Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Betalende klanten Zoom kunnen in de toekomst sterkere encryptie krijgen

Videobelgigant Zoom overweegt om betalende klanten en belangrijke instituten toegang tot sterkere versleuteling te geven. Het plan staat nog niet vast en het bedrijf zoekt naar een implementatie waarbij het misbruik van het platform kan blijven bestrijden.

Zoom stelt dat de overweging een kwestie is van technologie, veiligheid en zakelijke factoren. Enerzijds erkent het bedrijf de waarde van extra zware versleuteling voor bijvoorbeeld onderwijsinstellingen, non-profits en politieke dissidenten. "Momenteel is het plan om betalende en bij ons bekende enterprise-klanten extra versleuteling te bieden".

Eind-tot-eindencryptie is niet alleen vanwege misbruik iets dat Zoom niet gratis beschikbaar stellen wil, maar dat zou ook betekenen dat gebruikers niet meer telefonisch kunnen inbellen om zich bij een Zoomvergadering te voegen. De toegankelijkheid van Zoom is juist een van zijn sterke punten in een tijd van een sterke toestroom naar dergelijke tools.

De mogelijke extra zware versleuteling staat los van de aes 256-bits encryptie met gcm die het bedrijf op 30 mei voor iedere gebruiker introduceerde. Aan de technische zijde heeft Zoom een draft van zijn e2e-crypto-ontwerp gepubliceerd.

Door Mark Hendrikman

Nieuwsposter

31-05-2020 • 12:02

99 Linkedin

Reacties (99)

Wijzig sortering
Heel veel rode vlaggen hier.

'Extra zware' encryptie zoals AES256 helpt natuurlijk geen zak als de key nog steeds op hun server staat (dus geen end-to-end). Ja tegen men in the middle zoals je provider, maar daartegen is ongeveer iedere gangbare encryptie al wel voldoende.

En vanwege misbruik niet gratis beschikbaar willen stellen.. Huh? :? Wat voor misbruik dan precies? En dat mag wel met betaalde accounts?
Enerzijds erkent het bedrijf de waarde van extra zware versleuteling voor bijvoorbeeld onderwijsinstellingen, non-profits en politieke dissidenten.
Dus voor normale burgers of bedrijven is privacy niet zo belangrijk?

En daarnaast, zolang Zoom niet open source is kun je het sowieso niet vertrouwen. Je kunt onmogelijk uitsluiten dat er stiekem toch een backdoor in zit (al dan niet op last van de NSA).

Protip: gewoon Jitsi gebruiken. En desgewenst op eigen server hosten.
Sluit wel aan op de wetgeving die nu ontwikkeld wordt in de VS:
- https://cyberlaw.stanford...thout-actually-banning-it
- https://www.eff.org/deepl...act-violates-constitution

Lang verhaal kort. Wel encryptie voor bedrijven en banken. Niet voor jou en mij.

EU situatie wordt hier trouwens besproken:
- https://carnegieendowment...-european-union-pub-79220

Edit.
Leuke toevoeging. Een deel van die encryptie-regelgeving is gerelateerd aan Section 230.

In het artikel van Stanford University (Uit februari!) wordt uitgelegd dat het schrappen van encryptie regelgeving en het geven van immuniteit aan websites, veel groeiruimte heeft gegeven aan de IT wereld zonder dat er veel juridisch toezicht was.

Daarna wordt er gesproken over de legitieme bezwaren van monopolisme en militaire encryptie, omdat het gebruik van zware encryptie en vendor-locking, tech-giganten machtiger maken dan vele landen.

Heel verfrissend om te lezen dat, voordat Trump er om riep, er ook veel academische discussie was om de macht van enkelen te breken.

[Reactie gewijzigd door Eonfge op 31 mei 2020 12:50]

Enge ontwikkeling, maar gaat gelukkig nooit werken. Het gebruik van encryptie valt niet tegen te gaan.
Daar ben ik helaas niet zo zeker van.

Hoeveel mensen hier op Tweakers willen maar al te graag overstappen van WhatsApp naar Signal bijvoorbeeld? En hoevaak lopen ze wel niet tegen het probleem aan, dat de rest niet meegaat? Omdat mensen 'niets te verbergen hebben'? Vaak. Te vaak.

Het probleem is dat niet technisch onderlegde mensen hier de meerwaarde niet van inzien en een discussie met deze mensen maar al te vaak compleet zinloos is. Ze hebben een oordeel al snel klaar: "nee, jij bent paranoide en moet je niet zo aanstellen".

De overgrote groep is dat dus. En wat krijg je als ze encryptie bij de consumenten gaan verbieden? Waarschijnlijk erg weinig tegenstribbeling vanwege behalve een kleine groep. Of een groep mensen die weet wat het is om onderdrukt te (gaan) worden, zoals veel mensen in Hong Kong momenteel.

De groep die overblijft is klein genieg om actief op te handhaven en (hard) aan te pakken, mocht dat nodig zijn. Ik ben hier niet zo positief over...
Klopt, in je eentje heeft het geen zin, als de rest er niet aan wil dan houdt het wel een beetje op.

Maar als mensen onderling het samen willen gebruiken valt dat niet tegen te houden.
Je moet je ook niet proberen uit te leggen over encryptie dat is te abstract. Je moet de consument uitleggen over dat de overheid e.d. meeleest in hun gegevens zonder encryptie en ze dan geen privacy meer hebben. De algemene consument reageert veel heftiger op het idee dat hun hun privacy niet gewaarborgd is dan al dat andere. En daar hoeven ze niet technisch onderlegd voor te zijn. Hoe gaat een overheid uitleggen dat bankverkeer zwakkere encryptie heeft omdat ze maar een consument zijn? Je moet je punt altijd uitleggen in iets wat je doelgroep "pijn" doet/aan het hart gaat.

Overigens zie ik geen enkel probleem om whatsapp op dit moment te gebruiken om moeders even te laten weten dat haar zoon op bezoek komt. Ik vind het inderdaad niet nodig om daarvoor op signal of wat dan ook over te stappen. Mocht ik ooit "dissident" worden dan gebruik ik signal of iets anders waarschijnlijk als communicatie kanaal daarvoor. En whatsapp om de rest van de wereld geen reden te geven om mij daarvan te verdenken. Alles heeft zijn plek :) Maar dat is veel te veel paranoïde voor mij. Ik zorg gewoon dat ik nadenk over wat ik "weggeef" op elk platform. Bewustwording van het datalandschap is veel belangrijker dan overal maar van wegrennen.
De gemiddelde consument "heeft niets te verbergen"
Ik begrijp het punt van je reactie niet. Ben je het eens of oneens of wil je iets toevoegen? Is het sarcasme? Welk punt probeer je te maken?

[Reactie gewijzigd door bzuidgeest op 2 juni 2020 17:40]

Het is helaas is dit angstig ware werkelijkheid.
Ik heb het slechts verpakt als sarcasme.
Een verbod met handhaving is al genoeg om hiermee te beginnen. Daarbij kan je export restricties verwachten etc.

[Reactie gewijzigd door Bor op 31 mei 2020 14:02]

Hoe bedoel je verbod met handhaving, hoe willen ze een verbod handhaven op het downloaden en gebruiken van bepaalde software? (zeker als hat open source is)

En export restricties :? Daarmee voorkom je toch niet dat mensen kunnen communiceren met encryptie?
dus je pleit voor censuur? Dat is de enige manier om te handhaven, want ik ga het doodleuk wel van deze of gene site downloaden :)
En waarom is encryptie hetzelfde als vendor locking?

Je kunt prima een wet maken die vendor locking verbied en zegt dat je de gegevens moet kunnen importeren en exporteren via een ISO-standaard zonder dat je ook maar 1 woord hoeft te zeggen over het verminderen of verbieden van encryptie. Zijn 2 totaal verschillende dingen.
Het gaat over regulatie. Er is duidelijk gekozen voor deregulatie aan het einde van de 20ste eeuw.
Maar E2E is iets wat vele bedrijven net zal wegjaagen van jouw platform. In de bedrijfswereld worden verschillende manieren gebruikt om conference calls bij te wonen. En 1 daarvan is nog altijd gewoon de goede, ouderwetse telefoon. En om dat mogelijk te maken moet de server wel in staat zijn om de conf call server side mee te kunnen streamen zodat de audio kan doorgestuurd worden naar de telefoon. Ook worden er vaak meerdere manieren ondersteund om via de computer, smartphone of teleconferencing unit deel te nemen aan de meeting. Dat zijn verschillende protocollen en het transcoderen daarvan moet ook ergens gebeuren. En opnieuw is de server daarvoor de meest logische plaats.

Jij kan dus wel stellen dat het E2E encryptie moet zijn en dat zoiets vanzelfsprekend is volgens jouw, maar dat brengt weer een hoop extra problemen met zich mee.
Tja als je als eis gaat stellen dat mensen allerlei random ouderwetse protocollen moeten kunnen blijven deelnemen, zoals de telefoon, dan houdt het natuurlijk wel een beetje op ja.

Maar kom op, het is 2020. Iedereen heeft internet. En meerdere apparaten met verschillende OS'en om op dat internet te kunnen komen.

En om dan nogmaals even op Jitsi te wijzen: daar hoef je niet eens iets voor te downloaden of installeren. Kan gewoon met een webclient. Het is letterlijk op 1 simpele link klikken (die je via ieder communicatieprotocol kunt doorsturen) en je kunt meteen videochatten.

Brengt nul problemen met zich mee. Juist denken dat je halsstarrig altijd moet blijven vasthouden aan die oude troep, dat brengt een hoop problemen mee.

Het tijdperk van per se moeten kunnen inbellen, faxen of grammofoonplaten ligt intussen wel een beetje achter ons.
Je gaat er wel even heel snel overheen dat Zoom in eerste instantie (waar ze hun geld mee verdienen) een communicatie tool is voor de (groot)zakelijke markt.

En daar heb je (gelukkig) nog een aantal grote en middelgrote spelers die die markt bedienen, en waarvan een klant wil dat er interop is tussen die diensten. Dus met Skype for Business willen ze in een Zoom meeting kunnen meedoen, via hun SIP opstellingen ook graag. En ja, als je ergens in je auto onderweg naar een klant bent en je bent buiten 4G bereik (wat in Nederland niet zo vaak meer voorkomt, maar de wereld is groter) of de verbinding is te brak om fatsoenlijke geluidskwaliteit te geven, dan is inbellen met een telefoon beter als niets.
Brengt nul problemen met zich mee.
Nou, toch wel hoor.

Ik kom in de zakelijke wereld ettelijke mensen tegen zonder zich te schamen zeggen dat ze niks snappen van PCs als het ze weer eens niet lukt hun beeldscherm te delen. Voor mij is dat een ramp, even erg als een timmerman die zegt dat hij geen hamer kan gebruiken, maar die klanten zijn er wel. Voordat ze hun headset hebben gekoppeld is een half uur voorbij en als ik ze even opbel via WebEx werkt het gewoon.

Tweede voorbeeld zijn tafeltelefoons (geen idee wat het Nederlandse woord is) in conferentieruimtes. Je laptop/telefoon midden op de tafel op maximaal volume zetten is een gegarandeerde flop dus je zult die telefoon moeten gebruiken.

[Reactie gewijzigd door _Pussycat_ op 2 juni 2020 10:26]

Voor Jitsi hoeven ze letterlijk niks anders te kunnen dan op een link te klikken. Niks installeren. Niet uitzoeken hoe een of andere app werkt. Het is écht zo eenvoudig.

"Als ik ze even opbel via WebEx" huh wat? Wat is WebEx nu weer. Dat heb ik niet! Mijn zakenpartners kennen dat ook allemaal niet. Is dat een site of een app? Kan hier waarschijnlijk niet want ik gebruik Apple. Kan ik daar ook mee bellen naar Zoom? Het klinkt erg ingewikkeld. Enzovoort.
Voor Jitsi hoeven ze letterlijk niks anders te kunnen dan op een link te klikken
En dan verbindt zich de headset met lege batterij automatisch met de PC?
En hoe kan de conferentie-telefoon (die van de meeting-room) op een link klikken?
"Als ik ze even opbel via WebEx" huh wat? Wat is WebEx nu weer. Dat heb ik niet!
Precies zo is het (ook al heeft WebE ook een "one klik join webapp"). En daarom is het nodig dat ik vanuit WebEx hun nummer kan bellen. En dan moeten ze maar de hoorn opnemen. Zelf in de Amerikaanse conferentieruimte waar de meeste mensen geen flauw idee hebben hoe ze het buitenland bellen.

Ik heb in mijn beroepsleven echt veel telecons moeten doen en een link aanklikken is
De "conferentie-telefoon"? Waarom zo'n raar onhandig apart ding gebruiken. Iedereen heeft toch een telefoon en/of tablet en/of laptop. Het werkt op elk apparaat met internet en dat heeft iedereen.

What's next, straks moet je zeker mensen ook een fax sturen omdat ze nog geen email hebben?
Omdat er misschien bij een klant 5 mensen zijn die samen willen bellen? Of omdat er een meeting is met 5 mensen en één of twee die inbellen? Als in zo een meeting 5 mensen met hun laptop inbellen is de audiokwaliteit een ramp, 5 speakers die tegelijk (maar niet helemaal tegelijk) afspelen is niet aan te horen je krijgt echo's en problemen met slechte microfoons en fans in laptops.

Heb je zelf ervaring met meetings en klanten? Is je überhaupt bewust dat als er 5 mensen van één partij deelnemen deze meestal samen willen zitten?

[Reactie gewijzigd door _Pussycat_ op 3 juni 2020 01:34]

Dus in plaats van een conferentie telefoon kun je gewoon 1 random algemeen apparaat met internet gebruiken. Leg gewoon een tablet in zo'n conference room (ligt er waarschijnlijk toch al) en klaar.

Een ouderwets dedicated apparaat voor zoiets gangbaars als dit is gewoon niet handig.
Leg gewoon een tablet in zo'n conference room (ligt er waarschijnlijk toch al) en klaar.
Dat werkt verschrikkelijk slecht. Ik maak uit je uitspraak op dat je het nog hebt geprobeerd.
Ik heb de "leg een telefoon op tafel met luidspreker zo hard mogelijk" een paar keer moeten gebruiken en het is echt niet goed. Probeer het eens in een ruimte met plek voor 20 personen. Nog leuker wordt het als er in de betreffende ruimte miserabele ontvangst is met de telefoon. En als een slecht Engels sprekende stem uit die telefoon komt.

De door jou benoemde tablet die er "waarschijnlijk" ligt heb ik nog nooit, nooit, nooit in mijn carrière gezien. En ik was in veel meetingrooms in vele landen bij veel bedrijven van de VS tot in Japan.

Waar zie jij die tablets liggen?
Ooit al eens de audio gehoord van zo een tablet? Conference rooms telefoons zijn net zeer goed uitgerust om het geluid goed weer te geven en te capteren, eventueel uit te breiden met extra units als het ene zeer grote ruimte is. Het is duidelijk dat verschillende mensen hier geen ervaring hebben met conference calls in bedrijven.
Tja als je als eis gaat stellen dat mensen allerlei random ouderwetse protocollen moeten kunnen blijven deelnemen, zoals de telefoon, dan houdt het natuurlijk wel een beetje op ja.

Maar kom op, het is 2020. Iedereen heeft internet. En meerdere apparaten met verschillende OS'en om op dat internet te kunnen komen.
Daar ga je al direct de fout in. Nog vele plaatsen in de wereld waar niet iedereen zomaar overal toegang heeft tot het internet, of waarbij je roaming heel hoge kosten betaald voor internet. Dan is gewoon telefoneren, waarbij vele bedrijven toll-free numbers aanbieden, gewoon de betere, goedkopere en eenvoudigere oplossing.

[quote]En om dan nogmaals even op Jitsi te wijzen: daar hoef je niet eens iets voor te downloaden of installeren. Kan gewoon met een webclient. Het is letterlijk op 1 simpele link klikken (die je via ieder communicatieprotocol kunt doorsturen) en je kunt meteen videochatten. [quote]Opnieuw, dan ga je er van uit dat iedereen een apparaat bij de hand heeft met een browser. Ik ken professionele gebruikers die nog altijd vasthouden aan oude Nokia telefoons en niet willen weten van zo een telefoon met een veegscherm.
Brengt nul problemen met zich mee. Juist denken dat je halsstarrig altijd moet blijven vasthouden aan die oude troep, dat brengt een hoop problemen mee.
En daar heb jij als ITer dan weer niets op te zeggen. Het bedrijd bepaald. En zij gaan in de eerste plaats kijken naar de mensen die het geld binnenbrengen. Niet aan het modern gaan doen om maar modern te doen. Als gebruikers gewoon de telefoon willen kunnen opnemen en een nummertje bellen voor een confcall, dan geef je hen die mogelijkheid. Duidelijk nog nooit geprobeerd om een dienst die ze al jaar en dag kennen af te nemen in een grote firma.
Het tijdperk van per se moeten kunnen inbellen, faxen of grammofoonplaten ligt intussen wel een beetje achter ons.
En toch nemen we nog altijd de telefoon vast om elkaar te bellen, zijn er overheden die de fax nog altijd verplichten. Hoewel die technologie op zijn terugkeer is, zal die nog lang bij ons blijven.
Precies. Voor mij zijn er twee levels encryptie: veilig dat niemand anders kan lezen en niet veilig dat andere wel kunnen lezen. Zo heb je ook geen consumer en militairy grade encryptie: je key is groot genoeg of niet.
En als die groot genoeg is zodat het onleesbaar is heeft het geen nut om het nog-meer onleesbaar te maken...

Hoe ik het begrijp lezen/scannen ze dus alles "tegen misbruik". Waarbij niemand weet wie "ze" zijn, maar alle pijlen dezelfde richting opwijzen... Ironisch dat ze hier politieke dissidenten noemen. Als ik een "dissident" in bv hong kong was zou ik ver, ver, heel ver van Zoom vandaan blijven :P
Die kreet "military grade" is inderdaad volslagen bullshit.

Ik zie overigens nog wel een andere variabele: wel of niet end-to-end. Dat maakt nog wel uit. Sterke ("military grade" kuch) encryptie waarvan zij wel de key op hun server hebben, beschermt in principe wel tegen eavesdropping door men in the middle zoals providers of netwerkbeheerders of huisgenoten/collega's/medebibliotheekbezoekers met een packetsniffer.

Eigenlijk is er nooit een goed argment om geen sterke end-to-end encryptie gebruiken. Althans geen goed argument voor de gebruiker. Dus een dienst die dat niet doet valt eigenlijk per definitie niet te vertrouwen.
Eigenlijk is er nooit een goed argment om geen sterke end-to-end encryptie gebruiken. Althans geen goed argument voor de gebruiker. Dus een dienst die dat niet doet valt eigenlijk per definitie niet te vertrouwen.
Voor video-conferencing met meer dan 2 deelnemers lost het wel een hoop moeilijkheden op.
Iedereen moet namelijk enkel zijn eigen videostream naar de server sturen, en vervolgens kan de server de streams van verschillende gebruikers samenvoegen en zelfs met verschillende kwaliteitsinstellingen herencoderen voor elke deelnemer.
Bij end-to-end met 16 deelnemers moet elke deelnemer zijn eigen stream 16x uploaden en om verschillende kwaliteitsinstellingen aan verschillende deelnemers te leveren moet er ook clients-side meerdere keren geencodeerd worden. Vervolgens moeten er ook weer 16 individuele streams binnengehaald worden en gedecodeerd worden.
Een serieuze extra belasting voor alle clients, die voor een hoop gesprekken waarschijnlijk geen meerwaarde bied.
Je kunt dat toch prima progressive encoden, genoeg protocollen die dat ondersteunen. Voor end-to-end encryptie met meerdere deelnemers hoef je het ook niet per ontvanger apart te encrypten.

Jij uploadt één stream in voldoende kwaliteit naar een server. En alle andere deelnemers downloaden die, en skippen desgewenst sommige chunks aan data naarmate ze minder kwaliteit willen.

En of je één grote samengevoegde stream downloadt met de video content van 15 deelnemers gecombineerd er in, of 15 losse, dat hoeft ook niet heel veel uit te maken.
True. Maar ik ben niet zo bang voor een man in the middle, dat Ziggo mijn conversaties afluistert. Maar het kan natuurlijk wel een issue zijn.

Ik ben juist banger dat Zoom zelf mijn conversaties opneemt, key word scanned, en door geeft aan (buitenlandse) overheden en/of doorverkoopt aan advertentieboeren zoals Google en Facebook. Dat is een veel realistischer gevaar.

(je wil natuurlijk gewoon en-en, niet en-of :) )

[Reactie gewijzigd door Zoijar op 31 mei 2020 12:55]

dat is helemaal niet zo denkbeeldig..
Maar ik ben niet zo bang voor een man in the middle, dat Ziggo mijn conversaties afluistert. Maar het kan natuurlijk wel een issue zijn.
Ziggo zal dat niet uit zichzelf doen; maar kan wel gedwongen worden door justitie om hun klanten af te luisteren. (Als justitie er niet al default zelf tussen kan gaan zitten, zoals via een verplicht extra kabeltje van de ISP's de servers van een veiligheidsdienst.)
Die kreet "military grade" is inderdaad volslagen bullshit.
Dat is een kreet die de marketing afdelingen gebruiken voor alles wat volgens NIST 800-57 long term usage goed keurt. Er zijn vele gradaties in dit geheel en "military grade" klinkt leuk maar zegt niets zonder informatie over de brondata die versleutelt moet worden en de manier van gebruik. 3DES is bijvoorbeeld ook gewoon nog approved tot 2030 maar dat klinkt minder veilig. Alles met 128bit of meer sterkt (equivalentietabellen worden wel geupdate zo nu en dan) is net zo acceptable als meer bits. Er zijn wel wat uitzonderingen maar goed, dat heb je altijd.

Ik betwijfel ook of hun key generation, key management en gebruik "military grade" is en dat is minstends net zo, of nog belangrijker.
Die kreet "military grade" is inderdaad volslagen bullshit.
Idd, vaak misbruikt om iets gevaarlijker te doen lijken dan het is, of om te kunnen argumenteren dat niemand zoiets nodig heeft. Zelfde verhaal als terroristen, pedofielen...

Ik stel mij wel serieuze vragen bij niet willen aanbieden van end-to-end encryptie vanwege misbruik? Dat betekend dan wel dat Zoom zelf aan alle data kan zolang je geen geld op tafel legt...

Dat riekt erg naar het hele backdoor verhaal dat sommige overheden ons door de strot willen rammen.
Gelukkig voor ons in de EU is het VK, als belangrijkste bron van dergelijke totalitaire onzin , uit de EU gestapt.
Volledig mee eens.

Overigens zou het betalen voor Security functies verboden moeten worden. Je hoeft toch ook niet extra te betalen voor je airbag? Of brandmelder op je kantoor?

Het is te schandalig voor woorden dat er nog software ontwikkelt wordt waarbij zaken als SSO/SAML of MFA een betaalde optie zijn. Zie ook: https://sso.tax/

Hetzelfde geldt voor ‘sterke’ encryptie. Encryptie dient gewoon een standaard functionaliteit te zijn. Hiervoor geld vragen is echt onverantwoord en immoreel. Maar goed, zolang we geen wet- en regelgeving voor is zie ik dit soort praktijken ook niet veranderen.

[Reactie gewijzigd door RobbieB op 31 mei 2020 14:16]

Ben ik het helaas niet met je eens.
Je betaald nl wel extra voor de brandmelder.
Mijn huis is ook veiliger met een bemande security. Maar die krijg ik echt niet gratis van mijn huurbaas.

Aanvulling: (op alle reacties hierboven en hieronder)
In 1992 werd het verplicht gordels achterin te dragen. Volvo wilde dit dat sinds 1958, want veiliger.
Vóór 1992 was het dus waarschijnlijk absurd om extra te betalen voor extra veiligheid. (Mijn aanname) Maar er werd ook verwacht dat gordels achterin een functie was wat standaard was, en niet een extra betaalde optie was.(ook hier, mijn aanname).
Na 1 april 1992 was deze optie niet betaald, want= verplicht

Mijn stelling: de extra feature voor extra veiligheid = daar mag betaald voor worden

[Reactie gewijzigd door tekenbord op 31 mei 2020 18:08]

je hebt het over fysieke zaken. Dat brengt een geheel ander niveau van kosten met zich mee en beduidend minder schaalvoordeel dan met digitaal. Daarbij is het bij een auto ook nog eens een fysiek issue (mensen die door voorruiten heen gelanceerd worden bij aanrijdingen), tov. een digitaal issue (de mogelijkheid dat je gehele gesprek/data wordt afgeluisterd en/of opgeslagen voorl atere analyse).

Je stelling mag je wel in geloven, je onderbouwing ervoor deugt niet in mijn ogen :) Appel-peren verhaal (wat alle autovergelijkingen zowat zijn, dat terzijde :P ).
Het klopt dat ik inderdaad meer van het fysieke gedeelte ben, en dat de autovergelijking vaak kant nog wal raakt 🙂
Ik kan mij daarbij wel voorstellen dat extra security = extra kosten/manuren.
Als nog niet wettelijk bepaald is dat deze extra veiligheid ingebakken zit, mag je er best extra voor betalen.
In de reacties wordt gezegd dat een bepaalde veiligheid standaard zou moeten zijn, zonder er voor hoeven te betalen. Terwijl ik dat vroeger wel deed bij mijn Volvo. En ik denk de posters ook.
Ik betaal ook extra voor mijn rookmelder, al dan niet in verkapte vorm.

Over de schaalbaarheid. Misschien begrijp ik je verkeerd: 1 dode in het verkeer is toch niet minder erg dan 350.000.000 gegevens die bloot liggen?

En er staat tot op heden nog steeds de vraag open: is er daadwerkelijk misbruik gemaakt van data/encryptie?
Het enige wat ik tegenkom is: er is mogelijk dat

Wat betreft mijn Volvo zou ik wel wat voorbeelden kunnen laten zien
schaalbaarheid: als ik de software voor deze of gene e2e encryptie heb aangepast, dan is dat klaar. Het maakt dan niet veel uit of die software door 5 mensen of 1 miljoen mensen wordt gebruikt opd at punt. De kosten zijn dus marginaal als je kijkt naar het aantal gebruikers van zoom. Er zit dan niet meer veel meerwerk in (of geen zelfs gok ik haast).

Met je autogordel: elke auto zal die in moeten komen, het maakt niet uit of ik 1 auto verkoop of 1 miljoen :)

Of er daadwerkelijk misbriuk is gemaakt van de flaws in zoom is geen relevante vraag in deze casus. De vraag is: wil je je security op orde hebben. Je moet niet wachten tot er een incident is om iets te gaan doen, dat is bad security dan.
Eens & betaal ik graag extra voor dan.
Firewall, brandmelder, toegangspoortjes, camera’s. Extra gordels. Kost extra. Betaal ik graag.
Meer airbags betaal je bij een auto toch ook extra voor? Vroeger was een airbag überhaupt een optie, of alleen de bestuurder airbag was standaard en je betaalde bij voor de passagiers airbags. Tegenwoordig betaal je bij voor extra zij airbags, voetgangers airbag of voor dual stage airbags.
Deftige encryptie zou tot het basispakket moeten horen en is geen feature waarvoor je iets (extra) hoort te betalen.

Het is alsof een autodealer auto's zou verkopen waarbij remmen een optie zijn. "Ongeval gebeurd? Sorry, men had maar moeten kiezen voor een model met remmen. Eigen schuld, kunnen wij niets aan doen."
Sowieso zijn er mogelijkheden om signalen te ontvangen en te handelen bij onwettig gebruik. Het is immers wettelijk verplicht om criminaliteit niet te faciliteren. Dat staat als een paal boven water lijkt mij. Mooi geval van misleiding
Zolang je de mogelijkheid hebt om via telefoon in te bellen, en er tussen alle deelnemers in het gesprek geen veilige key-exchange gebeurt, kan het gesprek nooit end-to-end encrypted zijn.

De telefoon-link is duidelijk, maar ook wanneer je die niet gebruikt moet er een goeie manier zijn om de encryption key bij alle deelnemers van het gesprek te krijgen, anders is de verbinding nooit volledig veilig.

Uiteraard is de verbinding van iedere client tot aan de server encrypted, dat probleem lost ouderwetse TLS meestal gewoon voor je op, maar de server ziet ziet nog steeds alle video- en audioverkeer unencrypted voorbijkomen. Iemand die dus controle over de server heeft, heeft toegang tot alle inhoud van de meetings. Zolang je zelf niet de server beheert, of zolang er geen end-to-end encryptie is, kan geen enkele videocall-dienst vertrouwd worden. En een bedrijf met de track record van Zoom al helemaal niet.

(Side note: Microsoft Teams wordt in bedrijven veelvuldig gebruikt omdat het zogezegd veilig zou zijn. Alle opmerkingen hierboven gelden even hard voor Teams, het feit dat jouw bedrijf een contract heeft met Microsoft waarbij ze plechtig beloven niks te doen met de inhoud van de gesprekken die over hun servers gaan verandert daar helemaal niks aan. Je moet ten eerste Microsoft op hun blauwe ogen geloven dat ze zich hier aan gaan houden, en ten tweede kan zich nog steeds iemand onwettig toegang tot de server verschaffen, en alsnog al je gesprekken aftappen.)

Jitsi heeft dit probleem inderdaad opgelost. Op twee manieren:

De ouderwetse manier, waar je zelf een Jitsi meet server on-premises kunt hosten, waarbij je natuurlijk wel verantwoordelijk bent om ervoor te zorgen dat niemand op deze server kan inbreken en alsnog het verkeer aftappen.

Of de nieuwe manier, in de laatste release sinds Chrome 83 beschikbaar, met echte end-to-end encryption, voorlopig nog in beta. Alle deelnemers moeten een wachtwoord afspreken, dat ze instellen in hun client bij het starten van de meeting. Er wordt aan de hand van het wachtwoord een encryption key gemaakt, en voordat het audio- en videopakketje het netwerk opgaat wordt het encrypted met de key. De eerste paar bytes worden echter heel gelaten, waardoor de ontvangende kant het pakket nog steeds kan herkennen als audio of video, en dus ook zal proberen te renderen. Maar als de key niet juist is, zal het beeld digitale sneeuw zijn, en de audio absoluut niet om aan te horen. Alleen op deze manier kun je er zeker van zijn dat niemand tussen alle partijen mee kan luisteren. Op voorwaarde dat het wachtwoord dat werd gebruikt om de key te maken wel veilig is natuurlijk.

(Side note 2: Ik ben me ervan bewust dat de encryptie die Jitsi gebruikt suboptimaal is. Omdat de eerste paar bytes van het pakketje nog steeds clear zijn, weet de ontvangende partij dat het audio of video is. Dat breekt met één van de eerste regels van encryptie, dat je helemaal niks mag lekken over de inhoud van het bericht. Maar zoals gezegd, het hele ding is nog in beta, en moet nog eerst goed onderzocht worden, maar het werkt wel al.)
Uit de Zoom e2e whitepaper (bron: https://raw.githubusercon...paper/master/zoom_e2e.pdf)
In the revised approach, all keys will be generated and distributed between individual
authorized meeting participants that run the Zoom client software. No secret key material
or unencrypted meeting contents will be provided to Zoom infrastructure servers
, except in
specific cases where this sharing is explicitly authorized by a meeting host (e.g., to support
abuse reporting.)
En ook:
We will host discussions with cryptographic experts, nonprofits, advocacy groups, customers, and others to share more details and solicit feedback for the final design. Once we have assessed this feedback for integration into a final design, we will announce our engineering milestones and goals for deploying an end-to-end encryption offering for Zoom users.
Lijkt me best een goed startpunt.

[Reactie gewijzigd door TheBlackbird op 31 mei 2020 16:01]

Tja gewoon *product X* gebruiken.. nee dankje ik ga niet weer voor elke scheet een andere app gebruiken, wordt al behoorlijk ziek dat iedereen weer zo graag zijn/haar eigen voorkeurs app te moeten gebruiken, terwijl ook daar geen garanties zijn.
Ik snap niet echt hoe je het dan voor je ziet. Als jij software A gebruikt, en iemand anders software B, wat dan?
  • - Niet met elkaar communiceren? (lastig als je met collega's 'moet' overleggen)
  • - Ga je één van de twee programma's kiezen? Welke? de goedkoopste? De veiligste? Het meest open-source? Degene die in de browser draait? Degene die geen account nodig heeft? De gene waarvan de software-download het kleinst is?
Ik snap dat je persoonlijk niet te veel dingen wil installeren, maar het is ook weer niet gek dat @Jace / TBL een suggestie doet voor geschikte software.

Sowieso heb ik moeite om software te vinden die E2E-encrypted-video-group-calls ondersteunt.

Als je ook nog graag wil dat de software opensource is, en je deze eventueel zelf kan hosten, dan hou je volgens mij alleen maar Jitsi nog ever. Of zijn er meerdere?

Aangezien je dit in de (desktop-) browser kan draaien, zonder account, lijkt me dit niet de grootste hindernis :). We hebben 't niet over 15 verschillende programma's

Verder heb je nooit 100% garantie, maar ik hoop dat we het erover een zijn dat je met een self-hosted, open-source programma, meer garantie hebt dan met Zoom, dat liegt over E2E-encryptie, en de content van je video-call doodleuk kan scannen om te kijken of je niet te naakt bent.
Ook Jitsi heeft bij meer dan 2 gebruikers nog een E2E. Is nog in beta
https://jitsi.org/blog/e2ee/
Dat probleem van geen E2E heb je bij Jitsi niet als je eigen server gebruikt.
Ik snap het niet helemaal. Sterkere encryptie, of uberhaupt encryptie? Mijnsinziens is "sterkere" encryptie niet zo nuttig als je het al veilig encrypt met iets anders: een grotere key dus. Maar als ik het zo lees is er nu dus helemaal geen veilige encryptie: je kan niet half encrypten met een backdoor, dat is gewoon lek.
Ik vind het ook straf dat je moet betalen voor iets dat er zowieso zou moeten zijn.
GDPR regels bepalen dat je het best beveiligde manier moet implementeren voor gebruikersgegevens in rust en transit te beveiligen.
Ja kijkende naar privacy is dit geen normale manier.
Ik ben het inderdaad met jou eens. Het bedrijf is toch verantwoordelijk om hun data te beschermen. Anders is het wel erg makkelijk. Dan kan ieder bedrijf onder de privacy regels erg makkelijk uit praten.
De afweging zal ook met cpu load te maken hebben. Vergelijk bijvoorbeeld webrtc maar eens met Zoom wat resources betreft.
De AVG stelt enkel dat “Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen.”. Een beste bestaat ook niet, je kan altijd de sleutellengte weer langer maken. En dat is dus wat ze hier waarschijnlijk doen.
Maar videobellen zelf valt niet onder de gdpr, alleen opslag van de gebruikergegevens.
Jij weet dat er geen encryptie zit op de videoverbinding en daar ga je mee akkoord.
Jij weet dat er geen encryptie zit op de videoverbinding en daar ga je mee akkoord.
De gemiddelde gebruiker weet helemaal niet wat encryptie is. Vandaar dat de verantwoordelijkheid bij de bedrijven is of moet worden neergelegd: het moet gewoon standaard zijn, daar waar anders privacy of security veel meer in 't gevaar zou zijn dan zonder encryptie.
Waarom altijd weer verantwoordelijkheid bij anderen leggen?
Waarom altijd weer verantwoordelijkheid bij anderen leggen?
Als we alleen mensen toelaten op internet die voldoende over security weten, blijven er helemaal geen gebruikers over.
Ja, je moet dus wel degelijk de gebruikers tegen zowel zichzelf als tegen hackers/crackers/malwaremakers, etc.
Zoom is helemaal geen partij hier in, de gebruikers dienen er rekening mee te houden dat de dienst geen encryptie biedt die kan voldoen aan GDPR. Je moet gewoon voorzichtig zijn met uitwisselen van data.

Net zoals een dienst als WeTransfer. De gebruiker dient er rekening mee te houden dat ze gewoon geen GDPR gevoelige data moeten uitwisselen via een dergelijke dienst zonder 2FA.
...de gebruikers dienen er rekening mee te houden dat de dienst geen encryptie biedt die kan voldoen aan GDPR
Als een dienst niet aan GPDR of AVG voldoet, mag het in NL simpelweg niet worden aangeboden.
[...]

Als een dienst niet aan GPDR of AVG voldoet, mag het in NL simpelweg niet worden aangeboden.
Hoezo niet, je kan gewoon een dienst aanbieden. Zolang de dienst geen eigen GDPR gevoelige data over heen laat gaan is er niks mee. Ik kan een plain text uitwisselplatform aanbieden die over http gaat, waar je niet hoeft te authentiseren, er geen info nodig is van de gebruikers. Iedereen is volledig zelf verantwoordelijk wat ze uitwisselen. De dienst slaat niks op en heeft ook geen GDPR gevoelige data om te werken. Er is geen logging, dus IP nummer ook niet opgeslagen.

Deze dienst kan gewoon draaien, dat de gebruikers GDPR gevoelige data via deze dienst uitwisselen is de verantwoording van de personen die de dienst gebruiken en niet de dienst zelf.
Als er geen privacy-gevoelige data over de lijn heen gaat enzo, zijn GPDR/AVG natuurlijk niet van toepassing. Gaan er wel zulke gegevens over de lijn, dan moet het betreffende bedrijf volgens mijn gewoon verplicht aan GPDR/AVG voldoen. Wat ook logisch is.
Toen laatst met het lekken van de donorgegevens, heeft die instantie zich dus niet aan de GPDR/AVG gehouden. Je mag de schuld van het lekken niet bij die miljoenen mensen neerleggen die zich hebben laten registreren.
Conceptueel zitten er wel verschillen in. Je kunt een versie van 'consumenten'-encryptie gebruiken die goed genoeg is om eenvoudige dingen te beveiligen, en je kunt 'millitaire'-encryptie aanbieden voor overheid en hen die extra willen betalen.

De grap natuurlijk, is dat deze handelspraktijk uit de jaren '90 stamt, en sinds de eeuwwisseling denkt er niemand meer over na om op zo'n manier encryptie aan te bieden.

Deze achterhaalde handelspraktijk kan natuurlijk ook weer gewoon terug komen onder de verkeerde omstandigheden. In de VS werken ze aan de EARN-IT Act welke dit in de hand helpt, en ook China ziet graag verschillende niveaus van beveiliging.

Edit.
Hier een goed artikel over "The Right to bear Military Cryptography"
https://www.vice.com/en_u...-right-to-bear-encryption

Het gebruik en bezig van vuurwapens is moreel niet heel verschillend. Middelen wiens macht en gebruik zeer veel goeds en slechts kunnen doen. Middelen die kunnen bijdragen aan onderdrukking of rebellie. Net als dat er velen tegen particulier vuurwapen bezit zijn, zijn er ook vele tegen particuliere, perfecte, encryptie.

[Reactie gewijzigd door Eonfge op 31 mei 2020 12:31]

Het gebruik en bezig van vuurwapens is moreel niet heel verschillend.
?? Hier kan ik geen kaas van maken.
Middelen wiens macht en gebruik zeer veel goeds en slechts kunnen doen.
Ook hier is niet veel touw aan vast te knopen...

[Reactie gewijzigd door kimborntobewild op 1 juni 2020 10:33]

Denk dat ik het artikel verkeerd begrijp. Ik lees het namelijk als een versleutelde verbinding tot aan de server (vrij gebruikelijk) versus een end-to-end versleutelde verbinding (zoals Signal dat doet). Dat is op zich geen gekke upgrade optie.

Edit: mogelijk lees ik dit zo omdat ik de overname van Keybase in mijn achterhoofd heb zitten. En die specialiseerden zich in end-to-end encryptie.

[Reactie gewijzigd door NielsFL op 31 mei 2020 12:30]

Achterlijk! Ze snappen het nog steeds niet bij Zoom.
Security is noodzaak, geen betaalde luxe.
Kwaliteit en performance zijn USP's waar men wel voor wil betalen.
Toch blijven mega veel bedrijven de service gebruiken. Waarom weet ik eerlijk gezegd ook niet.
Het werkt, men gebruikt het al en de functionaliteit is simpelweg superieur. De eigenaar van de meeting heeft een hoop richten waarmee je alles zo kunt instellen zoals je wilt, zeker handig voor onderwijsdoeleinden. Ook zijn de 'breakout rooms' een bijzonder praktische functie om in kleiner gezelschap te overleggen.

Maar dat is het dan ook. Ga je dan kijken naar beveiliging en privacy dan wil je het absoluut niet gebruiken. Helaas is dat een ondergeschoven kindje bij velen en vinden die de functionaliteit belangrijker dan de zorgen die er zijn.
Het zal wel "makkelijk in gebruik zijn"... Voor gemak wordt menig principe/eis aan de kant geschoven.

Bij ons op de zaak is zoom uitdrukkelijk verboden.
Hoeveel participants kun je in de alternatieve app zien? Teams en Skype zitten op 9 volgens mij?

Bij Zoom kun je er tig tegelijk in beeld hebben. Dat is volgens mij de USP van Zoom. Vooral omdat voor de crisis de alternatieven nog beperkter waren in aantal mensen in beeld.
Jitsi meet ook. Veilig en goed.
Dus geen reden om de "verboden" zoom te gebruiken.
Van zodra er meer dan 10 deelnemers zijn begint Jitsi het al moeilijk te krijgen heb ik gemerkt...
Ook heel wat andere extra's ontbreken, polling, advanced logging, dual monitor, enforced policies, remote support, camera control (ook remote), waiting rooms, host, en co-host opties,... kan zo wel nog even door gaan.
Wij gebruiken het nu dagelijks meerdere keren. Maar we houden ons aan de regel: geen gevoelige of persoonlijke data bespreken via Zoom. Voor een teamoverleg, een webinar etc.. maakt dat allemaal niks uit dus.
Niet gehinderd door enige vorm van kennis neemt de jongste bediende of een grijze directeur het besluit.
Omdat het goed werkt natuurlijk... en wat zijn de alternatieven? Waar je zonder account, met meer dan 4 in beeld kan?
Het is in principe logisch om geld te vragen voor nieuwe/'ingewikkelde' features, alleen met de publiciteit rond Zoom afgelopen tijd geeft dit het gevoel dat ze daadwerkelijk iets met de videostreams doen wat geld opleverd (scannen/data doorverkopen oid), gezien je moet betalen voor versleuteling (waardoor ze het niet kunnen inzien).
Wat een grap, wat een malafide praktijken.
Malafide omdat je zou moeten betalen voor een extra feature?
Malafide omdat je zou moeten betalen voor een extra feature?
Een extra beveiligingsfeature. Da's net even iets anders.
Hoezo wat anders? Geld moet ergens vandaan komen.
Grappig dat iedereen maar door blijft gaan over Zoom terwijl er al sinds jaar en dag prima alternatieven bestaan: Signal en Matrix/Riot.im bijvoorbeeld.

Onbeperkt gratis, goede encryptie en bij Tox zelfs geen bestandslimieten (al is die laatste nog niet echt bruikbaar/stabiel).

[Reactie gewijzigd door GeoBeo op 31 mei 2020 15:31]

Ook die apps is helemaal geen garantie dat ze 100% veilig zijn, en zo zijn er wel 100den varianten te kiezen, ga toch echt niet voir iedereen zijn/haar voorkeurs app installeren om te communiceren met hun. De laatste 2 die jij noemt kende ik niet eens net zo min als die Tox, en zo zijn er dus nog 100den anderen.
Voor alles zijn er wel alternatieven.
Voor zakelijk gebruik kun je prima binnen het bedrijf een bepaalde app afdwingen als werkgever.

Je gebruikt toch thuis (hopelijk) ook geen Microsoft Teams om met je vrienden te praten?
Dat komt denk ik omdat mensen van hun conference-call-sofware eisen dat ze........ conference calls kunnen houden ;)

Signal is erg mooi, maar ondersteunt nog geen group-calls. Als je met collega's wil videobellen gaat dat 'm helaas niet worden.

Riot ziet er wel interssant uit, maar voor zover ik kan vinden gebruiken ze nu Jitsi voor het afhandelen van de group-calls.

Ik kan sowieso Jitsi aanraden, sinds kort zit ook volledige E2E encryptie in de beta daar.

Behalve Jitsi, heb ik trouwens niet echt een alternatief kunnen vinden die E2E-encrypted-group-video-chat aanbiedt, heeft iemand anders meer succes gehad?
Dit bedrijf heeft security en privacy niet zo heel hoog op 't lijstje staan. Behalve als je extra lapt... :?
Dit is reputatie technisch geen handige zet van hen. Ze zouden dit soort zaken nu gratis moeten pushen.
gratis, waarom moet alles op internet maar gratis? Die ontwikkelaars, servers, data etc. Zijn voor zoom (en elk ander bedrijf) ook niet gratis. Juist bij gratis betaal je met je privacy, kijk maar naar Google en Facebook. Volgens mij is het hele idee hier dat je het juist niet wilt delen en daarom betere encryptie wilt.
What's next? Voicemail voor 5 EUR per maand? Lijkt KPN uit de 90'er jaren wel.
Ja idd, als je dat niet wilt koop je een antwoord apparaat.

Misschien moeten de meeste mensen eens beseffen dat gratis niet bestaat.
Zoom probeert nu populariteit ten gelde te maken, maar
1) Zoom heeft (imago)probleem tav security
2) Concurrentie is secure by default (en voor zelfde prijs, geen differentiatie paid/free)
precies, toch juist goed dat ze daarmee bezig zijn. Mijn bedrijf heeft een betaald account. De data kun je dan via alleen Europese servers laten lopen.

Werkt echt super kwa beeld en geluid en omdat we bellen met vele landen en verschillende bedrijven zijn er gewoon weinig goede alternatieven.
Tja voor HTTPS moet je toch ook betalen, net als voor een fancy certificaat dat verder gaat dan alleen maar Domain Validation. Ik kan best begrijpen dat bepaalde organisaties hogere eisen hebben een dat daar dan ook hogere kosten tegenover staan. Je verwacht van de overheid ook iets meer dan dat ze een Let's Encrypt certificaat gebruiken :)

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True