegebied als ik ben, dacht ik toch dat encryptie uiteindelijk gebaseerd was op het grootst bekende priemgetal. En die is voor de hele wereld hetzelfde. Waarom zou je eigen encryptiemethode dan veiliger zijn dan die van een andere dienst/bedrijf/overheid?
Normaal zou ik ook zeggen: dit doe je best niet zelf, hier laat je de experts het werk doen. Maar BelgiŽ is natuurlijk geen onbekende speler in de markt van onderzoek naar encryptie. Rijndael werd ontwikkeld door twee Belgische (toen) studenten, Vincent Rijmen en Joan Daemen. Het vormt nog steeds de basis van de Advanced Encryption Standard (AES). Dit is ťťn van de meest gebruikt ciphers wereldwijd.

M.a.w. heb ik wel enig vertrouwen in het kunnen van onze Belgische universiteiten, om dit tot een goed einde te brengen.
Inderdaad mannen van het ESAT department. Maar er staat ... aankoop van hard -en software.
En dat is wat me een beetje bevreesd achterlaat. Ik heb het gevoel alsof ze beveiliging weer proberen af te kopen.
Er staat het volgende in het artikel:
Eens aangekocht zal de hard- en software worden uitgerust met algoritmen die door de Koninklijke militaire school en andere Belgische universiteiten zal worden aangeleverd. Een bewuste keuze voor een Belgische oplossing: "We hebben geoordeeld dat er een veiligheidsrisico is als we dit door een organisatie buiten BelgiŽ laten ontwikkelen, daarom kiezen we er voor om met onze eigen onderzoeksinstellingen samen te werken.
M.a.w. de hard- en software zullen bijvoorbeeld een encryptiealgoritme gaan gebruiken dat door de Koninklijke militaire school en andere Belgische universiteiten zal worden aangeleverd. M.a.w. zal de bouwer van de software een specificatie krijgen die toe laat dat een encryptie cipher wordt toegevoegd (bv. in de vorm van een plugin, of door source code aan te passen, of zo) door de overheid zelf.

Het lijkt niet ongezond. De leverancier van de apparatuur moet zeker niet de encryptiealgoritmes gaan onvervangbaar inbouwen. Als die encryptiestandaard gebroken wordt, zou de overheid anders alle apparatuur moeten vervangen. In plaats daarvan kan de overheid het gebruikte encryptie algoritme gewoon vervangen. Voorts kan de fabrikant die deze apparatuur en software aanlevert dan niet door middel van backdoors (moest dat er toch in zitten) afluisteren. Tenzij de encrypterende endpoints een backdoor hebben. Ik vermoed dat het encrypterende gedeelte volledig intern zal ontwikkeld worden. Al weet ik dat natuurlijk niet.

Ik kan me ook voorstellen dat fabrikanten alle sourcecode en electrische schema's zullen moeten overhandigen aan de koper (is de Belgische regering). Zodoende eigen experts deze kunnen onderzoeken op fouten (en eventuele backdoors).

Maar met wat Vandeput zegt kan ik dat niet weten. Alleen speculeren.
Normaal zou ik ook zeggen: dit doe je best niet zelf, hier laat je de experts het werk doen. Maar BelgiŽ is natuurlijk geen onbekende speler in de markt van onderzoek naar encryptie. Rijndael werd ontwikkeld door twee Belgische (toen) studenten, Vincent Rijmen en Joan Daemen. Het vormt nog steeds de basis van de Advanced Encryption Standard (AES). Dit is ťťn van de meest gebruikt ciphers wereldwijd.
Oftewel kies gewoon AES en je hebt gelijk je 'Belgische algoritme'.
Het (en|de)crypty algoritme is belangrijk, maar wellicht nog veel belangrijker is hoe je het gebruikt. Foutief gebruik is heel makkelijk te implementeren en dan mag het algoritme nog het allerbeste tot nu toe zijn, als je bv slecht met keys omgaat is het geheel nog zo lek als een mandje.

Ik ben er vrij zeker van dat mijn eigen gebruik van crypto libraries inderdaad lek zijn op het moment dat iemand een fysieke aanval kan doen (bv cold boot attacks), de afweging is echter dat er dan toch al een groter probleem is.
Dat zeker. BelgiŽ heeft ook gewoon vermaarde universiteiten waar zeer slimme mensen werken en leren.

Overigens voelt de titel wel als een soort Belgenmop, maar dat is verder pure flauwekul.
Overigens voelt de titel wel als een soort Belgenmop, maar dat is verder pure flauwekul.
Dat komt door die opzettelijk geplaatste aanhalingstekens, dat is inderdaad wel duidelijk. De gebruikelijke Pavlov-reacties van de Nederlander op het woord "Belg" of op zowat elke verwijzing naar BelgiŽ zijn nog lang niet afgezwakt, die zitten er nu eenmaal stevig in gebeiteld.
Dat is maar een klein stukje van de puzzel. Afhankelijk van wel soort algoritme (symmetrisch/asymmetrisch) spelen veel meer zaken.

Het is natuurlijk wel een feit dat we hier in BelgiŽ een aantal prominente cryptografie experts hebben rondlopen. De kans dat een NSA echt een backdoor in bvb aes heeft zitten is relatief klein, maar natuurlijk niet onbestaand. Ik kan de redenering erachter dus wel volgen, hoewel ik eerlijk gezegd meer risico's zie in een zelf ontwikkeld systeem.
Noot het leuke weetje dat AES van de NSA, waarover je het hebt, door twee Belgen werd ontwikkeld.
Nou niet helemaal, er zijn diverse systemen: priemgetallen ontbinden (RSA), discrete logarithmen (ElGamal), elliptische curves (curves op een discreet lichaam met een kwadraat en een 3e macht erin), en nog vele anderen.
Encryptie (nuja, RSA) is gebaseerd op grote priemgetallen, niet op het grootste. De basis is hiervan is dat je twee grote priemgetallen vermenigvuldigt, en het niet eenvoudig is om het resultaat te factoriseren. Natuurlijk, als je al een van de twee priemgetallen kent omdat je gewoon het grootste bekende priemgetal neemt, is dit vrij makkelijk te kraken ;)
Ik dacht dat aanbestedingen tegenwoordig ook aan andere landen binnen de EU moeten worden opengesteld. Geldt dat niet voor dit soort zaken of ben ik in de war met iets anders?
Ik dacht dat aanbestedingen tegenwoordig ook aan andere landen binnen de EU moeten worden opengesteld. Geldt dat niet voor dit soort zaken of ben ik in de war met iets anders?
Voor aanbestedingen die betrekking hebben op nationale veiligheid en defensie gelden andere richtlijnen die nationale overheden meer ruimte geven deze zaken binnen de grenzen te houden. https://www.rijksoverheid...teden/aanbestedingsregels
Valt mij op dat op de lijst geen producten of algoritmes staan die geschikt zijn voor Stg. Zeer Geheim (top secret) terwijl in de V.S. AES-256 wel goedgekeurd is voor Top Secret. Producten die AES gebruiken zijn maar goedgekeurd voor Stg. Geheim.

Alhoewel BelgiŽ natuurlijk vooraanstaande cryptografen heeft zoals Daemen en Rijmen (van AES / Rijndael, Whirlpool en SHA-3 / Keccak) wil dit niet zeggen dat een nieuw algoritme veel veiliger zal zijn. Sterker nog, AES is ťťn van de meest bestudeerde algoritmes ooit en nooit heeft iemand hier een praktische 'break' in gevonden.

Belangrijker is om het correct gebruik van algoritmes te bestuderen en het elimineren van side-channel attacks. Hier kan nog veel gewonnen worden.

Laat ze in godsnaam geen 'geheime' algoritmes gaan gebruiken. Dat zou een dodelijke fout kunnen zijn. Alleen publieke algoritmes die veel bestudeerd zijn zijn echt veilig.

[Reactie gewijzigd door ArtGod op 7 juli 2017 20:35]

De Duitsers doen hetzelfde: http://bgr.com/2014/03/07...cusmart-voice-encryption/. Die gebruikt gewoon elliptic curves en AES, maar de software wordt in Duitsland ontwikkeld.
Altijd goed om eigen spullen te doen, maar ik mis de praktische waarde. BelgiŽ speelt in de wereld - net als NL - geen rol van betekenis op militair vlak. Mocht het ooit tot een 3e wereldoorlog komen, dan los je dat ook niet op met je eigen secret encryptie. Terroristische dreigingen voorkomen komt wat mij betreft het dichtst in de buurt van een toepassing, maar is dit dan de oplossing? Tot nu toe waren de daders niet heel erg geavanceerd bezig, meer bezig met wat ze toevallig tegenkwamen. Kortom, het praktisch nut ontgaat me een beetje, behalve het kunnen patsen met steunt elkaar, koopt Vlaamse waar

Ik snap de -1 niet goed, ik snap de praktische waarde echt niet. Geld wegkieperen is dit. Geef in plaats van de -1 liever een onderbouwd tegenargument ...

[Reactie gewijzigd door Houtenklaas op 7 juli 2017 22:09]

Uit de tekst haal ik dat het uiteindelijk mogelijk moet zijn om via de zelfontwikkelde encryptie tussen verschillende overheden te communiceren. Dan kan het gaan om de communicatie over gevoelige informatie of staatsgeheimen. Daar kan ik best wel de praktische waarde van inzien.
Ahum, BelgiŽ was tijdens WOII een erg belangrijke speler na D-Day omwille van de haven van Antwerpen. Vermoedelijk zal dat strategisch voordeel ook in WOIII spelen. Hoewel ik dat welliswaar liever niet meer mee maak. Doe dat maar na dat ik al dood ben.

ps. Nucleaire wapens zijn doorgaans niet zo krachtig dat hele landen er mee van de kaart geveegd worden. Eerder zones die de omvang hebben van een stad, plus afhankelijk van de wind een neerslagzone. Ik denk ook niet dat de Westerse landen het grappig zouden vinden moest een groot deel van hun diplomatiek personeel, plus de NATO basis, e.d. gebombardeerd worden. Vermoedelijk zou er wel teruggeslagen worden. M.a.w. is het praktisch nut van met een lokale kannonnenvoer te communiceren, groot. Want iemand moet dat luchtafweergeschut bedienen.
Dat was het punt ook niet, als het tot een volgende WO komt en er valt een nuke 1000km van je vandaan, dan heb je daar indirect heel flinke last van. De dreiging van nog zo'n ding los je dan niet op met je eigen encryptie speeltje, daar zit het punt. Communiceren met het lokale kanonnenvoer is op NATO niveau geregeld, als BelgiŽ niet met zijn bondgenoten kan communiceren schiet het ook niet op, dus daar heb je er ook niet veel aan. Kortom, de meerwaarde moet dan echt binnen de eigen grenzen zitten en juist daar zie ik hem niet.

Ik zie twee gebieden waar het hout kan snijden: Communicatie tussen ambassades en het thuisland en de maritieme vloot (van 8 boten). Maar goed, elk land heeft recht op zijn eigen missers.
Bv. de Belgacom hack door het VK (wordt algemeen aangenomen dat zij het gedaan hebben) zou wel eens de aanzet kunnen geweest zijn, bij bepaalde Belgische diensten, om voortaan iets meer te geven om de veiligheid van interne communicatie.

Ik vermoed inderdaad niet dat het in eerste instantie om militaire communicatie gaat. Omdat daar, zoals je aangeeft, NAVO wel systemen voor zal hebben. Maar op langere termijn weet je dat niet. Bijvoorbeeld Duitsland wil hoe langer hoe meer een eigen Europees leger. In dat verband zou het handig kunnen zijn dat landen ad-hoc kiezen met welke militaire groepen ze informatie willen delen.

Een eigen ontwikkeld systeem zal dan geen backdoor hebben. Dat is altijd beter dan een systeem dat wel backdoors heeft (zoals vrijwel alles op de markt, kennelijk). Natuurlijk zit een eigen systeem wel vol bugs. Dat is ook en zeker een gegeven. Dus ik hoop inderdaad dat de betrokken diensten heel erg fel en vol overgave naar bugs gaan zoeken.

[Reactie gewijzigd door freaxje op 7 juli 2017 22:43]

Vermoedelijk zal dat strategisch voordeel ook in WOIII spelen. Hoewel ik dat welliswaar liever niet meer mee maak. Doe dat maar na dat ik al dood ben.
Onder het mom van "Na mij de zondvloed." ? Je geeft niet om wie er na je komen?
BelgiŽ speelt in de wereld - net als NL - geen rol van betekenis
Nou, dat heb je dan foutgedacht. In Brussel zit de EU regering en veel internationale organisaties, en ook wel wat telecom knooppunten. Onze "vrienden" in de Angelsaksische wereld hebben daar best wel interesse in: https://theintercept.com/...m-hack-gchq-inside-story/
Daar heb je een punt. Touchť, maar aangezien dat "internationaal" is, verwacht ik niet dat daar een "BelgiŽ Only" encryptie aan te pas gaat komen. De link geeft in mijn ogen aan de ancryptie zijn waarde heeft - daar twijfel ik ook geen nanseconde aan - maar niet geloof in een oplossing die in ťťn landje gaat werken. Dat moet je end-to-end aanpakken zodat elke IP stream zijn eigen encryptie heeft. Daar geloof ik meer in ...
Hoezo is het goed om eigen spullen te 'doen'? Omdat je het in je eentje beter kan dan samen?

BelgiŽ en Nederland spelen geen rol van betekenis? Nederland en BelgiŽ staan resp. op de 28 en 37e plek van landen op basis van BNP. De rol van de twee landen voor handel, economie, wetenschap, gerecht en internationale samenwerking is enorm.

En dan een verhaal over nukes... Lekker simplistisch weer. Waarom zou je uberhaupt nadenken over de toekomst als er toch een nuke op ons komt?
Ik denk dat jij de nuke een beetje overschat.
Daar zal je vast omheen mogen met als reden "staatsveiligheid" ...
Daartoe onderhoudt de organisatie een lijst met goedgekeurde producten voor verschillende beveiligingsniveaus.
En daar staat dan geen TrueCrypt en VeraCrypt op, maar wel Microsoft BitLocker. Een closed source proprietary encryptie tool gemaakt door, en in handen van, een Amerikaans bedrijf. Ja dat maakt die lijst echt heel geloofwaardig :')
Microsoft BitLocker. Een closed source proprietary encryptie tool gemaakt door, en in handen van, een Amerikaans bedrijf. Ja dat maakt die lijst echt heel geloofwaardig :')
Maar gelukkig voor de Belgen is het de lijst voor Nederland, van de aivd.
De Belgen zijn hopelijk verstandiger.
Vergeet niet dat overheden meer mogelijkheden hebben dan doorsnee burgers als het gaat om het (laten) auditten van de broncode van software. Zelf of door vertrouwde derden die de benodigde deskundigheid hebben. Bij het NBV weten heus wel waar ze het over hebben, daar zitten goede wiskundigen en cryptografie deskundigen op verschillende vlakken ;)
Belgie gaat voortaan achterstevoren schrijven :)
Kunnen de Nederlanders dan toch onze mail al niet meer lezen :)
Kunnen de Nederlanders dan toch onze mail al niet meer lezen :)
Fonetisch Antwerps en we zijn machteloos.
Ik dacht aan encryptie gebaseerd op Belgische moppen...
Baseer het dan maar op basis van de complexiteit van hoe de vele Belgische regeringen in elkaar zitten.

Daar kan ik na 36 jaar nog altijd niet aan uit. Niemand niet, trouwens.

@stresstak hieronder: Brussel, hoort dat bij BelgiŽ?! ;-)

[Reactie gewijzigd door freaxje op 7 juli 2017 20:29]

Baseer het dan maar op basis van de complexiteit van hoe de vele Belgische regeringen in elkaar zitten.
Om over Brussel en over het koningshuis maar te zwijgen.
jullie doen ook leuk mee met de benelux-regering ;) :+
@stresstak hieronder: Brussel, hoort dat bij BelgiŽ?! ;-)
Ja, dat Brussel wel. Met ''19 burgemeesters, 13 korpsen politie, 17 deelgemeenten''. Dat Brussel.
Waarom niet gebruik maken van vrije en open algoritmes? Als iets de test der tijd en gebruik doorstaan heeft dan zijn het die wel.
Waarom niet gebruik maken van vrije en open algoritmes? Als iets de test der tijd en gebruik doorstaan heeft dan zijn het die wel.

Precies, het gekke is dan ook dat men een eigen nieuw en dus beperkt/niet-geverifieerd encryptiealgoritme wil gebruiken, maar wel de industrie gebruikt voor de implementatie. En dat terwijl in heel veel gevallen de implementatie minstens net zo belangrijk is. Of omdat daar de bugs/backdoors in zitten, of omdat een geode implementatie zwakheden/bugs in het algorithme kan omzeilen/verhelpen.

Ik vraag me af wat de rationale is. Ik hoop dat het niet de paranoid "buitenlands = backdoor" gedachte is, want daar zijn juist open en geverifieerde algorithmen een goed middel tegen.
Yep, en AES is ook nog eens een Belgische vinding, voorheen Rijndael.
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Voor sleutelbeheer het toch maar houden op het oude vertrouwde RSA.
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
.
Echt veilige crypto systemen maken is *moeilijk*.
Dat kan een klein landje niet.

[Reactie gewijzigd door Geekomatic op 7 juli 2017 19:59]

Voor sleutelbeheer het toch maar houden op het oude vertrouwde RSA.
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Met de naderende opkomst van de quantumcomputer lijkt me dat geen goed idee. Shor's Algorithm maakt gehakt van semipriemgetallen.
Eerst maar eens zo'n ding zien te bouwen met voldoende qbits. Maar als dat lukt hebben we gelukkig al wat klaarstaan: https://en.wikipedia.org/wiki/Post-quantum_cryptography
Meen mij te herinneren dat een tijdje geleden een Nederlandse overheidsinstantie hiervoor waarschuwde - wil je het risico lopen dat de huidige encryptiemethodes niet afdoende zijn voor communicaties die niet alleen jaren, maar ook decennia lang geheim moeten blijven?

Het is zeer waarschijnlijk dat verschillende overheden ge-encrypteerde berichten onderscheppen en opslaan voor de dag dat zulk een computer daadwerkelijk de boel kan oncijferen. (of, wat ook niet ondenkbaar is, er een defect ontdekt wordt in de huidige implementaties)
"NSA paid RSA $10 million to adopt an algorithm that wasn't entirely secure"
bron: https://www.forbes.com/si...e-of-sports/#18885b1b4b8f
Je moet wel een onderscheid maken tussen het public-key algorithme en RSA Inc, een Amerikaans bedrijf dat cryptosoftware en 2FA tokens maakt.
Dus die 10 miljoen van de NSA is niet naar het bedrijf gegaan wat het public-key algoritme wat gebruikt maakt van RSA keys het ontworpen?

Ik weet niet of je die link bekeken had, zo ja dan was daar neem ik aan bovenaan het artikel de quote van mij te vinden. Wat heel gek zou zijn want nu wijst de link naar een verkeerd url wat er niks mee te maken had. Dit is de juiste link
https://www.forbes.com/si...e-of-emails/#63895b462181

En als ik dan de volgende zin na mijn quote er achter lees dan lijkt het artikel toch te suggereren dat de partij die die 10 miljoen heeft gekregen ook het algoritme heeft gemaakt. Niet dat dat betekend dat het ook feitelijk juist is. Maar die 10 miljoen is dus niet naar de ontwerpers(Ron Rivest, Adi Shamir en Len Adleman) gegaan?
"As if it wasn't enough that the NSA paid RSA $10 million to adopt an algorithm that wasn't entirely secure, researchers have now demonstrated that they can break even RSA 4096 bit encryption with little more than a few emails and a microphone."
Het bedrijf RSA Inc. heeft een tijdje een patent gehad op het RSA algorithme. Dat kreeg het bedrijf dankzij het patent dat MIT daar op had. De ontwerpers van RSA hebben niets van gezien van die $10M.
As if it wasn't enough that the NSA paid RSA $10 million to adopt an algorithm that wasn't entirely secure, researchers have now demonstrated that they can break even RSA 4096 bit encryption with little more than a few emails and a microphone.
Dat klinkt als een side-channel attack waarbij aan allerlei rare randvoorwaarden voldaan moet zijn.
Ze hebben fysieke toegang nodig, prima bruikbaar als mensen hun key niet willen afstaan of niet te te vinden zijn. Als ze dat hebben kunnen ze binnen enkele uren 4096 bit RSA keys te weten komen.

"You've got to be sending your test emails to a specific machine that you are then recording the sounds from. With that there is the possibility of pattern matching and that's what they're doing next. From that, as they say, they can extract the encryption key in around an hour."
Dat kan nooit werken bij GnuPG. Als mijn machine gesigneerde en versleutelde email verstuurt naar een andere machine wordt mijn secret signing key gebruikt, maar alleen als je het wachtwoord er van weet. Het enige dat zonder wachtwoord kan is mail versleuteld naar een ander versturen, maar dat kun je toch al omdat je daar alleen de public keys voor nodig hebt. Mijn secret encryptie key (een andere dan de signing key bij keys die na pgp 2 gemaakt zijn) wordt nergens gebruiikt.

Als iemand in de machine kan komen is het versleutelde keybestand toch al toegankelijk en is het wachtwoord erop de enige beveiliging die nog over is. Dus ik ben benieuwd wat hier nu precies gebeurt.
Misschien interessante voetnoot dat Rijndael (AES) was ontwikkeld door twee belgen, nl Vincent Rijmen en Joan Daemen.
Het is dus absoluut niet zo dat ze stom bezig zijn, ook hier in Nederland heeft defensie zo zijn eigen systemen en implementaties ongeacht het algoritme dat gebruikt wordt. Je kan staatsveiligheid immers niet aan externen overlaten.
ook hier in Nederland heeft defensie zo zijn eigen systemen en implementaties ongeacht het algoritme dat gebruikt wordt

Alleen doet men hier dus het omgekeerde. Third party implementatie, en zelfbedacht algorithme. tenzij de berichtgeving niet juist is natuurlijk ...
Nee je leest de berichtgeving niet juist. Een derde partij zal de hard- en software bouwen, het encryptiealgoritme zal door de Belgische militaire school en Belgische universiteiten aangeleverd worden.

Dat is m.a.w. zoals "ongeacht het algoritme dat gebruikt wordt", moet de derde partij hard- en software opleveren (die daar mee overweg kan).

Bekijk het zoals een Adobe Photoshop plugin: ongeacht hoe Adobe Photoshop knoppen, balken, schermpjes, penseeltjes en dergelijken op je bureaublad brengt, moet Adobe Photoshop toelaten dat een plugin, geschreven door een derde partij, het beeld kan bewerken.

Vervang nu "Adobe Photoshop" door "hard- en software" en "plugin" door "encryptiealgoritme". Je kan met andere woorden hard- en software maken die een deeltje van het geheel toevertrouwt aan een plugin. Dat deeltje verzorgt de eigenlijke encryptie van het kanaal van een communicatiesysteem. Dat deeltje wordt aangeleverd door de Belgische militaire school en de Belgische universiteiten.
Nee je leest de berichtgeving niet juist. Een derde partij zal de hard- en software bouwen, het encryptiealgoritme zal door de Belgische militaire school en Belgische universiteiten aangeleverd worden.

Dat is precies zoals ik het las. :)

"Third party implementatie, en zelfbedacht algorithme"

Zelfbedacht dan dus "Belgische militaire school en Belgische universiteiten", dus ivm die laatste groep wellicht niet 100% zelfbedacht, maar mijn principe blijft dus overeind. Men doet dus exact het omgekeerde dan wat Nederland deed, alwaar het algorithme flexibel kan zijn en doorgaans niet zelf ontwikkeld is.

Er is geen enkele twijfel aan algorithms zoals AES, maar toch gaat men zelf iets ontwikkelen en dan meteen implementeren (tenzij men eerst en paar jaar de zaak in de openbare academische wereld gaat gooien, en dan pas gebruiken)
Wie weet zullen ze wel AES gebruiken? Vermoedelijk zal de aan te leveren hard- en software ook met een standaard AES cipher moeten kunnen werken. Vermoedelijk zal het gelijktijdig met meerdere algoritmes moeten kunnen werken?

Misschien is dat wel de manier waarop ze de communicatie met anderen militaire organisaties willen mogelijk maken?

Dat lijkt me aannemelijk.

Vermoedelijk zal de Belgische militaire school en zullen de Belgische universiteiten een cipher op basis van of gelijkaardig aan AES gebruiken? Wie weet gebruiken ze wel een One Time Pad? Geen idee. En vermoedelijk is het niet de bedoeling dat wat er gebruikt gaat worden, publieke info zal zijn. Maar vermoedelijk zal je uit de aanbesteding voor de derde partij kunnen opmaken dat om het even welke cipher mogelijk moet zijn.

Speculeren is tof he.
Je kan ook beiden goed proberen te krijgen. Je moet dat zelfs doen om het goed te hebben.

ps. Nederlandse staatsgeheimen lekken niet erg vaak. Dus vermoedelijk heeft Nederland ťťn en ander vrij goed voor elkaar. Het zou ook kunnen dat Nederland al enkele jaren veel geluk heeft gehad. Ik vermoed dat het een combinatie van de twee is.
Bepaalde militaire zaken horen geheim te zijn. Daar heeft een staat terechte en gegronde redenen voor.

Wat 17 miljoen betreft: het centrum voor cybersecurity in BelgiŽ had/heeft ook zo'n klein budget. Wat ik hoor is dat dat budget wel wat rek krijgt, uiteindelijk. Zoals vrijwel alle IT projecten (ook in Nederland trouwens).

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*