Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 123 reacties

Microsoft gaat maatregelen nemen om overheidsspionage tegen te gaan, na onthullingen van NSA-klokkenluider Edward Snowden. De verbindingen tussen datacenters van Microsoft worden versleuteld en de ssl-verbindingen met gebruikers krijgen perfect forward secrecy.

MicrosoftDe softwaregigant zegt de maatregelen te nemen uit zorg over overheidsurveillance op internet. "We nemen maatregelen om ervoor te zorgen dat overheden de juridische weg bewandelen om data van gebruikers te bemachtigen, en geen technologische brute kracht", schrijft het hoofd juridische zaken van Microsoft, Brad Smith, op het officiële Microsoft-weblog. Government snooping is volgens Smith een 'voortdurende dreiging', vergelijkbaar met 'geavanceerde malware en digitale aanvallen'.

De meeste maatregelen hebben met encryptie te maken en moeten voor het einde van 2014 zijn ingevoerd. Zo zullen alle gegevens van gebruikers die naar Microsoft-servers worden gestuurd vanaf nu via een ssl-verbinding verlopen. In sommige gevallen, bijvoorbeeld Outlook.com en het gros van de verbindingen met Office 365, gebeurt dat al. Bovendien worden ssl-verbindingen voorzien van sleutels met een lengte van 2048 bits.

Ook schakelt Microsoft perfect forward secrecy in. Daarbij wordt gebruikgemaakt van tijdelijke sleutels. Wordt de sleutel in de toekomst bemachtigd, dan kan daardoor enkel recent verkeer worden ontsleuteld: verkeer uit het verleden heeft een andere sleutel gebruikt, die dan al is verwijderd. De functionaliteit is zowel op de website als op de api ingeschakeld, waardoor ook gebruikers van Twitter-apps beter zijn beschermd.

Verder gaat Microsoft data die over glasvezelverbindingen tussen zijn datacenters wordt uitgewisseld versleutelen. Eerder deed Google dat al, nadat bleek dat de Amerikaanse en Britse geheime diensten actief inbreken op die glasvezelkabels om op die manier gegevens vangebruikers te onderscheppen. Bovendien worden gegevens van gebruikers in Microsofts datacenters ook lokaal versleuteld, en gaat het bedrijf samenwerken met bedrijven met wie data wordt uitgewisseld - bijvoorbeeld andere mailproviders - om onderling encryptie toe te passen.

Om zorgen over backdoors in Microsoft-software weg te nemen, gaat het bedrijf daarnaast meer klanten toegang geven tot zijn broncode. Voor overheden was dat al mogelijk, maar het bedrijf hint er nu op dat ook andere klanten de broncode van onder meer Windows kunnen inspecteren. Daartoe zal het bedrijf speciale centra in onder meer Europa openen. Bovendien neemt het aantal softwareproducten dat kan worden geïnspecteerd toe.

Moderatie-faq Wijzig weergave

Reacties (123)

Ik wil het zo graag geloven, maar kan dat gewoon niet meer na wat allemaal uitgelekt is.
Dus je gelooft niet dat Microsoft gaat doen wat ze hebben gezegd?
Natuurlijk niet. Eťn van de interessante aspecten van wetgeving in de USA is nu juist dat bedrijven ook gedwongen kunnen worden om maatregelen geheim te houden, dus als de NSA/CIA/FBI/Homeland Security etc. tegen microsoft zegt 'Je moet dit doen en je mag er met niemand over praten' dan hoort niemand er van. Tot er nog een Snowden komt.

[Reactie gewijzigd door thunder7 op 5 december 2013 10:22]

"dus als de NSA/CIA/FBI/Homeland Security etc. tegen microsoft zegt 'Je moet dit doen en je mag er met niemand over praten' dan hoort niemand er van."
Dat is afhankelijk of het grondwettelijk toegestaan is. Als zo'n verzoek van de NSA niet grondwettelijk is, heeft Microsoft op z'n minst de morele plicht dit aan te vechten in een rechtbank en geen data te delen met de NSA totdat een rechter hierover heeft beslist.
Probleem is dat de NSA via het FISA court vaak al gerechterlijke toestemming heeft. Daardoor kunnen bedrijven als Google, Yahoo en Microsoft vaak niet veel kanten op.
Daarom: Europese bedrijven? Ook goed voor onze Economie lijkt mij..
Amerikaanse rechters kunnen ook tegen Europese bedrijven gerechterlijke bevelen uitvaardigen (net zoals europese rechter dat nu ook als doen jegens amerikaanse bedrijven).

Als je iets wilt ondernemen tegen dataverstrekking van ondernemingen aan andere overheden dan moet je een druk op die bedrijven kunnen uitoefenen die groter is dan de druk van de andere overheid. Bijvoorbeeld de EU die Microsoft, Google en Yahoo miljarden boetes geeft als ze data van europese burgers aan de NSA verstrekken.
Deze bedrijven moeten zich dan bijvoorbeeld voor hun eigen veiligheid dan juridisch zo opsplitsen dat hun losse delen in elk land niet onder overheids gedwongen kunnen worden data van andere landen te verstrekken.
Ook goed voor onze Economie lijkt mij..

Enkel indien die Europese bedrijven gelijkwaardige producten bieden.

Niet zeggende dat dat niet zo is, maar Europees kopen omdat het Europees is, is vergelijkbaar met een duurder doch verder gelijkwaardig product kopen omdat jij de winkeleigenaar aardig vindt. Uiteindelijk houd jij dan minder geld in je zak over om te besteden aan andere producten/bedrijven.
Ik geloof wel dat ze gaan doen wat ze gezegd hebben en dat is positief, want het verkleint het aantal aanvalsvectoren. Maar ik geloof ook dat Microsoft mee zal blijven werken aan PRISM en dergelijke programma's. Als de NSA eist dat MS gegevens levert, zullen ze dat uiteindelijk doen. Microsoft heeft in het verleden al bewezen vrijwillig deuren open te zetten voor surveillance. Zolang het een gesloten doos blijft die onder Amerikaanse controle staat, kun je er nooit op vertrouwen dat ze er geen wegwijzers naast zetten voor de geheime diensten.
Ja wat MS heeft er zo veel vrije keus in....
Ja precies, ze hebben er geen keuze in, dus dat ze beveiligingsmaatregelen nemen heeft dan ook geen effect, ze zeggen dat het tegen overheidsspionage is, welke dankzij de Patriot-act gewoon door zal gaan, zegt Microsoft nee? Dan zegt de US nee tegen nieuw kantoor, nee tegen export van producten van Microsoft enz.
Maar ik geloof ook dat Microsoft mee zal blijven werken aan PRISM en dergelijke programma's. Als de NSA eist dat MS gegevens levert, zullen ze dat uiteindelijk doen

Logisch, want anders wordt de betreffende topman opgepakt en in het gevang gegooid. Het is namelijk een wettelijke verplichting.

PRISM klintk heel geheimzinnig, maar is niet anders dan de opsporingsverzoeken die ons eigen OM en AIVD aan onze eigen ICT bedrijven zoals KPN, TMobile, etc oplegt.

Veel enger zijn de berichten dat bepaalde organisaties proberen buiten PRISM om, gegevens te krijgen. Bijvoorbeeld door in te breken op de interne glasvezels van Yahoo en zo on-encrypted data te kunnen lezen. Of door op de tier 1 sniffers te plaatsen, die zo alle verkeer kunnen monitoren, zoals on-encrypted SMTP verkeer.

In die context moet je dit bericht dus zien. Microsoft, Google en Yahoo gaan nu betere encryptie gebruiken en encryptie op plaatsen die tot nu toe niet encrypted was.

PRISM komt men niet onderuit door encryptie.
Waarom niet ? In bedrijven werken mensen (wordt wel eens vergeten in dit soort discussies). Die vinden het, net als jij, niet leuk om afgeluisterd te worden.
Bovendien, als dit soort verbindingen afgeluisterd worden dan vraagt men zich waarschijnlijk af hoe het zit met de interne bedrijfs WAN verbindingen. Althans, dat zouden ze zich wel moeten afvragen. Dat soort verbindingen worden vaak geleverd door grote telecom bedrijven en zijn ook niet geencrypt.

Dit, en het feit dat je klanten het ook niet leuk vinden, is genoeg redenen om actie te ondernemen.

Dat bedrijven meewerken met de veiligheidsdiensten om jou af te luisteren is een andere zaak. Behalve dat het vaak moet van de wet, hebben ze dan zelf nog enige controle over welke gegevens er naar de veiligheidsdienst gaan en welke niet. Als ze afgeluisterd worden hebben ze geen idee. Dat gevoel van controle is belangrijk voor mensen.
Waarom niet ? In bedrijven werken mensen (wordt wel eens vergeten in dit soort discussies). Die vinden het, net als jij, niet leuk om afgeluisterd te worden.
Ken je de films Margin Call en Boiler Room?
Als je mensen een worst voor houdt, en je hebt de juiste mensen aangenomen, dan gaan ze heel ver. Vooral voor geld.

Het gros van de mensen zullen inderdaad gewoon legitiem zijn. Maar ik durf er al mijn geld op in te zetten dat MS kleine teams (in dienst) heeft die illegale zaken doen.

[Reactie gewijzigd door ksinix op 5 december 2013 09:39]

Ja, die teams doen zeker aan spionage van andere bedrijven etc. Alsjeblieft zeg.

Kleine teams kun je niet geheim houden en op een dag lekt het uit. Dan kan je dag zeggen als bedrijf.

Het probleem is dat je niet altijd weet wat je binnenhaalt als bedrijf. Iemand kan voor je werken als programmeur, maar een dubbele functie hebben als werknemer van de NSA.
Wie heeft er iets gezegd over spionage van andere bedrijven?

Ik heb het over juristen / verkopers die mensen onder druk zetten (omkopen). En mensen die, in naam van landsbelang of wat dan ook, bewust lekken inbouwen. Groepjes die illegale zaken doen.
Wat zou MS moeten spioneren dan? Ze hebben geld zat en hun research is de beste(1 van de) in de IT.
Lijkt me eerder dat bedrijven bij MS zitten te spioneren.
Voor de tweede keer. Wie heeft het over spionage? Ik niet.
was ook meer op de reactie erboven geaimed.
"perfect forward secrecy"?
En als er dan een officiele aanvraag komt voor die data, kan niemand die dus meer inzien (behalve de gebruiker en ontvanger)?
Staat haaks op de wetgeving van de overkant, dus ga er maar vanuit dat men altijd je data kan inzien.
En als die manier er is, is het een kwestie van tijd voordat overheden dat ook kunnen, zonder officiele aanvragen...
@WJN,

Volgens mij heb je gelijk en dat is dan ook direct een interessante gedachte. Met name onder wetgeving waarbij het niet afgeven van de sleutel van versleutelde data zelf strafbaar is en gevangenis straf kan opleveren.

Moet je dan alle sleutels uit het verleden kunnen overhandigen? Als die automatisch worden gegenereerd kun je dat niet en ben je dus automatisch strafbaar.

Het wordt wel steeds maffer in de wereld

Mijn data is van mij (toch?)
Mijn data is van mij (toch?)
Nee, in ieder geval niet in de Verenigde Staten. Er zijn daar een hoop dingen geregeld, maar niet over zaken die zich op Internet afspelen. In dat geval ben je overgeleverd aan de "Terms and Conditions" of "Terms of Service" van de desbetreffende dienst. En die zijn in veel gevallen vrij ruim, ten nadele van de gebruiker.

Om maar een populair voorbeeld te geven: Facebook bijvoorbeeld, heeft wel opgenomen dat het auteursrecht van de content bij de gebruiker ligt die de content heeft geschreven of geupload maar laat deze wel akkoord gaan met het feit dat Facebook een zeer uitgebreide licentie krijgt om praktisch te doen en laten met de content wat ze maar willen, en deze licentie is niet in te trekken. Feitelijk wordt hiermee een wassen neus voor de gebruiker gecreeerd, want theoretisch mag de content dan nog wel van de gebruiker zijn; maar praktisch is deze simpelweg eigendom van Facebook.

Ben trouwens ook bang dat mensen die denken dat de genoemde maatregelen afdoende zijn van een koude kermis gaan thuiskomen: Men is nog steeds verplicht om mee te werken aan alle maatregelen die worden getroffen om de "staatsveiligheid" te garanderen. Zolang ze verplicht zijn om in welke vorm dan ook mee te werken aan de afluisterprogramma's van de NSA veranderd er dus niets. Het enige wat er veranderd is dat de netten van de NSA niet meer tussen de interlinks van de diverse data centra worden gehangen (want perfectly encrypted), maar bijvoorbeeld in de data centra zelf (want niet encrypted).

De enige reden voor de huidige strategie was namelijk geen technische, maar een volkomen menselijke: luiheid. Het was veel simpeler en eenvoudiger om de tap op deze manier op te zetten. Men had ook een andere optie kunnen nemen maar dat had veel meer (juridisch) werk en tijd gekost. Tenzij Obama er dus een stokje voor steekt en een wet ondertekend die dit soort zaken verbied zal het niet ophouden. Het enige wat er op dit moment gecreeerd wordt is een tijdelijke data blackout totdat de NSA door de juridische molen is geweest om toegang te krijgen tot een andere plek om hun netten op te hangen en dan gaan ze gewoon verder, alsof er niets gebeurd is.

[Reactie gewijzigd door mindcrash op 5 december 2013 09:58]

Mijn data is van mij (toch?)
Ja, maar op het moment dat je besluit om het bij iemand anders op te slaan verlies je wel ongeveer alle controle over je data. Niet vreemd, aangezien die andere partij ook regels heeft om zich aan te houden (waar onder het overhandigen aan overheidsdiensten wanneer er om gevraagd wordt).
"Met name onder wetgeving waarbij het niet afgeven van de sleutel van versleutelde data zelf strafbaar is en gevangenis straf kan opleveren."
En hoe wil je een bedrijf in de gevangenis gooien?
Correct me if I'm wrong. Dit type versleuteling gaat enkel om data die verstuurd wordt, niet wat je hebt opgeslagen. Wettelijk gezien hoef je niet perse alles wat je verstuurd op te slaan, bijv. verkeer tussen servers onderling etc.

Je kan het inderdaad niet gebruiken voor data die onder de bewaarplicht valt.

Dit is dus niet waterdicht, maar er is een groot verschil tussen een overheid die je bespioneert en die je opdraagt data af te dragen (al dan niet geheim). Dat eerste maak je hiermee weer wat moeilijker, dat tweede is theoretisch een democratisch besluit van het volk (*proest*).
Staat haaks op de wetgeving van de overkant, dus ga er maar vanuit dat men altijd je data kan inzien.
Er is geen wetgeving dat alle communicatie ten alle tijden in te zien zou moeten zijn. Het resultaat van die communicatie dan weer wel. Met andere woorden: als er een tap wordt geplaatst en een instantie (NSA, FBI, whatever) onderschept communicatie, dan zijn de gegevens die gecommuniceerd worden niet meer in te zien. Aan de andere kant: als er van 1 specifiek persoon gegevens moeten worden overhandigd, dan kan dat wel: dan wordt gewoon de data die op de servers staan gelezen.

Dit gaat puur over communicatie, niet over opgeslagen gegevens.
En als er dan een officiele aanvraag komt voor die data, kan niemand die dus meer inzien (behalve de gebruiker en ontvanger)?
Staat haaks op de wetgeving van de overkant, dus ga er maar vanuit dat men altijd je data kan inzien.
En als die manier er is, is het een kwestie van tijd voordat overheden dat ook kunnen, zonder officiele aanvragen...


Je verwart dan ook twee dingen.

Het direct opvragen bij een bedirjf van gegevens. Encryptie al dan niet met PFS heeft daar geen effect op. Bsef echter dat dze categorue van verzoeken slechst een 1% of zo van de totale data collectie is.

Aanvullend blijken inlichtingendiensten over de hele wereld - en onze AIVD wil het ook gaan doen - gewoon data op te zuigen uit de centrale internationale openbare netwerken. Ook breken ze soms gewoon in op interne netwerken van bedrijven. Daar helpt encryptie. Internet netwerken zijn nu zelden encrypted.

Echter bij veel protocollen, zoals het polulaire SSL/TLS - wordt de eerste uitwisseling via een asymetrische versleuteling gedaan. Daarbij gebruiken beide kanten een eigen unieke master key voor decryptie. Echter de meeste servers gebruiken elke keer dezelfde master key. Als dus de AIVD of NSA ooit die sleutel in handen krijgt, kan ze dus alle verkeer afluisteren.

Dus stel men vraagt ooit de key op via een legaal juridisch bevel voor zaak A, dan kan men bij zaak B, C, D, etc ook alles lezen. PFS helpt hierbij omdat er geen master key meer is, maar elke sessie een unieke key gebruikt.

Het zorgt er dus voor dat de NSA, AIVD, etc altijd eerst een juridisch bevel moet opvragen via de rechter. Alleen al vanwege de bureaucratische rompslomp zal dat dus remmend werken. En in veel gevallen zal men z'n bevel gewoon niet krijgen.
Ben ik de enige die denkt dat dit puur marketing is? Heb er erg veel moeite mee om dit soort goede initiatieven te geloven.
Dat denk ik ook, dat ze zelfs ssl durven te noemen, het protocol bij uitstek waar de NSA een grote vinger in de pap heeft gehad om er zwakheden in te bouwen.
Effectief doen ze wat hun klanten willen of wat ze verwachten dat die als product willen (meer privacy bescherming).
Maar logischerwijs gaan ze dat aan hun klanten ook weer uitdragen als feature van hun product en dat deel is inderdaad marketing.
Ja het is puur marketing. Om te beginnen - de encryptie waar microsoft het over heeft gaat in elk geval de NSA niet stoppen om alle data op te slaan, want die gaan dwars door 2048 bits RSA heen.

Er zijn als het gaat om de USA echter nog 2000 andere overheidsbetaalde inlichtingendiensten en nog meer consultants. Kernprobleem is wel dat de overheden die IN STAAT ZIJN om dat dataverkeer af te luisteren, dat die ook wel degelijk al simpelweg 2048 bits kunnen factoriseren.

Als jij onderzeeers en ondergrondse operaties tegen zeekabels en verkeer betalen kunt namelijk, wat tientallen miljarden kost, dan is de prijs van een NSA betalen die zo iets kraken kan met een computertje natuurlijk peanuts.

Dus het is een compleet loze toezegging in dat opzicht. Dat neemt niet weg dat het niet onhandig is om alsnog dat in elk geval te encrypten.

Elke horde die je opwerpt tegen buitenlandse mogendheden is er 1. De NSA is echter geen buitenlandse mogendheid.
Geloof hier geen snars van. Alsof deze ''veiligheidsdiensten'' nu opeens geen toegang meer hebben tot jouw mails of dergelijke. Ik ben serieus aan het overwegen om eens met een paar vrienden wat fake mails rond te sturen waarbij we targets en tijdstippen noemen, puur om te kijken of dan de politie ook daadwerkelijk bij je aan de deur staat.

Ze hebben niks te maken met de inhoud van mijn mails, zolang ik niet verdacht ben voor het een of ander in de ECHTE wereld.
ohja, want als ze je hele geschiedenis kennen gaan ze echt ineens geloven dat je het meent ... . Via de Patriot Act heeft de NSA inderdaad de mogelijkheid om je mails op te vragen bij Google/Microsoft/Yahoo/... . Gebruik dan ook een lokale provider, zorg ervoor dat mail door zo min mogelijk landen moet gaan om tot bij U te komen, de meeste mail die je ontvangt is toch lokaal, een mailbox bij je ISP is dan veel handiger.

En nee, ik geloof nooit dat je mails gemonitord worden, als je bekijkt hoeveel mails er per dag de wereld rondgaan, dan zijn er zelfs voor instanties zoals de NSA toch echt belangrijkere doelwitten ...
Het enige wat je daarmee gaat bereiken is een boete of misschien zelfs een celstraf, het aanzetten tot is strafbaar ivm terrorisme dreiging en dat staat boven het hebben van een mening of het uittesten van het door ons gekozen democratische systeem.

Je mag dus eigenlijk niet praten over dit soort dingen, en ben je het daar niet mee eens, eerst een afspraak maken of toestemming vragen bij de overheid om te demonstreren of te staken.......

Kan je lekker je onvrede uiten op het malieveld waar niemand er last van heeft |:(

Misschien is het slimmer om diensten als facebook en dergelijke massaal te boycotten gedurende 24 uur of ons massaal uitschrijven of ........
Je mag wel degelijk praten over terrorisme. Je mag enkel geen plannen beramen. Die fake mails die TimSeve voor ogen heeft zouden kunnen beoordeeld worden als het beramen van aanslagen. Dat is niet wettig. Praten over dit soort dingen is vooralsnog perfect legaal. Uit de toon van je reactie concludeer ik wel dat jij liever niet zou hebben dat dit legaal is. Maar dat is dan uw mening, die ik niet deel. Want ook jij kan lekker je onvrede uiten waar niemand er last van heeft over het door ons gekozen democratische systeem.
Ik bedoelde dit eigenlijk met een vette knipoog want ik ben van mening dat we stiekem alleen maar het gevoel hebben vrij te zijn om te kiezen en dat is de ergste vorm van dictatuur.
Dat al maar meer vrijheden ons aan een rotsnelheid worden afgenomen onder het valse voorwendsel dat we meer veiligheid zouden krijgen tegen, wat was het weer, "terrorisme" (gisteren was het weapons of mass destruction, zucht, wat zal het morgen zijn) en dat duidelijk de overgrote meerderheid van de bevolking immens grote hoeveelheden van dit braaksel zich de strot laten inproppen door de overheid, vind ik ook waanzin. Ik vergelijk het in gedachten wel eens met hoe men foie gras maakt.

Mensen met verstand doen er goed aan om zonder te vervallen in conspiracy theorieŽn hun medeburgers correct te informeren. Graag ZONDER te vervallen in conspiracy theorieŽn. Met conspiracy theorieŽn doet men meer kwaad dan goed.
Ik denk dat er geen theorie achter zit maar dat ieder voor zich maar wat aan het rommelen is, het probleem is alleen dat er geen controle op is blijkbaar....
Dat is ook ongeveer mijn gedacht. Als je het verhaal van Snowden helemaal leest op de website van The Guardian, dan lijkt het er op dat wat er gebeurd is eenvoudigweg een extreem gigantisch enorm budget is dat de Amerikaanse regering bovenop een NSA heeft geworpen na 9/11, en een NSA die in eerste intantie eenvoudigweg niet goed wist wat ze met die extreem enorme absurde massa aan biljoenen dollars moesten doen en daarna maar even absurd extreem en massaal zijn beginnen uitgeven en investeren. Een surveillance state is nu het gevolg. Een politiestaat is het volgende waar we ons aan kunnen verwachten. Dat extreem gigantische enorme budget was omdat de overheid eerst de bevolking extreem bang gemaakt hadden van the terrorists, om zo hun dwaze oorlogen te vergoeiilijken. En dat ze hun kiesvee hadden beloofd er alles aan te doen hen te beschermen tegen the terrorists. Beloofd is beloofd en dus nu hebben we met z'n allen een surveillance staat in ruil gekregen. Proficiat allemaal.

ps. Ik denk ook dat je de grafiek van de FED zijn M3 (totale hoeveelheid geld in omloop) kan leggen naast een grafiek die we gemakshalve "totale hoeveelheid complete bullshit die van de Amerikaanse regering komt" zullen noemen. Ik vermoed een zeer sterke correlatie tussen beide groeicijfers. Merk op dat de M3 een exponentiŽle groei meemaakt sinds een decennium. Maarja. Dit is allemaal al lang duidelijk en al vele malen herhaald door erg veel mensen. Toch lees ik hier op een Nederlands forum (waarvan ik verwacht dat de mensen gemiddeld toch een beetje intelligent zijn) nog geregeld mensen die ons komen vertellen dat we onze privacy en vrijheid maar beter afgeven want de terrorists! de terrorists! Ze zijn overal!! Waaa!

[Reactie gewijzigd door freaxje op 5 december 2013 20:14]

Ik heb zelf het idee dat de veiligheidsdiensten al die date niet verzamelen om criminelen/terroristen op te pakken maar puur vanuit het idee data = macht ofzoiets. Terrorisme is ook eigenlijk best wel opgeblazen als je het aantal slachtoffers vergelijkt met andere doodsoorzaken. Punt is alleen dat de overheid baat heeft bij angst onder burgers. Die angst (voor terrorisme/kinderporno) zorgt ervoor dat burgers sneller de overheid steunen en minder zeuren om privacy.
Dit idee heb ik ook al langer. Een bang volk = ubermacht voor de regering natuurlijk.
Uiteindelijk is mijn post misschien niet even doordacht geweest, maar wilde er meer een voorbeeld mee duidelijk maken.
Het zaaien van angst blijkt een goede methode te zijn de macht te grijpen of te behouden.
Deze tacktiek gebruikten o.a. de katholieke kerk ook al een paar honderd jaar geleden.
Sorry maar...

"Terrorisme is ook eigenlijk best wel opgeblazen"

Pun intended?
Een ding heb ik nooit begrepen. Als een man in the middle (NSA op de backbone) de automatische onderhandeling over de SSL encryptiesleutels ook mee leest dan is je verbinding toch al gecompromitteerd?
In mijn optiek werkt encryptie alleen als de sleutels eerst via een veilig kanaal worden uitgewisseld.
Waar jij het over hebt is symmetrische encryptie.
Dat is wat ze in de tweede wereldoorlog gebruikten.

Bij encryptie over het internet gebruikt men asymmetrische encryptie. Daarbij heb je een encryptie sleutel en een decryptie sleutel.
De encryptie key maak je bekend aan degenen met wie je wilt communiceren. Daarom wordt dit ook wel public key encryptie genoemd. De decryptie code houdt je geheim.

Iedereen die de 'publieke' encryptiesleutel heeft kan daarmee een bericht encrypten maar alleen de bezitter van de geheime decryptiesleutel kan het weer ontcijferen.
Als je naar elkaar berichten stuurt dan encrypt je die dus met elkaars public key en ontcijfer je binnenkomende berichten met je eigen geheime decryptiesleutel.
Ook met public key encryptie gaat het je niet lukken natuurlijk op het moment dat we het volgende voor elkaar hebben. Jij hebt 2 M$ vestigingen A en B maar elk pakketje dat je verstuurt gaat via Moskou:

A <==> Moskou <==> B

Elk pakketje gaat dus via Moskou. Dus als jij een public key wil versture nvan A naar B,
wat Moskou doet is gewoon die public key zelf houden, nieuwe public key naar B sturen
en simpelweg 2x encrypten en 2x decrypten voor elk pakketje.

Kortom wie als EIGENAAR middenin dat netwerk zit, die heeft altijd alle data.

Waar het nu om gaat is natuurlijk in hoeverre het mogelijk is om data af te tappen van zeekabels en te decrypten, door inzet van onderzeeers e.d.
Als de private sleutel uitlekt heb je inderdaad een probleem. Zo niet maakt het geen bal uit hoe je verkeer geroute wordt.

In jouw voorbeeld zal Moskou bovendien ook een Mircosoft vestiging zijn, want anders zal A nog B met Moskou praten. En is Moskou geen Microsoft vestiging, maar enkel een doorgeef luik, kan het niets met die gegevens zonder die private keys van A en B.

En in het geval van PFS waar in dit artkel over gesproken wordt, wordt elke keer een unieke private sleutel gebruikt. Dan heeft Moskou een groot probleem, want dan moet men ťlke keer die sleutels krijgen.
Ik ben blij dat software giganten hier eens wat van gaan zeggen. Het is alles behalve legaal wat die lui doen en ik ben meer dan blij als het eens via de legale weg gaat :P
en MS worden nu minder vaak betrapt met het serials verzamelen van windows gebruikers omdat dit info ook versleuteld wordt.
Dat ze hun eigen serials 'verzamelen' om te controleren of deze een Windows kunnen activeren? Schande! Op de brandstapel!
Ook schakelt Microsoft perfect forward secrecy in. Daarbij wordt gebruikgemaakt van tijdelijke sleutels. Wordt de sleutel in de toekomst bemachtigd, dan kan daardoor enkel recent verkeer worden ontsleuteld: verkeer uit het verleden heeft een andere sleutel gebruikt, die dan al is verwijderd. De functionaliteit is zowel op de website als op de api ingeschakeld, waardoor ook gebruikers van Twitter-apps beter zijn beschermd.
Stukje uit het recente twitter-artikel gekopieerd jongens? :p

[Reactie gewijzigd door Ramon op 5 december 2013 08:11]

dat bedrijven als ms en google maatregelen willen nemen is duidelijk maar ik denk dat het uiteindelijk niet zal helpen.maar als er geen backdoors zouden zijn dan zou de nsa ze wel weer verp;ichten via de amerikaanse regering om info vrij te geven.
Wie zegt dat hun intentie is om het weg te houden van de NSA. Ik noem maar wat op: Brazilie?
Wat velen niet begrijpen is dat de NSA nog steeds bij MS kan vragen naar gegevens. Maar wat de NSA ook vooral heeft gedaan is via glasvezelbedrijven alles aftappen zonder toestemming van bedrijven. Hierdoor hoeven ze bedrijven als MS en Google niet te vragen naar gegevens en kunnen ze gerust hun gang gaan.

Door alles te versleutelen dwing je bedrijven als NSA om bij de voordeur aan te kloppen met een gerechtelijk bevel ipv via de achterdeur in te breken zonder dat je het als bedrijf het in de gaten hebt.

[Reactie gewijzigd door Relief2009 op 5 december 2013 09:45]

Het gaat niet om de Amerikaanse NSA hier. Het internet wordt bevolkt door een 100k inlichtingendiensten. Hoe meer Afrikaanse of Aziatische landen die je buiten de deur houdt des te beter! China en USA kun je altijd excluden van de lijst, die verzinnen wel een methode om al die data thuis op te slaan.
Zoals ik al eerder heb gezegd, dit doen ze zodat ze de gegevens later tegen een vergoeding moeten overhandigen aan de NSA.

Het is een win-win situatie, de gebruikers worden beter beschermd tegen hackers en de NSA moet bij hun aankloppen om de gegevens te krijgen waar vaak een vergoeding tegenover staat.

[Reactie gewijzigd door Armada651 op 7 december 2013 04:56]

Wat heeft de US/Nederlandse NSA te maken met deze dataoverdracht. het gaat toch om spionerende buitenlandse mogendheden of niet?
Zie hier hoe de NSA data aftapt tussen datacentra bij Google. Omdat het bedrijf hier niet zelf aan meewerkt krijgen ze er niet de gebruikelijke vergoeding voor. Alle reden dus om de verbindingen te beveiligen met als bonus dat het lijkt alsof je iets tegen de spionage doet.

Maar die bedrijven zijn nog steeds verplicht om data te overhandigen, het is niet zo dat de beveiliging ervoor zorgt dat de informatie niet meer in handen komt van de NSA. Het enige verschil is dat het dan via het bedrijf moet en die er een vergoeding voor krijgen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True