'Politie ontsleutelt opnieuw groot aantal pgp-berichten voor criminele zaken'

Justitie heeft opnieuw een server in beslag genomen met daarop pgp-berichten die inzicht geven in activiteiten in het criminele circuit. De server stond in Costa Rica. Een groot deel van de op het systeem aanwezige berichten zou inmiddels ontsleuteld zijn.

Op de server stonden ongeveer 400.000 met pgp versleutelde berichten, waarvan 'het merendeel' inmiddels in leesbare tekst omgezet zou zijn. Dat bleek maandag tijdens een pro-formazitting over een afrekening, in de beveiligde rechtbank in Amsterdam Osdorp, waar Crimesite bij aanwezig was. Het OM zou bezig zijn de inhoud van de ontsleutelde berichten te analyseren.

Justitie zou in ieder geval berichten kunnen gebruiken in enkele liquidatiezaken. Details over de inbeslagname van de server in Costa Rica zijn er verder niet en ook is niet duidelijk hoe het ongedaan maken van de encryptie is uitgevoerd.

Begin dit jaar werd bekend dat de politie in samenwerking met het NFI miljoenen pgp-berichten van een in beslag genomen server wist te ontsleutelen. Waarschijnlijk werden de pgp-sleutels door die server in plaats van door de Blackberry-toestellen zelf gegenereerd, waardoor de politie eenvoudigweg de sleutels kon inzetten om toegang tot de inhoud te krijgen.

IT-banen

Reacties (84)

Odie 20 november 2017 12:57

Ergo: de private keys stonden op dezelfde server als waar de berichten op stonden. Ik bedoel: versleutel dan niet, wat heeft het dan voor zin. En het ontsleutelen is dus niet zo'n bijzondere prestatie als de kop doet vermoeden toch?

Anonymoussaurus @Odie • 20 november 2017 13:03

Volgens Wikipedia maakt PGP gebruik van het IDEA-algortime wat bestaat uit een 128-bits RSA sleutel. Volgens dat artikel, wat al 3 jaar niet is bijgewerkt, schijnt het veilig te zijn. Dit artikel spreekt dat tegen.

Volgens mij ligt het meer aan de implementatie, dat die publieke sleutels niet veilig zijn opgeslagen.

Carharttguy @Anonymoussaurus • 20 november 2017 13:12

Volgens mij ligt het meer aan de implementatie, dat die publieke private sleutels niet veilig zijn opgeslagen.

FTFY.

Dit artikel spreekt trouwens helemaal niet tegen dat IDEA onveilig zou zijn. Dit artikel zegt gewoon dat de berichten ontsleuteld kunnen worden. Dat kan ook zonder dat IDEA onveilig zou zijn.

Laloeka @Carharttguy • 20 november 2017 13:20

Dat is wel een prettige eigenschap van encryptie inderdaad, dat berichten met de juiste key gewoon weer ontsleuteld kunnen worden

De meest veilige voordeur moet ook gewoon open gaan als je er doorheen wilt.

Sterke encryptie + zwakke key-management = slechte beveiliging.

Zo zijn er maar zat bedrijven die elke drie maanden een nieuw wachtwoord vereisen voor hun werknemers, maar dat dat wachtwoord <naam>+<maandnummer> mag zijn, is dan weer geen probleem. Je kunt nog zo'n veilig systeem bedenken; maar als de keys voorspelbaar zijn, voor de hand liggen, of op post-it's aan de monitor hangen, kom je er alsnog zo in.

[Reactie gewijzigd door Laloeka op 25 juli 2024 12:12]

rbr320 @Laloeka • 20 november 2017 13:44

Inderdaad. Semi off-topic: periodiek wachtwoorden laten verlopen is wat mij betreft de beste manier om je beveiliging om zeep te helpen. Dwing je sterke wachtwoorden af dan krijg je de post-it situatie want men kan zijn wachtwoord anders niet onthouden. Doe je dat niet dan krijg je het door jou genoemde voorbeeld van zwakke wachtwoorden met volgnummers.

Zorg liever voor een goede oplossing op basis van 2 factor authenticatie, dat begrijpen de meeste mensen inmiddels wel.

RuudAnders

@rbr320 • 20 november 2017 15:18

Krijg je alleen de vraag terug waar iemand zijn of haar hardware token moet bewaren. Gebeurt nu al met enige regelmaat dat iemand zijn toegangsbadge thuis heeft laten liggen. Geen probleem, want de secretaresse kan je alsnog binnen laten. Dat gaat alleen niet werken met 2FA. Veiliger, maar niet altijd even praktisch; de eeuwige afweging met beveiliging.

rbr320 @RuudAnders • 20 november 2017 15:23

Bij mijn werkgever wordt de Google Authenticator of een vergelijkbare app op de smartphone gebruikt. Microsoft heeft er geloof ik ook 1 en je hebt bijvoorbeeld ook nog Authy. Mensen laten hun smartphone zelden meer thuis liggen tegenwoordig blijkt in de praktijk.

eYaTed @rbr320 • 20 november 2017 16:26

De toekomst ligt in facial recognition een beetje zoals Apple met zijn FaceID.
Wij testen Hello met Active Directory. Echter moeten we nog veel toestellen eerst migreren naar Windows 10...

Anoniem: 455617 @eYaTed • 20 november 2017 18:58

Net zoals alle biometrie is ook gezichtsherkenning niet geschikt als authenticatiemethode. De oorzaak hiervan zit in de variability van zowel de meting als het judgement. Er is dan geen absolute waarheid meer in de authenticatie. Dat is een fundamentele zwakte die niet op te lossen is. Het enige wat je kunt bereiken door tweaken van meting/judgement algoritmes is een verschuiving van vals positief fouten naar vals negatief fouten.

rbr320 @eYaTed • 20 november 2017 16:31

Op zich lijkt gezichtsherkenning om in te loggen op je werkplek me interessant, al ben ik nog niet helemaal overtuigd van de huidige staat van deze technologie gezien het recente nieuws over hoe makkelijke Apple zijn FaceID is te omzeilen met foto's of door familieleden die op je lijken.

Welke Hello bedoel je overigens? Ik vind namelijk meerdere applicaties met die naam. En hopelijk werkt het ook met iets anders dan een Windows (10) Phone?

MajorWinters @rbr320 • 20 november 2017 19:54

Vermoedelijk gewoon Windows Hello: https://www.microsoft.com/en-us/windows/windows-hello

CR2032 @eYaTed • 21 november 2017 08:02

Slechte keuze. Werknemers kun je nooit verplichten om hun gezicht als authenticatie in te zetten.
En als er gehacked wordt heb je dan een giga probleem, want een gezicht kun je niet resetten. Maar wel hetzelfde wachtwoord dat je overal kunt gebruiken.

De ideale prooi zo'n bedrijf.

eYaTed @CR2032 • 21 november 2017 13:52

Wie zegt dat je werknemers nooit kunt verplichten? Er zijn al zat bedrijven waar je geen toegangsbadge meer nodig hebt, maar gewoon met je vingerafdruk de poorten opent.
Kom je hier binnen wordt er een foto van jou genomen om in het organigram te plaatsen.
Mensen voegen bewust hun eigen foto's toe in Office 365, maar owé als je hen zou vragen om te unlocken met hun gezicht. ..

Met Hello heb je face recognition + fingerprint, pin..
Om een toestel te unlocken heb je:
- het toestel zelf nodig (werkt niet vanuit een ander niet-geregistreerd toestel, nadeel voor shared PCs is dat je op elk toestel je info moet "registreren" )
- de biometrische informatie of PIN-code
Het gaat hier specifiek over het unlocken van een company device, niet om toegang te krijgen tot App X, dat kan in een later stadium.

Dat is stap 1, vervolgens is het toevoegen van voice authentication.

We zijn in testfase en proberen verschillende technologieën, het doel is een multimodale (FingerPrint/Facial/Hand/Iris, ..) oplossing (veiliger).

CR2032 @eYaTed • 22 november 2017 22:04

Verplicht je vingerafdrukken en foto laten opslaan? Brrrr, wat een verschrikkelijk slecht bedrijf. Hoeveel medewerkers durven daar echt te zeggen wat ze hier van denken of zijn alleen meelopers.
Mag hopen dat het vrijwillig is anders diep medelijden.

Ik zou never nooit voor zo'n slecht bedrijf werken die zo om gaat met de privacy van zijn medewerkers.

Je hebt meer van die bedrijven, tot die waar ze een chip in je nek of bij je duim laten implanteren. Die ik ken nog wel vrijwillig. Die chip kan er tenminste nog uit. Je vingerafdruk of gezichtsfoto nooit.

[Reactie gewijzigd door CR2032 op 25 juli 2024 12:12]

RuudAnders

@rbr320 • 20 november 2017 17:58

Meeste mobiele telefoon platformen hebben een authenticator App. Even de seed invullen en klaar. Ik weet niet hoe vrij werkgevers in het gebruik ervan zullen zijn. De tokens van RSA worden nog vrij veel gebruikt.

GekkePrutser @RuudAnders • 20 november 2017 19:20

Ik gebruik gewoon een pasje daarvoor.. Het is hetzelfde systeem als bijvoorbeeld een pinpas. Je steekt hem in de computer en voert je pincode in (kan ook alfanumeriek zijn dus numeriek hoeft alleen bij gebruik van een fysiek pinpad). Na 3 pogingen wordt de kaart gelockt. De kaart gebruikt een OpenPGP private key en die key is niet uit de kaart te halen.

Een pasje vergeten mensen niet al te vaak mee te nemen, en als het toch gebeurt kan je bijv. bij de receptie tijdelijk een ander pasje (ander keypair) aan het account koppelen. Net zoals met toegangskaarten ook gebeurt. Uiteraard met een goed geaudit systeem er achter.

Op zich kan het heel goed allemaal. Probleem is meer dat de smartcard software nogal wat te wensen over laat. Ik gebruik het zelf voor SSH toegang (private key op smartcard) maar ik moet op elke PC weer de gnupg agent configureren, en ik heb het pas sinds kort ook op Android aan de praat via NFC.

Nazlive @RuudAnders • 20 november 2017 17:02

Kwestie van aanwennen om het mee te nemen?

RuudAnders

@Nazlive • 20 november 2017 17:55

Je mist het punt een beetje denk ik. Iedereen moet zichzelf wel aanwennen om zijn of haar toegangsbadge mee te nemen om binnen te kunnen komen, maar vergeet dat soms. Met een 2FA-token is dat net zo goed het geval.

supersnathan94

@RuudAnders • 20 november 2017 18:32

Zo’n 2FA token is in heel veel gevallen tegenwoordig een smartphone. Mensen nemen die eigenlijk standaard al wel mee. Een hardware token die je laat liggen is opzich ook geen probleem als je hier iets van een losse pincode op kunt instellen. Het “iets wat je hebt” moet namelijk niet te pas en te onpas voor een random persoon te gebruiken zijn om een code te genereren. 2FA is pas echt nuttig als je ook een factor op de token hebt zitten.

In het geval van mijn huidige opdrachtgever zit je dus al tegen meer dan 1 pincode aan te kijken en daarnaast nog een aantal wachtwoorden.

Nazlive @RuudAnders • 20 november 2017 17:58

Ik snap je punt. Maar is soms ook kwestie van aan leren. Uiteraard kun je altijd keertje wat vergeten. Maar op school net zo moet je ook je boeken bij je hebben. Heb je rete strenge leraar die je streng aanpakt, dan zul je zien dat iedereen z'n spul voor elkaar heeft.

QuatroXL @Nazlive • 20 november 2017 22:29

Wij hebben een zelfde systeem, de pas verschaft niet alleen toegang tot je computer maar ook het kantoor zelf. Vergeet je de pas dan moet jij je melden met legitimatie en veel geduld om de autorisaties op de vervangende pas te zetten, de volgende werkdag herhaald dit procédé zich met de originele pas. Oh ben je bijvoorbeeld je portemonnee vergeten met daarin je legitimatie, dan dien je je manager erbij te halen die garant kan staan voor jou identiteit. Kortom je wilt de pas niet vergeten.

Je kunt bijvoorbeeld in de avond aan het werk zijn geweest wat ook via diezelfde pas en blijft hij in de werkkamer achter. Je gaat wegens het mooie weer met de fiets naar het werk te gaan en je pas ligt nog in de auto. Zomaar twee oorzaken waardoor ik mijn pas vergeten ben. Op school kan ik mij voorstellen dat je met een klasgenoot meekijkt.

polthemol Moderator General Chat @RuudAnders • 20 november 2017 22:33

dat probleem ga je altijd wel houden en is eenvoudig op te lossen. Heb het zelf ook eens gehad en dan hobbel je met je id kaart langs naar support, krijg je een tijdelijke token mee en log je daarmee in. Problem solved

Finraziel

@rbr320 • 20 november 2017 14:50

Voeg dan nog tien verschillende systemen toe met allemaal net afwijkende wachtwoord eisen en verloop termijnen en het feest is compleet.

Dafader @rbr320 • 20 november 2017 21:14

Op mijn vorige job moest ik dan voor een goede 20 applicaties 2FA gaan doen, kost te veel tijd en dan ook dus geld. Het bedrijf waar ik voor werkte moest van diens legal afdeling wachtwoorden laten verlopen. Het was niet eens een optie voor IT om het anders te doen.

rbr320 @Dafader • 20 november 2017 22:20

Waaruit maar weer blijkt dat juristen geen kaas hebben gegeten van IT en beveiligingsbeleid.

Ik kan me voorstellen dat elke dag via 2FA moeten inloggen op 20 verschillende applicaties irritant wordt. Aan de andere kant kan je je dan ook af vragen of er misschien iets mis is gegaan binnen je bedrijf met

Session timeouts (1x per dag inloggen zou genoeg moeten zijn en is nog wel te overleven)
Applicatie consolidatie (20 verschillende applicaties is echt teveel IMO)
Single sign-on
All of the above

[Reactie gewijzigd door rbr320 op 25 juli 2024 12:12]

Joep Lunaar @rbr320 • 21 november 2017 11:27

2FA is idd een goed idee, maar in veel omgevingen kan eerst nog winst worden behaald door een onzinnig wachtwoordenbeleid aan te passen.

Dus in het algemeen:
- geen periodiek verplichte wijziging
- gewoon een behoorlijke lengte voor het wachtwoord of wachtzin vereisen (bijv. 10 of meer en dan niet moeilijk doen over 20 tekens)
- geen beperkingen aan de gebruikte tekens of (dus niet spaties verbieden of afdwingen dat je allerlei verschillende types van tekens gebruikt)
- wel verplichting tot het onmiddellijk nemen van maatregelen wanneer vermoed mag worden dat de beveiliging is gecompromitteerd (toegangscodes wijzigen, schade analyse enz.); wanneer en hoe dan te handelen moet goed bekend en doenlijk zijn voor de eindgebruikers.

honey @Laloeka • 22 november 2017 08:35

Zo zijn er maar zat bedrijven die elke drie maanden een nieuw wachtwoord vereisen voor hun werknemers, ...

Exact, dat is voor mij de reden om juist onveilige wachtwoorden te gebruiken. Een sterke kan ik wel onthouden, maar niet als ik om de zoveel tijd weer moet veranderen. Nu zijn het gewoon namen van de maand met een nummer.

Kortom, beveiliging betekend ook dat je kunt inleven wat werknemers willen doen.

bdeblier @Anonymoussaurus • 20 november 2017 13:13

IDEA is geen protocol maar een cipher, zoals DES en AES, en maakt gebruikt een 128-bits sleutel. Heeft niets, maar dan ook niets met RSA te maken.

Anoniem: 890159 @Anonymoussaurus • 20 november 2017 13:19

IDEA is een symmetrisch algorithme dat vanaf pgp 2 gebruikt werd. Nieuwere versies bieden een aantal algorithmen aan waaronder IDEA.

Het gaat hier om de asymetrische sleutels: dat zijn meestal RSA of ElGamal sleutels. Omdat die algorithmes erg traag zijn wordt de bulk data versleuteld met een snel symmetrisch algorithme als IDEA of AES. De sleutel daarvan wordt meegestuurd met het bericht, versleuteld met het asymetrische algorithme. Een dergelijk systeem heet een hybriede ancryptiesysteem: https://en.wikipedia.org/wiki/Hybrid_cryptosystem

Bardman01 @Anonymoussaurus • 20 november 2017 14:07

Dat is net zoiets als je hebt al je geld in de beste kluis ter wereld maar de sleutel ligt erbij.

Zoals ik zelf ook vaak tegen kwam, bij bedrijven ook de hele grote, Netjes elke dag de backup gemaakt maar die ligt naast de server....pffft. Of de servers in de kelder en dan een over stroming krijgen. Meegemaakt bij de AbnAmro Amsterdam met de backup ernaast, of werkzaamheden in de serverruimten en de bouwvakkers staan letterlijk boven de servers te boren, gewoon opdracht uitvoeren. Daar stond ik wel even te kijken van de kwaliteit van de servers. Ruim een halve centimeter steengruis op het moederbord en gewoon door blijven draaien. Heb ik toch even een foto van gemaakt.

Viince1 @Anonymoussaurus • 20 november 2017 14:44

Inderdaad implementatie issue. Gaat hier dan overigens om de private keys.

Een bericht wordt encrypted door versleuteling met publieke sleutel van ontvanger(s), deze wil je dan lekker openbaar hebben.

Het bericht wordt gedycrypt met ontsleuteling van een private key van ontvanger(s), deze behoort afgeschermd te zijn.

fastedje @Anonymoussaurus • 20 november 2017 18:49

Een RSA cipher is pas veilig bij zo'n 2048 bits. Voor een blockcipher is 128 bits of meer wel veilig.

Erik-Hendriks @Anonymoussaurus • 21 november 2017 09:50

De idea key, met een lengte van 128bit, wordt versleuteld met de public key van de ontvanger. Die kan dan de idea key ontcijferen met zijn private key en daarna het bericht.

Bor Coördinator Frontpage Admins / FP Powermod @Odie • 20 november 2017 13:06

Ergo: de private keys stonden op dezelfde server als waar de berichten op stonden.

Dat hoeft helemaal niet zo te zijn. De private keys kunnen bijvoorbeeld ook bij eerdere invallen achterhaald zijn of op een andere manier zijn onderschept. Ook kan er gebruik zijn gemaakt van kwetsbaarheden in software of zwakke encryptiealgoritmen. Je trekt een conclusie die je niet kunt trekken op basis van de informatie die beschikbaar is.

[Reactie gewijzigd door Bor op 25 juli 2024 12:12]

Anoniem: 890159 @Bor • 20 november 2017 13:15

Gezien de achtergrond (pgp berichten via aangepaste Blackberry telefoons waar de microfoon uitgahaald is om afluisteren te voorkomen) is het wel aannemelijk dat die keys op de server stonden.

Anyway, het is sowieso een verouderd concept. Iedereen die iets voor de overheid te verbergen heeft kan beter iets als Signal gebruiken. Desnoods een aangepaste versie die een eigen server gebruikt al denk ik niet dat dat veel meerwaarde geeft.

RobinF @Anoniem: 890159 • 20 november 2017 17:17

Hoezo? Als je PGP goed gebruikt kom je even veilig al dan niet veiliger uit dan signal

Anoniem: 890159 @RobinF • 20 november 2017 18:00

Mja maar Signal vereist geen speciale dure en tegenwoordig moeilijk te verkrijgen telefoons. En je weet zeker dat een grap zoals die in beslag genomen server van Ennetcom niet gaat werken. Natuurlijk is data at rest bij Blackberry telefoons waarschijnlijk veiliger, maar standaard toestel encryptie aanzetten en standaard oude berichten laten deleten helpt hier denk ik ook wel.

Verder heeft Signal het voordeel dat het perfect forward secrecy gebruikt: elk bericht wordt met een nieuwe encryptiesleutel versleuteld die daarna weggegooid wordt. Als de overheid ooit zo'n sleutel van een apparaat zou kunnen halen kan ze er maar een bericht mee ontcijferen en niet meteen alles zoals bij pgp.

Anoniem: 956915 @Anoniem: 890159 • 20 november 2017 18:21

PGP vereist ook geen "speciale dure en tegenwoordig moeilijk te verkrijgen telefoons". Je moet hoogstens met arbitrair grote gehele getallen kunnen rekenen, maar dat is prima te regelen in de talen die gebruikt worden voor het ontwikkelen van apps. Je kunt dan nog te maken krijgen met side-channel attacks, maar daar waren de Blackberry's ook niet tegen bestand.

Wat betreft het gebrek aan PFS in PGP heb je natuurlijk gelijk. Er rammelt wel meer aan (Open)PGP, maar er wordt geen fluit aan gedaan.

Anoniem: 890159 @Anoniem: 956915 • 20 november 2017 20:01

PGP email kan ik op mijn Android toestel ook, maar dit was een speciale Blackberry implementatie waar het over ging. En PFS in een email systeem is haast niet te doen, dan moet je namelijk ook weten in welke volgorde berichten verstuurd worden en ontvangen worden en dat is in een email systeem veel lastiger te bepalen dan in een gesloten messenger.

Anoniem: 956915 @Anoniem: 890159 • 20 november 2017 20:16

Zo las ik je reactie anders niet. @RobinF stelde dat een goede implementatie van PGP (niet per se die van Blackberry) minstens zo veilig is als Signal.

Verder snap ik niet waar je op doelt met die opmerking over PFS. Bij forward secrecy spreek je weliswaar over "toekomstige sessies," maar dat staat los van wat je moet bijhouden. Hoe denk je anders dat een TLS-server dat zou doen?

Odie @Bor • 20 november 2017 13:09

Ik baseerde mijn uitspraak op "Waarschijnlijk werden de pgp-sleutels door die server in plaats van door de Blackberry-toestellen gegenereerd, waardoor de politie eenvoudigweg de sleutels kon inzetten om toegang tot de inhoud te krijgen". En ja, de aanname hier is dat met "de server" men doelt op de in beslag genomen server waarop ook de berichten blijkbaar stonden.

Anoniem: 636203 @Odie • 20 november 2017 14:40

Die criminelen zijn gewoon sukkels. Maar goed, je zal zien dat de politie zelfs hiermee nauwelijks een deuk in een pakje boter kan slaan en de criminaliteit geen grote slag toebrengt.

Ik vraag mij af of die zogenaamde 'veilige' PGP systemen niet gewoon door de politie verzonnen zijn om de criminelen in de val te lokken. Immers, zelfs WhatsApp is vele malen veiliger dan dit systeem (in combinatie met een iPhone en sterk wachtwoord).

[Reactie gewijzigd door Anoniem: 636203 op 25 juli 2024 12:12]

Odie @Anoniem: 636203 • 20 november 2017 14:48

PGP is in essentie niet onveilig. Daarbij is PGP voor email en niet voor chat zoals WhatsApp, net zoals WhatsApp niet zomaar te gebruiken is voor encryptie van mails en documenten etc. Twee totaal verschillende toepassingen. Als je PGP op de juiste manier toepast is het een uiterst veilig middel, imho.

Anoniem: 956915 @Odie • 20 november 2017 20:37

PGP is in essentie niet onveilig.

Ho, wacht even.

Waar de rest van de wereld verder gaat met elliptic curves (post-quantum cryptografie even negerend), ondersteunt de OpenPGP-standaard officiëel alleen RSA, DSA en ElGamal. Deze drie cryptosystemen vereisen enorme sleutels om tegenwoordig nog een beetje veilig te zijn en daarmee vrágen ze om side-channel attacks.

Waar de rest van de wereld kant-en-klare AEAD-modi gebruiken om block ciphers in te zetten voor berichten groter dan een enkel block (en zo fuck-ups als POODLE voorkomen), staat OpenPGP alleen ciphers in CFB-modus toe. Die modus was ooit gekozen zodat je een ad-hoc integrity check kon uitvoeren, maar inmiddels is aangetoond dat dit voor met PGP beveiligde geautomatiseerde diensten niet bepaald een verstandige oplossing is.

PGP valt of staat bij de standaard die wordt gehanteerd. De werkgroep achter OpenPGP is echter óf te lamlendig is om zich in te zetten voor verbetering, óf te incompetent, maar waarschijnlijk allebei. Om nog maar te zwijgen over de brakke implementaties, GnuPG incluis (die bijvoorbeeld heel hacky checkt wat een geldig e-mailadres is, maar daarmee volledig te plank misslaat door wat minder orthodoxe e-mailadressen af te keuren).

[Reactie gewijzigd door Anoniem: 956915 op 25 juli 2024 12:12]

Bigs @Odie • 20 november 2017 13:03

Het beveiligingsmodel achter deze 'PGP' telefoons lijkt inderdaad wel ontzettend slecht te zijn, zelfs als je de stand van de techniek van 15 jaar geleden in acht neemt. Ik weet niet of de private keys ook op de servers stonden of dat ze van in beslag genomen telefoons zijn gehaald. Ergens ben ik wel benieuwd hoe het precies in elkaar stak. PGP maakt end-to-end encryptie mogelijk, maar misschien bevatten de servers een geschiedenis aan versleutelde berichten?

[Reactie gewijzigd door Bigs op 25 juli 2024 12:12]

totaalgeenhard @Odie • 20 november 2017 13:41

Dat ze passphrases kunnen genereren...

Maar het effect dat ze willen bereiken is dat ze criminelen denken te kunnen intimideren op deze manier.

Ik denk zelf dat ze averechts bezig zijn.

Kneusjes waren in de waan dat pgp veilig is. Dus ze gingen geen moeite doen zoals een boek als Applied Cryptography van Bruce Schneier lezen.

Maar door deze FUD te verspreiden zullen die kneusjes gedwongen voelen zich te gaan verdiepen.

Ook gaan ze door slechte implementatie straks naar criminaliteits universiteit waar ze genoeg tijd hebben om te studeren op o.a. dit vlak.

Volgende generatie kneusjes zal beter voorbereid zijn.

De grote vissen mijden digitale technieken. Een digitaal gesprek kun je niet laten zwijgen.

Noresponse @Odie • 20 november 2017 15:17

Dit is gewoon binnenlopen

millman @Odie • 20 november 2017 20:33

Sorry, maar hoe dom is het sowieso als je je criminele activiteiten via de telefoon afhandeld in berichten? Als ik de FBI/CIA/vul maar in.. was, dan zou ik zo'n "veilig encrypt telefoon bedrijf" bij voorbaat al oprichten om criminele activiteiten te onderscheppen. En als slimmerik zou ik vantevoren al bedenken dat dit kon gebeuren en dus nooit mijn vertrouwen in zo'n telefoon/maatschappij leggen (is er bewijs dat dat in dit geval niet ook al is gebeurd?).

Tadsz @Odie • 20 november 2017 13:01

Breaking news: agenten verkrijgen toegang tot zwaar beveiligd safe house met innovatieve techniek om buitenstaanders te weren.

Bericht: Sleutel zat in de voordeur.

theduke1989 @Tadsz • 20 november 2017 13:08

Politie doet ook wat goed. Moet ook gezegd worden toch.

Iblies @Tadsz • 20 november 2017 14:07

...
Bericht: Sleutel zat in de voordeur.

Eerder;
diegene die de dienst gebruikte wist niet dat de sleutelmaker een kopie/loper had.

En dat geld praktisch voor alle diensten. De zekerheid zul je ook nooit krijgen. Een voorbeeld zijn de ‘0-days’,
dat is namelijk dat het ‘publiekelijk’ bekend word. Je weet niet welke mensen/diensten al bekend zijn met de exploit en actief gebruiken.

vinkjb @Tadsz • 20 november 2017 13:06

Dan heb je alsnog toegang tot een zwaarbeveiligd safe house, alleen was iemand zo stom om de sleutel erin te laten zitten, allemaal weer lekker negatief
Uiteindelijk komen er dingen boven water waar ze wat aan hebben en hopelijk mensen kunnen oppakken

Anoniem: 40104 @vinkjb • 20 november 2017 13:16

Om liquidaties van criminelen te voorkomen wat me juist een positief iets lijkt? Problemen die zichzelf oplossen vooral met rust laten.

crizyz @Anoniem: 40104 • 20 november 2017 14:49

Probleem is alleen dat nogal eens de verkeerde wordt geliquideerd (Rob Zweekhorst en Stefan Eggermont, nog niet zo bijster lang geleden).

bbob

Politiek en recht
Encryptie
Politie

@vinkjb • 20 november 2017 13:13

Het laat zien dat de criminelen die dit gebruiken dus te veel vertrouwen op mooie praatjes van verkopers van dit soort systemen en zelf weinig verstand van zake hebben.

himlims_ @bbob • 20 november 2017 13:16

precies dat; het boeit ze -allemaal- niets, omdat "kareltje" in de kroeg deze gebruikt (en verkoopt) moet boris boef deze ook hebben. want hij zegt dat goed is.

Anoniem: 890159 @himlims_ • 20 november 2017 13:23

Nadat "kareltje" voortaan alleen nog via een rietje kan eten en de beheerder van de server een "ongeluk" gehad heeft zal de volgende aanbieder wel beter opletten een dergelijke fout niet meer te maken.

himlims_ @Anoniem: 890159 • 20 november 2017 13:24

nope; dit is al zoveelste keer waarbij pgp servers ingenomen worden, waar de keys op opgeslagen stonden.
en iedere keer kopen ze weer zon 'veilige' telefoon a 1800,-

amateurs

Anoniem: 890159 @himlims_ • 20 november 2017 13:26

De telefoon is best veilig, alleen het opslaan van de berichten EN de private keys op de server bleek niet zo'n goed idee te zijn.

[Reactie gewijzigd door Anoniem: 890159 op 25 juli 2024 12:12]

kritischelezer @Anoniem: 890159 • 20 november 2017 14:42

Ja de zoveelste keer dat er een server in beslag genomen is, maar hoeveel criminelen zitten nu vast, hierdoor?

Anoniem: 890159 @kritischelezer • 20 november 2017 14:53

Hoezo zoveelste keer? Ik weet van Ennetcom, en laatst was er nog eentje meen ik waarvan ik de naam kwijt ben, maar verder?

kritischelezer @Anoniem: 890159 • 20 november 2017 22:48

Ik herhaal alleen wat er in de pers staat. Gaat mij er meer om, dat er ook vele berichten worden bekeken, waar niets verkeerds mee is, dus dan moet het ook tot resultaat leiden = mensen opgepakt worden.

Anders is de privacy schending niet te verantwoorden. Want wie zegt dat die PGP berichten voor criminele doeleinden zijn gebruikt?

Anoniem: 58485 @Anoniem: 890159 • 20 november 2017 16:05

Wie zegt dat op het de server stond en niet gewoon afgegeven is onder juridische druk?

Anoniem: 890159 @Anoniem: 58485 • 20 november 2017 16:22

Als de keys niet op de server staan (of niet bekend zijn bij de beheerders) valt er ook niks af te geven. Justitie kan wel bij mij aankloppen om jouw pgp private key maar waar ze ook mee dreigen, ik kan hem niet geven.

TWeaKLeGeND @Anoniem: 58485 • 21 november 2017 01:49

Omdat juridische druk niks vergeleken is met liquidatie druk van je criminele klanten die een moord meer of minder niet uit maakt. Lijkt het me niet heel erg aannemelijk.

P-e-t-j-e @himlims_ • 20 november 2017 13:39

Zie argument bbob1970 maar dan genuanceerd: ze kunnen onmogelijk overal verstand van hebben en werken dus samen met partijen die zeggen dan wel te hebben. Wij doen dagelijks niets anders als we een koelkast kopen, hypotheek afsluiten of een cloudopslag abonnement aangaan. Dat is niet echt 'boeit niet' maar ervanuit gaan dat de partij waarmee je samenwerkt weet wat hij aanbiedt. Dat daar vervolgens zaken niet op orde zijn kan zelfs bij de grootste partijem voorkomen (bijv diginotar of hoe heet die partij met certificatengate ook alweer?).

Criminelen zijn ook maar mensen/comsumers...

bbob

Politiek en recht
Encryptie
Politie

@P-e-t-j-e • 20 november 2017 13:54

De koelkast, cloud, hypotheek, dat wordt getest, reviews over bedrijven, ja kan informatie inwinnen.

Tja hoogtijd voor een reveiwsite van criminele diensten dan maar.

P-e-t-j-e @bbob • 20 november 2017 13:57

Oh, jij denkt dat criminelen alleen zaken doen met criminele partijen? Ik niet

tal van bedrijven die secure communicatie aanbieden waar crimineel of niet gebruik van kan maken.

[Reactie gewijzigd door P-e-t-j-e op 25 juli 2024 12:12]

FreshMaker @Anoniem: 582487 • 20 november 2017 13:17

Clickbait ?
Je klikt op de link-aankondiging en komt op een andere site uit ?

Nee, je krijgt een artikel te zien wat de titel betreft.
Dat het het spektakelstuk is wat jij er van verwachte, ligt niet aan Tweakers

Dorank @FreshMaker • 20 november 2017 13:43

Je klikt op de link-aankondiging en komt op een andere site uit ?

Clickbait betekent iets anders dan jij denkt:
https://nl.wikipedia.org/wiki/Clickbait

Dat het het spektakelstuk is wat jij er van verwachte, ligt niet aan Tweakers

Dus toch clickbait.

FreshMaker @Dorank • 20 november 2017 13:50

Mijn associatie met clickbait is meer uit de 'oude' usenetgroepen ( waar je nog file voor file moest opzoeken )
Kreeg je een artikel met "cursus wordperfect" en de link erin kwam op een advertentiepagina uit, en de uitbater per click betaald werd

click - bait

TWeaKLeGeND 20 november 2017 12:59

Ben bij dit soort berichten benieuwd of de aanbieder van de dienst nog lang blijft leven.

guillaume @TWeaKLeGeND • 20 november 2017 13:08

Inderdaad, maar focus dáár dan op in het bericht: dat de eigenaar van de server een stomkop is en dat de politie daardoor de berichten heeft bemachtigd. En als dat niet helder is, dan geef je dat aan of je doet de berichtgeving helemaal niet. "Ontsleutelt (...) pgp-berichten" vind ik met alle respect pure misleiding.

[Reactie gewijzigd door guillaume op 25 juli 2024 12:12]

Laloeka @guillaume • 20 november 2017 13:23

"Ontsleutelt (...) pgp-berichten" vind ik met alle respect pure misleiding.

Maar dat is toch precies wat de politie gedaan heeft? Het artikel geeft zelfs de mogelijke oorzaak aan waardoor de politie dit heeft kunnen doen: de keys stonden waarschijnlijk op de in beslag genomen server.

Anoniem: 890159 @TWeaKLeGeND • 20 november 2017 13:20

Sorry meneer Holleeder, ik zal het in de toekomst beter doen. Als u weer vrijkomt krijgt u ter compensatie een jaar gratis gebruik van onze nieuwe dienst.

Anoniem: 636203 @TWeaKLeGeND • 20 november 2017 14:41

Lijkt mij niet. Volgens mij was het ook een politie mol.

Anoniem: 955831 20 november 2017 13:11

Waarom worden deze berichten uberhaupt op een server opgeslagen?

Laloeka @Anoniem: 955831 • 20 november 2017 13:36

Omdat e-mail op meerdere apparaten het prettigst werkt via IMAP of een web-client. Je kunt dan op elk apparaat je e-mails ophalen, lezen en verzenden. Echter is dat niet helemaal compatibel met PGP encryptie, waarbij je de private key op je eigen apparaat (en bij voorkeur alleen dat apparaat) moet hebben staan om de mails te kunnen lezen. Het is dan niet mogelijk de e-mails op al je apparaten te openen.

De mail-provider heeft dit probleem opgelost door de e-mails op de server pas te versleutelen voor verzending en al te ontsleutelen voor het ophalen van de e-mail. De e-mails worden dan ontsleuteld aan de e-mail clients op de apparaten van de klanten aangeboden. Dit heeft als effect dat de e-mails versleuteld aankomen bij de ontvanger en versleuteld verzonden kunnen worden door de verzender, terwijl de klanten van deze service hun e-mail nog steeds op meerdere apparaten kunnen openen/lezen/verzenden en dat ze niet met PGP keys en specifieke clients aan de slag moeten.

Qua veiligheid is het dus een soort compromis tussen PGP-encryptie en je e-mail op een IMAP mail server hebben staan. Het is niet onveiliger dan elke andere partij (GMail, Hotmail, Live, Outlook, etc.) vertrouwen met je e-mail.

NB: PGP is prima te combineren met IMAP, maar dan zullen de versleutelde e-mails niet leesbaar zijn op je andere apparaten. Tenzij je je private key naar al je apparaten kopieert. Dat vereist wat extra aandacht/kennis, en daar leken deze criminelen geen zin in te hebben. Of het verstandig is je private key overal heen te kopiëren, is weer een andere vraag...

[Reactie gewijzigd door Laloeka op 25 juli 2024 12:12]

Anoniem: 956915 @Laloeka • 20 november 2017 18:30

Het is dan niet mogelijk de e-mails op al je apparaten te openen.

Tenzij je voor elk apparaat een sleutelpaar maakt en je iedereen instrueert om altijd naar al je publieke sleutels te sturen. In principe is dat prima mogelijk met PGP (elk versleuteld bericht is namelijk voorzien van een verzameling ontvangende publieke sleutels), maar wellicht is de omliggende infrastructuur er niet op ingericht.

Anoniem: 955831 @Laloeka • 20 november 2017 13:41

Precies. Dus waarom die compromise. In dit specifieke geval waar het artikel over bericht, wil je helemaal niet dat je e-mail ergens op een server staat. Sterker nog, lijkt mij dat het wenselijker is dat je het bericht na openen niet meer kan openen/is verwijderd.

himlims_ 20 november 2017 13:02

"waar Crimesite bij aanwezig was"
> hoe/wat/waarvoor? als verslaggever? als opdrachtgever? beetje onduidelijk

Anoniem: 582487 @himlims_ • 20 november 2017 13:08

zal vastwel een verslaggever geweest zijn aangezien crimesite een analyse website is waar alle 'crime' related zaken in nederland op verschijnen in de vorm van nieuwsartikelen en blogs/

Op dit item kan niet meer gereageerd worden.

'Politie ontsleutelt opnieuw groot aantal pgp-berichten voor criminele zaken'

Lees meer

IT-banen

Reacties (84)

Sorteer op:

Weergave: