Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Google introduceert nieuwe Titan-beveiligingssleutel met USB-C en NFC

Google heeft deze week zijn line-up met Titan-beveiligingssleutels vernieuwd met een USB-C-model, dat ook NFC ondersteunt. Dit model komt beschikbaar naast de bestaande USB-A-variant met NFC. De bluetoothversie gaat uit de verkoop.

Google kondigt het nieuwe Titan USB-C-model aan op zijn securityblog, waarin het bedrijf aangeeft dat het zijn aanbod van beveiligingssleutels wil versimpelen. Het bedrijf gaat in de toekomst alleen nog de USB-A- en USB-C-varianten verkopen, die beide NFC ondersteunen. Het is niet bekend of Google de oude Titan USB-C-variant zonder NFC blijft verkopen, maar aangezien Google spreekt over een line-up met 'een USB-A- en een USB-C-versie met NFC', lijkt dit onwaarschijnlijk.

Volgens 9to5Google wordt het nieuwe model gemaakt in samenwerking met fabrikant Feitian; het zou een aangepaste Feitian ePass K40 met aangepaste firmware zijn. Via NFC zijn de security keys bijvoorbeeld bruikbaar op smartphones. Het oude bluetoothmodel gaat uit de verkoop, maar blijft werken.

Het USB-A-model wordt geleverd met een USB-A-naar-C-adapter en kost 30 dollar. De nieuwe USB-C-variant kost 35 dollar en wordt niet geleverd met een adapter, meldt Google. De nieuwe beveiligingssleutels staan nog niet op de Amerikaanse Google Store en het is niet bekend of de sleutels ook beschikbaar komen in Nederland en België. De voorgaande modellen waren hier niet te koop, hoewel de oude USB-C-versie wel in enkele andere Europese landen beschikbaar was.

Fysieke beveiligingssleutels zoals de Titan-modellen van Google kunnen gebruikt worden als methode voor tweestapsverificatie, voor de bescherming van accounts. Security keys bieden ook verhoogde bescherming tegen phishing. Tweakers schreef eerder een achtergrondverhaal over fysieke beveiligingssleutels.

De vernieuwde line-up van Titan-beveiligingssleutels, met rechts het nieuwe USB-C-model. Afbeelding via Google

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Daan van Monsjou

Nieuwsposter

09-08-2021 • 19:19

39 Linkedin

Reacties (39)

Wijzig sortering
Betreffende Feitian zie onderstaande publieke informatie:

Jaarverslagen zijn te vinden op www.ftsafe.cn ( ja onbeveiligd maar het is toch echt de chinese bedrijfswebsite)

Als je naar de jaarverslagen kijkt tot 2020 dan zie je dat hun grootste aandeelhouders ( afgezien van de founder) Central Huijin Investment Co., betreft.
Central Huijin Investment Co., Ltd. is a Chinese investment company owned by the government of the People's Republic of China. Established in 2003, it became a wholly owned subsidiary of China Investment Corporation, with its own Board of Directors and Board of Supervisors.[1] Central Huijin's principal shareholder rights are exercised on behalf of the State Council.[2] Central Huijin is an organization by which the Chinese government can act as a shareholder for the "big four" state owned banks, thereby improving corporate governance and initiating reforms of the banking industry.[3]
Grappig want dat is toch een directe staatsconnectie.
Dan kijken we waar Feitian hun winst vandaan haalt :
By 2014, 85% of the company’s revenue was coming from state banks, and Feitian was among the top three such vendors by revenue in the country.[7]
De decision maker is tevens ook groot aandeelhouder bij Feitian.

Klaarblijkelijk heeft google de moeite niet genomen om hun due diligence te doen.

Dan pakken we een uitgebreid onderzoek erbij van :
https://chinachange.org/2...anced-protection-program/
In 2003 the company joined the “IT-Military Alliance” (计算机世界科技拥军联盟) upon its founding. The event was hosted by the Network Infrastructure Department of the PLA’s General Armaments Department, along with other official organizations.

Only 12 companies formed the IT-Military Alliance. The founding ceremony was marketed as an opportunity for industry to present tribute to the PLA in celebration of the 76th year since its founding. Feitian notes on its website that “the head of the General Armaments Department expressed a deep interest in Feitian’s products,” and that “Feitian will inevitably provide earnest service to the giant military market under the grand strategy of ‘civil-military integration,’ and thus do our bit to help the construction of the nation’s informatized defensive infrastructure!”[8]
Samengevat : 100% staatsconnectie , onderdeel van de China Military Alliance , klanten zoals de state public security bureau.
“Companies in China aren’t able to refuse to engage in intelligence activities. This is laid out very clearly in Article 7 of China’s new 2017 National Intelligence Law,” Uren wrote in an email.

The law states: “All organizations and citizens shall, in accordance with the law, support, cooperate with, and collaborate in national intelligence work, and guard the secrecy of national intelligence work they are aware of. The state will protect individuals and organizations that support, cooperate with, and collaborate in national intelligence work.”
En het zegt ook echt wat over google dat winst boven veiligheid gaat en google simpele due dilligence niet kan doen |:(

Onder geen beding zal ik deze key aanraden aan iemand in mijn netwerk en als je dan toch er eentje wil pakken ga dan voor.

Authentrend : Taiwanees bedrijf wordt in China gemaakt , echter loop je minder risico aangezien je info in taiwan ligt
Yubico : algemeen bekend ( ook bij yubico kun je vragen om specifiek keys die gemaakt worden in zweden ipv US mocht je bang zijn voor backdoors)

[Reactie gewijzigd door Zyphlan op 9 augustus 2021 21:16]

Dat "je info in China staat" is natuurlijk niet zo met een produkt als deze". Het is alleen maar een security key, hij beheert wat sleutels en dat is het. Het communiceert verder niet met China. Dat weet je ook zeker want het Fido2 protocol is gewoon open. Fido tokens gebruiken ook geen drivers waar communicatie in kan zitten. Het praat niet met de webservers van de maker (overigens is het inderdaad idioot dat een security bedrijf als deze geen TLS gebruikt op hun website, het zegt niks over het produkt maar het is wel heel slechte reclame).

Echter, wat wel mogelijk is, is dat er een zwakte in het gebruikte protocol is gedaan zodat het makkelijker te kraken is. Dat kan inderdaad.

Maar dus zoals ummm... RSA gedaan heeft?
Of de zeer beperkte entropie in de infineon hardware cryptochips waardoor deze veel makkelijker te bruteforcen zijn. Dit is precies het soort chip dat in dit soort tokens terecht komt trouwens.

Kijk, ik vertrouw China ook niet hoor, maar laten we het wel in perspectief stellen. Amerikaanse security bedrijven hebben hun onbetrouwbaarheid al bewezen. Ik geef daarom zelf liever wat meer uit aan een Europese Yubikey. Heb ik daarmee zekerheid? Dat niet, maar in elk geval geen bedrijf dat militaire banden heeft met welke natie dan ook.

[Reactie gewijzigd door GekkePrutser op 9 augustus 2021 22:23]

Dat "je info in China staat" is natuurlijk niet zo met een produkt als deze". Het is alleen maar een security key, hij beheert wat sleutels en dat is het. Het communiceert verder niet met China. Dat weet je ook zeker want het Fido2 protocol is gewoon open. Fido tokens gebruiken ook geen drivers waar communicatie in kan zitten. Het praat niet met de webservers van de maker (overigens is het inderdaad idioot dat een security bedrijf als deze geen TLS gebruikt op hun website, het zegt niks over het produkt maar het is wel heel slechte reclame).
op hun westerse website gebruiken ze het wel www.ftsafe.com :)

Ik bedoel er meer mee dat als jouw informatie in taiwan ligt dan kunnen ze niet echt gerichte aanvallen doen aangezien ze of alle keys met backdoors moeten inbouwen of geen.

In het geval van Feitian weten ze precies aan welke klant geleverd wordt en ze hoeven dus maar 1 key specifiek voor die klant aan te pakken het kan dus 99.9% van de gevallen geen probleem opleveren maar als ik de chinese staatsveiligheidsdienst ben zou ik dit toch echt wel als een mooie optie toepassen
Kijk, ik vertrouw China ook niet hoor, maar laten we het wel in perspectief stellen. Amerikaanse security bedrijven hebben hun onbetrouwbaarheid al bewezen. Ik geef daarom zelf liever wat meer uit aan een Europese Yubikey. Heb ik daarmee zekerheid? Dat niet, maar in elk geval geen bedrijf dat militaire banden heeft met welke natie dan ook.
Spot on en ik ben het volledig met je eens en inderdaad RSA heeft ook geen schone handen .
Echter RSA zou in theorie nog kunnen weigeren , dit kan Feitian simpelweg niet.

En als mensen zeggen : kleine kans gebeurt toch niet , als de NSA het geprobeerd heeft waarom zou de Chinese staatsveiligheidsdienst het niet proberen :+

Yubico is inderdaad op veiligheid op dit moment de beste optie met de informatie die beschikbaar is.
Ze zijn inderdaad alleen wat duurder.
Er zijn genoeg verhalen bekend van hardware wat even via een fabriek van de NSA gaat om daar geupdatet te worden met wat extra hardware zodat de NSA mee kan kijken. Dit klinkt aluminiumfolieachtig, maar als je een belangrijk genoeg doelwit bent (en een dissident die extra veilig wil zijn, die dit soort hardware zou kunnen gebruiken is dat), acht ik de kans helemaal niet zo klein dat dat ook daadwerkelijk gebeurt. En als de VS dit doet, kan je er donder op zeggen dat ook China hier aan mee doet (zie ook het spionageschandaal met huaweiapparatuur in het KPN-netwerk).

Als zo'n product dus gemaakt wordt door een bedrijf wat onder chinese staatscontrole staat zou ik er echt ver vandaan blijven, als je privacy je lief is.

[Reactie gewijzigd door jaapzb op 10 augustus 2021 11:48]

Dank hiervoor. Nu kan het natuurlijk zijn dat Google die due diligence wel heeft gedaan en tot de conclusie kwam dat dit geen impact zou hebben op de veiligheid van het product, maar dan was dit niet onhandig van ze om uitdrukkelijk te verkondigen. Zeker als ze toch aan kunnen voelen dat zo'n vraag zal worden gesteld bij een dergelijke producent.
Het heeft inherent gevaar voor de veiligheid aangezien je dus bij een bedrijf besteld dat de chinese staat direct toegang geeft tot de productielijn.

De vraag : is er een staatsconnectie heb ik misschien wel tienduizend keer gehoord :+ alleen als de eigenaar van het bedrijf zegt , die is er niet dan gaan bijna alle klanten ervanuit dat het goed zit.

Want als die er wel is dan is die vast goed verstopt :+

[Reactie gewijzigd door Zyphlan op 9 augustus 2021 20:04]

Inherent zou ik niet zeggen. Als een bedrijf scherpe controle heeft op de ontwikkeling en de productie van de hard- en software, zou het niet uitmoeten maken of je een product in een land met een totalitair regime, een Marxistisch land of door herintredende huisvrouwen in een Westers land (ik noem.maar wat voorbeelden) maakt; als de kwaliteit maar goed is en de controlere erop nog beter.
Apple laat ook een deel van de productie van haar i(Pad)OS-producten over aan Chinese staatsbedrijven als Luxshare, maar houdt, van wat ik van bekenden van me weet, wel stricte controle op het resultaat. (Ze zouden bij die strikte controle wel eens wat scherper mogen kijken naar arbeidsomstandigheden, maar dat is weer een andere discussie.)
Klopt volledig, echter is daar tot nu toe 0 bewijs voor dat dit ook plaatsvind bij deze partij.
Tja, bij amerikaanse hardware moet je ook wegblijven want daar geldt ook hetzelfde, dus blijft er niets meer over.
Dat is inderdaad mogelijk daarom geef ik ook aan : yubico heeft ook productie in zweden want er zijn inderdaad klanten in europa die verplicht productie in Europa vereisen voor hun tender.
En wat maakt het uit dat de productie in de EU plaats vindt, de gebruikte chips komen uit china of de vs.
Ik kan me alleen herinneren dat productie plaats kan vinden in Zweden of USA .

Waar de chips vandaan komen durf ik je niet te zeggen mocht je er bang voor zijn dan raad ik aan om het direct aan Yubico zelf te vragen ik werk niet voor ze dus durf het niet met zekerheid te zeggen.
De Crypto AG affaire leert ons dat niets veilig is. Dat China uit is op informatie zal vast wel, maar dat geldt ook voor de five eyes en prism's van de westerse wereld. Meestal heb ik dan ook het gevoel dat een Chinees met mijn informatie me minder stoort dan een "lokale" instantie. Maar uiteraard zouden we niet hoeven te kiezen.
Kunnen we ook ergens vinden dat Feitian publiekelijk uitspreekt dat ze geen staatsconnectie hebben?

Afgezien daarvan heb ik er niet zo'n problemen mee gezien Google controle heeft over de firmware en als je die kiest te vertrouwen zie ik geen probleem. Er worden enorm veel producten in China geproduceerd en de keuze voor Feitian is wellicht omdat ze kwalitatief goede keys maken.
Ik raad aan om contact met op te nemen en te vragen iets in de trant van:
ik wil 1000 keys maar er mag geen staatsconnectie zijn
PS : Ja het zijn goede kwaliteit producten dus mocht je er 0 problemen mee hebben dan is het een optie voor je

[Reactie gewijzigd door Zyphlan op 9 augustus 2021 22:42]

die je kunt vinden op www.ftsafe.cn en kijk daar ...
Ik zie vooral dat een site met een ronkende naam onbeveiligd is ... ;)
In het stuk staat "aangepaste firmware". De vraag is dus of Google zelf de firmware maakt, of deze door de fabrikant word gemaakt. Ik vermoed het eerste.

Zie ook : nieuws: Experts willen meer openheid over veiligheid Google-beveiligingssleutels

Ik begrijp je onrust en bedenkingen, wat ik niet begrijp is dat eenzelfde bedenking over hacken etc door China hier ge-downmod word.
Ik zou sowieso nooit een Google product aan iemand aanraden. Afgezien van mijn persoonlijke aversie tegen het bedrijf als geheel om hun privacy-onvriendelijke policies en software, staan ze gewoon bekend om het killen van hun eigen software en diensten. Als je nu zo’n key koopt weet je niet of je hem over een jaar nog kunt gebruiken of dat ze de stekker er dan al uit hebben getrokken en je met een dure paperweight zit.
Zo dom is google nou ook weer niet. Je hebt geen idee wat voor intelligente mensen er bij google werken.

Wat uit heel veel gelekte documenten is gebleken. Of dat nou bij assange vandaan kwam of Snowden. Een ding was duidelijk: you can't beat the math.

Google heeft dit zeker weten goed afgedicht. Maar dat wil niet zeggen dat Chinese inlichtingen hier geen andere ideeën mee hebben. Maar dat wil niet zeggen dat dit per definitie onveilig is.

Ik zou mij meer zorgen maken over wat google met mijn data doet achter die super beveiligde deuren die ze gemaakt hebben.
Aangezien je stuk voor het overgrote deel in prima Nederlands is weggezet vraag ik me iets af... Doe je dat "me" en "ze" in plaats van "mijn" en zijn" expres?
Ik heb het opgetypt zoals ik spreek dus mijn excuses daarvoor, ik heb het aangepast :).
Volgens mij wist je het al voordat je gesolliciteerd hebt… je wist ook dat ze glashelder hebben gelogen… waarom heb je daar toch gewerkt? :P
verwijderd ivm dat we de feiten maar voor zich laten spreken :)

[Reactie gewijzigd door Zyphlan op 9 augustus 2021 21:01]

Yubikey software zou niet meer open source zijn, geeft te denken. Ik overweeg nu voorbestelling van de usb-c/nfc Nitrokey.
Helder. Het wordt tijd dat die chinese telefoons en aanverwante producten een apart hoekje krijgen op het forum, ipv elke dag die spy(hard)ware op de front page.
Het probleem is vooral dat alleen door hun eigen onkunde deze informatie publiekelijk beschikbaar is zoals je kunt zien in de jaarverslagen 2021 plotseling hun grootse aandeelhouder weg is ( de chinese staat) en daarvoor zijn er enkele Hongkong entities ( holdings).

Toeval dat dit ook plaatsvind op het moment dat Amerika kritisch kijkt naar IT hardware producenten die een militaire connectie hebben en daarom geen chips meer kunnen krijgen ? :+

Het probleem is inderdaad dat deze het gewoon dom aangepakt heeft maar als je ook maar 1 enigzins capable directeur heeft dan kun je het met gemak verhullen , alleen zij zijn zo dom om het nu te gaan verhullen en dat maakt je juist nog schuldiger :+ :+ :+
Klaarblijkelijk heeft google de moeite niet genomen om hun due diligence te doen.
Wat denk je zelf bij een bedrijf als Google? Denk je echt dat ze een willekeurig bedrijf selecteren maar dat jij met wat gegoogle :+ het wel even allemaal boven water krijgt?

Kortom ik ben ervan overtuigd dat ze dat zeker wel hebben gedaan en hier geen risico in hebben gezien.
Ik weet uit eigen ervaring dat grote partijen ongeacht dat we denken dat ze hun due dilligence doen vaak afgaan op wat de leverancier zegt en ervanuit gaat dat niemand zo dom zal zijn om het zo slecht te verstoppen :)
De enige vraag die direct in mij opkomt: waarom verkoopt Google (al dan niet rebranded) security keys? Wat winnen ze hierbij? Stuurt dit ding telemetry?

[Reactie gewijzigd door Slonzo op 9 augustus 2021 21:31]

Het concept komt bij Google vandaan, ze hebben toen 'Gnubby' ontwikkeld om inloggen sneller en veiliger te maken voor hun medewerkers (zie deze studie). Gnubby hebben ze overgedragen aan FIDO om door te ontwikkelen tot U2F, en de opvolger daarvan hebben ze in de browser met het W3C gestandaardiseerd als WebAuthn. Je zal de sectie 'Privacy Considerations' willen lezen denk ik ;)

Google is een gigantisch bedrijf, niet elk initiatief hoeft ze direct geld op te leveren. Een veiliger internet zijn ze ook bij gebaat zonder een dollarwaarde er aan vast te kunnen hangen.
Ze gebruikten eerst yubico als leverancier maar die is 2x zo duur dus ja winst en marges hebben er toch echt wel mee te maken ;)
Hun diensten worden veiliger. Zelfde als twee factor authenticatie. Levert ook direct niets op.
Cool! Heb zelf een Yubikey met Lightning en USB-C. Hoop dat Google daar ook mee komt, dan kan ik ze als backup key instellen.
Ik denk dat Google daar de NFC functie voor voorziet. Is ook veel handiger op mobiel. Ik gebruik op mijn mobiel ook altijd NFC voor mijn yubikey. Elke keer inprikken is onhandig.
Bij deze staan zowel Feitan als de google U2F-sleutels op mijn zwarte lijst.
Ik denk dat ze ervan onder de indruk zullen zijn.
niet direct natuurlijk maar ik kom als consultant bij diverse grote bedrijven en als ik adviseer om het niet te doen dan wordt dan in 9 van de 10 gevallen (mits goed onderbouwd natuurlijk) wel gewoon opgevolgd

en dan verkoopt google of een andere partij dit jaar even 10.000 key's minder.

gaat mij om het principe
"het wordt in China gemaakt" is een goede onderbouwde reden ?
Tweakers reacties gebruiken als basis voor je je informatie als consultant ?

Really ? 8)7 8)7
Niets mis met het gebruiken van reacties hier op Tweakers. Die zijn vaker wel dan niet, beter onderbouwd dan het nieuwsartikel zelf.

Zou wel mooi zijn als we hier in Europa wat meer zouden afraden als spullen niet in Europa gemaakt zijn. Beter voor de veiligheid, beter voor afhankelijkheid en ook een stuk beter voor het milieu/klimaat.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True