Pretty Good Privacy-telefoontjes

Phil Zimmerman, de auteur van Pretty Good Privacy, hoopt zijn successtory op het privacygevoelige pad te vervolgen. Dit keer heeft hij zich niet met e-mailverkeer beziggehouden, maar met VoIP. Mensen zijn zo gewend te telefoneren dat ze zich nauwelijks realiseren dat het voeren van telefoongesprekken over het internet risico's met zich meebrengt. Al zijn gesprekken volgens Zimmerman wel minder makkelijk af te luisteren dan e-mails onderschept kunnen worden. E-mails worden immers opgeslagen en zijn dus minder vluchtig.

VoIP telefoon (klein) Inmiddels is de populariteit van VoIP enorm gestegen. Volgens recent onderzoek zijn er op dit moment wereldwijd 11 miljoen betalende gebruikers van VoIP en nog eens 35 miljoen mensen die gratis gebruikmaken van internettelefonie. Zimmerman hoopt met zijn nieuwe encryptieprogramma voor internettelefonie evenveel te bereiken als met Pretty Good Privacy voor e-mail. Deze week kondigt hij op de Blackhat-veiligheidsconferentie in Las Vegas zijn programma aan.

Door Caroline Schröder

27-07-2005 • 22:59

48

Bron: Wired

Reacties (48)

Sorteer op:

Weergave:

En het is nu dus wachten op een overheidsverbod van ge-encrypte internettelefonie waarbij de AIVD niet kan meeluisteren ...
Als het gaat om het maken van afspraken heb je toch geen encryptie nodig?
In de 2de wereld oorlog waren er ook allerlei afspraken, waardoor de zin: Jan wil woensdag aardappelen eten, voor de ondergrondse iets betekende (bv. over 2 dagen de boel opblazen).. Maar verder door afluisteraars niet te herkennen als encrypted, en iets bevattende dat naar terrorisme neigt.
Met dat soort afspraken is preventief afluisteren vijwel onzinnig. Pas als je de afsprakenset weet heeft het zin.
volgens mij is dat er al.....
In de ether mag niets verleuteld zijn, en ook internationaal mag je niets versteutelen. Aangezien VOIP over internet per definitie internationaal zou kunnen zijn, is het dus ook verboden.

@dahei.
GSM verkeer is volgens mij niet gecodeerd. Digitenne en zo is welliswaar gecodeerd, maar de decodeersleutel is officieel aan de staat bekend gemaakt. En dat mag wel. PGP is per definitie niet aftapbaar en dus verboden via de ether.
Misschien bedoel je wat anders dan wat je zegt, maar in de ether zijn wel degelijk veel zaken versleuteld. Denk maar eens aan Digitenne of GSM verkeer.
Maar het is wel afluisterbaar door de overheid. dan idd niet in de ether maar wel op het moment dat het bij de schakelkasten van de provider komt.
Verder is er al een geencrypte phone. Een van de oprichters van XS4all heeft die al een paar jaar geleden gelanceerd. Deze was bedoeld voor bedrijven die behoefte hadden aan deze vorm van beveiliging. Ik meen me te herrinneren dat dit was toegestaan. Terroristen zullen zich niet snel met dit soort telefoons in laten want het valt wel erg op. Veiligheids diensten kunnen vooralsnog makkelijk zien dat je iets speciaals aan het doen bent. CEO van Shell vindt dat niet erg(zolang maar niet duidelijk is waarover het gaat) maar Osama wel.
Die van Xs4all is Rob Gonggrijp die de cryptophone heeft uitgevonden.

Zo wordt ie geleverd:
Cryptophone in koffer
In de ether mag niets verleuteld zijn, en ook internationaal mag je niets versteutelen. Aangezien VOIP over internet per definitie internationaal zou kunnen zijn, is het dus ook verboden.
O, o. Daar gaat Bluetooth met zijn pincodes en Wifi met WEP en WPA. Wie gaat de producenten van die hardware even aanpakken? Conclussie: In de ether mag je van alles en nog wat versleutelen.

En dan hebben we ook rare zaken als DES, PGP en AES waarmee op het internet van alles en nog wat versleuteld wordt. Wie gaat deze gebruikers even aanpakken? Conclussie: Op het internet mag je zaken dus versleutelen.

Dus zowel via de ether als op het internet is encryptie dus schering en inslag. Een wet daartegen zou dan ook nogal verstrekkende gevolgen hebben en veel te ver doorschieten.
Ja, want dan zullen de "terroristen" het ook wel uit hun hoofd laten. Of we pakken gelijk iedereen op die encryptie gebruikt.
Ietwat vreemd, gesprekken via Skype zijn volgens mij standaard encrypted. Zowel VoIP als IM. Zelfs de filetransferrs (en die worden er bepaald niet sneller op :P).
klopt, skype beweert zijn gesprekken te encrypteren, heb het nog niet echt nagekeken, maar god mag weten wat voor soort encryptie hier wordt toegepast, laat staan wie er mogelijk een backdoor in heeft..

(hoewel dat laatste wel mee zal vallen, vermits skype is opgericht naar luxemburgs recht (daar valt oa de btw een beetje lager uit;-))

PGP voor voip lijkt mij wel interessant, hoewel de vraag zal zijn, of het ook geimplementeerd zal worden in de commerciele pakketten (die de meeste eind/thuisgebruikers zullen gebruiken..
In Amerika mag je toch geen encryptie gebruiken die niet door de overheid ontcijferd kan worden? Dan heeft de skype encryptie dus een backdoor, of het is illegaal in Amerika.
In Amerika mag je toch geen encryptie gebruiken die niet door de overheid ontcijferd kan worden? Dan heeft de skype encryptie dus een backdoor, of het is illegaal in Amerik
vandaar mijn opmerking dat skype een bedrijf naar luxemburgs recht is, het is niet omdat zijn software vanuit de VS te downloaden is, dat het daarom in overeenstemming moet zijn met de USA law.. Het bedrijf skype moet volgens mij zien dat het in orde is met de luxemburgse wetgeving (en de wetgeving van de landen waar zijn mirrors staan), de rest lijkt mij de verantwoordelijkheid van de gebruiker ..


<over encryptie en federale usa wetgeving hoor ik trouwens de meest uiteenlopende dingen, is er iemand die daar een (bij voorkeur) een officiele link of iemand die ermee te maken heeft en even een kleine summary kan geven?>
Dat is (nog niet) waar. In het verleden zijn er wel wetsvoorstellen geweest waarbij iedereen een sleutel van zijn encryptie af diende te geven aan de NSA, dat is er gelukkig nooit door heen gekomen. Onder andere vanwege het in Amerika bestaande grondrecht om niet te hoeven helpen bij je eigen veroordeling.
Als ik me niet vergis, mag/mocht sterke encryptie software niet geexporteerd worden uit de V.S. omdat dit volgens de overheid onder de wapenwet viel. Sterke encryptie die door Amerikanen is gemaakt, mag niet in handen vallen van buitenlanders.
Vooral Zimmerman was hier niet over te spreken en hij heeft een rechtzaak aangespannen die er volgens hem toe heeft geleid dat hij zijn product nu, zonder backdoors mag exporteren. Hierover, en over de problemen die hij had met de wet kun je meer lezen op zijn eigen website, alhoewel de rechtsgeschiedenis die er eerder op stond verdwenen lijkt te zijn..
http://www.philzimmermann.com/EN/essays/index.html

Over het importeren (en dat is met Skype dan het geval) zijn volgens mij geen regels geweest, maar verbeter me als ik het verkeerd heb.
Het zou inderdaad ideaal zijn als zoiets ingebouwd zou worden. Helaas is VoIP nu nog moeilijk te beveiligen. Als je naar het SIP protocol kijkt, dan kun je eigenlijk alleen je wachtwoord als hash versturen i.p.v. plain-text. Meer beveiliging is er gewoonweg nog niet (of nog niet geimplementeerd, want SecureSIP bestaat wel als RFC).

Als het echt in het systeem ingebakken wordt op een gebruikersvriendelijke manier, dan zou het best wel eens kunnen werken. Maar gebeurt dat niet, dan slaat het voor de normale gebruiker net zo aan als PGP/GnuPG nu doet: niet ;)
De asterisk opensource centrale ondersteund pgp autenticatie ...
zal me niet verbasen als het ondersteund word maar je kan ook phone <=> phone doen direct zonder centrale....
Als je allebij geen firewall hebt doet een slim voip netwerkt dat zelf , die bouwt het gesprek op en laat het speetchpath
direkt tussen de 2 toestellen lopen....
Als je dan pgp als auth hebt en een andere pgp key als speetch wens ik ze veel suc6 bij de AIVD....
Veilige aanname:Ga d'r maar vanuit dat iedere commercieel beschikbare encryptiesoftware backdoors of bij de overheid bekende 'gaten' heeft.

Heb een paar jaar geleden personeelsadvertenties gezien voor een veiligheidsdienst waar ze wiskundigen vroegen (of andere zware beta's met een crypto-achtergrond). Niet om codes te kraken; eerder om zwaktes in encryptiealgorithmes op te sporen (van veel bits naar veel minder bits is een prettige brute-force-backdoor)

Als je echt veilig wilt communiceren, dan doe je dat niet over een telefoon, computer, of wat dan ook, maar dan doe je dat in een druk cafe :+
de enige veilige plek op aarde is in je eigen kop :P

ooit 1984 gelezen van George Orwell? Fantastisch boek, waar alles en dan ook alles afgeluisterd of afgetapt wordt door de 'Thought Police'.
de enige veilige plek op aarde is in je eigen kop
In de toekomst ook niet meer!
Hier de eerste voortekenen: :9

Chip kan gedachten lezen: Neoweb.nl
Chip in je hoofd:Kennislink.nl
Computerbesturing via hersenen realiteit geworden:Tweakers.net
Aap stuurt robotarm met hersenen:neoweb.nl
Hoe weet je dat ?

Het is vooralsnog een closed protocol, dus jij weet niet hoe je gesprekken afgehandeld worden en of het daadwerkelijk encrypted is.
Als het net zo onkraakbaar is als PGP, dan is dit het telefoonmedium voor terroristen. Scary.... Zeer eng....
Terroristen hebben geen "verbod op" nodig aangezien die toch de wet zullen overtreden. Als PGP verboden wordt dan gebruiken terroristen die het al gebruiken die na het verbod ook nog. Alleen de gewone burgers zullen er onder lijden.
Precies:
Phil Zimmerman:
If privacy is outlawed, only outlaws will have privacy
(Phil Zimmerman over de reden waarom hij PGP ontwikkeld heeft.)
Je denken verontrust me meer. Het is niet eng dat anderen je telefoongesprekken zou kunnen afluisteren en je geen werkelijke privacy meer mag hebben omdat er altijd wel een paar halve zolen zijn die het als middel zien om er misbruik van te maken?
Juist! Wat dacht je van een bedrijf dat zijn nieuwe product geheim wilt houden? Als het aan menssen als My Kel ligt dan moet iedereen de sloten van de deuren afhalen 'want alleen een crimineel of terrorist heeft iets te verbergen'.

Mensen als My Kel laten zien dat sommige mensen zich al hebben laten overnemen door de terroristen. Straks wilt'ie nog anonymiteit wegnemen zonder te beseffen dathij/zij daarmee ook het recht wegneemt om anoniem (en dus zonder represailes) een (corrupt/fout/wellicht zelfs helemaal legitiem) overheid te bekritiseren.

De geschiedenis leert: nooit je lange termijn rechten weggooien voor wat twijfelachtige korte-termijn veiligheid.
Geschiedenis... is dat niet dat vak dat ze wilden cancellen op de middelbare scholen? :(
Misschien wel het belangrijkste wat er te leren valt.
Een terrorist heeft dit niet nodig die gebruikt gewopon technieken als stenografie ,,, (berichten verwerken) in plaatjes of geluids bestanden.
Aleen met de juiste slutel weet je hoe je de verschillen moet interreteren.
Het idee is als volgt ....

neem 3 bytes voor een gedeelte van een pixel kleur.
stel de waarde is 0 0 8 dan kan je zonder problemen er een waarde 0 4 4 0f 8 0 0 of 1 7 0 of 1 6 2 van maken!
die waaren zullen allemaal de zelfde kleur op leveren!
een plaatje leent zich daar heel goed voor aangezien geen een kleur een volle kleur is zoals 8 8 8
als je de sleutel hebt die weet waar de verschillen zich bevinden kun je er hele boekwerken in kwijt.
Het zelfde kan met gluids bestanden.
En dit valt dus niet op , dus elk plaatje op het internet op bijv ebay is een poteteel terorisctisch object....
Welcome to the world , maar hoe lullig het ook klinkt ze zullen ze niet nakkelijk kunnen pakken , aleen als je ze de wind uit de zeilen neemt zal het minder worden , het is namelijk algemeen bekend dat mensen met meer geld minder zijn genijgd zich zelf op te blazen.
Is het het gevoel dat je KAN afgeluisterd worden wat hier primeert of het feit dat er een groot aandeel afgeluisterd wordt ? Want ik zie hier niet zomaar iemand even mijn VoIP verkeer "aftappen" en zeker niet iemand die ik ken die er werkelijk wat aan heeft.

Gezien vanuit het standpunt van bedrijven kan dit wel anders zijn, toch lijkt de nadruk te liggen op de thuisgebruiker. Echter zijn er misschien miljoenen mensen die via hun PC communiceren met anderen, de vraag is maar als een "random" inbreker hier wat mee is.
Afluisteren zal idd niet gedaan kunnen worden door iemand die niet tussen de twee gesprekspartners in zit. Dus het blijft overheid en provider die kunnen afluisteren. (en misschien buren omdat het kabelinternetverkeer in principe door elke meterkast in je straat gaat, en je wifi-netwerk dat met een goede antenne een heel eind verderop nog is op te vangen.)
Van een provider heb je eigenlijk niets te vrezen want op het moment dat een privé-telefoontje van jou ineens gepubliceert wordt (Of van Katja Schuurmans die sappige details bespreekt met een vriendin), dan gaan er mensen onslagen worden en erger.

Zie het meer als een signaal naar de overheid dat je geen zin hebt in een politieagent die meeluistert met elk gesprek dat je maakt. Stel, elke burger krijgt een politieagent toegewezen die, puur vooroverheidsdoeleinden, alles wat jij doet registreert. Jij hebt niets te vrezen, want jij bent een voorbeeldig burger, maar is dat nog vrijheid?
Van een provider heb je eigenlijk niets te vrezen want op het moment dat een privé-telefoontje van jou ineens gepubliceert wordt (Of van Katja Schuurmans die sappige details bespreekt met een vriendin), dan gaan er mensen onslagen worden en erger.
Jij gaat ervan uit dat mensen ontslagen worden. Als iemand heel veel geld kan verdienen door bv de afspraken over een levering van diamanten te onderscheppen zijn er vast wel mensen die bereidt zijn het risico te nemen. Want het is maar de vraag of het verband tussen een roofoverval en een eventuele telefoontap bij een provider gelegd kan worden.

Feit is dat voip verkeer op dit moment principieel onveilig is. Encrpytie is eigenlijk gewoon noodzakelijk om VOIP een echte toekomst te geven. Jammer voor de overheid dat ze de berichten dan niet meer kan aftappen, maar het recht op privacy van burgers moet boven het belang van eenvoudige opsporing staan. Voor het opsporen van een paar honderd terroristen hoeven we toch niet 16 miljoen mensen lastig te vallen?
Maar hoe moet ik dit zien? Voip is niet 1 protocol, meer een verzamelnaam voor alles wat met spraak over een computernetwerk te maken heeft. Skype is voip, maar Cisco CallManager is ook voip, Asterisk is voip, zelfs MSN Messenger kan voip'en.

Wat gaat PGP precies encrypten, en hoe?
"What scares the NSA most is not simply unbreakable encryption, but unbreakable encryption that's easy to use," says Brad Templeton of the Electronic Frontier Foundation, a group that seeks to protect civil liberties in digital media. The NSA already encourages people to use weak encryption that it can break, such as the Data Encryption Standard. It also tries to control the availability of the best encryption technologies. "The NSA's nightmare is the phone you buy at Radio Shack having strong encryption built in," Templeton says."

A nightmare becoming true voor de NSA en ik denk ook voor andere inlichtingen diensten. Toch geloof ik niet dat de inlichtingen diensten dit zomaar zullen laten gebeuren.

Het zou trouwens grappig zijn als er een add-on verschijnt voor skype met PGP encryptie :P
Een schot in de roos.

Consumenten (om het maar even zo te noemen, de n00bs die internetten) zijn zo bang op internet (whhaaa hackers, whhaaa virussen, wwhhaaa spyware, wwhhaa mensen kijken wat ik doe op internet), dat ze zo'n pakket gelijk willen hebben.

Ik denk dat dit wel eens een dik succes kan worden.
Euh... ja natuurlijk, want het versleutelen van email word ook door iedereen gedaan.
ik gok dat de gemiddelde consument niet eens weet waar het over gaat. En aan jouw reactie te zien weet jij ook nauwelijks iets van datasecurity af.
Zelf heb ik PGP al eens getest via email en dit werkt wel handig. Natuurlijk je moet er heel wat voordoen + de ander persoon waar je naar stuurt moet ook PGP hebben om de mail te kunnen lezen ...

Vind het wel handig als het gaat over bedrijfsgeheimen of secret things ...

Kan eigenlijk altijd eens handig zijn! Zal wel een iets groter gevoel van secure geven maar het is maar een gevoel. Zoals we weten word alles gekraakt, dus dit ook!
De truc is juist om het altijd te gebruiken. Als je het alleen gebruikt voor geheime dingen, dan valt het enorm op dat je dat doet, en is het juist interessant om eens goed naar die berichten te kijken. Als iedereen altijd standaard versleuteling gebruikt, dan valt het niet op op het moment dat je het eens een keer nodig hebt.
Komt natuurlijk ook bij de VoIP over het UDP protocol gaat, en er dus een veel lagere QOS is. de stroom loopt gewoon door, terwijl een mailtje gewoon niet aan komt als er een fout in zit. Dus is VoIP makkelijker te onderscheppen lijkt mij: je moet elke seconde van de stream beveiligen, tegen een e-mail waarvan het formaat bij het verzenden al bekend is.
terwijl een mailtje gewoon niet aan komt als er een fout in zit.
TCP is een reliable protocol. Wat denk je dat reliable betekent?
Van Dale Eng-Ned:
re·li·a·ble [ r_'la_5bl ]
( bijvoeglijk naamwoord; bijwoord: reliably; afleiding: reliableness )
betrouwbaar
context
reliable authority
betrouwbare bron
a reliable witness
een geloofwaardige getuige

Op dit item kan niet meer gereageerd worden.