Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties

Twitter zou werken aan versleuteling van zijn direct messages, om deze functie wat populairder te maken. Het bedrijf zou volgens een ander gerucht nog verder willen gaan en de complete dm-functie willen vernieuwen, met een losse app.

Twitter zou werken aan een manier om direct messages, de privéberichten die op de microblogdienst kunnen worden verstuurd, te versleutelen. Bovendien zou de site andere, nieuwe manieren van beveiliging willen introduceren, zo melden anonieme bronnen aan de New York Times.

TwitterDe plannen worden genoemd in een stuk over hoe bedrijven hun beveiliging verbeteren naar aanleiding van de NSA-onthullingen door Edward Snowden. Uit die onthullingen blijkt dat de NSA al dan niet heimelijk data aftapt, met als recentste slachtoffer Google, waarvan de communicatie tussen eigen servers werd afgetapt. Twitter lijkt tot nog weinig last te hebben van de onthullingen, mogelijk omdat de dienst een erg open karakter heeft.

De versleuteling van Twitter zou dus gaan werken voor een van de weinige gedeelten van de site die wel enigszins privé zijn. Volgens een ander gerucht, van All Things D, zou de dm-service van Twitter zelfs compleet vernieuwd worden, waarbij een losse app voor deze functie zou kunnen verschijnen. Het bedrijf wilde op beide geruchten niet reageren.

Moderatie-faq Wijzig weergave

Reacties (48)

Dat deden ze nog niet?!
ehm, als ik het zo lees niet nee. ik wist niet dat het gewoon open stond. ben wel blij dat ze het alsnog gaan versleutelen nu de NSA bezig is.
ehm, als ik het zo lees niet nee. ik wist niet dat het gewoon open stond. ben wel blij dat ze het alsnog gaan versleutelen nu de NSA bezig is.
Je bent wel heel blond als je denkt dat je DM's dan veilig zijn. De sleutel is allang vrij gegeven aan de NSA. Twitter moet er zelfs aan meewerken als het verzoek er ligt.
Tot nu toe heeft een versleuting van data niet echt veel geholpen om de NSA en andere criminele organisaties tegen te houden.
ehm, als ik het zo lees niet nee. ik wist niet dat het gewoon open stond. ben wel blij dat ze het alsnog gaan versleutelen nu de NSA bezig is.
Ja en dan? Kans groot dat 't algoritme door de NSA gemaakt is en zelf als is het secuur, met die patriot act MOET twitter wel toegang geven, versleuteld of nt...
Ik ga ervan uit dat hiermee bedoelt wordt dat ze de inhoud van het bericht ook gaan encrypten. Ze hadden al enige vorm van versleuteling middels public en private key encryption (accountnaam en wachtwoord) maar dat betekend niet dat de gegevens die "over de lijn worden gestuurd" ook daadwerkelijk versleuteld zijn. Dit is een werkwijze die door veel fora/blogsites en dergelijke wordt gehanteerd trouwens.

--edit n.a.v. opmerking Goderic, niet hard te maken--

[Reactie gewijzigd door kanifu op 1 november 2013 10:11]

Vraag me af trouwens hoe lang het stand houdt die versleuteling aangezien men stelt dat de NSA de meeste gangbare encryptiemethoden ,AES,3DES schijnbaar al heeft ontcijfed en SHA-1/3 self heeft uitgebracht
Waar stelt men dat de NSA AES heeft kunnen kraken?
Het kraken van AES is moeilijk, maar er zijn een paar factoren die de rekentijd kunnen verkorten:
* Grover's algorithm (hiervoor heb je een quantumcomputer nodig). De TUDelft probeert er een te bouwen.
* Gebruik van getructe Randomgenerators (in hardware en software). Dit verkleint de oplossingsruimte.
* Slechte implementatie AES-algoritme.

De vraag is dus of deze factoren geldig zijn
* Gebruik van getructe Randomgenerators (in hardware en software). Dit verkleint de oplossingsruimte.
Het is in elk geval al bekend dat de NSA standaarden heeft kunnen aanpassen in dezen, zodat zij inderdaad de boel kunnen ontsleutelen.
Als je weet dat AES mede door de NSA is ontwikkeld en goedgekeurd, kan je er van uit gaan dat zij ook een methode hebben om het te decoderen.
Kolder. Prima om de NSA nergens op te vertrouwen, maar AES is als open standaard ontwikkeld, wordt al vele jaren overal toegepast, en is *extreem* uitvoerig onderzocht en beproefd door cryptografen, wiskundigen, hackers, programmeurs, en vele andere onafhankelijke partijen van allerlei pluimage (zowel goedschiks als kwaadschiks).

Het enige theoretische risico is dat de NSA een stelletje dusdanig briljante experts in dienst heeft dat die als enige een zwakte in AES hebben kunnen ontdekken, die de rest van de wereld bij elkaar nooit heeft kunnen vinden (inclusief de makers zelf). Lijkt me bijzonder ongeloofwaardig.
Dat het open standaard is wil niet zeggen dat de NSA met een aantal misleidende adviezen is gekomen, welke hun een voordeel kan geven om het te ontcijferen.

Het is niet zo eenvoudig als wanneer je broncode kunt zien dat je dan ook meteen de vulnerability kunt zien.

Dat heeft het hele verhaal rond de SSL en Dual_EC_DRBG kwetsbaarheid wel aangetoond, welke dus ook met de hulp van de NSA is ontwikkeld.

Als je de mogelijkheid hebt om kwetsbaarheden in te bouwen of te adviseren dat deze worden geïmplementeerd, dan hoef je dus al een stuk minder briljant te zijn.

Ik denk ook dat dit advies, inmiddels toch wel algemeen is/wordt:

RSA na backdoor-claims: stop gebruik NSA-algoritme
Gegeven de door mij gestelde factoren lijk je te insinueren dat AES ongeacht deze factoren hedendaags kraakbaar is. In dat geval verwijs ik je naar het blog een autoriteit op dit gebied: schneier.com, dd 22-3-2012, upd. apr 2013

Dan nog even met een cynische blik: Als AES dermate onveilig is, dan zal in ieder geval de CIA er geen gebruik van maken ;)

[Reactie gewijzigd door hieper op 1 november 2013 15:54]

Nou ik insinueer dat helemaal niets, ik laat alleen zien hoe feitelijk bekend is dat NSA adviezen inmiddels als niet betrouwbaar bekend staan (met dank aan Snowden).

Hoe weet u dat de CIA gebruikt maakt van AES, of in elk geval dezelfde implementatie ervan als de rest van de wereld?

Het is natuurlijk erg gemakkelijk om aan anderen iets te adviseren en zelf iets anders te doen.

[Reactie gewijzigd door fevenhuis op 1 november 2013 17:23]

Bedankt voor de verduidelijking, dan is er vooralsnog geen deductief argument om AES te verwerpen.

Ik weet niet welke encryptie de CIA gebruikt, ik bood louter een werkhypothese om de veiligheid van AES te testen.
AES is niet gekraakt, en Sha1 t/m 3 ook niet. Voor Sha1 zijn wel een aantal theoretische aanvallen bedacht, maar er zijn in de praktijk nog nul collisions gevonden of geforceerd.

Sha2 en 3 zijn helemaal niet door de NSA uitgebracht, maar de winnaars van een open contest die door een breed forum van cryptografie-experts is beoordeeld, inclusief onderbouwing waarom de betreffende winnende Sha2 en Sha3 algoritmes als beste/veiligste zijn verkozen.
Ook een figuur als Bruce Schneier (tamelijke hardcore security freak) die zelf ook een concurrerende kandidaat voor Sha3 had ingediend (Skein), beoordeelt zowel Sha2 als Sha3 als absoluut veilig.
I stand corrected "http://computerworld.nl/beveiliging/79204-encryptie-blijft-beste-bescherming-tegen-nsa"

geruchten gingen op verschillende fora, waaronder die van security.nl

De problemen zaten in brak sleutelbeheer en niet in de standaard AES zelf.
Nog een losse app waar je berichten mee kunt versturen.. alsof we nog niet genoeg van die DM apps hadden..

Vindt dat het een beetje teveel wordt.. Maar natuurlijk heeft ieder z'n voorkeur. Voor mij is Whatsapp meer dan genoeg :)

[Reactie gewijzigd door Whisky op 1 november 2013 09:43]

en whatsapp is lekker veilig wou je zeggen?

nu denk ik dat of je nou whatsapp of twitter of wat dan ook gebruikt er wel een manier is om binnen te komen.

volgens mij is de blackberry messenger de veiligste manier op het moment mits er niet ergens een backdoor in zit.
In Saudi Arabië is er altijd al een backdoor voorzien geweest voor de regering, dus ik denk dat dat redelijk plausibel is. NSA claimde BBM gekraakt te hebben. (kraak en backdoor staan hier los van elkaar)
De Backdoor voor deze regeringen was het verplichten de BB servers in dat land te plaatsen met een 'directe' tap op de servers zelf.

Blackberry had feitelijk weinig keuze in de betreffende landen. Het was of meewerken of geblokkeerd worden.

De implementatie van Apple met iMessage is denk ik een voorbeeld van een goede implementatie..misschien dat twitter eens naar dat mechaniek moet kijken.

[Reactie gewijzigd door kwakzalver op 1 november 2013 10:42]

Ik had gister toevallig een gastcollege m.b.t. aftappen in Nederland, door het bedrijf Group 2000. In Nederland zijn providers zoals KPN, T-Mobile, etc. verplicht om aftap mogelijkheden in te bouwen.

Verder wordt er ook enorm veel data verzameld over Nederlanders. Alleen mag deze pas opgevraagd worden als er een goede reden is. Group 2000 is constant bezig met het reverse engineeren van protocollen van Skype tot World of Warcraft om al deze data zo goed mogelijk aan te kunnen leveren.

Ik vind encryptie in ieder geval een goede zaak. Ik verbaas me er eerlijk gezegd over dat een bedrijf met zoveel miljoenen gebruikers tot op heden geen encryptie gebruikte bij private messages.
Blackberry had feitelijk weinig keuze in de betreffende landen. Het was of meewerken of geblokkeerd worden.
Kan wel zijn dat ze dan geblokkeerd worden; het blijft illegaal. Dan hadden ze het op zijn minst publiek moeten maken dat ze gedwongen werden.
In feite is Blackberry hier een huurling.

Net als bij een huurmoord: zowel de huurmoordenaar als de opdrachtgever zijn schuldig.
Leg uit? Hoe kan iets illegaal zijn dat door de overheid wordt verplicht?
In de landen waar het om gaat is dat blijkbaar niet illegaal. Ik had liever gezien dat ze dan gewoon kiezen om geblokkeerd te worden, maar dat is een andere discussie
Volgens de documentatie van Blackberry zelf, gebruikt BBM geen encryptie maar " scrambling"

By default, each device uses the same global PIN encryption key, which Research In Motion adds to the device during the manufacturing process. The global PIN encryption key permits every device to authenticate and decrypt every BlackBerry Messenger message that the device receives. Because all devices share the same global PIN encryption key, there is a limit to how effectively BlackBerry Messenger messages are encrypted. BlackBerry Messenger messages are not considered as confidential as email messages that are sent from the BlackBerry® Enterprise Server, which use BlackBerry transport layer encryption. Encryption using the global PIN encryption key is sometimes referred to as "scrambling".

http://docs.blackberry.co...ys_for_BBM_1840226_11.jsp

[Reactie gewijzigd door (id)init op 1 november 2013 10:22]

Nog een losse app waar je berichten mee kunt versturen.. alsof we nog niet genoeg van die DM apps hadden..
Natuurlijk hebben we er nog niet genoeg, apps zijn wat dat betreft net standaards >:)
hahahaha, inderdaad. maar het gaat onderhand wel erg ver. BBM is nu ook voor android en IOS, en dan zou Twitter nu ook met zoiets komen. dus dan heb je whatsapp, BBM, Touch, TwitterDMapp (weet niet hoe ze het dan evt zouden noemen), enz.
Nog een app? De DM functie zit al in den beginnen in Twitter. Wordt veel door Web-care gebruikt en is een uitermate handige functie voor het leggen van contacten. Is in den verre niet te vergelijken met een app zoals Whatsapp, waar je met personen waar je al een telefoonnummer mee hebt uitgewisseld contact kan leggen.
Iedere berichtenapp heeft z'n eigen toepassingen en doelgroep. Whatsapp contacten zijn andere mensen dan twittercontacten en die wil je gescheiden houden.
:? hebben ze eerst dm's minder polurair gemaakt door ze weg te stoppen in de diverse mobiele apps, gaan ze het nu weer extra onder de aandacht brengen. Versleuteling lijkt me trouwens wel een mooie stap, hoewel ik er na de laatste berichtgevingen niet zoveel waarde meer aan hecht. Ik denk niet dat Twitter zo'n prio aan versleuteling geeft dat het op geen enkele manier door een overheidsinstantie gelezen kan worden.

[Reactie gewijzigd door kraats op 1 november 2013 09:44]

Twitter lijkt tot nog weinig last te hebben van de onthullingen, mogelijk omdat de dienst een erg open karakter heeft.
Mogelijk gaat dat hierdoor juist veranderen. Als de dm's versleuteld worden, zal dat ook de aandacht van de NSA trekken omdat bepaalde groeperingen zo onderling ongestoord kunnen communiceren.
Ze moeten het ook niet zo raar vinden dat er steeds minder ge-DM't wordt. Ze DM-knop hebben ze bij elke nieuwe versie van hun website en apps steeds verder weg gestopt, achter menu's en andere rare dingen. Sinds een paar dagen zijn DM's pas weer met één klik te bekijken op de website.
Zolang het niet al client side geen/decrypt wordt zie ik er maar beperkte meerwaarde in.
Dan moet het toch op een server gedecrypt worden voordat het (eventueel met ssl) alsnog over de lijn gaat.
leuk dat ze dm's gaan versleutelen... als ze nu ook iets kunnen vinden op een spamfilter... soms die berichten die je ontvangt van vrienden met daarin allerlei vage reclame zooi (malware etc...)
Komen ze wel lekker op tijd mee.....
Gezien het karakter van Twitter was/is de behoefte aan versleuteling niet groot. Ook niet voor DM. DM is geen alternatief voor bijvoorbeeld SMS.
Nee maar de meeste mensen gebruiken het soms wel op die manier. En een gemiddelde burger heeft weinig kaas gegeten van zulke dingen en gaan er misschien wel vanuit dat het beveiligd is.. :)
He fijn, nog een extra private-message platform! Ik vond klassieke SMS, iMessage, Facebook chat en Whatsapp inderdaad nog niet voldoende...
Versleuteling van DM's is een wassen neus, ze blijven verplicht de sleutel af te staan als de 'Murricaanse overheid dit vraagt. De providers van veilige emaildiensten gooien niet voor niets de handdoek in de ring, ook zij zien dat hun versleuteling niets toevoegt tegen NSA en consorten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True