Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties
Bron: Wired

Phil Zimmerman, de auteur van Pretty Good Privacy, hoopt zijn successtory op het privacygevoelige pad te vervolgen. Dit keer heeft hij zich niet met e-mailverkeer beziggehouden, maar met VoIP. Mensen zijn zo gewend te telefoneren dat ze zich nauwelijks realiseren dat het voeren van telefoongesprekken over het internet risico's met zich meebrengt. Al zijn gesprekken volgens Zimmerman wel minder makkelijk af te luisteren dan e-mails onderschept kunnen worden. E-mails worden immers opgeslagen en zijn dus minder vluchtig.

VoIP telefoon (klein) Inmiddels is de populariteit van VoIP enorm gestegen. Volgens recent onderzoek zijn er op dit moment wereldwijd 11 miljoen betalende gebruikers van VoIP en nog eens 35 miljoen mensen die gratis gebruikmaken van internettelefonie. Zimmerman hoopt met zijn nieuwe encryptieprogramma voor internettelefonie evenveel te bereiken als met Pretty Good Privacy voor e-mail. Deze week kondigt hij op de Blackhat-veiligheidsconferentie in Las Vegas zijn programma aan.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (48)

En het is nu dus wachten op een overheidsverbod van ge-encrypte internettelefonie waarbij de AIVD niet kan meeluisteren ...
Als het gaat om het maken van afspraken heb je toch geen encryptie nodig?
In de 2de wereld oorlog waren er ook allerlei afspraken, waardoor de zin: Jan wil woensdag aardappelen eten, voor de ondergrondse iets betekende (bv. over 2 dagen de boel opblazen).. Maar verder door afluisteraars niet te herkennen als encrypted, en iets bevattende dat naar terrorisme neigt.
Met dat soort afspraken is preventief afluisteren vijwel onzinnig. Pas als je de afsprakenset weet heeft het zin.
volgens mij is dat er al.....
In de ether mag niets verleuteld zijn, en ook internationaal mag je niets versteutelen. Aangezien VOIP over internet per definitie internationaal zou kunnen zijn, is het dus ook verboden.

@dahei.
GSM verkeer is volgens mij niet gecodeerd. Digitenne en zo is welliswaar gecodeerd, maar de decodeersleutel is officieel aan de staat bekend gemaakt. En dat mag wel. PGP is per definitie niet aftapbaar en dus verboden via de ether.
Misschien bedoel je wat anders dan wat je zegt, maar in de ether zijn wel degelijk veel zaken versleuteld. Denk maar eens aan Digitenne of GSM verkeer.
Maar het is wel afluisterbaar door de overheid. dan idd niet in de ether maar wel op het moment dat het bij de schakelkasten van de provider komt.
Verder is er al een geencrypte phone. Een van de oprichters van XS4all heeft die al een paar jaar geleden gelanceerd. Deze was bedoeld voor bedrijven die behoefte hadden aan deze vorm van beveiliging. Ik meen me te herrinneren dat dit was toegestaan. Terroristen zullen zich niet snel met dit soort telefoons in laten want het valt wel erg op. Veiligheids diensten kunnen vooralsnog makkelijk zien dat je iets speciaals aan het doen bent. CEO van Shell vindt dat niet erg(zolang maar niet duidelijk is waarover het gaat) maar Osama wel.
Die van Xs4all is Rob Gonggrijp die de cryptophone heeft uitgevonden.

Zo wordt ie geleverd:
Cryptophone in koffer
In de ether mag niets verleuteld zijn, en ook internationaal mag je niets versteutelen. Aangezien VOIP over internet per definitie internationaal zou kunnen zijn, is het dus ook verboden.
O, o. Daar gaat Bluetooth met zijn pincodes en Wifi met WEP en WPA. Wie gaat de producenten van die hardware even aanpakken? Conclussie: In de ether mag je van alles en nog wat versleutelen.

En dan hebben we ook rare zaken als DES, PGP en AES waarmee op het internet van alles en nog wat versleuteld wordt. Wie gaat deze gebruikers even aanpakken? Conclussie: Op het internet mag je zaken dus versleutelen.

Dus zowel via de ether als op het internet is encryptie dus schering en inslag. Een wet daartegen zou dan ook nogal verstrekkende gevolgen hebben en veel te ver doorschieten.
Ja, want dan zullen de "terroristen" het ook wel uit hun hoofd laten. Of we pakken gelijk iedereen op die encryptie gebruikt.
Ietwat vreemd, gesprekken via Skype zijn volgens mij standaard encrypted. Zowel VoIP als IM. Zelfs de filetransferrs (en die worden er bepaald niet sneller op :P).
klopt, skype beweert zijn gesprekken te encrypteren, heb het nog niet echt nagekeken, maar god mag weten wat voor soort encryptie hier wordt toegepast, laat staan wie er mogelijk een backdoor in heeft..

(hoewel dat laatste wel mee zal vallen, vermits skype is opgericht naar luxemburgs recht (daar valt oa de btw een beetje lager uit;-))

PGP voor voip lijkt mij wel interessant, hoewel de vraag zal zijn, of het ook geimplementeerd zal worden in de commerciele pakketten (die de meeste eind/thuisgebruikers zullen gebruiken..
In Amerika mag je toch geen encryptie gebruiken die niet door de overheid ontcijferd kan worden? Dan heeft de skype encryptie dus een backdoor, of het is illegaal in Amerika.
In Amerika mag je toch geen encryptie gebruiken die niet door de overheid ontcijferd kan worden? Dan heeft de skype encryptie dus een backdoor, of het is illegaal in Amerik
vandaar mijn opmerking dat skype een bedrijf naar luxemburgs recht is, het is niet omdat zijn software vanuit de VS te downloaden is, dat het daarom in overeenstemming moet zijn met de USA law.. Het bedrijf skype moet volgens mij zien dat het in orde is met de luxemburgse wetgeving (en de wetgeving van de landen waar zijn mirrors staan), de rest lijkt mij de verantwoordelijkheid van de gebruiker ..


<over encryptie en federale usa wetgeving hoor ik trouwens de meest uiteenlopende dingen, is er iemand die daar een (bij voorkeur) een officiele link of iemand die ermee te maken heeft en even een kleine summary kan geven?>
Dat is (nog niet) waar. In het verleden zijn er wel wetsvoorstellen geweest waarbij iedereen een sleutel van zijn encryptie af diende te geven aan de NSA, dat is er gelukkig nooit door heen gekomen. Onder andere vanwege het in Amerika bestaande grondrecht om niet te hoeven helpen bij je eigen veroordeling.
Als ik me niet vergis, mag/mocht sterke encryptie software niet geexporteerd worden uit de V.S. omdat dit volgens de overheid onder de wapenwet viel. Sterke encryptie die door Amerikanen is gemaakt, mag niet in handen vallen van buitenlanders.
Vooral Zimmerman was hier niet over te spreken en hij heeft een rechtzaak aangespannen die er volgens hem toe heeft geleid dat hij zijn product nu, zonder backdoors mag exporteren. Hierover, en over de problemen die hij had met de wet kun je meer lezen op zijn eigen website, alhoewel de rechtsgeschiedenis die er eerder op stond verdwenen lijkt te zijn..
http://www.philzimmermann.com/EN/essays/index.html

Over het importeren (en dat is met Skype dan het geval) zijn volgens mij geen regels geweest, maar verbeter me als ik het verkeerd heb.
Het zou inderdaad ideaal zijn als zoiets ingebouwd zou worden. Helaas is VoIP nu nog moeilijk te beveiligen. Als je naar het SIP protocol kijkt, dan kun je eigenlijk alleen je wachtwoord als hash versturen i.p.v. plain-text. Meer beveiliging is er gewoonweg nog niet (of nog niet geimplementeerd, want SecureSIP bestaat wel als RFC).

Als het echt in het systeem ingebakken wordt op een gebruikersvriendelijke manier, dan zou het best wel eens kunnen werken. Maar gebeurt dat niet, dan slaat het voor de normale gebruiker net zo aan als PGP/GnuPG nu doet: niet ;)
De asterisk opensource centrale ondersteund pgp autenticatie ...
zal me niet verbasen als het ondersteund word maar je kan ook phone <=> phone doen direct zonder centrale....
Als je allebij geen firewall hebt doet een slim voip netwerkt dat zelf , die bouwt het gesprek op en laat het speetchpath
direkt tussen de 2 toestellen lopen....
Als je dan pgp als auth hebt en een andere pgp key als speetch wens ik ze veel suc6 bij de AIVD....
Veilige aanname:Ga d'r maar vanuit dat iedere commercieel beschikbare encryptiesoftware backdoors of bij de overheid bekende 'gaten' heeft.

Heb een paar jaar geleden personeelsadvertenties gezien voor een veiligheidsdienst waar ze wiskundigen vroegen (of andere zware beta's met een crypto-achtergrond). Niet om codes te kraken; eerder om zwaktes in encryptiealgorithmes op te sporen (van veel bits naar veel minder bits is een prettige brute-force-backdoor)

Als je echt veilig wilt communiceren, dan doe je dat niet over een telefoon, computer, of wat dan ook, maar dan doe je dat in een druk cafe :+
de enige veilige plek op aarde is in je eigen kop :P

ooit 1984 gelezen van George Orwell? Fantastisch boek, waar alles en dan ook alles afgeluisterd of afgetapt wordt door de 'Thought Police'.
de enige veilige plek op aarde is in je eigen kop
In de toekomst ook niet meer!
Hier de eerste voortekenen: :9

Chip kan gedachten lezen: Neoweb.nl
Chip in je hoofd:Kennislink.nl
Computerbesturing via hersenen realiteit geworden:Tweakers.net
Aap stuurt robotarm met hersenen:neoweb.nl
Hoe weet je dat ?

Het is vooralsnog een closed protocol, dus jij weet niet hoe je gesprekken afgehandeld worden en of het daadwerkelijk encrypted is.
Als het net zo onkraakbaar is als PGP, dan is dit het telefoonmedium voor terroristen. Scary.... Zeer eng....
Terroristen hebben geen "verbod op" nodig aangezien die toch de wet zullen overtreden. Als PGP verboden wordt dan gebruiken terroristen die het al gebruiken die na het verbod ook nog. Alleen de gewone burgers zullen er onder lijden.
Precies:
Phil Zimmerman:
If privacy is outlawed, only outlaws will have privacy
(Phil Zimmerman over de reden waarom hij PGP ontwikkeld heeft.)
Je denken verontrust me meer. Het is niet eng dat anderen je telefoongesprekken zou kunnen afluisteren en je geen werkelijke privacy meer mag hebben omdat er altijd wel een paar halve zolen zijn die het als middel zien om er misbruik van te maken?
Juist! Wat dacht je van een bedrijf dat zijn nieuwe product geheim wilt houden? Als het aan menssen als My Kel ligt dan moet iedereen de sloten van de deuren afhalen 'want alleen een crimineel of terrorist heeft iets te verbergen'.

Mensen als My Kel laten zien dat sommige mensen zich al hebben laten overnemen door de terroristen. Straks wilt'ie nog anonymiteit wegnemen zonder te beseffen dathij/zij daarmee ook het recht wegneemt om anoniem (en dus zonder represailes) een (corrupt/fout/wellicht zelfs helemaal legitiem) overheid te bekritiseren.

De geschiedenis leert: nooit je lange termijn rechten weggooien voor wat twijfelachtige korte-termijn veiligheid.
Geschiedenis... is dat niet dat vak dat ze wilden cancellen op de middelbare scholen? :(
Misschien wel het belangrijkste wat er te leren valt.
Een terrorist heeft dit niet nodig die gebruikt gewopon technieken als stenografie ,,, (berichten verwerken) in plaatjes of geluids bestanden.
Aleen met de juiste slutel weet je hoe je de verschillen moet interreteren.
Het idee is als volgt ....

neem 3 bytes voor een gedeelte van een pixel kleur.
stel de waarde is 0 0 8 dan kan je zonder problemen er een waarde 0 4 4 0f 8 0 0 of 1 7 0 of 1 6 2 van maken!
die waaren zullen allemaal de zelfde kleur op leveren!
een plaatje leent zich daar heel goed voor aangezien geen een kleur een volle kleur is zoals 8 8 8
als je de sleutel hebt die weet waar de verschillen zich bevinden kun je er hele boekwerken in kwijt.
Het zelfde kan met gluids bestanden.
En dit valt dus niet op , dus elk plaatje op het internet op bijv ebay is een poteteel terorisctisch object....
Welcome to the world , maar hoe lullig het ook klinkt ze zullen ze niet nakkelijk kunnen pakken , aleen als je ze de wind uit de zeilen neemt zal het minder worden , het is namelijk algemeen bekend dat mensen met meer geld minder zijn genijgd zich zelf op te blazen.
Is het het gevoel dat je KAN afgeluisterd worden wat hier primeert of het feit dat er een groot aandeel afgeluisterd wordt ? Want ik zie hier niet zomaar iemand even mijn VoIP verkeer "aftappen" en zeker niet iemand die ik ken die er werkelijk wat aan heeft.

Gezien vanuit het standpunt van bedrijven kan dit wel anders zijn, toch lijkt de nadruk te liggen op de thuisgebruiker. Echter zijn er misschien miljoenen mensen die via hun PC communiceren met anderen, de vraag is maar als een "random" inbreker hier wat mee is.
Afluisteren zal idd niet gedaan kunnen worden door iemand die niet tussen de twee gesprekspartners in zit. Dus het blijft overheid en provider die kunnen afluisteren. (en misschien buren omdat het kabelinternetverkeer in principe door elke meterkast in je straat gaat, en je wifi-netwerk dat met een goede antenne een heel eind verderop nog is op te vangen.)
Van een provider heb je eigenlijk niets te vrezen want op het moment dat een privé-telefoontje van jou ineens gepubliceert wordt (Of van Katja Schuurmans die sappige details bespreekt met een vriendin), dan gaan er mensen onslagen worden en erger.

Zie het meer als een signaal naar de overheid dat je geen zin hebt in een politieagent die meeluistert met elk gesprek dat je maakt. Stel, elke burger krijgt een politieagent toegewezen die, puur vooroverheidsdoeleinden, alles wat jij doet registreert. Jij hebt niets te vrezen, want jij bent een voorbeeldig burger, maar is dat nog vrijheid?
Van een provider heb je eigenlijk niets te vrezen want op het moment dat een privé-telefoontje van jou ineens gepubliceert wordt (Of van Katja Schuurmans die sappige details bespreekt met een vriendin), dan gaan er mensen onslagen worden en erger.
Jij gaat ervan uit dat mensen ontslagen worden. Als iemand heel veel geld kan verdienen door bv de afspraken over een levering van diamanten te onderscheppen zijn er vast wel mensen die bereidt zijn het risico te nemen. Want het is maar de vraag of het verband tussen een roofoverval en een eventuele telefoontap bij een provider gelegd kan worden.

Feit is dat voip verkeer op dit moment principieel onveilig is. Encrpytie is eigenlijk gewoon noodzakelijk om VOIP een echte toekomst te geven. Jammer voor de overheid dat ze de berichten dan niet meer kan aftappen, maar het recht op privacy van burgers moet boven het belang van eenvoudige opsporing staan. Voor het opsporen van een paar honderd terroristen hoeven we toch niet 16 miljoen mensen lastig te vallen?
Maar hoe moet ik dit zien? Voip is niet 1 protocol, meer een verzamelnaam voor alles wat met spraak over een computernetwerk te maken heeft. Skype is voip, maar Cisco CallManager is ook voip, Asterisk is voip, zelfs MSN Messenger kan voip'en.

Wat gaat PGP precies encrypten, en hoe?
"What scares the NSA most is not simply unbreakable encryption, but unbreakable encryption that's easy to use," says Brad Templeton of the Electronic Frontier Foundation, a group that seeks to protect civil liberties in digital media. The NSA already encourages people to use weak encryption that it can break, such as the Data Encryption Standard. It also tries to control the availability of the best encryption technologies. "The NSA's nightmare is the phone you buy at Radio Shack having strong encryption built in," Templeton says."

A nightmare becoming true voor de NSA en ik denk ook voor andere inlichtingen diensten. Toch geloof ik niet dat de inlichtingen diensten dit zomaar zullen laten gebeuren.

Het zou trouwens grappig zijn als er een add-on verschijnt voor skype met PGP encryptie :P
PGP is een RSA variant. Van Vigenere (encryptie methode uit de 16de eeuw) werd ook beweerd dat deze onkraakbaar was. Echter de pruissiche Major Friederich Kasiksi wist 300 jaar later dit systeem relatief eenvoudig te kraken,

Niets is voorlopig onkraakbaar.

It's not if but when the code will be broken.

Heb aardig wat onderzoek gedaan naar encryptie en op dit moment lijken alleen Quantum Encryptie methoden onkraakbaar, echter die is ook maar weer de vraag.

RSA is te kraken, als je het priemproduct weet te ontbinden, om dit moemnt is dat inderdaad weer dan een mensenleven. Maar er hoeft maar 1 geniaal ingeving te zijn bij een wiskundige en die ontbinden word een redelijk makkelijk klusje.

Daarnaast over 45 jaar hebben, aangenomen dat de wet van Moore nog steeds blijft kloppen 2^30 keer zoveel rekenkracht. Vergis je niet wat er allemaal kan dan. Over 45 jaar zullen we lachen om 1024 bit RSA daar ben ik wel aardig van overtuigd
wat heb je eraan als je over 20 jaar achter de inhoud van het bericht komt? Het gaat juist om het moment zelf. Dan heb je het nodig.
Van uitstel komt afstel...

De zwakke punt is in mijn ogen de code waarmee je beveiligd. De persoon die het bericht mag lezen moet de code hebben. Dat is dus de zwakste plek.
Public key encryptiesystemen stellen je juist in staat om te communiceren zonder dat de sleutels geheim hoeven te zijn. Dat maakt het uitwisselen ervan erg veel makkelijker (maar nog steeds niet geheel onproblematisch, natuurlijk).
Wat heeft de beveiliging dan voor zin?
De politie/justitie kan dit toch ook gebruiken?

(je hoort:ik weet er niet zo ontzettend veel van pgp)
Natuurlijk is elke encryptie met voldoende tijd en middelen te breken, zelfs nu al, en dat wordt natuurlijk alleen maar makkelijker met toenemende rekenkracht. Dat ligt voor de hand. Dat is dan ook niet het punt van encryptie. Meestal zijn uitgewisselde berichten jaren later (en zo lang duurt het vooralsnog voordat de serieuze encrypties van nu gebroken worden) helemaal niet relevant meer.
Wat hadden de Duitsers er bijvoorbeeld aan gehad als het ze in 1950 gelukt was om een bericht uit 1944 te decrypten waarin de invasieplannen van de geallieerden stonden? Niets!

Een ander belangrijk punt van het toepassen van encryptie is dat het op grote schaal afluisteren onhaalbaar wordt. Unencrypted kan je eenvoudigweg op grote schaal, desnoods geautomatiseerd, email en telefoonverkeer afluisteren. Als iedereen encryptie toepast, zelfs al is die te breken, dan is dat niet langer het geval. Je zal dus selectiever moeten worden wie je wil aftappen, net zoals dat met gewone post het geval is (je kan niet van de hele bevolking alle brieven openen en lezen, maar van een paar mensen lukt dat prima). Dat lijkt mij een goede zaak.
Heb aardig wat onderzoek gedaan naar encryptie en op dit moment lijken alleen Quantum Encryptie methoden onkraakbaar, echter die is ook maar weer de vraag.
One Time Pad?
Een schot in de roos.

Consumenten (om het maar even zo te noemen, de n00bs die internetten) zijn zo bang op internet (whhaaa hackers, whhaaa virussen, wwhhaaa spyware, wwhhaa mensen kijken wat ik doe op internet), dat ze zo'n pakket gelijk willen hebben.

Ik denk dat dit wel eens een dik succes kan worden.
Euh... ja natuurlijk, want het versleutelen van email word ook door iedereen gedaan.
ik gok dat de gemiddelde consument niet eens weet waar het over gaat. En aan jouw reactie te zien weet jij ook nauwelijks iets van datasecurity af.
Zelf heb ik PGP al eens getest via email en dit werkt wel handig. Natuurlijk je moet er heel wat voordoen + de ander persoon waar je naar stuurt moet ook PGP hebben om de mail te kunnen lezen ...

Vind het wel handig als het gaat over bedrijfsgeheimen of secret things ...

Kan eigenlijk altijd eens handig zijn! Zal wel een iets groter gevoel van secure geven maar het is maar een gevoel. Zoals we weten word alles gekraakt, dus dit ook!
De truc is juist om het altijd te gebruiken. Als je het alleen gebruikt voor geheime dingen, dan valt het enorm op dat je dat doet, en is het juist interessant om eens goed naar die berichten te kijken. Als iedereen altijd standaard versleuteling gebruikt, dan valt het niet op op het moment dat je het eens een keer nodig hebt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True