RSA na backdoor-claims: stop gebruik NSA-algoritme

RSA adviseert zijn klanten te stoppen met het gebruik van een pseudorandom number generator waarvan geclaimd wordt dat de NSA deze van een backdoor heeft voorzien. Het gaat om een algoritme dat standaard in tal van RSA-producten zoals BSAFE gebruikt wordt.

Begin september werd bekend dat de NSA kwetsbaarheden in het Dual EC DRBG-algoritme heeft ingebouwd. Deze prng is door de NSA zelf ontwikkeld en door het NIST tot standaard verheven, waardoor veel bedrijven het algoritme gebruiken in hun beveiligingspakketten. Er waren al eerder aanwijzingen voor kwetsbaarheden die te herleiden waren naar de NSA, maar fabrikanten gingen er niet toe over het gebruik af te raden.

RSA is het eerste bedrijf dat dit nu wel doet. Het bedrijf raadt klanten ten strengste af om het algoritme nog langer te gebruiken en op alternatieven over te stappen. Dual EC DRBG is de standaard prng in RSA's BSAFE-encryptietoolkits, zoals Crypto-C ME, Micro Edition Suite, Crypto-J, Cert-J, SSL-J, Crypto-C, Cert-C en SSL-C, schrijft Wired. Ook alle server- en clientversies van RSA Data Protection Manager maken standaard gebruik van het kwetsbare algoritme. De onderneming gebruikt het algoritme al sinds 2004 in zijn encryptiebibliotheken.

RSA heeft zelf al het algoritme aangepast in de producten waar deze op default stond en zegt de algoritme-bibliotheek aan te passen indien nodig, wat erop duidt dat Dual EC DRBG voorlopig nog wel aanwezig blijft in de toolkits.

IT-banen

Reacties (138)

Fermion 20 september 2013 10:54

Wauw....

[q]
BSafe has six random number generators in it, some are hash-based and several that are elliptic-curve based, like the algorithm in question.
[/q[

Dus toch Elliptic-Curve...

Jongens, als jullie de geschiedenis eens wisten, NSA duwde Eliptic curfe door ieders strot heen! Niemand dacht dat ze slechte bedoelingen hadden!! En nu komt het aapje uit de mouw.

https://www.security.nl/p...liptic+curve+cryptografie
https://www.security.nl/p...tere+crypto+voor+regering

edit: quote toegevoegd.
edit2: link security.nl toegevoegd
edit3: Oh bedankt voor de downmod

[Reactie gewijzigd door Fermion op 24 juli 2024 07:48]

Manu_ @Fermion • 20 september 2013 11:35

Je doet nu alsof heel elliptic curve crypto waardeloos is en één groot afluisterproject van de NSA. Dat is echt niet het geval, vooralsnog is er geen reden om aan te nemen dat er iets mis mee is. En zoals je eerste security.nl linkje al zegt, het is inderdaad veel handiger dan RSA omdat je minder grote sleutels nodig hebt voor dezelfde beveiliging.

Het probleem zit hem specifiek in Dual EC DRBG. Deze random number generator is trouwens al lang verdacht, zie Schoenmakers in 2006 en Schneier in 2007.

Anoniem: 415197 @Manu_ • 20 september 2013 14:42

Dan vraag ik mij af, als niet-cryptographer: is het niet gewoon verstandiger om meerdere random number generatoren te gebruiken en de resultaten ervan te XOR-en tot 1 bitstring? Het kost misschien wat meer performance, maar dan heb je ook wat.

Edit: dit is dan misschien "security by obscurity", maar "security by design" werkt kennelijk ook niet zo goed

[Reactie gewijzigd door Anoniem: 415197 op 24 juli 2024 07:48]

Manu_ @Anoniem: 415197 • 20 september 2013 15:39

Dat zou op zich best kunnen, en het hoeft niet eens security by obscurity te zijn, want je hoeft dit helemaal niet geheim te houden.

Van de andere kant, de XOR van meerdere PRNGs is alleen onvoorspelbaar als tenminste één van de PRNGs onvoorspelbaar is. En dan zou je net zo goed die ene kunnen gebruiken. Maar als je dus niet weet wat je kunt vertrouwen lijkt het geen slecht idee.

Anoniem: 466420 @Manu_ • 20 september 2013 17:07

Van de andere kant, de XOR van meerdere PRNGs is alleen onvoorspelbaar als tenminste één van de PRNGs onvoorspelbaar is.

... én als de overige PRNGs volledig onafhankelijk zijn van die ene onvoorspelbare. Als generator A door de aanvaller kan worden gemanipuleerd en dezelfde aanvaller de perfect willekeurige output van generator B (gedeeltelijk) kan zien, dan kan hij de uitvoer van A zo kiezen dat A xor B voorspelbaar wordt, bijvoorbeeld door A gelijk te laten zijn aan B, eventueel gexord met een voor de aanvaller bekende bitreeks.

Terracotta @hardwareaddict • 21 september 2013 10:22

XOR is net een onkraakbaar encryptiesysteem, indien je sleutel evenlang is als je bericht en maar 1 maal gebruikt wordt. One time pad encryption eens opzoeken.

Uw verhaal over de Duitsers klopt ook niet, men kon alleen de sleutels van Enigma vinden omdat men stukken had waarvan men wist wat er verstuurd werd. Het probleem lag dus meer aan het verkeerd gebruik van de sleutels dan aan het feit dat het systeem gekraakt was. Mits juist gebruikt was Enigma in die tijd nog altijd niet te kraken. (dit gezegd zijnde was de prestaties van de Britten (na goed afkijkwerk van de Polen), nog altijd fenomenaal).

AES is misschien een wiskundig eenvoudiger algorithme dan RSA, maar RSA is minder veilig. Je hebt net een grotere sleutel nodig dan voor AES om eenzelfde veiligheid te bieden. De zware berekeningen van RSA is net de reden dat RSA veelal gebruikt wordt om een versleutelde AES session key door te sturen en de rest van de communicatie met AES te versleutelen.

Er zijn best oplossingen gevonden voor het quantum computer verhaal bij public key encryption. Graph automorphism is bvb een niet symmetrisch probleem dat voor een quantum computer moeilijk is op te lossen.

De rest van je verhaal kan ik niet verifieren maar er zijn genoeg haken en ogen om te concluderen dat er niet veel van klopt.

bogy @hardwareaddict • 20 september 2013 22:15

hmmmz..

de duitsers hun systeem simpel ontcijferd ???

ik denk dat je wat geschiedenislessen gemist hebt...
de duitsers hun systeem was NOOIT ontcijferd geweest voor het einde van de oorlog als ze bij de allied-troops niet per toeval een enigma machine in hun bezit hadden gekregen...

de enigma coderingen lijken naar huidige standaarden wel wat simpel, maar in die tijd waren er geen gigahertz pc's; en voor die tijd was het zowat het meest geavanceerde systeem...

Heel het duitse leger was trouwens technologisch zeer goed voorzien; ze hadden betere machinegeweren, sterkere sniper rifles, serieus goede strategen, straaljagers (die helaas net te laat in massaproductie waren gegaan, anders hadden zij het luchtruim terug kunnen winnen van de engelsen/amerikanen)

neen, sorry, ik ben enorm gekant tegen alles wat nazisme is, maar je kan niet ontkennen dat hun oorlogsapparaat voor die tijd een van de meest geavanceerde was ter wereld, zoniet hét meest geavanceerde...
dus encryptie hoort daar ook bij...

het enige waar de VS eerder mee waren was RADAR (dat bijlange nog niet goed werkte, kijk maar naar wat er in pearl harbor is gebeurd) en de atoombom (eigenlijk ook weer dankzij de duitsers; zij waren namelijk al eerder op onderzoek hiernaar, het is doordat de vs een 'centrifuge-installatie' in noorwegen had aangevallen en niet wist waar die installatie voor diende dat men op onderzoek is gegaan en dan en-masse 20 kerncentrales heeft gebouwd in de vs onder het Manhattan project om uranium te verrijken, het "zware water" hadden ze al gepikt uit noorwegen...)

elleP @Anoniem: 415197 • 20 september 2013 16:37

Als ik de recente discussies over de linux /dev/random implementatie goed begrijp is dat bijna precies wat er gebeurt.
Niet met een wat voorspelbare XOR, maar met een betere mixer (volgens mij op basis van AES), maar wel het gebruik van meerdere entropiebronnen zoals prng's, hwrng's en zelfs netwerkeverkeer.

Syzzer @Fermion • 20 september 2013 11:43

Het probleem met het Dual EC DRBG-algoritme is *niet* de elliptic curve crypto. Het maakt juist gebruik van de eigenschappen van elliptic curve crypto om te zorgen dat alleen de NSA wat met de kwetsbaarheid zou kunnen en niemand anders. Ook de NSA vertrouwt hierin dus op de robuustheid van EC-crypto zelf.

Voor een vrij leesbare, maar toch technisch goed onderbouwde uitleg zou ik hier eens een kijkje nemen:
http://blog.cryptographye...-flaws-of-dualecdrbg.html

Mr_gadget @Fermion • 20 september 2013 11:58

Had net in de bits & chips gelezen dat een aantal algoritmen van RSA juist binnenkort gekraakt gingen worden en dat Elliptic-Curve juist veilig zou zijn.

Zou wat zijn voor RIM (van de Black berry) want die hebben daar veel patenten op.
http://n4bb.com/blackberr...iptic-curve-cryptography/

johnkeates @Mr_gadget • 20 september 2013 12:11

Waarschijnlijk patenten op implementaties, op een 'som' kan je niet echt een patent hebben.

Wat een aantal algoritmen van RSA gekraakt gaan worden is niet zomaar op een tijdlijn te zetten. Ja, het is mogelijk dat er nieuwe ontwikkelingen plaatsvinden die bepaalde aanvallen mogelijk maken, maar dat hoeft dus niet perse binnenkort te zijn. Daarnaast is het zo dat "een aantal algoritmen van RSA" natuurlijk niet heel veel zegt, en als het RSA-algoritme zelf sterk blijft is er ook niet zo veel aan de hand.

[Reactie gewijzigd door johnkeates op 24 juli 2024 07:48]

Pathogen 20 september 2013 10:56

Wauw, de NSA is echt verschrikkelijk ver doorgedrongen in onze techniek zeg... Ik had nooit kunnen dromen dat een geheime dienst zich zó ver in zou nestelen.

Ik word steeds benieuwder hoe goed de NSA is of was in het daadwerkelijk verwerken van de enorme sloten aan informatie die ze binnen moeten krijgen.

? ? @Pathogen • 20 september 2013 11:17

Je kan veel zeggen, maar beweren dat je dit niet zag aankomen?

Iedereen dacht het, maar kon niks bewijzen. Iedereen "wist" dat de NSA een backdoor in Windows had (geruchten), iedereen dacht dat ze Intel cpu's manipuleerden (geruchten). Maar niemand had bewijzen. Tot Snowden kwam.

Iedereen lachte Noord-Korea uit toen ze hun eigen OS gingen maken, maar eigenlijk waren zij de enige met verstand.

Denk je veilig te zijn met Truecrypt of Linux? Het is voor hen een koud kunstje om de binaries aan te passen of een man in the middle attack uit te voeren zodat je een gewijzigde versie krijgt zonder er zelf iets van te merken. De overheid (en NSA) heeft volledige over alles wat op internet passeert.

Aangezien de NSA een redelijk geheime dienst is, komt er ook niet zoveel naar buiten. Maar iedereen kon wel voorzien dat ze met hun budget wel iets anders deden dan pacman spelen... Met 50 miljard dollar per jaar kan je wel ietsje doen.

Trouwens, als ze spionnen/mollen bij de Russen en Chinezen hebben, denk je dan niet dat ze ook mollen in de Linux community hebben? We zien enkel het topje van de ijsberg.

[Reactie gewijzigd door ? ? op 24 juli 2024 07:48]

Bas_f @? ? • 20 september 2013 11:43

Het mooie van Linux (en de kernel) is dat deze open source zijn. Als daar backdoors ingebouwd worden, dan moet dan op een gegeven moment iemand opvallen en wordt dat kenbaar gemaakt.

In het geval van een schijnbaar veilig encryptie-algoritme, welke (vrij eenvoudig) te kraken is door de NSA, kan pas wat worden gedaan als echt duidelijk is dat het algoritme niet veilig genoeg is.

iChaos @Bas_f • 20 september 2013 13:29

Moet je alleen ook even de compiler zelf compileren met een compiler waarvan je zeker weet dat er geen backdoor in zit.

HerrPino @Bas_f • 20 september 2013 14:54

Het probleem is ook niet dat het gevonden wordt, voor de NSA is alleen belangrijk dat het lang genoeg niet gevonden wordt. Lang genoeg om een andere backdoor er doorheen te krijgen iig. Wat dat betreft is de veiligheid van open source een wassen neus. Iedere (security) bug is een potentieel onderdeel van een backdoor.

Dreeke fixed @Bas_f • 20 september 2013 11:51

Dat wordt ook niet beweerd, al het internet verkeer komt bij de NSA langs. Theoretisch kunnen ze een request voor een bepaalde update onderscheppen en een andere update sturen.

Zelfde verhaal als de compiler die een backdoor erin compileerde,

johnkeates @Dreeke fixed • 20 september 2013 12:18

Ja, maar dat betekent dat ze voor elke patch, elke pull, elke push, elke update, elke compile alle requests moeten afhandelen. Ik denk niet dat er genoeg trans-atlantische lijnen zijn om dat verkeer af te handelen...

Ander probleem is offline systemen. Hoe ga je als NSA een systeem 'patchen' dat niet online is? Een systeem waarbij sources offline geinspecteerd zijn, offline gebouwd, offline binaries draaien. Met de juiste middelen kan je prima je eigen 'trusted root' bouwen, en alles daar van afleiden.

[Reactie gewijzigd door johnkeates op 24 juli 2024 07:48]

Pathogen @? ? • 20 september 2013 11:41

Mja, noem me naïef, maar ik zag echt niet aankomen dat een secret service zich zodanig immoreel zou gedragen.

johnkeates @Pathogen • 20 september 2013 12:17

Wat is er dan zo immoreel?

Pathogen @johnkeates • 20 september 2013 12:19

Wat er immoreel is aan in het geniep overal backdoors plaatsen en dan juist beweren dat de techniek waar je die backdoors in hebt geplaatst veilig is?

johnkeates @Pathogen • 20 september 2013 12:32

Ja. Als je een veiligheidsdienst bent staat er in de omschrijving van je bestaansrecht volgens mij dat je moet liegen en alles en overal moet kunnen.

Het is een beetje alsof je een bedrijf immoreel vind, terwijl een bedrijf helemaal niks met moreel doet en alleen bestaat om geld te verdienen.

Moreel bestaat alleen in gedachten van mensen zonder macht en in verhaaltjes...

Pathogen @johnkeates • 20 september 2013 13:18

Dat ben ik niet met je eens. Een veiligheidsdienst zou idealiter enkel en alleen tot doelstelling moeten hebben om de veiligheid van burger en staat te waarborgen.
Het plaatsen van backdoors doet precies het tegenovergestelde. Hier maak je burgers en staat kwetsbaar mee voor aanvallen.

Ik ben zelfs van mening dat wanneer de NSA ook direct openheid zou hebben gegeven van het feit dát ze internetverkeer aftappen en backdoors hebben om bij allerlei informatie te komen, dit afschrikkend zou kunnen werken tegenover mensen met kwade bedoelingen.

Het druist dus tegen de officiële doelstellingen van de NSA in om deze backdoors uberhaupt te plaatsen. Het bespioneren van burgers zonder wettelijke grond is, ook voor een veiligheidsdienst, incorrect gebruik van macht en moet dus gewoon bestraft worden.

Wanneer ook nog daadwerkelijk bewezen zou kunnen worden dat de NSA dergelijke spionagegegevens heeft gebruikt voor andere doeleinden dan het beschermen van staat en burger wordt het helemaal een gekkenhuis natuurlijk. Gezien de moeite die men binnen de NSA doet om dit allemaal binnenshuis te houden zal dat me niets verbazen.

De NSA is een organisatie met een moreel verantwoord doel (bescherming). Alle gebruik van machtsmiddelen voor andere doeleinden dan dit doel is dus immoreel.

Durandal @johnkeates • 20 september 2013 14:31

Als jouw slotenmaker van iedereen die die een slot verkoopt stiekum het adres en een setje sleutels achterhoud vindt je dat dan ook niet immoreel?

johnkeates @Durandal • 20 september 2013 15:30

Jawel, maar dat is een persoon.

Als een slotenbedrijf een klantenbestand met sleutelnummers en de adressen waar die sleutels bij horen heeft, dan vind ik dat niet immoreel. Ik zou het zelfs verwachten.

Ik zal het nog eens zeggen: personenen kunnen iets met moreel hebben, maar bedrijven niet. Bedrijven hebben geen geweten, geen relaties enz. Alleen mensen. Bedrijven bestaan, en bestaan om te bestaan, en vaak ook alleen verder nog op geld binnen te harken, of macht. Er is geen nobel doel.

Durandal @johnkeates • 20 september 2013 15:35

Dus psychopaten zijn ook niet amoreel, want die hebben ook geen geweten.

Het gaat er om wat de perceptie van anderen op zo'n bedrijf is.

johnkeates @Durandal • 20 september 2013 15:45

Niet echt. Moreel staat over het algemeen gelijk aan geestgesteldheid, en dat is gebonden aan personen.

Bedrijven zijn niet 'personen' die is vinden of doen met een of andere emotionele achtergrond.

Als een bedrijf efficienter of 'beter' functioneert als ze veel informatie 'buitmaken' zal een bedrijf dat doen. Dat is niet goed of slecht, maar gewoon een feit.

Wat slecht is, en moreel onacceptabel, is als je met je auto elke dag even een paar mensen omver gaat rijden. Of als je stiekem foto's van je kleine zusje maakt als ze staat te douchen. Of als je de kat van de buren in de fik steekt. Of als je je hamster elektrocuteert. Of als je het favoriete boek van je moeder in stukjes scheurt. Of als je koekjes steelt. Of wifi van de buren 'leent' zonder het te vragen.

Durandal @johnkeates • 20 september 2013 22:11

Of als bv. Apple zijn werknemers in China weer eens uitbuit, of als gemeenschappelijke drinkwaterbronnen opgekocht wordt door Nestle, of als Monsanto de voedselproductie dmv patenten probeert te monopoliseren, of als de regering van Syrie zijn bevolking vergast.

Bedrijven kunnen zeker 'slecht' en moreel verwerpelijk bezig zijn.

Don't be Evil - Bredrijfscredo van Google.

Steef435 @Durandal • 20 september 2013 22:54

Don't be Evil - Bredrijfscredo van Google.

Ik geloof dat dit zijn stelling alleen maar ondersteund.

Bedrijven zijn volgens mij inderdaad zo opgebouwd dat niemand het gevoel heeft de verantwoordelijkheid te hebben of de morele afweging hoeft te maken, iets "moet" gewoon gebeuren.

Durandal @Steef435 • 20 september 2013 23:02

Zij stelling is dat bedrijven niet goed of slecht kunnen zijn. Als Google's credo is niet slecht te willen zijn kan de stelling niet juist zijn, of Google heeft een onzinnig credo.

Ik betwist niet dat bedrijven amoreel handelen omdat er niemand in het bedrijf de morele verantwoordelijk neemt, ik beweer dat bedrijven wel degelijk slecht kunnen zijn als gevolg van de acties die ze hebben genomen.
Bedrijven worden nog altijd bestuurd door mensen die morele keuzes kunnen maken.

Je kan het niet vergelijken met een roofdier die een prooi doodt maar daar geen morele afweging bij kan maken.

onetime @johnkeates • 21 september 2013 15:14

Daarom, leg -rechtspersonen- de zelfde ~morele, sociale, etc, oid~ verplichtingen op als natuurlijke personen.
En stel de directie hoofdelijk aansprakelijk voor gevangenis straffen ed, als niet kan worden aangetoont dat de overtreding zelfstandig door een ander individu binnen de organisatie is gepleegd. Dan krijgt deze person de (gevangenis)straf.
Zou dit helpen om bedrijven op het rechte pad te krijgen?

LopendeVogel @johnkeates • 21 september 2013 07:36

Hu, buiten dat het offtopic is, door wie word NSA gedraaid? Door mensen toch? Dus als bijv carglas jou raam er in zet zonder vast te monteren, jij rijd weg en je raam valt eruit. Dan komt dat door carglas maar niet door de persoon die het geplaatst heeft?

NSA is niks wanneer er geen mensen werken, NSA is gewoon een naam niet meer niet minder.
De keuzes en acties worden door de mensen gemaakt. Niet door het woord NSA, dat zijn gewoon 3 letters..

TIGER79 @johnkeates • 20 september 2013 13:25

dus wapenproductie/verkoop en niet goedwerkende/schadelijke medicijnenproductie, en natuurlijk oliewinning met bijbehorende volkerenmoorden zijn allemaal moreel verantwoord ?

persoonlijk denk ik dat moreel de samenleving stuwt, en dat het in iedereen zit (of wil je het normen en waarden noemen ?), dus net het omgekeerde van niemand zoals jij aangeeft...
Als dat echt alleen maar bij machteloze mensen en verhaaltjes leeft dan zouden we een probleempje hebben : je was alleng neergemept voor je auto, je zus was onderhdand continu verkracht en we zouden geen politie hebben, al hemelaam geen sociale vangnetten zoals uitkering, want jah geen moreel zou ook snel tot geen sociale wetten leiden...

oftewel erg stoere praatje hoor, maar ik ben ervan overtuigd dat jij ook wel over bepaalde morale maatstaven beschikt...

johnkeates @TIGER79 • 20 september 2013 13:47

Volgens mij heb je niks gelezen en maar even snel een reactie getypt.

Wat ik schreef was dat personen als individu moreel hebben, maar dat bedrijven en organisatie dat niet hoeven te hebben, om dat dat geen personenen zijn, en hun bestaan niet gebaseerd zijn op dezelfde eisen als personen.

Een NSA krijgt geen PTSD/PTSS als er verantwoordelijkheid voor een x aantal doden aan verbonden wordt. Of als er afgeluisterd wordt. Of als er regels overtreden worden. De NSA verliest geen 'vriendjes' en is niet getrouwd en zal dus niet scheiden. De NSA voelt niks, en bestaat gewoon puur en alleen voor hun omschrijving:

NSA/CSS provides products and services to the Department of Defense, the Intelligence Community, government agencies, industry partners, and select allies and coalition partners. In addition, we deliver critical strategic and tactical information to war planners and war fighters.

Als de NSA zegt: groep personen XYZ zijn heel gevaarlijk en moeten meteen afgemaakt worden, dan gebeurt dat waarschijnlijk. Doen ze niet zelf, daar zijn andere organisaties/onderaannemers voor. Denk je dat daar moreel bij komt kijken? Echt niet.

De enige vergelijking die je zal kunnen trekken tussen mensen en de NSA, is dat ze allebei willen overleven. Moreel heeft daar niks mee te maken.

Gogar @johnkeates • 21 september 2013 07:52

een bedrijf helemaal niks met moreel doet en alleen bestaat om geld te verdienen.

Daar ben ik het niet mee eens. In mijn ogen heeft een bedrijf alleen maar bestaansrecht als het opereren van dat bedrijf goed is voor de maatschappij.

Dat dit efficiënt gaat wanneer je bedrijven met elkaar laat concurreren en hun eigen geld laat verdienen is daar secundair aan.

Bedrijven (en andere concentraties van macht) horen altijd in het belang van het volk te worden gedwongen te opereren.

onetime @Gogar • 21 september 2013 15:25

zo zou het moeten zijn. (in een democratie) zie mijn post iets hoger.

Helaas is het doel, zeker van beurs genoteerde bedrijven, eigenlijk alleen maar geld verdienen...

.oisyn Moderator Devschuur® @? ? • 20 september 2013 11:52

Je had op zich een zinnige post, tot je je hand overspeelde met deze zin:

De overheid (en NSA) heeft volledige over alles wat op internet passeert.

Chargeer je nu gewoon wat of geloof je dat echt?

? ? @.oisyn • 20 september 2013 12:02

@.oisyn
Ik chargeer een beetje :-)
Maar heb jij een privé kabel liggen naar je buurman?

Op zich routeert niet alle verkeer via punten die ze kunnen aftappen, maar: 99.9% van de Nederlanders surft via een handje vol providers. En bij mijn weten heeft de Nederlandse overheid (of ze maken er een wet voor) toegang tot dat verkeer. En ik vermoed

De NSA heeft wat 'dark/black rooms' waar ze een kopietje van de fiber krijgen.

*alles* gaan ze niet onderscheppen, maar het grootste deel wel. En aangezien de NSA Belgacom hackt in België, hebben ze ook de helft van het Belgisch verkeer in handen. Mijn statement is niet 100% correct, maar je snapt 'm wel.

[Reactie gewijzigd door ? ? op 24 juli 2024 07:48]

hardwareaddict @? ? • 20 september 2013 18:11

Nederland is enorm internetknooppunt van Europa.
En google heeft een mega datacenter in de buurt van Groningen.

Dus het is niet zo moeilijk dan om alles op te slaan voor de NSA, al zal het ze een fikse duit kosten dat van Google te kopen.

cornedor @? ? • 20 september 2013 11:32

Denk je veilig te zijn met Truecrypt of Linux? Het is voor hen een koud kunstje om de binaries aan te passen of een man in the middle attack uit te voeren zodat je een gewijzigde versie krijgt zonder er zelf iets van te merken. De overheid (en NSA) heeft volledige over alles wat op internet passeert.

SELinux is best veel gebruikt beveiligings onderdeel dat ook door NSA is ontwikkeld. (http://nl.wikipedia.org/wiki/Security-Enhanced_Linux)

elmuerte @? ? • 20 september 2013 13:02

Denk je veilig te zijn met Truecrypt [...]?

Veilig van de NSA (of wie dan ook deze software ontwikkeld)? Nee, maar wel veiliger van de rest van de wereld.

supertheiz @Pathogen • 20 september 2013 11:22

Wat mij het meest verbaast, is de pro-Amerikaanse houding nog steeds.
Vorige week de discussie over de CEO van Belgacom die ook advies geeft aan huawei.
huawei wordt beschuldigd van het implementeren van Backdoors. Dit is nog niet bewezen.
Belgacom was in het nieuws vanwege een NSA hack die op hun servers stond. Dit is wel bewezen.

Niemand die zich druk maakt in het nieuws over de NSA, maar wel over de adviezen aan Huawei.
Bij Chinees spul, zou er mogelijk een backdoor kunnen zijn. Maar die kans is klein.
Bij Amerikaans spul, weet je zeker dat er tenminste 1 backdoor in zit. Die kans is ongeveer 100%.

Maar op de één of andere manier, hoor je mensen alleen maar over het Chineese spul, en niemand over Amerika.

Ansur @supertheiz • 20 september 2013 11:35

http://www.standaard.be/cnt/dmf20130920_00750839

Nu zeggen ze dat het de Britten waren - er is dus nog niks bewezen.

Durandal @Ansur • 20 september 2013 14:33

Britten hebben samen met de VS, Australie en nieuw Zeeland een afluister partnerschap opgezet. Die kan je gerust op een hoop vegen.

hardwareaddict @Durandal • 20 september 2013 18:12

En Nederland erbij.

Tweekzor @supertheiz • 20 september 2013 16:47

Buiten dat enkele nieuwsbericht hoor ik niemand meer spreken over de Chinezen of Huawei. De mensen die ik spreek blijft enkel het NSA verhaal hangen, of juist helemaal niks hier van omdat het ze niet interresseert.

Barryke @Pathogen • 20 september 2013 11:17

De NSA heeft immers die beveiliging standaarden voorgedragen. Dan willen ze natuurlijk wel zelf een voordeel hebben als het gaat om de tijd die nodig is om beveiliging te omzeilen. Niets verrassends aan dus als je de oorsprong/geschiedenis kent.

Bijna tien jaar geleden gaf een docent al exact aan dat de zwakke plek is met o.a. DES encryptie dat er met de standaardverdeling gesjoemeld wordt en dat dit moeilijk vast te stellen is. Dat was toen al oud nieuws.. en delen van DES encryptie zijn weer een bouwsteen in andere encryptie standaarden.

Daarbij zijn encrytie standaarden bij voorbaat ontworpen met een major oversight, ze gaan er allemaal vanuit dat de te encrypten databytes ook een standaardverdeling hebben .. terwijl het tegenovergestelde eerder waar is.

[Reactie gewijzigd door Barryke op 24 juli 2024 07:48]

scsirob @Pathogen • 20 september 2013 13:14

Wat ik eigenlijk nog interessanter vind, is dat er nog 195 andere landen in de wereld zijn. Ze hebben vast niet allemaal de slagkracht en budgetten van de NSA, maar ik zou China, UK, Rusland en India ook niet uitvlakken. We weten ineens heel veel over de NSA dankzij Edward Snowden, maar ik vraag me af wat we allemaal nog *niet* weten..

hardwareaddict @scsirob • 20 september 2013 18:20

De vraag is of je dan nog wel lekker slaapt.

Belangrijk probleem van de CIA met op achtergrond NSA op dit moment is natuurlijk dat ze enorme technologische middelen hebben terwijl de US government totaal bankroet is. Zo bankroet zelfs dat ze 1000 miljard dollar per jaar bijna bijdrukken. Een biljoen dollar per jaar bijna.

Die combinatie van die 2 dingen maakt de zaak veel hachelijker.

frickY @Pathogen • 20 september 2013 11:40

Ik vraag me vooral af hoe ze een dergelijke backdoor in een random number generator kunnen exploiten.

Ze hebben encrypted data waarvan ze weten dat hij met hun random number generator geseed is. Maar dan? De enig mogelijke winst die ik me kan inbeelden is dat ze een efficiëntere bruteforce kunnen doen omdat de encryptie minder sterk is dan hij lijkt, maar dan is die backdoor niets meer dan een moedwillige bug, die net zo goed per ongeluk ook in andere algoritmen kan zijn geslopen.

__fred__

@frickY • 20 september 2013 15:01

Data is meestal niet gewoon data, maar bijvoorbeeld onderdeel van een SSL/TLS verbinding tussen twee hosts. Omdat asymetrische cryptografie nogal traag is, wordt er doormiddel van een uitwisseling, (de diffie-hellman key exchange), een gezamenlijke sleutel vastgesteld om symetrische encryptie te starten.
Deze is te herkennen in een stuk data. Onderdeel van de SSL/TLS handshake tussen client en server is het versturen van een random nonce. Deze random nonce is 28 bytes en dient ervoor om replay attacks tegen te gaan. De client verstuurt deze nonce.
Het eerstvolgende random getal wat wordt gegenereerd door de client is de pre-master secret dat gebruikt wordt om de symetrische sleutel te genereren.

De rotte random number generator is binnen 32 onderschepte bytes te voorspellen. Dat betekent dat elk volgende "random" getal ook te voorspellen is. Het probleem is nu duidelijk:

De client stuurt een random 28byte getal met de random generator om replay attacks te voorkomen.
De client gebruikt direct de volgende 48bytes van de random number generator om de symetrische sleutel te berekenen en gaat daarmee encrypten.
NSA onderschept, brute forced maximaal vier miljard mogelijke states (4 bytes 2^32) van de random number generator, en zodra de data te herkennen is, weten ze dat ze beet hebben.

tes_shavon @frickY • 20 september 2013 11:58

de random number generator is in feite een algoritme waarbij een aantal variabelen een "random" nummer genereren. Echter, als je één of meerdere van die variabelen fixed maakt, is voor de gebruiker het resultaat nog steeds random, maar zijn er een stuk minder variaties te checken voor instanties als de NSA.

hardwareaddict @frickY • 20 september 2013 18:17

Ze hebben dan minder systeemtijd nodig om de zaak bij iemand te kraken. Stel jij maakt een 'veilige' linux server die never nooit niet op internet is want hij heeft gevoelige ontwerpen eropstaan van nieuwe onderdelen van een product wat jij wilt gaan bouwen als kleine jongen.

Je servertje staat dan wel in een beveiligde ruimte, maar niet in een bunker. Dan kan nu dus ineens een consultant uit Nederland, ingehuurd door de CIA voor 95 euro per uur, met zijn mobieltje langs je kantoortje tippelen. Als de zaak nu simpel te kraken valt, dan met wat hardware truuks lukt dat vanaf zijn mobieltje, terwijl anders hij nog een 2e keer moet langskomen met de gekraakte code. 2x langskomen is natuurlijk veel duurder en riskanter.

nightraven79 @Pathogen • 20 september 2013 14:18

In feite wel grappig... als je ziet dat Dan Brown het over dit soort praktijken had in Het Juvenalis Dilemma....
Wat toch ook weer een boek is uit 1998

tes_shavon @nightraven79 • 20 september 2013 16:59

Zo ken ik er nog meer: Van de wiki:

1984 is een boek van de Britse schrijver George Orwell, grotendeels geschreven in 1948 en gepubliceerd in 1949.

[Reactie gewijzigd door tes_shavon op 24 juli 2024 07:48]

firecaps30 20 september 2013 11:45

Artikel uit 2007: https://www.schneier.com/...7/11/the_strange_sto.html

Heeft lang geduurd tot er echt zekerheid is gekomen dan!

Pinkys Brain @firecaps30 • 20 september 2013 12:08

Dus eigenlijk wist RSA het al jaren ... maar dachten ze nu "het word wat te moeilijk om te ontkennen, we zouden nu wel eens aansprakelijk kunnen worden".

Dit is meer een reden om RSA software helemaal niet te gebruiken, dit algorithme als default gebruiken toont duidelijk aan dat ze in de NSA's zak zitten.

maartend 20 september 2013 11:08

Kan iemand men uitleggen dat men een encrytie tot standaard verheft als het door een geheime dienst is gemaakt?

Dit is niet om te ranten, maar komt een beetje neer alsof men de onafhankelijkheid van Independer verzekeringen ook als waar aan neemt, terwijl dit van OHRA is.

HMS @maartend • 20 september 2013 11:18

Omdat 's werelds beste cryptografische experts voor de NSA werken. Kijk bijvoorbeeld maar eens naar de aanpassingen de NSA aan het DES algoritme heeft gedaan (de zogenaamde S-Boxes).

http://en.wikipedia.org/w...involvement_in_the_design

wiseger @maartend • 20 september 2013 11:20

@maartend

Vrij eenvoudig, vertrouwen. Sinds WO II heeft iedereen altijd gedacht dat de VS met ons het beste voor hadden, ze waren de beschermers van vrijheid en democratie. Dus als de NSA ons een algoritme geeft om ons tegen de boze buitenwereld van terroristen en dictaturen te beschermen, dan gebruiken we dat dat en zijn we ze nog dankbaar ook.

In zuid-Amerika zien ze de VS niet meer als vriend maar onze politici zijn nog lang niet zo ver. Er moet nog veel gebeuren voordat ze de VS niet meer standaard als vriend zien.

watercoolertje @maartend • 20 september 2013 11:13

Het punt is dat veel encryptiespecialisten natuurlijk voor/bij de NSA werken...

Maar je hebt helemaal gelijk, je gaat dus de gene die er alles aan heeft een algoritme te kraken en of een backdoor willen hebben vertrouwen een goed en veilig algoritme te leveren wat ook hun buiten de deur kan houden

hardwareaddict @watercoolertje • 20 september 2013 18:45

Ken je er 1 die er niet voor werkt?

Handjevol encryptiespecialisten op deze planeet en 3 miljoen personen alleen al in USA op de loonlijst van de 2000 officiele inlichtingendiensten, de commerciele diensten nog niet eens meegeteld.

Probeer eens op foto's te googelen van de grote mannen.

Foto van Paul Montgomery bijvoorbeeld.

Overigens die heeft email adres in Nederland. Eindigt op @cwi.nl

maartend @watercoolertje • 20 september 2013 11:15

Dat is wel wat ik bedoel.
Hoe komt het dat grote bedrijven zo een instantie op hun blauwe ogen geloven?
Hoe werkt dat bij een mens?

Douweegbertje @maartend • 20 september 2013 11:17

Omdat encryptie e.d. vrij lastige stof is. Nu zijn er nog gewoon andere 'number generators' maar de NSA deed gewoon actief mee. Dat heeft dus nu (blijkbaar) 2 redenen gehad:
1- hun weten gewoon veel van encryptie, dus ééntje bedenken zou dan ook makkelijk moeten gaan.
2- het verhaal waar het hier over gaat.. een vinger in de pap.

Uiteindelijk ging het vooral om punt 1, want punt 2 wist niemand natuurlijk.

En dan je independer verhaal, is juist een beetje andersom. Een vergelijker die aandringt op bepaalde veranderingen bij verzekeraars, ook al is independer geen verzekeraar. Hun weten er dan 'veel' vanaf en hebben er veel mee te maken en sturen aan op veranderingen in een pakket/polis.

Amanoo @maartend • 20 september 2013 11:22

Ik vermoed omdat het de Amerikanen waren, het epitoom van alles wat goed en fleurig en kosjer is. Althans, zo worden ze net iets te vaak behandeld om gezond te zijn, vooral door andere westerse landen. Alsof de VS niet een eigen agenda kan hebben en nooit het eigen belang voor dat van het westen of zelfs de hele wereld kan zetten. De VS heeft een te dikke vinger in de pap.

Anoniem: 533023 @maartend • 20 september 2013 11:35

Nsa hanteert techniek die majestic 12 al zijn bezit had voor dat het nsa ging heten Ze hebben nog wel meer leuke dingen liggen die ze nog gaan gebruiken. Maar ja de meesten zijn goed gelovig en denken dat je met techniek alles in handen heb. Waar komt deze techniek vandaan ik weet het maar zeg er niks over anders wordt ik hier geblokkeert met reageren zo ver zijn ze ook op tweakers net er zit overal controle op wat er wordt gepost..

m0nkey 20 september 2013 10:58

Was er laatst geen nieuws dat de NSA laatst al real time hedendaagse algoritmes kan kraken zoals SSL en weet ik veel wat allemaal? Lijkt me de hoogste tijd om een nieuwe next-gen variant te schrijven.

Rafe @m0nkey • 20 september 2013 11:14

Daar zit wel wat meer nuance in: je moet daarbij het onderscheid maken tussen expres zwak ontworpen algoritmes (zoals die in dit nieuwsbericht), zwakke implementaties van theoretisch sterke algoritmes (open source ftw, dan zou je het nog zelf kunnen controleren), en dat de NSA de private keys van partijen zou hebben bemachtigd op wat voor wijze dan ook (dan maken de vorige twee niet meer uit en kunnen ze idd realtime ontsleutelen).

GrimaceODespair @m0nkey • 20 september 2013 11:03

Daar zit volgens mij het probleem net. Als er een algoritme komt, dan is de kans groot dat de NSA er aan meeschrijft en opnieuw een backdoor kan inbouwen.

joepurlings @GrimaceODespair • 20 september 2013 11:28

Ook als je die in je eigen bunker programmeert

scsirob @joepurlings • 20 september 2013 13:18

Da's geen enkele garantie. Er zijn geruchten dat diverse compilers backdoors in jouw code mee (kunnen) compileren/linken. Alleen als je handmatig assembly code schrijft dan kom je een heel eind. Tenzij natuurlijk de backdoor al ingebakken zit in de chips die je gebruikt, zoals ook al beweerd wordt.

Amanoo @m0nkey • 20 september 2013 11:17

Kraken is niet het probleem. Zorg ervoor dat de NSA ik weet niet hoeveel priemgetallen langs moet gaan om je systeem te kraken en ze zijn er een miljoen jaar mee zoet. Het grote probleem is dat ze heel veel dingen niet hoeven te kraken. Net zoals jij niet in je eigen schuur inbreekt als je toch de sleutel hebt komt de NSA rustig in en uit langs hun backdoors in plaats van hun supercomputers aan te zetten.

hardwareaddict @Amanoo • 20 september 2013 18:36

Als jij een computer op het net zet waar ze niet hardwarematig noch softwarematig doorheen komen, dan gaat er gegarandeerd iemand langskomen en probeert het op die manier.

Dat is het fijne van internet in Nederland joh, ze hoeven nu nog maar een paar deurtjes langs in Nederland. Daar huren ze dan 1 van de vele Nederlandse consultants voor in overigens. Z'n tarief ken ik ook al. rond de 95 euro per uur.

sHELL @m0nkey • 20 september 2013 11:20

Je bent goed gek als je real time gaat kraken als je een backdoor of iets dergelijks hebt

jochem4207 20 september 2013 10:58

Dit gaat wel erg ver. Ik ben er niet heel erg bekend mee maar waar heeft dit nu allemaal invloed op?

wiseger @jochem4207 • 20 september 2013 11:07

Elk encryptie algoritme die op basis van het Dual EC DRBG-algoritme zijn random-waarden bepaald is veel zwakker dan voorheen aangenomen mocht worden. Op die manier is een ge-encrypt bestand of ge-encrypte stream veel sneller te kraken.

RSA levert beveiligingsproducten aan heel veel bedrijven en overheden die denken daarmee externe toegang tot de IT systemen te beveiligen. Een VPN opgezet met een RSA token is ineens zeer kwetsbaar.

Amanoo @jochem4207 • 20 september 2013 11:11

Alles. Met een beetje pech kunnen ze zonder moeite je bankrekening in komen als ze het zouden willen. RSA en varianten zijn een tamelijk populaire beveiligingsmethode (terecht zonder backdoors werkt het goed genoeg om uitspraken te doen als "het zal een miljoen jaar duren om dit te kraken", helaas zijn die backdoors er dus toch). Politieke voorkeur of religie uitvinden was zonder RSA toegang al geen probleem. En ik hoop niet te hoeven uitleggen hoeveel mensen het in het verleden ooit de kop heeft gekost dat een overheid dergelijke toegang tot informatie en levens had.

[Reactie gewijzigd door Amanoo op 24 juli 2024 07:48]

Anoniem: 126717 @Amanoo • 20 september 2013 11:17

Mijn bankrekening vindt ik in dit geval niet interessant.
Ik vindt de mogelijkheden voor economische spionage veel erger. Net even onder het offertebedrag van bedrijf X gaan zitten waardoor US firmas het werk krijgen, of technieken jatten.

johnkeates @Amanoo • 20 september 2013 12:28

Met een beetje pech

Jij denkt dat iets triviaals als een bankrening inkomen via je wachtwoord/ssl MITM moet?
Ze bellen gewoon de hoogste directeur even op "Ja hallo met de NSA, we willen dit en dat, OR ELSE", en dan krijgen ze het. Of zitten al in de mainframes.

hardwareaddict @jochem4207 • 20 september 2013 18:40

het lijkt erop dat men in de jaren 90 een poging is begonnen om ALLE computers die op het net staan te kunnen kraken en ALLE massahardware te voorzien van hardwarebackdoors en ALLE algoritmes die zijn vrijgegeven simpel te kunnen kraken (algoritmisch).

Het voordeel vanuit de kant van de CIA is dat het dan goedkoper wordt als ze van de NSA te horen krijgen dat er nog maar paar adressen zijn in NL waar ze langs moeten gaan daar er iemand zit die kennelijk van wanten weet waar ze niet simpel van buitenaf binnen kunnen komen.

De grote vraag van mijn kant aan de meesten hier is echter: baal je ervan dat de NSA alles heeft, of baal je ervan als een andere buitenlandse mogenheid kan binnenkomen op jouw computer, OMDAT de NSA een backdoor had gepoot die zij ook ontdekt hebben?

fub 20 september 2013 13:02

Tijd om al die RSA-tokens te gaan voorzien van een hardware random number generator, zoals bijvoorbeeld de Open Random Bit: http://hal9k.ifsc.usp.br/...s/orb/info/ORB_Index.html . 8-pins SMD chipje en 1 weerstand -- dat moet toch wel in al die apparaatjes weg te frommelen zijn?
Heb zelf deze code geport naar de flash-versie van die PIC-chip, en was erg te spreken over de 'randomness' die ik er uit kreeg.

__fred__

@fub • 20 september 2013 15:18

Als softwarebedrijven zoals Google en Microsoft geen weerstand kunnen bieden tegen de NSA, zie ik ook niet in waarom niet te inspecteren hardware RNG's beter zullen zijn. Wellicht dat de NSA de open random bit links laat liggen, maar echt niet de tokens van een groot bedrijf zoals RSA.

hardwareaddict @__fred__ • 20 september 2013 19:07

@hardwarematige RNG's. Moet je eerst even duidelijk maken welke hardware rng's je het over hebt.

Iets wat ingebouwd zit in cpu's is inderdaad natuurlijk zo lek als een mandje. Echter, er zijn ook hardware matige RNG's, gebaseerd op entropie die je kopen kunt.

We kunnen simpel bewijzen dat die veilig zijn.

De NSA psychopaten als ze thuis zijn die spelen ook op online casino's die die dingen gebruiken. Elk soort software dat ingewikkelde algoritmes gebruikt, daar zijn die gasten altijd als de kippen bij om geld te verdienen met een truuk waarvan je later denkt: "dat kunnen ze niet zelf hebben uitgevogeld maar hebben ze gewoon op hun werk gehoord".

Echter ze doen het enorm slecht op die online casino's die de dure hardware matige RNG's gebruiken (rond de 5000 dollar per stuk). Er is er niet 1 die 'toevallig' af en toe enorm inzet en dan megawinst maakt online.

Dus er is spijkerhard praktijkbewijs dat die deugen. Ze kosten wel een duit natuurlijk.

You get what you pay for.

bulle bas @hardwareaddict • 21 september 2013 02:23

Klinkt interessant, bronnen?

hardwareaddict @fub • 20 september 2013 19:03

Nee joh da's veel te duur. Zo'n chipje massaal geproduceerd kost in kleine aantallen (paar duizend) al snel een paar euro per chipje. Dat vinden ze vast veel te duur.

CAP-Team

20 september 2013 11:15

Dus alle RSA tokens kunnen de prullenbak in

wiseger @CAP-Team • 20 september 2013 11:25

@CAP-Team

Kleine toevoeging, alle RSA tokens kunnen alweer de prullenbak in. Nadat enkele jaren geleden bij de RSA was ingebroken op hun systemen, moesten ze allemaal al vervangen worden. Binnenkort zal het waarschijnlijk wederom gebeuren tenzij de NSA bij het bedrijf ingrijpt en ze dwingt een zwakheid te gebruiken.

hardwareaddict @wiseger • 20 september 2013 18:51

Doel je op RSA Security LLC of RSA Moskow nu?

D'r zijn nogal wat bedrijven met RSA als productnaam of in hun bedrijfsopzet...

Auredium 20 september 2013 10:57

Een goede zet. Encryptie is bedoeld om veilig te zijn niet om veilig te zijn voor X en niet voor Y. Ik denk sowieso dat men nu veel kritischer moet kijken naar encryptie methodes.

In dat ligt is de roep naar meer Open Source encryptiemethodes ook een goede zet.

GrimaceODespair @Auredium • 20 september 2013 11:04

Open Source helpt hier niet. De backdoor is er algoritmisch ingebouwd. Iedereen kan het algoritme tot op het bot analyseren, maar de backdoor kan je niet zomaar ontdekken.

johnkeates @GrimaceODespair • 20 september 2013 12:19

Je kan altijd nog gewoon RSA gebruiken, niet het bedrijf, maar het algoritme, met voldoende lange keys... Of toshiba's quantum encyptie apparaat.

clogie886 @Auredium • 20 september 2013 11:05

Is de NSA alleen bij 'closed' software binnengedrongen al dan niet via eigen personeel of zijn ze ook bij Open Source binnengedrongen?

Snors @clogie886 • 20 september 2013 11:11

Er is recent duidelijk geworden dat FreeBSD ook NSA backdoors bevat. Zie ook:
https://forums.freebsd.org/showthread.php?t=41414

killercow @Snors • 20 september 2013 11:23

Eerlijk gezegt zie ik in die thread zo snel nergens dat freebsd backdoors bevat. Kun je aangeven waar je dit leest?

Snors @killercow • 20 september 2013 12:27

Het wordt inderdaad niet meteen duidelijk in de thread zelf maar wel in de links die worden gepost. Ik moet eerlijk bekennen dat ik ook wel zo mijn twijfels heb bij het hele OpenBSD & FreeBSD backdoor verhaal. Het vervelende is ook dat het simpelweg niet valt te controleren, net zoals de backdoor in het algoritme waar dit artikel over gaat.

Waar ik dus op doelde is dat de FBI en NSA volgens geruchten een backdoor hebben ingebouwd in OpenBSD's IPSEC Stack en aangezien veel code van OpenBSD is gecloned naar FreeBSD gaat het gerucht dat dit ook met de IPSEC Stack het verhaal is.

elmuerte @Snors • 20 september 2013 13:07

Ik dacht dat Theo de Raadt elke change in OpenBSD persoonlijk controleerde of het wel aan zijn wensen voldeed. Of zou zelf Theo de NSA mol zijn?

wica @Snors • 20 september 2013 11:15

Wat te denken aan de bij debian random=4 bug

Anoniem: 461768 20 september 2013 12:35

Goedzo eerste bedrijf die opstaat tegen de corruptie, de bedrijven zijn uiteindelijk degene die t meeste invloed hebben op wat NSA kan.

Betekent niet dat ze de NSA kunnen tegen houden, maar hun vormen een sterkere front-linie dan de gemiddelde burger, want iedereen weet allang dat niet meer naar de burger geluisterd wordt

hardwareaddict @Anoniem: 461768 • 20 september 2013 18:56

"Wij van WC-eend vinden dat andere middelen niet zo prima schoonmaken en dus adviseren we WC-eend".

Maak je geen illusies als het niks kost.

Op dit item kan niet meer gereageerd worden.

RSA na backdoor-claims: stop gebruik NSA-algoritme

Lees meer

IT-banen

Reacties (138)

Sorteer op:

Weergave: