Yahoo gaat encryptie toepassen op alle gebruikersdata

Yahoo heeft bekendgemaakt een encryptielaag toe te voegen over alle gebruikersdata die het opslaat. De beslissing heeft waarschijnlijk iets te maken met de recente onthullingen over de mogelijke toegang die de NSA heeft tot de gebruikersgegevens van Yahoo.

Yahoo logoVolgens Yahoo moeten alle gebruikersgegevens voor het einde van het eerste kwartaal van volgend jaar versleuteld zijn opgeslagen. Tegen die tijd moet tevens alle informatie die tussen de datacenters van Yahoo wordt uitgewisseld van encryptie zijn voorzien, een soortgelijk plan als dat van Google. Tegelijkertijd krijgen gebruikers de keuze of zij de gegevens die zij naar Yahoo sturen willen versleutelen.

Eerder kwam Yahoo, net als verscheidene andere Amerikaanse internetbedrijven, onder vuur te liggen omdat de NSA toegang zou hebben tot de gebruikersgegevens. Met de versleuteling van de gegevens wil Yahoo waarschijnlijk duidelijk maken dat het oog heeft voor de privacy van gebruikers, in een poging het verloren vertrouwen terug te winnen. Yahoo had al laten weten dat het voor zijn webmaildienst gebruik gaat maken van ssl-versleuteling.

Door RoD

Admin Mobile

18-11-2013 • 18:48

27 Linkedin

Reacties (27)

27
26
18
1
1
0
Wijzig sortering
Alleen encryptie op client -niveau zou ik vertrouwen. Als Yahoo zelf de gegevens encrypt, moet het ook zelf deze kunnen decrypten. Waar beveilig je dan precies tegen vraag ik mij af?

Veel beter is als je zelf encryptie toepast, of zoals bij Mega (van oprichter Kim Dotcom) waar de encryptie client-side verloopt. Dat betekent dat de server nooit toegang kan krijgen tot decrypted gegevens.

Verder zou ik ook geen enkel algoritme meer vertrouwen; altijd een combinatie van algoritmen. Denk aan AES + Blowfish, of dat soort geintjes. Dan heb je denk ik wel een redelijke bescherming tegen diensten als de NSA.

Maar dat cloudproviders en andere Amerikaanse bedrijven jouw gegevens gaan encrypten, lijkt mij niets meer dan een poging het vertrouwen te herstellen. Ik zeg: het is bewezen corrupt; beschouw dergelijke bedrijven als vijandig versus jouw data. Zorg zelf voor bescherming en vertrouw absoluut niet op de 'encryptie' en soortgelijke bescherming die dergelijke bedrijven je geven. Een beetje paranoide is heel gezond, hebben de onthullingen onlangs nog aangetoond.
Ik denk dat ze ook de data tussen de verschillende servers gaan encrypten zodat de NSA deze niet kan lezen, zoals bij Google recent is gebeurt
Staat wel in het artikel. Zelfs als ze dus SSL voor user<->server en server<->server gaan gebruiken dan heb je slechts end-to-end encryption. Dat is niet genoeg als (zoals het geval is met grote US bedrijven) bekend is dat dat endpoint de data alsnog door moet sluisen naar NSA.

Dit is zeker een goed gebaar maar dus niet voldoende om je data voor de NSA verborgen te houden. Enige oplossing is door al je data zelf al te versleutelen voordat het je PC verlaat. Dat kan voor bestanden met truecrypt en voor communicatie met OTR of PGP (evt dmv een browserplugin).
+3 zonder twijfel. Maar zoals ze zeggen, wie controleert de controleurs. We hebben een open platform nodig dat controleert dat software dat clientside encryptie aanbied ook daadwerkelijk dit doet.

Wij kunnen hier nog eens in de code duiken voor een gevoel van veiligheid. Maar voor de rest is het niks meer dan blind vertrouwen.
maar als de NSA & co er bij willen kunnen ze toch gewoon gaan zwaaien met die patriot act dat iedere amerikaan(s) (bedrijf) verplicht moet meewerken ???

zo van hier met die keys , anders sluiten we de tent of de directie gewoon op en zich daar uit procederen kost ze maanden en krankzinnig veel geld....
Al in 2008 was Yahoo actief bezig zich niet zomaar over te geven aan de NSA. In dat jaar weerde Yahoo zich tegen de (gebruikers)data-verzoeken van de Amerikaanse overheid door naar de rechter te stappen.
Afgelopen juli (2013) werden de gerechtelijke documenten openbaar gemaakt.
Bron: BBC
De NSA kan ook een verzoek doen via een "geheime rechtzaal", waarmee ook enige openbaring over niet mag. Zelfs gegevens over hoevaak dit gedaan is mag niet geopenbaard worden. Hier stond pas geleden nog een artikel over op tweakers.
En dit is iets waar ik als bedrijf dikke schijt aan zou hebben. Ik vind het persoonlijk belangrijker dat m'n gebruikers weten wat er met hun data gebeurt, dan zogenaamde staatsveiligheid. Dat argument is nu onderhand zo vaak gebruikt dat ik het niet kan/zal honoreren.
Het probleem is dat je als legaal gevestigd bedrijf (die wil door blijven bestaan) er geen "schijt aan" kan hebben als je voor zo'n geheime rechtbank moet komen.

Wat je wel kan doen is zorgen dat het ook echt alleen via die weg kan. Maar zoals lijkt uit gelekte gegevens bereikt die rechtbank waarschijnlijk erg weinig.

De grootste oeps lijkt wel te zijn dat niemand zijn server-to-server verkeer lijkt te versleutelen. Ik bedoel, de eerste die aankomt dat je dat niet hoort te doen in wat voor situatie dan ook (bv huurlijn of overhead) hoort ter plaatse ontslagen te worden.

Niet zozeer voor 't mkb maar voor 100% richting de Google's, Microsoft's en Yahoo's van deze wereld.

Laat die rechters inderdaad maar eens alle verzoeken verwerken die nu 'gratis' en zonder buitenstaanders als rechters afgeluisterd worden.

[Reactie gewijzigd door Gurd op 18 november 2013 20:34]

Mooi dat ze encryptie toe gaan passen, vreemd dat dit niet meteen gedaan is.
Anoniem: 126717
@Roel91118 november 2013 19:32
Ze zullen een bergje servers bij moeten plaatsen voor de encryptie denk ik. En dat zijn fikse kosten op jaarbasis.
Ik zie hier een tweakers.net review aankomen, hoe Yahoo gaat doen en om meer over het bedrijf te vertellen :)
Goed dat een partij als yahoo dit gaat gebruiken. Alleen mijn eerste vraag is, waarom nog niet eerder? Het kost meer geld, maar het gaat wel om gebruikersdata, en je zal meer vertrouwen krijgen door gebruikers als je de gebruiker zijn gegevens beveiligd. Hopelijk doen ze het niet alleen om vertrouwen te winnen, maar willen ze ook echt tegen bijv. NSA beveiligen.

Vraag is dan wel weer gelijk, gaan ze zo een juiste encryptie gebruiken die niet door bijvoorbeeld NSA te gebruiken is dmv een backdoor? Hopelijk gaan meerdere bedrijven dit doen, en komt er ook een keer duidelijkheid welke encryptie een backdoor heeft van bijv. NSA.
Alleen mijn eerste vraag is, waarom nog niet eerder? Het kost meer geld, maar het gaat wel om gebruikersdata, en je zal meer vertrouwen krijgen door gebruikers als je de gebruiker zijn gegevens beveiligd. Hopelijk doen ze het niet alleen om vertrouwen te winnen, maar willen ze ook echt tegen bijv. NSA beveiligen.
Omdat niemand wist dat het eerder nodig was.

En als jij een firma die 100% Amerikaans is wilt vertrouwen met encryptie als beveiliging tegen cde NSA, ga je gang. Ik denk niet dat veel tweakers je vertrouwen delen. Je kan encrypten wat je wil maar als Yahoo (met een moeizaam verleden in dit opzicht) de sleutel geeft heeft het allemaal geen zin.

Zolang Yahoo niet duidelijk zegt dat ze zich met hand en tand (binnen de wetgeving) zullen verzetten tegen afluisteren door de NSA is dit praten voor de buhne, marketing. Google zegt wel dat ze zich verzetten en tot nu toe is die bewering overeind gebleven. Hoeveel succes ze daarmee hebben valt te bespreken.
Ik zeg ook nergens dat ik ze zou vertrouwen. Helemaal niet zelfs. Maar het lijkt me logisch dat encryptie nodig is, ook als dit NSA gebeuren nooit naar boven was gekomen. Zijn genoeg hackers o.i.d. die gegevens interessant vinden.
Goede zaak, dat er vele bedrijven mogen volgen! Je hoort zo vaak dat er data op straat beland, niet gecodeerd dus zo af te lezen. +1 voor Yahoo:)
Email is hetzelfde als een aanzichtkaart waar je iets op schrijft. Iedereen die de aanzichtkaart door zijn handen krijgt, voordat het bij de ontvanger is, kan het lezen. Yahoo kan de data wel versleutelen, maar voordat het bij Yahoo aan komt, heeft de hele wereld het al gelezen. Alleen als iedere emailclient direct een versleuteling toepast voordat het verstuurd wordt, wordt het heel moeilijk om het te lezen.
Nou Microsoft nog: http://www.nu.nl/tech/362...t-serververkeer-niet.html
Microsoft heeft toegegeven het dataverkeer tussen zijn eigen servers niet te versleutelen. Welke online diensten gebruik maken van de servers is niet duidelijk.
Overigens staat er in dat artikel dat Yahoo wel deels versleuteling gebruikt voor zijn server-verkeer.
Ik kan ook begrijpen dat dit voor Microsoft niet haalbaar is. Gezien de grootte van Xbox Live en ander online diensten denk ik dat ze daar toch iets meer servers hebben staan als Yahoo.
Een beetje mosterd na de maaltijd. Wat ik nog steeds raar vind, is dat het inlogscherm van yahoo mail secure is, maar zodra je binnen bent, is het niet meer secure.
Ze hebben gewoon meegewerkt - en als het bevel komt om de sleutel af te geven gaat men dat braafjes doen - dat staat zo in de wetgeving van de VS dat je dat moet doen.
Dit is gewoon een spelletje blazoen oppoetsen in de hoop dat wij dom genoeg gaan zijn om dat te slikken. Niet met mij!
Anoniem: 555428
18 november 2013 22:08
Over twee maanden komt MEGA met mail en chat service. Heeft hier NSA/Dropbox al vervangen.

[Reactie gewijzigd door Anoniem: 555428 op 18 november 2013 22:21]

Anoniem: 500749
18 november 2013 19:53
nu pas? :)
maar heb iig het idee dat bedrijven zich nu "anti NSA" presenteren omdat het goed oogt
voor de verdere rest deelt iedereen net zo hard informatie

Google heeft daar ook een handje van

[Reactie gewijzigd door Anoniem: 500749 op 18 november 2013 20:20]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee