Google versnelt toepassen end-to-end-encryptie na NSA-onthullingen

Google zou een project om wereldwijd end-to-end-encryptie toe te passen versneld hebben na de recente onthullingen over de omvang van de spionageactiviteiten van de NSA. Dit zou het voor de NSA moeilijker maken de glasvezelverbindingen tussen Googles datacenters af te tappen.

Het project om end-to-end-encryptie globaal uit te rollen zou vorig jaar in gang gezet zijn, maar in een stroomversnelling zijn gebracht in juni, toen belangrijke onthullingen over het NSA-programma Prism verschenen. Het project zou nu maanden eerder gereed zijn dan oorspronkelijk gepland. Bij end-to-end-encryptie wordt de data zowel bij de servers in datacenters als bij de verbindingen tussen de datacenters versleuteld met, volgens Google, "erg sterke technologie". "Het is een wapenwedloop", zegt Eric Grosse, topman op gebied van beveiliging bij Google tegen de Washington Post, "We zien de overheidsdiensten als de beste spelers op dit gebied."

Uit nieuwe onthullingen van donderdag, valt op te maken dat de encryptie waarschijnlijk niet voldoende is om compleet te voorkomen dat de NSA de data kan onderscheppen en ontsleutelen. Het kan dat proces echter wel moeilijker maken en is in ieder geval een poging verder gezichtsverlies te beperken. Uit de onthullingen blijkt namelijk dat de grote internetbedrijven verregaand meewerken aan de monitoringactiviteiten van de NSA; iets wat de bedrijven fel ontkennen.

Google verklaarde de encryptie ook niet te verzwakken op verzoek van de NSA. Zowel Google en Yahoo als Microsoft verklaarden opnieuw de NSA geen toegang tot hun systemen te geven en ook uitten de bedrijven hun zorgen over de onthullingen van donderdag. Yahoo wees er tegenover The Guardian op dat het ondermijnen van encryptie misbruik mogelijk maakt.

IT-banen

Reacties (126)

Q 7 september 2013 09:12

End-to-end encryptie betekent niets als je toegang hebt tot een van de endpoints. De NSA kan mensen met geheime bevelen dwingen om kastjes in hun netwerk op te hangen die vervolgens het verkeer sniffen/monitoren nog voordat het versleuteld wordt.

Wat Google en Microsoft zeggen is niets waard. Ze proberen hun business te beschermen en komen met dit soort verhalen om vertrouwen terug te winnen. Maar iedereen die snapt wat er aan de hand is weet dat de NSA zoveel macht heeft dat ze encryptie gewoon bypassen.

Als gewone gebruiker kun je niets doen. Tegen een malafide overheid kun je niets doen. En als er gevangenis straf staat op het niet vertellen van je encryptiesleutel, dan is er geen hoop.

Encryptie als wapen tegen de NSA/overheid is een lachertje voor cloud oplossingen en helemaal voor email. Met name met email en chat moet iedereen die je kent zijn/haar computer helemaal dicht getimmerd hebben met FDE en dus S/MIME/PGP gebruiken voor alle communicatie.

Dat zal nooit gaan gebeuren want al deze tools zijn te moeilijk om te gebruiken voor 90% van de mensen.

De onthullingen over de NSA laat vooral zien dat er heel veel mensen zijn die voor veel geld al hun principes laten varen en dat al deze grote bedrijven zoals Microsoft en Google niet te vertrouwen zijn.

Ik bedoel: toen cloud computing populair werd moeten ze bij de NSA op de grond hebben gelegen van het lachen: hoe makkelijk wil je het maken voor de NSA?

http://louwrentius.com/do...secrecy-of-your-data.html

Overigens, UK, zweden doen ook mee: wie zegt dat NL, DLD etc niet precies het zelfde doen of gewoon mee werken?

Maak je geen illusies: je bent kansloos als individu. Er is eigenlijk niets wat je kunt doen om je tegen de overheid te beschermen. Leuk versleuteling, maar als jij je passphrase niet geeft dan heeft dat 'consequenties'.

Reactie op onderstaand:

Ik wordt kortzichtigheid verweten maar waarom dat zo is wordt niet gemotiveerd en een linkje naar de FSF is geen motivatie. Hoe lossen hun adviezen de problemen op?

Stoppen met gezichtsboek of meer van dat soort services maakt wel een beetje uit, maar een NSA heeft toch al je email al dus tja.

Het probleem van afluisteren is geen technisch maar een politiek probleem. En stemmen helpt niet want niemand van de partijen wil verantwoordelijk zijn voor de volgende aanslag.

Er zijn kleine partijen die misschien iets aan deze praktijken zou willen doen maar die partijen leven niet bij de meeste burgers.

Ik ben geen complot denker, maar de onthullingen over de NSA verbazen me niet, maar toch ook weer wel: de schaal is onvoorstelbaar. Maar nog veel belangrijker: hoe corrupt en geinfiltreerd bedrijven zijn.

Wat de NSA doet is vissen met een sleepnet. Als jij een eigen mail server opzet op jouw hardware (dus niet cloud storage) en dit opzet met versleuteling en alle poespas, dan maak je een kans op privacy, want dan moeten ze je machine hacken of fysiek toegang regelen tot het datacenter. Maar je mailt met wie? Hebben al je andere communicatie partners ook zo'n setup?

Misschien dat encrypted chat nog een kans heeft om je privacy te gunnen: draai je eigen chatserver op eigen hardware in een door jou gecontroleerde ruimte.

Discussie op hacker news: https://news.ycombinator.com/item?id=6343308

Op Ars Technica: http://arstechnica.com/te...ts-in-first-half-of-2013/

40.000 accounts. Dat zal niet puur terrorisme bestrijding zijn.

[Reactie gewijzigd door Q op 25 juli 2024 16:50]

David Mulder @Q • 7 september 2013 11:12

End-to-end encryptie betekent niets als je toegang hebt tot een van de endpoints. De NSA kan mensen met geheime bevelen dwingen om kastjes in hun netwerk op te hangen die vervolgens het verkeer sniffen/monitoren nog voordat het versleuteld wordt.

Wat Google en Microsoft zeggen is niets waard. Ze proberen hun business te beschermen en komen met dit soort verhalen om vertrouwen terug te winnen. Maar iedereen die snapt wat er aan de hand is weet dat de NSA zoveel macht heeft dat ze encryptie gewoon bypassen.

Wat een angstreactie, ten eerste, 1 van de manieren hoe de NSA gegevens onderschepte was door niet bij de bedrijven zelf om gegevens te vragen maar juist door als een man in the middle gegevens te onderschappen waar dus end to end encryption ideaal voor is. Ten tweede, voor Google is het economisch van essentieel belang dat ze zo weinig mogelijk data delen met de overheid delen en dat ze zo transparant mogelijk zijn over wat ze wel delen. Google heeft al jarenlang 1 van de meest uitgebreide reports gehad van welk bedrijf ook (in tegenstelling tot de meeste bedrijven die er uberhaupt geen hebben of hadden). Ik bedoel, zelfs als je geen 1 enkel schrijntje van geloof hebt in Google's bedrijfsmentaliteit, op z'n minst is het niet moeilijk te begrijpen dat gewoon vanuit economische redenen Google er zo veel mogelijk voor zal doen om dit soort dingen tegen te gaan, en vooral nu ze ook nog eens duidelijk de consequenties hebben gezien van... dit allemaal

... zullen ze daar nog twee keer zo hard tegen vechten, en dat is niet iets wat ze alleen met illusies en mooie marketingpraat kunnen doen, en dat weten zij ook gewoon goed.

locke960 @David Mulder • 7 september 2013 15:06

Google's belang is geld verdienen. De bottomline is dit: Om geld verdienen mogelijk te maken moeten ze 2 partijen, die tegengestelde eisen hebben, tevreden stellen.
- De gebruikers/klanten, die privacy willen. Geef je ze het niet dan lopen ze weg en ga je failliet.
- De overheden die toegang willen tot de informatie van de gebruikers. Geef je het ze niet, dan maken ze het onmogelijk je gebruikers/klanten tevreden te houden en ga je failliet.

Het is onmogelijk beiden 100% tevreden te stellen. Als je de gebruikers tevreden stelt dan is het zeker dat de overheid je te grazen neemt. De gebruikers tevreden stellen en liegen tegen de overheid is geen optie want dat gaat gegarandeerd niet lang goed. Er is in deze echt niet zoiets als "passief verzet" mogelijk.

De overheid tevreden stellen en liegen tegen je gebruikers is dan de enige optie met een kans van slagen:
- Het is juridisch ok, want de overheid eist geheimhouding.
- De meeste mensen hebben het toch niet in de gaten. De meeste mensen krijgen pas een vaag idee dat er wat aan de hand is als er wekenlang dikke koppen in de krant staan over een Edward Snowden bijv. Deze mensen worden dan gerustgesteld door een reeks berichten over betekenisloze maatregelen als deze.
- De meeste mensen interesseert het überhaupt niks.
- Concurrenten worden ook gedwongen, dus je klanten kunnen moeilijk ergens anders heen, daar gebeurt precies hetzelfde.

Met andere woorden, je kan wel geloven dat google om economische redenen dit soort dingen wil tegen gaan, maar om om urgentere economische redenen (het voortbestaan van het bedrijf) zullen ze er aan meewerken.

Anoniem: 406468 @David Mulder • 7 september 2013 12:41

Dan heb je duidelijk niet al het nieuws rondom de onthullingen van Snowden gevolgd. De NSA heeft namelijk wel degelijk contracten met internetbedrijven om data door te spelen, bovenop de wiretaps die ze al hadden.

Anoniem: 399807 @Q • 7 september 2013 10:05

Je kunt heel veel doen.

Je kunt stemmen met je voeten. Gebruik geen google en fb meer. Dump je GSM. (WTF!?! Nooo, my preciousssss.) Doe minder draadloos, zet je Ziggo wifi-spot uit, gebruik geen online opslag diensten, cancel je twitter account, doe niet aan sociale media.

En wijs anderen er op dat je niet pardoes deaud neervalt op straat zonder smart phone.

Consumeer minder gadgets, geen GPS systemen.

Q @Anoniem: 399807 • 7 september 2013 11:45

Dat is het kind met het badwater weggooien.

Mijn opmerking: je kunt niets doen slaat op de onderliggende impliciete aanname dat je niet als een kluizenaar zonder computer, telefoon of gps wilt gaan leven.

En dat zou ook helemaal geen probleem hoeven te zijn. Maar diezelfde apparatuur geeft in de verkeerde handen andere mensen macht over jou.

De overheid zou juist een waarborg moeten geven dat jouw info privé blijft en niet met dragnet surveillance wordt geharvest.

Anoniem: 399807 @Q • 9 september 2013 11:05

Ik ben geen kluizenaar omdat ik geen GSM heb, niet doe aan sociale media. Weet je, vroegah, (toen alles nog 'goed' was) , ging je naar het café voor een sociaal contact. Of in de sportclub. Je kent dat wel. Wel, ken je dat?

Ik vraag dat maar want...de samenelving veranderd snel. Als ik praat, jawel, via Skype, met een jonge gozert van 19, dan besef ik soms ineens dat ie nooit Star Trek heeft gezien op tv, want toen de laatste serie daarvan stopte was hij nog erg jong.

Kan ik er van uitgaan dat jongeren dit snappen, het concept van communicatie zonder mobieltje?

Wij ontmoetten elkaar in de stad of bij elkaar thuis en we belden met een landlijn en er waren veel telefooncellen. En toen ik eens een aanrijding had, liep ik naar een huis, belde aan en vroeg of ik daar even de politie mocht bellen.

Ik zie ICT niet als een kind dat ten koste van alles behouden dient te blijven. Verdedig jij je voorliefde voor gadetry of het gebruiksgenak? Of misschien je luiheid die een GSM je verschaft? En de hele ICT wereld die is ontstaan? Online shoppen, het huis nie tuit hoeven, contact met iedereen opd e wereld, terwijl je zelf je eigen buren niet spreekt of kent?

Kind en waswater is een zaak van overheid, waarbij de nadelen met de voordelen genomen moeten worden. Dragnet operaties, overheden die niet langer ter goeder trouw zijn of worden, dat is het nadeel van de ICT maatschappij: het kind is niet de ICT, maar privacy en autonomie en burgerrechten- en vrijheden.

Anoniem: 406468 @Anoniem: 399807 • 7 september 2013 12:40

Dus om te genieten van een Internet waar je privacy WEL gewaarborgd is, kan je maar beter geen Internet meer gebruiken?

Zo krijgen ze dus meer en meer controle over wie met wie communiceert. Nee bedankt, ik geniet liever van de vrijheid die ik nog heb, al is het gevaarlijk.

Anoniem: 399807 @Anoniem: 406468 • 9 september 2013 11:06

Internet is meer dan sociale media en bedenkelijke diensten.

pe1pme @Anoniem: 399807 • 7 september 2013 19:33

@Vendar: waarom geen GPS systemen?

Anoniem: 399807 @pe1pme • 9 september 2013 11:10

GPS is een systeem waarbij je een algemeen uitgezonden signaal gebruikt voor locatiebepaling en als zodanig anoniem Maar zodra je het in een camera zet kan een ander zien via de tags waar je de foto name en wanneer en op jouw een plaatsbepaling toepassen. HEt systeem wordt omgedraaid van een algemeen op te vangen signaal naar een specifiek individu in tijd en ruimte.

GPS wordt steeds vaker geintegreerd in gadgets maar ook voorgesteld als systeem voor tracking en tracing, bijvoorbeeld als trajectcontrole op snelheid of verhuurbedrijven die er gebruik van willen maken etc. Steeds vaker zal een GPS locatiebepaling teruggekoppeld worden aan een uitgaand signaal, ten behoeve van een of ander controle of tracking systeem.

Bijvoorbeeld lease auto's etc.

Anoniem: 529096 @Q • 7 september 2013 09:54

Wat een kortzichtigheid. Sorry hoor.

Kijk maar eens op deze pagina: https://www.fsf.org/campaigns/surveillance

Je kan wel degelijk iets doen.

FreezeXJ @Anoniem: 529096 • 7 september 2013 10:50

Maar daar moet je moeite voor doen, da's laaastig. We schreeuwen veel liever dat we 'rechten' willen, maar als we ze niet krijgen, jammer dan. Nu eerst RTL Shownieuws!

Anoniem: 529096 @FreezeXJ • 7 september 2013 12:15

Linus Torvalds heeft ooit gezegd dat het internet niet voor watjes is. En daarmee bedoelde hij waarschijnlijk dat je je eigen boontjes moet doppen op het internet.

Dat nu de NSA zo afluistert wil niet zeggen dat andere "grotere broers" of hackers dat niet doen. Dus als je het internet op gaat en je wilt iets geheim houden, zorg daar dan ook voor. Op de site die ik eerder aangaf staan tips over hoe dit aan te pakken.

noMSforme @Q • 7 september 2013 09:48

Duitsland scant alle post en stuurt adres van zender en afzender( indien mogelijk. ) naar de NSA.
Inhoud van een brief via de normale post is nog wel geheim. ( Als de inhoud niet te scannen is. )

De EU vindt het prima wat de US doen. Alle macht ligt al in Brussel, lokale overheden hebben al niets meer te vertellen, al denken en doen ze van wel.

Over het algemeen weet men nu al precies waar iemand is met wie hij contacten heeft en alle communicatie. Laatste stap is het verbieden van contant geld want dat geeft de burger nog vrijheid. Hiervoor zijn ook al voorstellen in de maak als niet meer dan 300 euro pinnen en bedragen boven de 1000 euro mogen niet contant betaald worden.

De vijand zijn niet de terroristen maar de EU en de VS.

Waarom denk je dat het verplicht werd om bij elk compleet computer systeem een OS te kopen namelijk MS Windows ? Het plaatje is veel groter dan men denkt.

Alex3 @noMSforme • 7 september 2013 12:34

Als de EU dat prima vindt dan vergeten ze kennelijk dat het niet alleen wordt gebruikt voor terrorismebestrijding, wat een gemeenschappelijk belang is, maar dat ook bedrijfsspionage mogelijk is. En als het mogelijk is dan gebeurt het ook.

motormuis 7 september 2013 09:01

Als ik kijk wat er gebeurd is met mobiele OSen is dat de Amerikanen het enige EU bedrijf hebben overgenomen en we nu geen Symbian en memo meer hebben. Het is nu compleet VS en dat is wel handig...

seapip @motormuis • 7 september 2013 09:40

Gelukkig is android opensource dus iedere van van een backdoor kan je zo in de bron code zien, maar bij closed source software zoals blackberry OS en iOS is dat niet en weet je dus nooit zeker of er een backdoor is

Anoniem: 529096 @seapip • 7 september 2013 09:50

Behalve de drivers van Android. En die communiceren met de hardware. Hmmm.

De FSF heeft daardoor een volledig Open Source Android in de maak:
http://replicant.us/

Je kan het steunen!

Berendhoo @Anoniem: 529096 • 7 september 2013 14:46

True, maar die drivers worden niet allemaal in de VS gemaakt. Er zijn ook telefoons van Aziatische makelij met Aziatische hardware en drivers.

Anoniem: 428562 @seapip • 7 september 2013 10:10

Yep android is opensource maar het heeft wel jaren geduurd voordat er een bug is ontdekt in de implementatie van de java random number generator van android.

Anoniem: 406468 @seapip • 7 september 2013 12:30

Open source, behalve die cruciale drivers die closed source zijn natuurlijk. Lekker veilig!

Cerberus_tm

@Anoniem: 406468 • 7 september 2013 23:02

Is de broncode geheim, of alleen ge-copyright?

Anoniem: 428562 @motormuis • 7 september 2013 09:10

In de toekomst hoop ik op Sailfish van Jolla

ymmv 7 september 2013 08:59

Schijn-privacy. Als de Amerikaanse overheid erom vraagt, zal Google nog steeds alle informatie leveren die ze willen - encryptie of geen encryptie.

Anoniem: 120693 @ymmv • 7 september 2013 09:30

Schijn-privacy. Als de Amerikaanse overheid erom vraagt, zal Google nog steeds alle informatie leveren die ze willen - encryptie of geen encryptie.

Nee daar maak je een vergissing, het is wel degelijk een verhoging van de privacy. Nu moet de NSA eerst kennis hebben over een mogelijk gevaar voor ze informatie mogen eisen (die krijgen ze ook). Google wil met de nieuwe versleuteling verhinderen dat de NSA bij ALLE data kan komen.

Sommige mensen denken dat ze dat nu al kunnen (gebaseerd op niets eigenlijk, zelfs Snowden heeft dat niet zo gezegd) maar hiermee laat Google zien dat ze zich daartegen zal blijven verzetten. Voor Google is de mogelijk vrije toegang tot hun systemen een enorm gevaar en kan hun hele bedrijfsmodel onmogelijk maken.

Raventhorn @Anoniem: 120693 • 7 september 2013 11:51

Sommige mensen denken dat ze dat nu al kunnen (gebaseerd op niets eigenlijk, zelfs Snowden heeft dat niet zo gezegd) maar hiermee laat Google zien dat ze zich daartegen zal blijven verzetten.

Het wordt wel geïnsinueerd, dus ik vind het niet vreemd dat men dat denkt. Hij heeft immers wel toegeeven / geopenbaard dat de bedrijven verregaand meewerken. Vrije toegang zou daar onder kúnnen vallen.

En natuurlijk gaat Google daar nu tegen 'vechten'. Ieder bedrijf wat hierdoor imagoschade oploopt wil proberen dat te minimaliseren, vooral nu het publiekelijk is.
Vooral Google gedraagt zich nu, naar mijn mening, als een kat in het nauw.

De grootste imagoschade die ze wat mij betreft oplopen is het continu blijven ontkennen van iets waar de rest van de wereld al lang van weet dat het toch waar is.
Anders had Google (en MS/Yahoo/FB) al lang laten weten (incl. een giga ophef) dat ze waren gehackt; dit ruikt dus gewoon naar toegang geven (al dan niet onder dwang).

kidde @Anoniem: 120693 • 7 september 2013 12:31

Voor Google is de mogelijk vrije toegang tot hun systemen een enorm gevaar en kan hun hele bedrijfsmodel onmogelijk maken.

Daar dacht ik ook aan, en volgens mij zelfs op drie manieren:

*Bij Google zit de waarde van het bedrijf grotendeels in de data die ze 'gemijnd' hebben. Mijns inziens geeft Google - aangezien het een bedrijf is - uit principe geen drol om privacy van gebruikers, de belangrijkste reden dat ze de data geheim willen houden is om te voorkomen dat Facebook of Microsoft het in handen krijgt. De beste manier om te voorkomen dat de NSA gemijnde data lekt naar FB / MSFT is door ervoor te zorgen dat de NSA de genoemde data nooit heeft.

*Misschien nog wel belangrijker, door al deze ophef zullen allerlei (semi-overheids)-instanties nooit overgaan op cloudservices van Google, zoals GMail, Google Docs en al die andere meuk. Vele klanten zullen mogelijk ook allerlei anonimiseer-gereedschapjes gaan gebruiken, zoals DuckDuckGo, Startpage.com en ga zo maar door. Daardoor wordt het moeilijker voor Google om advertenties te kopen.

*Mensen gaan mogelijk in plaats van 'plaintext' data in de cloud zetten deze eerst encrypteren. Als ze dat doen, wordt het voor Google lastig weer in die data te gaan lopen minen. Bijvoorbeeld iemand stapelt met FUSE EncFS op google-ocaml-fs, of ze lopen gewoon gelijk over naar Mega van Kim Dotcom.

Cerberus_tm

@kidde • 7 september 2013 21:08

Duckduckgo is wel een Americaans bedrijf. Ik neig ernaar om over te stappen, maar weten we wel zeker dat zij ook geen dwangbevelen van de NSA krijgen?

IJsbreker 7 september 2013 09:13

"Wie is er nog te vertrouwen in de wereld?"

Dat ligt er aan wat de toepassing is waarvoor jij Google of Microsoft gebruikt. NSA is niet geïnteresseerd in de spam die jij in je mailbox krijgt of dat je kaartjes hebt besteld voor de festival over een maand. Maar als jij een superuitvinding hebt waarbij aardolie overbodig maakt, dan zou ik inderdaad de oplossingen van Google, Facebook en Microsoft niet gebruiken.

Mijn mening is dat ik het een goede zaak vind dat Google zijn beveiliging aangescherpt heeft. Is het NSA niet dan kunnen andere hackers/informatievergaarders misschien wel over deze gegevens beschikken. Waarbij nu de kans dat het gebeurd weer een stukje kleiner is geworden.

Anoniem: 428562 @IJsbreker • 7 september 2013 09:33

Als jij een paar keer kaartjes besteld voor dezelfde concerten waar ook dezelfde persoon naartoe gaat die op een watchlist staat dan kun je zomaar zelf ook op de watchlist komen te staan.

Gevolg kan zijn dat je op vliegvelden steeds "toevallig" uitgebreid gecontroleerd wordt en voor sollicitaties bij de overheid wordt je nooit uitgenodigd voor een gesprek ondanks je goede opleiding/CV.

sohus 7 september 2013 08:53

Wie is er nog te vertrouwen in de wereld? Het hele probleem is dat grote bedrijven gewoon de nieuwe keys lekken naar de NSA en dan is dit soort mooie marketing praat niets waard.

Mic2000 @sohus • 7 september 2013 10:44

Mee eens, het vertrouwen in elk groot bedrijf is geschaad en je weet niet of ze nog de waarheid vertellen.

bbob

Privacy
Google
Netwerk en systeembeheer

@Mic2000 • 7 september 2013 12:02

Ze vertellen nooit de waarheid.

Feiten zijn simpel het zijn Amerikaanse bedrijven. Er zijn Amerikaanse wetten die onder geheimhouding gebruikt kunnen worden en gebruikt worden.

Dat google nu veiligheid verkoopt komt de NSA leuk leuk. Mensen denken veilig en ondertussen zitten er toch achterdeurtjes in voor de NSA.

Het enige dat werkt is een open source encryptie die gecontroleerd is op achterdeurtjes. al het andere is gewoon niet te vertrouwen hoe hard ze dat ook roepen. Sterken nog hoe harder men roept dat men te vertrouwen is des te minder ik het vertrouw.

wpoely86 @bbob • 7 september 2013 17:58

Het enige dat werkt is een open source encryptie die gecontroleerd is op achterdeurtjes. al het andere is gewoon niet te vertrouwen hoe hard ze dat ook roepen. Sterken nog hoe harder men roept dat men te vertrouwen is des te minder ik het vertrouw.

Dat helpt in dit geval ook niet. Google is zoals je zegt een Amerikaans bedrijf en er zijn Amerikaanse wetten die Google kunnen verplichten al hun encryptiesleutels over te dragen aan de NSA en tegelijk verbieden om dit ooit bekend te maken...

Ten tweede is de NSA de grootste werkgever (ter wereld?) van cryptoanalisten. De vraag is welke encryptie (open source of niet) nog helemaal te vertrouwen is. In principe is niks wat onder Amerikaans recht valt nog veilig.

Cerberus_tm

@wpoely86 • 7 september 2013 20:44

Ik vraag me wel af of b.v. Engelse geheime diensten ook niet soortgelijke dingen doen. Opstelten wil dat de AIVD virussen mag installeren op computers op afstand, en de Duitse geheime diensten doen dat al. Dus zijn Europese bedrijven/overheden nog wel te vertrouwen? Vergeet ook niet dat volgens de Guardian de NSA ook bedrijven buiten America heeft gedwongen/omgekocht om zwakheden of backdoors in hun producten (software? hardware?) te introduceren.

aCiDcHaOZ @bbob • 7 september 2013 13:19

Mee eens, het lijkt voor de buitenwereld heel simpel: een sterke versleuteling er op zetten en klaar, ware het niet dat een aantal populaire algoritmes door de NSA zelf zijn ontworpen.

Het is niet zozeer de vraag of je moet versleutelen maar wat voor versleuteling je moet nemen ... Iemand suggesties?

[Reactie gewijzigd door aCiDcHaOZ op 25 juli 2024 16:50]

--Andre-- @aCiDcHaOZ • 7 september 2013 14:11

AES approved by the NSA, das wel waar, maar toch, het is een open specificatie, waarvan er tig implementaties bestaan. En natuurlijk zijn er vele wetenschappers bezig die proberen er gaten in te schieten.

Tsja, van de ene kant de NSA die erheen gekeken heeft, van de andere kant, er wordt door heel de wereld heen gekeken...

En bij deze, het zal al bekend moeten zijn, "security through obscurity is no solution" -- ga niet je eigen geheime protocol opzetten, dat geeft alleen maar een vals gevoel van veiligheid.

Verder wil ik benadrukken dat de --tot nu toe gevonden-- zwakheden in de --nu als veilig bevonden encryptiestandaarden-- betrekking hebben tot implementatie, niet tot de specificatie zelf.

En daarbij dat zwakheden soms het gevolg kunnen zijn van optimalisatie. Het is dus een questie van "performace vs. security" -- Hetgeen dus ook bepaalde "zwakke" implementatiekeuzes kan rechtvaardigen, als een programmeur ervan wordt beschuldigd een backdoor te plaatsen.

Tsja... de hele zaak rond encryptie... je kan naar beide kanten overdrijven he. Als het een uur duurt om een emailtje te versturen door übersterke encryptie pikt niemand dat hè. Om dan maar alles onbeveiligd te versturen is weer het andere uiterste. En dan nog... denk je dat de NSA de vakantiefotos van iedereen ter wereld gaat zitten bekijken?

OddesE @--Andre-- • 7 september 2013 17:28

Verder wil ik benadrukken dat de --tot nu toe gevonden-- zwakheden in de --nu als veilig bevonden encryptiestandaarden-- betrekking hebben tot implementatie, niet tot de specificatie zelf.

Tja dit is natuurlijk een cirkel redenering: In de standaarden die we nu veilig vinden zijn nog geen problemen aangetroffen, hoogstens in de implementatie van die standaarden... Nogal wiedes want zodra we wel zo'n probleem in de standaard zelf vinden beschouwen we die standaard niet meer als veilig.

Oot was MD5 ook een standaard die we veilig vonden... Totdat we ontdekten dat hij niet veilig was. Nu is het een standaard die we niet meer veilig vinden.

Zelf je eigen protocol opzetten zou wel eens de beste manier kunnen zijn. Het probleem is dat e wel een geniaal wiskundige moet zijn. En dat zijn we niet allemaal. Maar gewoon even je spullen door een aantal encryptieprotocollen heengooien voordat je ze over SSL verstuurd maakt al een heel verschil.

En security through obscurity... in een vakantiefoto van een paar MB kun je wel een tekstbestand of e-mail verstoppen zonder dat je dit kunt zien aan de foto... Voorlopig lijken me zulke technieken nog het meest kansrijk als echt geheim wilt communiceren. Als de NSA dan je bestand heeft uitgepakt en ze zien een paar foto's dan moet men er maar net aan denken om daar weer iets achter te gaan zoeken...

Cerberus_tm

@OddesE • 7 september 2013 20:41

Of misschien gebruiken ze al lang standaard algoritmes om elke foto en video die ze onder ogen krijgen automatisch te scannen op steganografie (dus op verborgen inhoud).

Nas T @Cerberus_tm • 7 september 2013 23:10

Ja, dat kan, maar er zijn tig manieren om het te verbergen. Het is een kwestie van een ingewikkelde onbekende manier gebruiken. Denk aan informatie delen via webpagina's maar dat deze fake is. De echte informatie komt dan via de "reclame", door manipulatie van de beelden door een tot nu toe onbekende manier.

"We zien de overheidsdiensten als de beste spelers op dit gebied."

Ik ben bang...dat dit waar is, de publicaties van Snowden bevestigen dit bedankt hiervoor). We worden door onze eigen overheid op enorme schaal afgeluisterd en dus opgelicht. Wat is veiligheid? Wiens veiligheid? Ik ben niet blij met de afluisterpraktijken...

robinkanters @aCiDcHaOZ • 8 september 2013 12:06

Als het maar asymmetrisch is, is mijn aanbeveling

PPie @robinkanters • 9 september 2013 16:00

Waarom?
Bruce Schneier (Toch niet helemaal onbekend met encryptie) raadt juist symmetrisch aan: Linkje.

Gillepils @bbob • 7 september 2013 20:05

En wie controleert de controleurs?

SuperDre @Mic2000 • 7 september 2013 17:07

maarja, je weet ook niet of de originele informatie mbt lekken wel echt is, want tegenwoordig wordt een scheet van een onbekende al compleet overgenomen door alle media zonder eerst ook werkelijk te controleren of de scheet wel echt gelaten is....

Fermion @sohus • 7 september 2013 11:33

Niet, want de NSA mag gewoon direct op de Servers kijken van Google zelf. Dus die encrypted verbinding is een wassenneus.

Juup @Fermion • 7 september 2013 12:09

Dit is waarschijnlijk niet waar.
De NSA tapt gewoon alle verkeer over Tier1 glasvezels af.

Anoniem: 406468 @Juup • 7 september 2013 12:27

De NSA heeft overeenkomsten met de grote bedrijven, waaronder Google. Google is volgens Amerikaanse wet verplicht mee te werken met de NSA en heeft geheimhoudingsplicht. Keer op keer hebben zowel regering als bedrijven ontkent dat ze fout zitten, en keer op keer komt er een nieuwe onthulling die nog erger is dan de vorige en duidelijk aantonen dat regering en bedrijven ons snoeihard voorliegen.

De NSA tapt zeker alle grote kabels af. Er is zelfs een mogelijkheid dat de NSA overeenkomsten heeft met ISPs om spyware te droppen op elke met Internet verbonden computer - gezien het budget en de capaciteiten van de NSA ook totaal geen verrassend iets. Maar wel eng.

ilaurensnl @Anoniem: 406468 • 7 september 2013 12:47

Kunnen ze weinig aan doen, zelf Google komt er niet onderuit. Of als het toch niet werkt gaan ze vast aftappen via een ander waar Google transit's heeft.

Meerdere landen, verschillende regels.

Ik vind het wel goed dat hun met encryptie zijn begonnen, meeste bedrijven laten het links liggen en maakt het niet openbaar.

[Reactie gewijzigd door ilaurensnl op 25 juli 2024 16:50]

Anoniem: 109989 @ilaurensnl • 7 september 2013 17:35

zelf Google komt er niet onderuit

Juist google komt er niet onderuit, Grote amerikaanse bedrijven als google staan natuurlijk boven aan de lijst bij de NSA.

De enige echte oplossing is het afsnijden van het budget van de NSA (Dus een politieke oplossing), Al het andere is gewoon zinloos. Met een budget van 40 miljard per jaar kan je alles doen (4 LHC's per jaar

). Ze kunnen overal toch inkomen en als ze dit niet kunnen kunnen ze het bedrijf dwingen hen toegang te geven. Wanneer er geen politieke oplossing komt (Doordat de media dit blijft negeren), Moeten we ermee leren leven dat we in een totalitaire staat/systeem leven, Waarin elk aspect van ons leven en maatschappij word gecontroleerd door de/een staat. En wij waren zo dom/Naïeve dat wij het niet eens door hadden (Waar heb ik dat eerder gehoord).

Maargoed de oplossing ligt hoe dan ook bij de staat, Ik bedoel de staat was vroeger toch ook degene die ervoor zorgde dat niet al onze brieven werden geopend en gekopieerd op het postkantoor, Of dat een politie agent niet gewoon huis voor huis zoekingen kon doen om iets of iemand te vinden, Wetten regelden dit. Er moeten gewoon nieuwe wetten komen die dit regelen voor digitale bezitingen als bits en bites, Misschien moet er zelfs een staats communicatie dienst komen zoals wij vroeger de ptt post hadden waarin de communicatie van ons huis tot en met de dienst en het hele proces beveiligd is, zonder gesloten technologie uit een ander land. En dit ook echt in de wet is vast gelegd, En dat er alleen data kan worden bewaard en later misschien ingekeken als er een bevel van een echte rechter is.

Recent nieuwsbericht van een paar minuten geleden op der spiegle dat de NSA de encryptie van Alle telefoons heeft gecracked inclusief BlackBerry :D

[Reactie gewijzigd door Anoniem: 109989 op 25 juli 2024 16:50]

Cerberus_tm

@Anoniem: 109989 • 7 september 2013 20:52

Ik kan het helaas niet met je oneens zijn. Heel zorgelijk, en de enige oplossing moet van de wet komen, met goede handhaving. Ik heb het gevoel dat die er in de komende decennia ook wel zal komen, al moeten we vooral strijdvaardig blijven.

Een volledige oplossing zal er echter niet komen w.b.t. onze privacy in het algemeen, omdat b.v. China een aantal van deze dingen ook zal kunnen doen. En criminele organisaties ook.

Verder vraag ik mij af hoe dat "aflezen" volgens de Spiegel daadwerkelijk gaat op Android and Blackberry. Een Iphone kun je blijkbaar aflezen als je de PC waarmee hij synchroniseert kunt infiltreren; wat heb je nodig om een Android-telefoon te kunnen aflezen? Fysieke toegang? Of kan het ook op afstand, maar hoe dan? Omdat de Spiegel het heeft over toegang zonder dat de eigenaar van de telefoon er iets van merkt, zou je denken dat het gaat over toegang op afstand?

OddesE @Juup • 7 september 2013 17:32

Dit is waarschijnlijk niet waar.

Wel als we de documenten van Snowden mogen geloven... en voorlopig vind ik in deze hele media-shitstorm over de NSA en beveiliging/privacy de 'feiten' uit de documenten van Snowden nog het meest geloofwaardig van alles.

Nu dat Syrie weer... gifgas.. we *moeten* ingrijpen... kunnen niet wachten op de VN... Sorry, maar ik geloof dus echt geen één woord meer van de hele regering, Nederlands of Amerikaans. Jullie hebben bewijzen? Heel goed. Maak maar een mooie account aan op en online clouddienst, Github of zo, en upload daar de hele zwik maar heen. Maak het maar openbaar. Allemaal. Tot de laatste foto en e-mail. En laat ons dan maar een maandje grasduinen daarin. Daarna kunnen we praten. Geheim? Prima, maar ik geloof het dan gewoon niet. Klaar.

Cerberus_tm

@OddesE • 7 september 2013 20:55

Mee eens, zie de "bewijzen" voor de zogenaamde "massavernietigingswapens" (debiel woord trouwens: hoezo is gifgas "massaal", vooral vergeleken met zoiets als artillerie? En hoezo "vernietigt" het meer dan gewone bommen? Het is juist eerder mensen doden zonder vernietiging van gebouwen) tegen Saddam Hoessein.

born4trance @sohus • 7 september 2013 12:55

Wat denk je dat er gebeurde als deze NSA-ellende niet naar buiten was gekomen? Dan had Google niets gedaan.
Ieder (groot) bedrijf corrumpeerd wel op één of ander vlak. De kunst is het zo lang mogelijk te verbergen.

[Reactie gewijzigd door born4trance op 25 juli 2024 16:50]

krosis 7 september 2013 09:31

De drang voor een niet-Amerikaanse provider is nog nooit zo hoog geweest. Alleen welk land moet dat dat gaan doen?

Uk - Nee, GCHQ heeft nauwe banden met de NSA.
NL - Nee, AIVD deelt alles en krijgt daar ook wat leuks voor terug.
FR - Nee, hun nemen het ook niet zo nauw met privacy bescherming gezien HADOPI.
GER - Misschien. Als er ergens nog hoop is, is het ironisch genoeg in Duitsland.

Anyways het is moeilijk want het lijkt wel alsof de VS overal een vinger in de pot heeft, en als hun het niet zijn is het iemand anders. Encryptie heeft geen nut, $250 miljoen gaat naar encryptie breken.

Breek met de VS, of accepteer het. Ze gaan er zelf niet mee ophouden.

[Reactie gewijzigd door krosis op 25 juli 2024 16:50]

noMSforme @krosis • 7 september 2013 09:59

Duitsland stuurt ook alles door naar de NSA. Helaas.

BlueInk @noMSforme • 7 september 2013 10:12

Hoe zit het met IJsland? Ergens denk ik te weten dat zij daar een erg strenge wetgeving i.v.m. privacy hebben? (Helemaal niets mag worden gelogd), maar natuurlijk, dit speelt op een ander niveau.

Argantonis @krosis • 7 september 2013 09:38

GER - Misschien. Als er ergens nog hoop is, is het ironisch genoeg in Duitsland.

Waarom is dat ironisch genoeg in Duitsland? Als er één land is dat lessen heeft geleerd van het verleden dan is het Duitsland wel. Zij weten als de beste wat er op het spel staat, geen wonder dus dat zij steeds voorop lopen bij privacy-wetgeving (maar ook bij energie-onafhankelijkheid door middel van zonne-energie bijvoorbeeld)

Niet dat het daar perfect is overigens, zij bleken ook te heben samengewerkt met de NSA.

[Reactie gewijzigd door Argantonis op 25 juli 2024 16:50]

vanaalten 7 september 2013 09:16

"Het is een wapenwedloop"

, aldus Google.
Het feit dat het een wapenwedloop is van een bedrijf tegen de democratische overheden geeft denk ik wel aan dat er iets goed fout zit in het systeem.

Anoniem: 120693 @vanaalten • 7 september 2013 09:31

[...]
, aldus Google.
Het feit dat het een wapenwedloop is van een bedrijf tegen de democratische overheden geeft denk ik wel aan dat er iets goed fout zit in het systeem.

Of juist niet? Had je liever gezien dat Google zich niet zou verdedigen?

wica @Anoniem: 120693 • 7 september 2013 09:39

Google verdedigd alleen de waarde van zijn aandelen.
Ze hebben er jaren aan mee gewerkt en nu in eens, nu het openbaar is, gaan ze iets doen?

David Mulder @wica • 7 september 2013 11:23

Jaren mee gewerkt, maar ook jaren bezig geweest met hun transparency reports en tal van rechtzaken gevoerd tegen overheids aanvragen... iets wat ik andere bedrijven niet heb zien doen en waar Google vanuit een PR opzicht veel meer mee had kunnen doen. Je kunt je dan afvragen of Google het doet vanwege hun bedrijfsmentaliteit of vanwege bescherming van hun business model, maar het is sowieso een feit dat ze hier altijd al mee bezig zijn geweest.

Anoniem: 406468 @David Mulder • 7 september 2013 12:45

>Jaren mee gewerkt, maar ook jaren bezig geweest met hun transparency reports en tal van rechtzaken gevoerd tegen overheids aanvragen...

Dat ze nog enige transparantie doorvoeren - los van dat het wellicht schijntransparantie is om imago te beschermen - doet niet af aan de slechte dingen die ze gedaan hebben door mee te werken met de NSA.

Jammer dat zo'n groot bedrijf als Google zo afhankelijk is van de economie van een corrupt land.

cyberstalker @Anoniem: 120693 • 7 september 2013 09:40

Ik denk dat vanaalten bedoelt dat het belachelijk is dat je je als bedrijf tegen je eigen overheid zou moeten wapenen. Het doel van een overheid is namelijk het beschermen van de bevolking en ze doen nu precies het tegeovergestelde (het aanvallen van het volk).

vanaalten @cyberstalker • 7 september 2013 10:26

Inderdaad. Google, als commercieel bedrijf, zal niet handelen naar de wens van het volk - tenzij het overeenkomt met Google's eigen wensen (er geld mee te verdienen valt)

De overheid is, naar mijn idee, ook niet meer aan het handelen naar de wens van het volk (privacy respecteren), maar begint zichzelf te zien als alwetende dictator die alles moet weten.

Natuurlijk zijn wij hier zelf ook schuldig aan - het merendeel van de mensen ziet privacy niet als een belangrijk iets (kijk maar eens hoeveel je van iemand te weten kan komen met Facebook, Twitter en Google) en bij de verkiezingen is het ook nog niet een rol van betekenis gaan spelen.

26779 @Anoniem: 120693 • 7 september 2013 12:14

Jij gelooft nog steeds in het motto van Google: 'do no evil'??
Dat is en beetje naïef.

martijn_tje @Anoniem: 120693 • 7 september 2013 13:21

Waarschijnlijk wordt met het systeem die ene overheid bedoeld die alle communicatie tussen alle bewoners op aarde wil controleren. Niet dat onze eigen overheid zo veel liever is.

http://nos.nl/artikel/159...ampioen-telefoontaps.html

tvhater @vanaalten • 7 september 2013 11:10

Dan moet je je afvragen wat er dan nog zo democratisch is aan die overheid

martijn_tje @tvhater • 7 september 2013 13:22

Tsja die overheid die z'n uiterste best doet om je stem al voor de verkiezingen te weten. En dan fijn digitaal stemmen waar totaal geen controle op is.

Delgul 7 september 2013 09:17

Google verklaarde de encryptie ook niet te verzwakken op verzoek van de NSA

Nou, daar liegen ze niet mee want als ik het goed begrepen heb dan hoeft de NSA de encryptie tussen servers helemaal niet te kraken, want ze krijgen van Google een backdoor op de server waar de informatie vandaan komt en naartoe gaat. Dit klinkt een beetje als een mislukte push uit de afdeling marketing...

Anoniem: 120693 @Delgul • 7 september 2013 09:32

[...]

Nou, daar liegen ze niet mee want als ik het goed begrepen heb dan hoeft de NSA de encryptie tussen servers helemaal niet te kraken, want ze krijgen van Google een backdoor op de server waar de informatie vandaan komt en naartoe gaat.

Onthou dat daarvoor eenvoudig geen enkel bewijs is en alle partijen (ook de slachtoffers in dit verhaal) het ontkennen.

cyberstalker @Anoniem: 120693 • 7 september 2013 09:42

Waarbij je je moet bedenken dat ze wellicht door een geheime rechtbank zijn veroordeelt om dat te moeten zeggen. Mogelijk (lees: waarschijnlijk) moeten ze hierover liegen om gevangenisstraf te ontwijken (want de waarheid vertellen zou weer de staatsveiligheid ondermijnen o.i.d.).

Anoniem: 324520 @cyberstalker • 7 september 2013 10:44

Ja ook een lachtertje de afgelopen 11 jaar zijn er geen aanslagen gepleegd teminste niet door de de extremistische moslim beweging. Tuurlijk hebben we de bombardement op Boston wat overigens verschrikkelijk was. Maar al 11 jaar is er niets gebeurd maar kijk wat er in die 11 jaar wel van onze rechten is gesnoept door de overheid. Het is uiterst zorgzaam dat alles onder het mom van nationale beveiliging alles geoorloofd is.

HoppyF 7 september 2013 10:14

Er wordt hier gesproken over encryptie tussen de datacenters dat is maar een stukje van de oplossing.
Encryptie in het hele pad vanaf je eigen PC tot in het datacenter biedt meer zekerheid.
Je moet daarbij zelf de sleutel in handen hebben de encryptie start dus bij de gebruiker en niet andersom.

Voorbeeld van een dergelijke oplossing is Wuala, http://www.wuala.com/nl/
Misschien zitten hier ook nog haken en ogen aan maar het komt beter over dan de halfbakken oplossing van veel grote Cloud providers.
Verder is het wel grappig te lezen dat de Cloud op veel plaatsen zo lek is als een mandje.
Daar hebben critici jaren geleden al voor gewaarschuwd het verbaasd me wel dat nu pas de beerput is open getrokken.

Durandal @HoppyF • 7 september 2013 11:54

Wuala is nog steeds niet veilig. Wie zegt dat je password toch niet mee wordt gezonden? Je kan bedrijven niet op hun blauwe ogen vertrouwen.

Wil je veilig, dan is het wachten op een api waarbij de lokale encryptielaag gescheiden is van de cloud. Een systeem waarbij je de encryptielaag (OS) zelf installeert en je de encryptieinstellingen zelf kiest.

HoppyF @Durandal • 7 september 2013 13:54

De encryptie en het password zit toch al aan de client zijde? (De PC)
Het wachtwoord wordt dus niet verzonden naar Wuala als ik het goed begrepen heb.
Hoewel het systeem vast en zeker ook niet 100% waterdicht is vind ik het principe wel goed om aan de client zijde te beginnen met encryptie en niet eerst onversleutelde data via de lijn naar een Cloud provider te moeten versturen.

Bij twijfel zou je zelf eerst op je PC alles kunnen versleutelen het dan naar een provider versturen, meer werk maar ook een stukje veiliger.

Tribits @HoppyF • 7 september 2013 21:55

De encryptie en het password zit toch al aan de client zijde? (De PC)
Het wachtwoord wordt dus niet verzonden naar Wuala als ik het goed begrepen heb.
Hoewel het systeem vast en zeker ook niet 100% waterdicht is vind ik het principe wel goed om aan de client zijde te beginnen met encryptie en niet eerst onversleutelde data via de lijn naar een Cloud provider te moeten versturen.

De reden dat je aan de client side encrypt/decrypt is dat je de cloud provider niet volledig vertrouwt, meer concreet: er rekening mee houdt dat ze gedwongen worden om mee te werken met overheidsinstanties. Als je voor die client side encryptie vertrouwt op software die van diezelfde cloud provider afkomstig is dan ben je weer terug bij af. Op het moment dat een inlichtingdienst toegang wil hebben tot je data laten ze je cloud provider gewoon een software update schrijven met een achterdeurtje, de eerstvolgende keer dat jij iets decrypt hebben ze dan je wachtwoord te pakken.

HoppyF @Tribits • 8 september 2013 10:44

Het is ook lastig een Cloud provider te vertrouwen.
Zie de volgende info van Wuala hierover ivm Prism.

http://wualablog.blogspot...nt-security-scandals.html

Helaas biedt deze uitleg ook geen 100% zekerheid maar komt op mij wel beter over dan de praktijken van Google en Microsoft.

mschol 7 september 2013 08:57

Google verklaarde de encryptie ook niet te verzwakken op verzoek van de NSA.

Dat verklaren ze nu wel, maar zodra de NSA/regering met een soort van dwangbevel komt zullen ze dat echt wel doen, het dan niet doen kan dan potentiel nog veel gevaarlijker zijn lijkt mij.

Blokker_1999

Netwerk en systeembeheer
Privacy
Google

@mschol • 7 september 2013 09:27

Tjah, voor hetzelfde geld heeft de NSA gewoon mensen geplaatst binnen het team dat zich met dit project bezighoud en zal Google het nooit weten.

FreezeXJ @Blokker_1999 • 7 september 2013 10:00

Zo lang de uitwerking publiek is zijn er zat paranoide wiskundigen die dat eens grondig uitvlooien voor ze het gebruiken. Ik word pas beroerd van security through obscurity (HDMI enzo) waarbij alles berust op het geheim houden van keys voor de eindgebruikers.

Dennism @FreezeXJ • 7 september 2013 11:20

Ik vind de beveiliging van HDMI wel heel wat anders dan dit. De beveiliging van HDMI is er namelijk niet om iets voor de consument te beveiligen maar om ervoor te zorgen dat bepaalde content beveiligd is tegen kopieren/openemen.

Als de eindgebruikers deze key´s zouden hebben dan zou de hele beveiliging er niet zijn. Het is dus in dat gevaal volledig logisch dat consumenten deze key's niet hebben.

SuperDre @Dennism • 7 september 2013 17:11

maar dat geldt dus voor elke beveiliging, zodra jij de keys hebt is de beveiliging waardeloos voor jou. En imho is dit allemaal gewoon een storm in een glas water, leuk voor de media om weer wat juicy news te hebben zonder dat het voor 99.9999999999999999999999999999999999999999999999999% van de mensen werkelijk interessant is...

OddesE @SuperDre • 7 september 2013 17:40

Hoezo geldt dit nou voor alle beveiliging??

De gebruiker van een digitaal appraat is 'de vijand' waartegen HDMI beveiliging moet beschermen. Van BluRay schijfje tot aan televisietoestel moet er een beveiligd kanaal zijn dat niet van buitenaf door 'de vijand' kan worden afgeluisterd. Het is dus doodgewoon.

Dat het vervolgens een kansloze missie is om de keys geheim te houden en te voorkomen dat er ergens een uitgang is vanaf waar je gewoon alsnog unencrypted kunt opnemen... dat is weer een ander verhaal.

Als jij en ik direct met elkaar communiceren door eerst samen keys te genereren en deze out-of-band (dus bijvoorbeeld tijdens een persoonlijke ontmoeting) uit te wisselen en vervolgens onze berichtjes daarmee te encrypten, dan is beveiliging echt wel sterk en nuttig.

Probleem is dat je hiermee eerst je data naar Google stuurt die er dan heus, eerlijk waar, heel zorgvuldig mee omspringt. Het wordt namelijk 'end-to-end' versleuteld... Maar wel het ene eind van Google naar het andere eind van Google.. We moeten Google dus maar op zijn blauwe ogen geloven.

In plaats daarvan moeten consumenten *zelf* de verantwoordelijkheid nemen en *zelf* hun eigen gegevens ver- en ontsleutelen... Maar ja da's best veel gevraagd voor veel mensen...

Cerberus_tm

@OddesE • 7 september 2013 21:06

Geheel mee eens. Het enge probleem is dat er nog geen gemakkelijk te gebruiken programma is waarmee we zonder extra handelingen of tijd versleutelde e-mails kunnen versturen.

Nog iets: wie zegt dat Microsoft geen NSA-backdoors in Windows aan het inbouwen is of al ingebouwd heeft? De zwakste schakel. En ik kan echt niet zonder Windows, helaas, hoezeer ik Linux ook steun.

Anoniem: 529096 @Cerberus_tm • 7 september 2013 21:45

Zie deze link. Binnen een uurtje (waarschijnlijk minder) heb je het op orde en kan je PGP / GPG gaan gebruiken. En als je gmail gebruikt, die kan je ook via een mail programma gebruiken (met PGP / GPG dus).

En volgens Bruce Schneier is PGP "the closest you're likely to get to military-grade encryption."

O ja, windows heeft backdoors (althans in het verleden is er een ontdekt). Om dit te ondervangen kan je een linux firewall gebruiken (gewoon een raspberry pi of zoiets tussen de pc en het internet zetten).

[Reactie gewijzigd door Anoniem: 529096 op 25 juli 2024 16:50]

Cerberus_tm

@Anoniem: 529096 • 8 september 2013 03:58

Ja OK, ik geloof best van PGP/GPG gemakkelijk op te zetten is als je specifiek op dat moment met een bepaald iemand versleuteld wilt communiceren; maar alle andere mensen met wie je communiceert moeten het ook installeren, dus hoe haalbaar is dat voor mij in de practijk? Ik bedoel, denk niet dat de meeste van de talloze mensen en organisaties met wie ik per e-mail communiceer dat binnenkort gaan doen.

En kun je een voorbeeld noemen van zo'n backdoor in Windows? Zat die ook al in XP? Ik ben wel benieuwd.

Anoniem: 529096 @Cerberus_tm • 8 september 2013 08:24

Nou, je kan bv in je mails de public PGP signature meesturen (als e-mail signature). Dan krijg je daar geheid vragen over en krijg je het balletje aan het rollen.

Correspondentie met bedrijven.
Je kan het vergeten dat KPN / UPC / ieder ander groot bedrijf vanwege jouw mailtje PGP gaat installeren. Maar als je bv een opdracht uitvoert voor een bedrijf en je wilt een waardevol verslag versturen, dan staat het bedrijf er wel voor open denk ik.

De ontdekte backdoor was http://en.wikipedia.org/wiki/NSAKEY en zat in Windows NT4.

En net als Lance Armstrong heeft Microsoft altijd ontkend. De PRISM documenten vertellen echter een ander verhaal.

Cerberus_tm

@Anoniem: 529096 • 8 september 2013 19:31

@ksinix: Een signature meesturen met een versleuteld bericht is inderdaad wel een goeie, dan worden mensen op zijn minst nieuwsgierig! Ik weet niet of ik dat in de praktijk ga doen, maar we zullen zien.

Die backdoor NSAKEY lijkt een beetje onzeker als ik dat artikel lees? Maar goed, het zou me niets verbazen als je op dit moment allerlei backdoors hebben ingebouwd. Zou het Snowden helpen als in Windows Linux draait in een virtuele machine? Maar dan kan de NSA gewoon via de backdoor in Windows remote access krijgen, en dan kunnen ze gewoon met de hand alsnog in die machine...en zelfs als je Linux installeert als hoofd-OS kunnen ze nog altijd iets in de chips van Intel hebben gestopt...

Mijzelf @SuperDre • 7 september 2013 17:47

Blijft je repeat toets niet een beetje hangen? Met 7 miljard mensen op deze planeet heeft meer dan 9 decimalen geen zin.
Als het voor 99,999999986% van de mensen niet interessant is, is het voor precies 1 wèl interessant.

Adion

@FreezeXJ • 7 september 2013 12:16

Volgens mij zijn de algoritmes gebruikt bij HDMI/BluRay publiek bekend, het is dus helemaal geen security through obscurity.
Het enige wat geheim gehouden word zijn de sleutels, maar dat is bij elke beveiliging het geval.
Ik neem aan dat jij ook niet al je wachtwoorden ergens publiek beschikbaar stelt omdat je niet doet aan security through obscurity

Op dit item kan niet meer gereageerd worden.

Google versnelt toepassen end-to-end-encryptie na NSA-onthullingen

Lees meer

IT-banen

Reacties (126)

Sorteer op:

Weergave: