Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Zoom neemt cryptografieplatform Keybase over

Zoom heeft cryptografieplatform Keybase gekocht. De videobelmaker heeft een onbekend bedrag voor Keybase neergelegd zodat Zoom-gesprekken in de toekomst worden voorzien van betere beveiliging en versleuteling.

Zoom wil met Keybase eind-tot-eindversleuteling inbouwen in videogesprekken op het platform. Het bedrijf werkt aan een optie om die encryptie bij betaalde accounts aan te bieden, schrijft het in een blogpost. Gebruikers kunnen in dat geval een publieke cryptografische sleutel genereren die bij Zoom wordt opgeslagen. Bij het opzetten van een gesprek wordt er dan een eenmalige symmetrische sleutel gegenereerd door de host die die kan delen met andere deelnemers in een gesprek.

Keybase is een platform dat onder andere dat soort publieke keys genereert. Wat Keybase precies gaat doen binnen Zoom is niet helemaal duidelijk. "Uiteindelijk ligt de toekomst van Keybase in de handen van Zoom, en we zullen zien waar dat ons naartoe leidt", schrijft Keybase op zijn eigen website.

Onder de samenwerking wordt Keybase een bedrijfsonderdeel binnen Zoom. Keybase-medeoprichter Max Krohn gaat het beveiligingsteam van Zoom aansturen. Keybase heeft zo'n 25 medewerkers en bestaat sinds 2014. Het is niet bekend wat de overnameprijs was.

Zoom kwam de laatste maanden vaak onder vuur te liggen vanwege meerdere beveiligingsincidenten. Sindsdien heeft het bedrijf de ontwikkeling van nieuwe features tijdelijk gepauzeerd om alleen nog aandacht te geven aan beveiligingsfuncties. Inmiddels heeft Zoom ook een adviesraad van beveiligingsexperts in het leven geroepen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

07-05-2020 • 17:22

47 Linkedin

Reacties (47)

Wijzig sortering
Jammer wij gebruiken Keybase voor GPG encryptie, bijvoorbeeld in combinatie met HashiCorp Vault waarmee de master key in shards worden verdeeld over Keybase users.
Dat wordt maar een eigen keyserver opzetten..

Meer on topic:
Keybase heeft volgens mij een investeerders partij er echter zitten. Ben benieuwd wat er met de overname mee gaat gebeuren. https://keybase.io/blog/keybase-stellar
Ik denk dat we (al jaren) moeten concluderen dat hoe lastig het ook is, enkel decentrale oplossingen blijvende oplossingen zijn.

De dag dat meerdere partijen een keybase website kunnen opzetten, en er sprake is van een aantal afspraken en protocols (misschien op basis van het prototype dat keybase.io was); dan pas is het concept echt waardevol op langere termijn.

Alles wat gecentraliseerd beheerd wordt is gedoemd om of te verdwijnen, of overgenomen te worden door een partij die niet te vertrouwen is.
Denk je dat het probleem centraliteit is, of de beschikbaarheid (en licentie) van de broncode?
Als gecentraliseerde software de verkeerde kant opgaat, kan het namelijk gewoon geforked worden. De maker van Signal benoemt hier nadelen van decentralisatie: https://signal.org/blog/the-ecosystem-is-moving/.
Ik vind beide belangrijk, en ik vind het belangrijk dat de standaarden (zoals protocols) patentvrij zijn en dat er verschillende implementaties zijn (waarbij een aantal er van open source horen te zijn). Bij XMPP is dat allemaal van toepassing.

De uitleg waar je naar linkt somt voorbeelden op in plaats van redenen, en als het al een reden aanhaalt (i.p.v. een voorbeeld) is het dat standaarden niet opgelegd worden in het moeras van XEPs dat XMPP geworden is. Het grappige is dat Signal zelf volledig op XMPP gebaseerd is.
What we have instead is a complicated morass of XEPs that aren’t consistently applied anywhere. The implications of that are severe, because someone’s choice to use an XMPP client or server that doesn’t support video or some other arbitrary feature doesn’t only affect them, it affects everyone who tries to communicate with them.
Maar dat is dus een beperking van de verschillende keuzes. Niet van het protocol. M.a.w. bepaalde XMPP (Jabber) servers bieden nog geen video conferencing aan (Jitsi zou je video conferencing over XMPP kunnen noemen). Wel, dan gaan zij die het wel aanbieden dus meer gebruikers kennen als zij die het niet aanbieden.

Een probleem, vind ik, van XMPP is dat de aanbieder een deel van je unieke 'locator' bepaalt. Nl. dat wat achter de @ staat. Daardoor heeft een aanbieder een soort van mini-monopolie op je aanwezigheid. Iets wat SMTP en dus E-mail ook als probleem heeft. Het zou m.a.w. van mij gerust mogen dat de EU alle aanbieders van SMTP en XMPP oplegt dat E-mail adressen, zoals telefoonnummers, moeten blijven werken (dat men dus dit moet doorgeven aan concurrenten - iets wat de telefoonoperators al moeten doen). Maarja, dat is moeilijk natuurlijk. Het grappige is dat keybase.io hierin een oplossing zou kunnen geweest zijn: namelijk een register van je mogelijke identifiers. Stel dat je vroeger piet@jabber.org had en vandaag piet@jitsi.org dan zou je dus een plek hebben (gehad) met keybase om beide mogelijkheden te publiceren. M.a.w. werkt piet@jabber.org niet voor video-conferencing, dan kan piet@jitsi.org geprobeerd worden. Maarja. keybase wordt dus overgenomen door Zoom. Dus dat is vanaf nu bijna zeker uitgesloten.
Ook als het centraal in eigen beheer kan voor je eigen domein?

https://wiki.gnupg.org/WKD
Goed idee, net geïnstalleerd voor mijn eigen PGP situatie. En daarmee is één van de features van keybase.io vervangen ;-).

Thanks for the tip.
Waarom eigen keyserver opzetten? Private keys worden toch niet opgeslagen op Keybase, dus wat is nu ineens het beveiligings-risico?
Omdat de toekomst van het product van Keybase nu onzeker is. Ze kunnen nu zo besluiten de stekker er uit te trekken of er geld voor te vragen. Als het onderdeel is van je kritieke infrastructuur (wat het is als je het voor Vault gebruikt) dan wil je graag in eigen handen hebben wat er mee gebeurt.
En waarom was je voor de overname door Zoom, er wel zeker van dat een gratis dienst zou blijven bestaan?

Ik snap je bezorgdheid hoor, maar je kan niet verwachten dat je kritische infrastructuur kan draaien op een gratis dienst die door iemand anders wordt gehost. Zou spijtig indien ze de stekker eruit trekken, maar betalen voor een kritische component lijkt me nu toch niet zo bizar.

Trouwens, je kan Vault toch gewoon gebruiken met plain PGP ipv KeyBase? Mag ik vragen waarom je expliciet voor Keybase hebt gekozen? ((Ben zelf professioneel ook met Vault bezig, dus hoe anderen het gebruiken vind ik altijd wel boeiend om te weten :) )
Jammer wij gebruiken Keybase voor GPG encryptie, bijvoorbeeld in combinatie met HashiCorp Vault waarmee de master key in shards worden verdeeld over Keybase users.
Dat wordt maar een eigen keyserver opzetten..
Amen. Null vertrouwen in Zoom tbh.
Klinkt bijna als een slecht album van Guns 'n Roses maar Chinese Cryptography is iets waar ik net als het album niet echt direct warm voor loop.
hoezo chinese cryptografie? volgens mij is er weinig chinees aan keybase.
Nog niet nee, maar na deze overname komt het in Chinese handen. En aangezien er niet echt iets is als een onafhankelijk bedrijf binnen de muren van de Chinese Communistische Partij zou ik deze dienst toch echt afschrijven in betrouwbaarheid.
Hoezo? Zoom neemt Keybase over, niet omgekeerd. Tenzij je nu Keybase gebruikt en ze na de overname door Zoom niet meer vertrouwd?
Wow, wat onwijs suf van mij.. ik was er heilig van overtuigd dat Zoom een Chinees bedrijf was, ik denk dat ik in de war ben met TikTok. Je/jullie hebben uiteraard helemaal gelijk. Mijn excuses voor deze publieke brein faal :-P
Zoom laat key-exchanges via chinese servers lopen. Je hebt alle reden om Zoom voorlopig nog niet te vertrouwen. Verderop staat een comment met meer info: Het.Draakje in 'nieuws: Zoom neemt cryptografieplatform Keybase over'
En waarom zou je daarvoor een bedrijf moeten overnemen? Is het zo beroerd gesteld met de kennis dat ze helemaal niemand hadden om over beveiliging na te denken of zo?
Misschien, en dat is puur een gedachte van mij, is het ook wel om een beetje goodwill te kweken en imagoschade op te poetsen.

Met deze overname laten ze zien dat ze daadwerkelijk wat aan de problemen willen doen. Of dat beeld klopt is een tweede natuurlijk.
Het heeft ze zeker aardig wat geld gekost, en die extra mensen willen ook salaris.
Dus ik denk dat het meer is dan een gesture.

Ik verbaas me een beetje over de meeste reacties hier. Vrij negatief over zoom, terwijl maar weinig bedrijven zijn die in zo'n korte tijd zoveel aandacht aan security hebben gegeven.

Ik kan me herinneren hoe lang whatsapp er over heeft gedaan om 'secure' te worden.
de redenen dan zoom zo vaak negatief in het nieuws was, was echt wel terrecht, maar ik krijg wel het idee dat men hier het hele bedrijf afkeurd (inclusief de toekomstige applicaties) op basis van hoe 1 product op een bepaald moment in tijd is.

Als we kijken naar de hoeveelheid fouten en beveiligingsproblemen er in ms word zaten, zouden we microsoft ook hard moeten dissen.
maar 90+% van jullie gebruikt office op windows en sommige van jullie azure etc.

Dus wees eerlijk met jezelf en kijk naar hoe een bedrijf zijn bedrijfsvoering doet. Kijk naar hoeveel effort ze stoppen in security en privacy.

Stop met kijken naar wat er vroeger mis was met 1 van de producten.
historie ligt in het verleden.
Zoom bestaat al wat jaren (bijna 10 jaar) en heeft weinig tot niets aan security gedaan. 10 jaar terug was de noodzaak voor security echter al breed gedragen.
(wikipedia)
In April 2020, CEO Yuan apologized for the security issues, claiming that some of the issues were a result of Zoom having been designed for "large institutions with full IT support.
/sarcasme: Grote bedrijven doen niet aan security. Dat antwoord van de CEO gaat voor mij voor de hoofdprijs in de categorie Bullshit Bingo.

Ze nemen ook een loopje met de begrippen:
Wikipedia
Zoom initially claimed to use "end-to-end encryption" in its marketing materials, but later clarified it meant "from Zoom end point to Zoom end point"
Een bedrijf wat een andere definitie van end-to-end encryption hanteert dan de rest van de wereld mag je die nog geloven op zijn blauwe ogen? Voorwaar de tweede prijs in de Bullshit Bingo.
Wikipedia
In April 2020, Citizen Lab researchers discovered that a single, server-generated AES-128 key is being shared between all participants in ECB mode, which is deprecated due to its pattern-preserving characteristics of the ciphertext. During test calls between participants in Canada and United States the key was provisioned from servers located in mainland China where they are subject to the China Internet Security Law.
Uiteraard willen we al onze gegevens in de handen van de Chinese overheid.

Bovenstaaande zijn voorbeelden hoe het bedrijf zijn bedrijfsvoering doet. En in gewoon Nederlands: it sucks. Het product is gebruikersvriendelijk maar volgens wikipedia zijn de ontwerp keuzes gericht op het reduceren van security en privacy. Leuk dat security-sausje dat ze er nu overheen gieten maar dat geeft mij geen vertrouwen dat het het bedrijf nu opeens het licht heeft gezien en zijn bedrijfsvoering gaat verbeteren. Eens een leugenaar ....
Vertrouwen komt te voet en gaat te paard.
Het overnemen van een bedrijf is een makkelijke manier om snel kennis en expertise in huis te halen. Zeker als het specialistische kennis is, die je eigen mensen zich niet even snel eigen kunnen maken. En wellicht is er binnen het bestaande team geen capaciteit om die kennis te ontwikkelen.
Sowieso gaat het hier zoals ik het lees niet om beveiliging in het algemeen maar specifieke versleuteling van verkeer.

Het idee bij dit soort overnames is dat je het totaal pakket aan kennis overneemt, zelfs als je een goed idee hebt in welke richting je iets wil ontwikkelen kan het een hoop tijd en effort kosten als je nog niet tegen diverse bekende valkuilen bent opgelopen. Door het overnemen van een bedrijf die gespecialiseerd is in dit soort zaken krijg je niet alleen de kennis maar dus ook de ervaring mee.

Dat is althans de theorie, want in mijn beleving heb je nu een team (of teams) in huis die intiem bekend zijn met hun expertise maar niet met de werking van jou product waardoor ze op dat vlak een achterstand hebben.
Ze hebben een imago probleem. Dat is veel groter dan de technische problemen die ze hebben. Er is namelijk geen normaal mens dat genoeg van crypto snapt om daar iets zinnigs over te zeggen. Normale mensen vertrouwen daarom maar op de reputatie van van experts om te bepalen of iets veilig is.
Facebook heeft exact hetzelfde gedaan met WhatsApp en Signal. Toen WA slecht in het nieuws was ivm beveiligingsproblemen hebben ze de programmeur van Signal ingehuurd om aan WA te werken.
Nu is dat een slimme expert maar wat ze echt kopen is niet zijn kennis maar zijn reputatie.
Uiteindelijk ligt de toekomst van Keybase in de handen van Zoom, en we zullen zien waar dat ons naartoe leidt
Oh ok. Dus op termijn exit Keybase. Zonde. Keybase leek me de afgelopen jaren nochtans een leuk initiatief.
Gebruikte je het ook actief? Ik heb het al jaren maar doe er vrijwel nooit iets mee eigenlijk.
Precies dit, had het.. maar nooit echt gebruikt
Ik wel. Niet vaak, maar met regelmaat.

Een stukje gereedschap.
Niet echt actief, maar ik gebruikte het wel (een paar keer) om anderen hun keys te verifiëren. Maar het concept vind/vond ik wel goed. Bij PGP het is nl. een groot probleem hoe men aan elkaars keys komt op een veilige manier (sure de PGP key servers bestaan, maar iemand die PGP gebruikt, bv. journalisten zoals jijzelf, gaat dat niet noodzakelijk voldoende vinden - keybase bood verschillende manieren om aan verificatie te doen. Wat het toch al behoorlijk wat moeilijker maakt om één en ander te vervalsen).

Dus nu dat Zoom het overneemt is het zo goed als zeker dat het bergaf zal gaan.
Idem. Ik vond het leuk om de kaart compleet te krijgen kwa ondersteunde diensten. Maar merkte dat ik het vrij weinig gebruikte.

Was al enige tijd aan het twijfelen om het weg te doen, vooral omdat ze opeens crypto currency (Stellar Lumens) aan het pushen waren via DM's.
Jammer. Ik gebruik Keybase dagelijks. Perfect voor versleutelde team-chats en file-shares. Maar in handen van Zoom vertrouw ik het niet.
Even leuk cashen voor de mensen van Keybase, maar als je zo'n bedrijfje overneemt.. hoe is het dan precies gesteld met je inhouse expertise van veiligheid? Ze zullen nu explosief groeien, de hype van videobellen is straks over, kijken wat er dan nog over is van een onetrick bedrijf.
De piek in videocommunicatie is met deze crisis wel bereikt, echter zal onze samenleving er anders uitgaan zien. Thuiswerken neemt een vlucht. Videocommunicatie gaat niet meer weg en zal juist alleen maar meer ingezet gaan worden.
Ze bestaan al jaren... En velen hebben ze nu leren kennen en hebben ook het thuiswerken leren kennen. Hier plukken ze nog wel een tijdje de vruchten van!
Met KeyBase in de hand, als ze iets met de features doen, houden ze op een bedrijf te zijn met maar een functie. KeyBase brengt een hoop mooie functionaliteit mee.
Wat Zoom nu ook verzint, het is te laat.
Waarom denk/zeg je dat?
Bedrijven als Facebook zijn kwa privacy nu ook niet echt vriendelijk en hebben ook wat akkefietjes gehad in het verleden. Maar wordt nog steeds gebruikt (en alle dochters zoals Instagram etc.).

Videoconferencing zal juist door deze crisis alleen maar vaker worden gebruikt. Bedrijven krijgen nu eindelijk door dat je je medewerkers niet elke dag in de auto of trein hoeft te stoppen maar ook best 1 of meer dagen per week vanuit huis kunt laten werken. Of met vestigingen in het buitenland sneller en vaker (en enorm goedkoper!) via een videocall kunt spreken.

Ik begrijp dat er al kleine bedrijven zijn die zelfs hun kantoor huur hebben opgezegd en alleen af en toe een vergaderzaal gaan huren omdat dat enorm veel kosten bespaard (en reistijd voor de medewerkers).
Ze zijn te lang te slecht bezig geweest, en veel bedrijven en instanties hebben het gebruik van Zoom verboden.

Dat draai je niet zo snel weer terug.
Ik lees dat het gebruik nog steeds toeneemt. Daarnaast zijn er ook weinig alternatieven waarbij je zo makkelijk met meerdere/veel personen een videoconference kunt doen.
Betwijfel ik, enorm veel bedrijven gebruiken het en blijven het gebruiken. Mijn vriendin gebruikt het bij hun op het werk. En ik kreeg zojuist een uitnodiging voor mijn online cursus bij 1 van Nederlands grote opleiders, en jawel, ook daar word Zoom gebruikt.
Onbegrijpelijk. Maar dan niet zeuren als ze oog in oog komen met anderen en als ze afgeluisterd worden.
Bij PrivacyTools zijn we inmiddels al aan het kijken of Keybase gedelist zou moeten worden.

https://github.com/privac...ivacytools.io/issues/1894
Heb vanaf het begin al een account bij Keybase, toen het nog invite only was. Tbh niet heel veel gebruikt, maar vond het altijd wel een concept. GPG is toch complex, Keybase maakte het makkelijker. Jammer dat het nu als publiciteitsstunt wordt gekocht..
Balen, ook al kan ik niet zeggen dat ik verbaasd ben.
Ik heb altijd geweten dat deze dag ooit zou komen als Keybase succesvol zou zijn, want het gaat iedere keer fout.
We moeten als maatschappij leren dat we onszelf niet afhankelijk moeten maken van gecentraliseerde commerciele diensten.

Decentraal en gedistribueerd is de kracht van internet˙en ook nog eens een belangrijk principe achter het kapitalistische model van de vrije markt. Dit principe gaat er van uit dat concurrentie zorgt voor vooruitgang en lage prijzen. Als er maar 1 aanbieder is (of dat een communistische regering is of een zakelijk monopolie) dan is dat slecht voor de klanten en de economie.

Maar we zijn met z'n allen verslaafd aan de lage prijzen en het grote gemak van de centrale commerciele diensten. Geen enkel individu gaat daar iets aan veranderen, er zijn altijd meer mensen die andere prioriteiten hebben dan activisten die bereid zijn een offer te brengen.
Als we het zelf niet kunnen dan zal de overheid er voor moeten zorgen.
dat ze de inhoud in ieder geval niet kunnen inzien.
Wat helpt een betere beveiliging en versleuteling als ze zich het recht blijven voorbehouden om uw video gesprekken te bewaren en voor commerciële toepassingen te gebruiken?
Dat klopt niet. Zeker niet voor betaalde accounts.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True