Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 100 reacties
Submitter: mindcrash

De Amerikaanse geheime dienst zou beveiligingsbedrijf RSA tien miljoen dollar hebben betaald om een inmiddels omstreden algoritme als standaard in te stellen in beveiligingsproducten. Waarschijnlijk heeft het algoritme, dat door de NSA is ontwikkeld, een backdoor.

RSAIn september bleek dat de geheime dienst NSA backdoors zou hebben ingebouwd in verschillende cryptografische algoritmes, waaronder het Dual_EC_DRBG-algoritme. Persbureau Reuters heeft nu ontdekt dat beveiligingsbedrijf RSA in een geheime deal van de NSA tien miljoen dollar zou hebben gekregen om het algoritme in zijn producten als standaard in te stellen. Het ging daarbij onder meer om de Bsafe-library, die door software kan worden gebruikt om communicatie te versleutelen.

Het bewuste algoritme is een random number generator. Betrouwbare random number generators zijn belangrijk voor de werking van encryptie-algoritmes, maar deze rng blijkt om de tuin te leiden als een gebruiker een specifieke set cijfers kent. Dual_EC_DRBG is ontwikkeld door de NSA zelf; beveiligingsbedrijf RSA implementeerde het algoritme al voordat het tot standaard was verheven. Al een jaar na de introductie in 2006 van het algoritme werden flinke kwetsbaarheden ontdekt, die volgens sommige onderzoekers wezen op een backdoor. Inmiddels heeft RSA klanten aangeraden om het algoritme niet meer te gebruiken.

De tien miljoen dollar die RSA zou hebben ontvangen, is relatief veel voor de bewuste divisie die het algoritme inbouwde. In 2005, een jaar voordat het algoritme werd gepubliceerd, verdiende die divisie 27,5 miljoen dollar. Desondanks is onduidelijk of het bedrijf wist dat de NSA een backdoor had ingebouwd: sommige medewerkers van het bedrijf zeggen tegenover Reuters dat het bedrijf daarover om de tuin is geleid. Dat er geen alarmbellen afgingen, zou te wijten zijn aan het feit dat de deal werd afgehandeld door mensen met een commerciële insteek in plaats van cryptografie-experts.

Begin jaren negentig wilde Amerikaanse regering in computers een chip laten inbouwen waarmee de geheime diensten eventuele beveiliging zouden kunnen omzeilen. Na protesten, waaronder ook van RSA, werd daarvan afgezien, waarbij de geheime dienst zijn pijlen richtte op de gebruikte algoritmes en gaten in de implementaties daarvan. De NSA wilde tegenover Reuters geen commentaar geven; RSA stelt 'altijd in de belangen van onze klanten te handelen' en nooit backdoors in te bouwen.

RSA is een van de meest invloedrijke beveiligingsbedrijven. Het bedrijf werd opgezet door de bedenkers van het RSA-algoritme, een van de eerste algoritmes die public key cryptography mogelijk maakte. Het RSA-algoritme wordt nog steeds veel gebruikt. Ook de producten van het bedrijf RSA worden veel gebruikt, hoewel het onder het grote publiek niet bekend is.

Moderatie-faq Wijzig weergave

Reacties (100)

Bestaat er ergens een lijst van producten en diensten die Dual_EC_DRBG gebruiken ?

Om mijn eigen vraag te beantwoorden; Dit is een lijst van producten en bedrijven die hun EC DRBG algeorithme hebben laten valideren door NIST.

[Reactie gewijzigd door 5trife op 21 december 2013 09:46]

Hier staat iig een lijst van bedrijven die (enkele van) hun produkten hebben laten DBRG-valideren door het NIST: http://csrc.nist.gov/grou...cuments/drbg/drbgval.html
En nu moet europa hard zijn en de RSA weren uit onze unie, de technieken die ze ontwikkelen illegaal maken in europa. Word leuk, kijken hoe alle Cisco routers uitgezet worden en Cisco een miljarden boete krijgt voor het aanbieden van illegale technologie in de EU. Het liefst zo'n hoge boete dat het bedrijf failliet gaat, laat de Amerikanen het maar voelen.

Maja je zult ze zien, ze zeggen alleen foei tegen Amerika. Terwijl amerika wel probeert huawei en zte buiten de deur te houden omdat ze denken dat de chinezen het zelfde doen.

America land of the hypocrites
Glen Greenwald heeft deze week bij een onderzoeks-commitee van de EU uitgelegd dat de NSA bezig is met politieke en economische spionage onder het mom van terrorismebestrijding. Iets wat Snowden recentelijk via een open brief ook benadrukt heeft.
Wat dat betreft zal de EU maatregelen moeten treffen omdat deze spionage schadelijk is en gestopt moet worden. Dus het uitbannen van technieken van Amerikaanse bedrijven zoals RSA zal ook op de agenda gezet moeten worden.
Heb je hier een link van?
Volledige verklaring voor de EU met Sophie van het Veld in een van de hoofdrollen.
http://www.youtube.com/watch?v=COmxAnVDegk
Er zijn paar soorten spionages door onze Amerikaanse "vrienden":
1 Ze willen weten wat mogelijke teroristen en vijanden doen, kan je mee eens zijn
2 Ze willen weten wat de stellingen worden tijdens onderhandelingen met bevriende naties, :-(
3 Ze willen thechnologische informatie hebben voor Amerikaanse bedrijven zodat ze economisch niet achter gaan lopen op andere mogendheden, dus ook niet de EU :-(

Alles voor America, Bush zei al dat America nooit zijn leidende positie in de wereld mag kwijt raken en dat daar alles voor geoorloofd is.

Albert
Dat is PNAC, the Project for the New American Century. En het stond in de 'Defense Planning Guidance' de 'draft' van 1992.

Jawel, en dat uit mijn hoofd.
Ik noemde bewust geen dienst, die Amerikanen hebben tig van die diensten :-(
Dat bedoel ik maar, 20 jaar geleden toen dat al.
Maar zelfs aan het einde van de 2e wereldoorlog hebben ze de Duitse raketgeleerden die aan de V´s werkten naar Amerika gehaald.
En nu moet europa hard zijn en de RSA weren uit onze unie, de technieken die ze ontwikkelen illegaal maken in europa.
En vervolgens gaat de hele Europese economie naar de kloten omdat we geen internet meer hebben, en een hoop andere infrastructuur niet meer werkt....
De implementatie van dit specifieke algoritme in OpenSSL werkt niet; het kan ook bijna niet zo zijn dat dit gebruikt wordt voor een aanval op SSL omdat OpenSSL een belangrijke implementatie is.
Zelfs de FIPS-gecertificeerde versie van OpenSSL heeft deze bug. http://www.theregister.co...pto_bug_beneficial_sorta/
Dit is onderhand zo groot dat je je afkunt vragen of de VS nog wel een rechtstaat is of een veredelde dictatuur, waarvan niet geheel duidelijk is wie de leiding heeft, in ieder geval niet de burgers.
Nog maar te zwijgen over de rechten die worden geschonden van alle andere landen.
In Europa moet men haar burgers hiertegen gaan beschermen, die paar terreur aanslagen hebben minder impact dan deze zwendel.
Nou dat is dan tenminste goed nieuws, in plaats van af te dwingen door middel van chantage betalen ze er gewoon netjes voor, goed van de NSA! :D
Dat niet alleen. Ze zeggen altijd in belang van de klanten te handelen. Aan het bedrag te zien was de NSA hier een enorme grote "klant" :X

Zou zoiets bij een community project niet veel moeilijker te verwezenlijken zijn, weet iemand dat??
Correct. Zolang er een publiek en transparent proces van besluitmaking is (en dat is er binnen de meeste community projects), krijg je dit soort dingen er niet zo makkelijk doorheen.

Het is niet onmogelijk, maar als je openheid van zaken geeft, version control gebruikt en regelmatig drafts publiceert... dan gaan mensen vragen stellen als er ineens 10 miljoen binnenkomt, gevolgd door een wijziging in algoritme.
Maar stel, één van de deelnemers werkt mee aan een community project, en bouwt een backdoor in. Is dit daadwerkelijk zó makkelijk te achterhalen door de rest van de community? Welgemeende vraag, ik heb verder geen ervaring met coden noch dergelijke projecten.

Om even een parallel te trekken naar een gebied waar ik meer ervaring mee heb. Onze overheid is in theorie heel erg open - véél informatie kan bijvoorbeeld worden opgevraagd door middel van een Wob-verzoek (Wet openbaarheid van bestuur). Het tweede punt is echter, hoeveel mensen doen dit ook daadwerkelijk? Weet de burger daadwerkelijk waar de overheid mee bezig is?

Wat ik probeer aan te geven, het kan wel controleerbaar zijn, maar wordt het ook daadwerkelijk gecontroleerd binnen dergelijke community projecten?
Maar stel, één van de deelnemers werkt mee aan een community project, en bouwt een backdoor in. Is dit daadwerkelijk zó makkelijk te achterhalen door de rest van de community? Welgemeende vraag, ik heb verder geen ervaring met coden noch dergelijke projecten.
Dat hangt natuurlijk van het Open Source project af. De bekendere, zoals OpenSSH, OpenSSL, GPG, werken met reviews. Dat betekent dat een wijziging door meerdere mensen afgetekend dient te worden. En deze mensen zijn bekwaam met de materie.

Een wijziging kan eigenlijk twee dingen omvatten:
1. een nieuwe feature.
2. een bugfix.

Als het goed is, dan is het zo dat als iemand aan punt 1 gaat werken, hij of zij dit van tevoren meldt zodat de reviewers naar het probleem kunnen kijken en mee gaan denken. Als dan de wijziging komt, dan weet iedereen wat er ongeveer te verwachten valt.

Werkt iemand aan punt 2, dan geldt eigenlijk hetzelfde als bij de punt 1, met het verschil dat het probleem dan al bekend is natuurlijk.

Echter, als iemand in één keer een hele berg code doneert zonder dit te melden, dan worden de reviewers argwanend en zullen ze het waarschijnlijk weigeren.
Dank voor de heldere uitleg :)
Dit is ook waarom ik het balletje van "source control" opgooi - een source/version control system werkt met "commits", waar iedere commit bepaalde wijzigingen omvat. Deze kunnen in isolatie bekeken worden.

Dat betekent dus dat áls iemand iets wijzigt, dat simpelweg gewoon zichtbaar is in source control als een wijziging die op zichzelf staat... en dus veel makkelijker te reviewen (en controleren) dan een gigantische berg code waar -ergens- iets in veranderd is.

Dit werkt enigszins hetzelfde met publicatie van 'drafts' - je kunt een 'draft' in principe als een soort van niet-digitale commit zien :)
10 miljoen is weinig voor je betrouwbaarheid as security bedrijf. De betrouwbaarheid van RSA is nu ernstig geschaad. Zeker omdat RSA een paar maanden geleden nog geclaimd had dat er geen backdoor in Dual_EC_DRBG.
In hoeveel andere producten van RSA zouden nog backdoors zitten. Als een overheid zou ik geen RSA producten meer vertrouwen. Voor bedrijven die weinig te vrezen hebben voor spionage door de NSA zijn RSA producten nog wel te gebruiken (met een korrel zout).
10 miljoen is weinig voor je betrouwbaarheid as security bedrijf. De betrouwbaarheid van RSA is nu ernstig geschaad. Zeker omdat RSA een paar maanden geleden nog geclaimd had dat er geen backdoor in Dual_EC_DRBG.
Voor de afdeling die het gedaan heeft was het wel veel geld. Ze hadden in totaal $30 miljoen inkomsten, dan is $10 miljoen wel erg veel. Het is ook niet door de techneuten bedacht maar van hogerhand opgelegd. De managers die het hebben besloten hadden waarschijnlijk niet de technische kennis om te begrijpen wat de risico's waren.
Ik denk dat een of twee manager zijn omgekocht of onder druk gezet om dit algoritme te adopteren. De rest is lekker gemaakt met een 'subsidie' van $10 miljoen. Als er zowel druk van binnen de organisatie komt als vanuit de staat dan zullen andere managers ook makkelijker overstag gaan.
Daarnaast had de NSA in die tijd een veel betere reputatie dan nu en het was niet bekend dat er iets mis was met het algoritme. De buitenwereld wist ook niet dat de NSA er achter zat. Ze hebben het via tussenpersonen via de normale trajecten gepubliceerd.
Compleet mee eens. In de jaren 90 waren de Amerikanen steeds 'de goeden' in het nieuws. Als dan de NSA jouw een algoritme aanbiedt EN je nog eens een mooie som subsidieert, dan ga je als bedrijf je handjes kussen en het het aannemen.
Als iets gratis is, weet je al dat jij het product bent, moet je op zijn minst lont ruiken, wie het ook aanbiedt. Als je geld TOE krijgt, wordt je omgekocht. Valt niet recht te praten. We hebben het niet over kinderen met een rolletje drop.
Met de kennis van nu....
Als de overheid je subsidie geeft om zonnepanelen op je dak te zetten dan neem je die ook graag aan zonder er aan te denken dat die installtie in theorie ook gebruikt kan worden om je te bespioneren. RSA dacht vast ook dat ze subsidie kregen om iets sociaal wenselijks te doen (goede beveiliging verzorgen).
Laten we eens goed naar die vergelijking kijken. De subsidie op zonnepanelen is in de praktijk hooguit 20, 30 procent van de aanschaf van één product. De bewuste RSA afdeling kreeg 30% van zijn complete jaaromzet als smeergeld. Als je een bonus van 30% van je jaarsalaris krijgt om voor dat ene product te kiezen, boven een ander, dan vraag jij je niet af of er wat achter zit?

Belangrijker is dat de RSA haar bestaansrecht ontleent aan haar expertise en naam op het gebied van beveiliging. Ze heeft als doel veiligheid te verschaffen, tegen behoorlijke betalingen uiteraard. Vele bedrijven en overheden zijn afhankelijk van die veiligheid, en daarmee hun klanten. Om bij je analogie te blijven: Jij hebt een beveiligingsbedrijf, mag een bankgebouw beveiligen en je krijgt een bedrag ter grootte van 30% van je jaaromzet, "zomaar cadeau", van een bepaald bedrijf (dus niet van een overheid) als je het camerasysteem koopt wat zij adviseren. Dat is niet "zomaar", dat snapt iedereen in de beveiligingsbranche.
Laten we eens goed naar die vergelijking kijken. De subsidie op zonnepanelen is in de praktijk hooguit 20, 30 procent van de aanschaf van één product. De bewuste RSA afdeling kreeg 30% van zijn complete jaaromzet als smeergeld. Als je een bonus van 30% van je jaarsalaris krijgt om voor dat ene product te kiezen, boven een ander, dan vraag jij je niet af of er wat achter zit?
30% blijft 30%. Of je nu 30% subsidie krijgt op je producten om het milieu te helpen of 30% subsidie om een "veilig" algoritme te implementeren. Daarbij denk ik dat het RSA daadwerkelijk miljoenen heeft gekost om dit algoritme te implementeren. Met name het hele controle & certificatietraject zal bijzonder duur zijn geweest.

Managers zonder diepgaande kennis van hun eigen product heb je overal. De echte zware jongens worden geen manager maar richten zich op hun vak. De bazen waren vast heel blij met de mooie subsidie die ze hadden binnengehaald. RSA zal ook wel hebben gecontroleerd of het algoritme veilig was maar het heeft nog jaren geduurd voor wetenschappelijke gemeenschap de problemen ontdekte, dus ik kan het ze niet kwalijk nemen dat ze het probleem niet hebben gezien. Zelfs als er onderzoekers waren met principiele bezwaren dan zal het lastig zijn om managers met 10 miljoen in hun handen te overtuigen als je geen concrete gaten kan aanwijzen.

Van Snowden weten we dat de NSA zo'n 250 miljoen per jaar uitgeeft aan dit soort projectjes. We kunnen er dus van uitgaan dat RSA niet de enige is geweest die het heeft geaccepteert.

Ik probeer het niet goed te praten, maar ik denk dat ik wel snap wat er is gebeurd.
Belangrijker is dat de RSA haar bestaansrecht ontleent aan haar expertise en naam op het gebied van beveiliging. Ze heeft als doel veiligheid te verschaffen, tegen behoorlijke betalingen uiteraard. Vele bedrijven en overheden zijn afhankelijk van die veiligheid, en daarmee hun klanten.
Als de keuringsdienst van waren zegt dat je je frietjes op 160 graden moet frituren omdat het gezonder is zullen de meeste professionele koks dat niet zelf onderzoeken maar juist blij zijn met het advies. Als ze dan ook nog subsidie krijgen voor een nieuwe frietpan zullen ze extra snel mee gaan.
Om bij je analogie te blijven: Jij hebt een beveiligingsbedrijf, mag een bankgebouw beveiligen en je krijgt een bedrag ter grootte van 30% van je jaaromzet, "zomaar cadeau", van een bepaald bedrijf (dus niet van een overheid) als je het camerasysteem koopt wat zij adviseren. Dat is niet "zomaar", dat snapt iedereen in de beveiligingsbranche.
In een ideale wereld zou zo'n subsidie geweigerd worden maar in praktijk wordt er een hoop gesjoemeld en geklungeld. Ooit had ik problemen met de camera van een robot. Toen ik op onderzoek ging bleek ik de beelden van de draadloze beveiligingscamera's te ontvangen. Bij een andere organisatie die ik ken zitten de beveiligingscamera's op een onbeveiligd netwerk en gebruiken ze het zeer voor de hand liggende default wachtwoord. Beide systemen zijn aangelegd door duurbetaalde professionals.

Ik wil niks goed praten maar ik geloof niet dat RSA de duivel is. Je kan er maar beter van uitgaan dat dit (helaas) de standaard is dan denken dat dit een extreem uitzonderlijk geval is.
Natuurlijk is de RSA niet zelf het brein hierachter, maar het is ze wel te verwijten dat ze hier ingetrapt zijn. Het feit dat ze betaalt kregen voor een bepaalde keuze, had bij hen als beveiligingsspecialist alle alarmbellen moeten doen afgaan.

RSA is niet een kok, maar juist de keuringsdienst van waren waar de koks op moeten kunnen vertrouwen.

Of het de RSA miljoenen heeft gekost om dit te implementeren is niet relevant want dat geld waren ze ook bij andere algoritme kwijt geweest.

De draadloze camera's die je bedoelt zijn van het allergoedkoopste en eenvoudigste soort en het is algemeen bekend dat het signaal niet versleuteld is. Dat is vaak ook niet de moeite omdat het bereik klein is en ze vooral op openbare in/uitgangen gericht staan. Dat is geen beveiligingslek maar een keuze. Wil je het beveiligen dan gebruik je een kabel, of netwerkcamera met versleuteld netwerk.

Dat er een NSA 'potje' is waar meer bedrijven uit omgekocht worden, doet niets af aan het bericht. Wel kun je stellen dat het ernstiger is dat een beveiligingsbedrijf omgekocht wordt, dan een 'gewoon' IT bedrijf.

Overigens ging al jaren het gerucht dat de RSA voor deze keuze betaald was, nadat al in 2007 beveiligingsexperts van Microsoft nattigheid voelden. Zie theregister.co.uk voor meer details. Er staat ook een link naar de ook voor leken begrijpelijke uitleg van MS op http://rump2007.cr.yp.to/15-shumow.pdf
Natuurlijk is de RSA niet zelf het brein hierachter, maar het is ze wel te verwijten dat ze hier ingetrapt zijn. Het feit dat ze betaalt kregen voor een bepaalde keuze, had bij hen als beveiligingsspecialist alle alarmbellen moeten doen afgaan.
yup, "had moeten". Als iedereen toch eens had gedaan wat ze hadden moeten doen... Ik wil RSA niet verdedigen maar als je denkt dat het elders beter gaat houd je jezelf voor de gek. Het is waarschijnlijk zo gespeeld dat RSA dacht dat ze de keuze zelf hadden gemaakt.
De draadloze camera's die je bedoelt zijn van het allergoedkoopste en eenvoudigste soort en het is algemeen bekend dat het signaal niet versleuteld is. Dat is vaak ook niet de moeite omdat het bereik klein is en ze vooral op openbare in/uitgangen gericht staan. Dat is geen beveiligingslek maar een keuze.
Maar wel een keuze die steeds weer opnieuw wordt gemaakt. Beveiliging is overal zo lek als een mandje.
Overigens ging al jaren het gerucht dat de RSA voor deze keuze betaald was, nadat al in 2007 beveiligingsexperts van Microsoft nattigheid voelden.
Dat zijn de wetenschappers die ik in mijn tekst noem. Het heeft dus jaren geduurd tussen de eerste publicaties en dat er een vermoeden kwam dat er iets mis was. In 2007 voelde men inderdaad nattigheid, maar harde bewijzen waren er zelfs toen niet. Als RSA zou zeggen: "We hebben het onderzocht maar geen fout kunnen vinden" dan zou ik ze geloven. (opmerking: ze hebben dit nog niet gezegd, alleen dat ze niet wisten dat er een backdoor in zat).

Je kan nu nog een keer reageren met dat het schandalig is dat RSA dit heeft gedaan (en dat is het ook) maar daarmee suggereer je dat anderen het beter doen. Ik zou het graag willen maar vrees dat het overal zo erg is. In mijn hele leven heb ik nog nooit een organisatie gezien die z'n zaakjes echt op orde heeft. Overal wordt gerommeld.
We kunnen dus maar beter aannemen dat met ieder beveiligingssysteem wel iets mis is, dan kunnen we er rekening mee houden en extra lagen beveiliging aanbrengen.
Reputatie van NSA doet er niet toe. Als je als security bedrijf gevraagd wordt een backdoor te installeren weet je dat er serieus is verkeerd is.
Of het $10M + betaling in natura (lees: je kinderen krijgen nog toegang tot lunch) maakt wel een verschil.
Reputatie van NSA doet er niet toe. Als je als security bedrijf gevraagd wordt een backdoor te installeren weet je dat er serieus is verkeerd is.

Dat is mooi maar het heeft weinig met dit artikel te maken, aangezien voor zover bekend RSA niet door de NSA is benaderd met de vraag spionage praktijken te ondersteunen, voor zover bekend is RSA benaderd met een sterk ogende standaard welke goed ontwikkelt leek.
Jammer dat RSA hierin is meegegaan, je zou juist van zo'n bedrijf verwachten dat dit niet gebeurt, hoewel tegenwoordig...
Wat nu wederom blijkt is dat niets nog veilig is en de RSA producten zijn nu allemaal verdacht.
De gemiddelde gebruiker en ook bedrijven denken dat de hackers en spammers , dus indringers van buitenaf, hun grootste bedreiging zijn.... maar in feite zit het gevaar al die tijd binnen de organisatie : hun medewerkers zelf en nu ook dit soort verderfelijke overheidsdiensten...
Ja de medewerkers waren of heel erg naïef, of dachten dat ze er mee weg konden komen, maar om een algoritme te kiezen die de goedkeuring van de NSA had is natuurlijk ongelooflijk dom.

Zeker als je bedrijf $2 miljard waard is neem niet dergelijke risico's voor in verhouding zak geld.
Het rare is alleen dat de aandelen van nu moederbedrijf EMC2 Corporation zelf ruim 2% omhoog zijn gegaan vandaag, want hoewel RSA maar net even 5% van de omvang van EMC is, zou je denken dat een het bedrijf een hoop uit te leggen heeft, en heel erg hard zijn best zal moeten doen om vertrouwen terug te winnen die ze nu verloren hebben.
Ja de medewerkers waren of heel erg naïef, of dachten dat ze er mee weg konden komen, maar om een algoritme te kiezen die de goedkeuring van de NSA had is natuurlijk ongelooflijk dom.
Je vergeet wel even dat het publieke beeld van de NSA in de jaren negentig een stuk positiever was. Het was weliswaar een deels geheime organisatie maar tot 9/11 hadden ze maar een beperkte verantwoordelijkheid en op cyptografisch/cryptologisch gebied een enorme expertise en reputatie. Daarnaast heeft de NSA ook (lange tijd) betrouwbare standaarden als DES, SHA en Rijndael/AES ontwikkeld danwel gesponsord.
Je vergeet wel even dat het publieke beeld van de NSA in de jaren negentig een stuk positiever was.
Dit is een contract van 2005, niet de negentiger jaren, daarnaast is RSA een beveiligingsfirma die in de zelfde markt werkt als de NSA, als het gros van mensen met een beetje kennis al de NSA wantrouwde, hoe naïef moet je niet zijn als firma die zaken doet met de NSA om ze te vertrouwen op hun mooie blauwe ogen. :+
Mag duidelijk zijn als de nsa dit bedrijf betaald heeft het ook andere bedrijven betaald.

Je moet dan tot de conclusie komen dat geen enkele closed source encryptie meer te vertrouwen is.

De enige mogelijkheid is open source zelf compileren en een open source compiler. Op die manier kan je echt in de broncode kijken (als je er verstand van hebt) en alles op achterdeurtjes controleren.
Idd, daaaag RSA. Je vertrouwt z'n bedrijf nu toch nooit meer. Reputatie omzeep en bij de volgende keer als je iets in die regio zoek kijk je daar zeker niet meer. Ik zeg niet dat andere het ook niet doen / hebben gedaan, maar nu je het hiervan zeker weet hoef je ze zeker niet meer. Wat een ongelofelijke beerput is er toch open gegeaan zeg !
Holey Mozes.....
Dit blijft natuurlijk niet alleen bij RSA..... Zoals gedacht is alles gecomprimiteerd, alles... Dit is best erg.

[Reactie gewijzigd door sokolum01 op 21 december 2013 11:04]

Ja het is netjes om eerst je misdaad te outsourcen.
Daarom zou je eigenlijk alleen encryptie mogen gebruiken die voldoet aan het principe van Kerckhoffs. Dit principe stelt dat een systeem pas veilig is als alles over het systeem behalve de sleutel bekend is en gaat dus nooit op voor closed-source software.

@blorf: Nee lezen, precies andersom. Als je een systeem gebruikt dat door iedereen is in te zien heb je niet een zwak punt, maar een sterk punt. Wat jij propageert is security through obscurity en dat is per definitie niet veilig.

[Reactie gewijzigd door HenkEisjedies op 21 december 2013 10:19]

Vrij logisch. Als je een encryptiemethode gebruikt die in zekere zin een standaard is en waar derden ook kennis van hebben heb je al een zwak punt. Probleem is dat we allemaal hetzelfde TCP/IP-gebaseerde internet gebruiken en elke toegepaste beveiliginsmethode in feite bestaat uit een opsomming van handelingen die al lang bekend waren. Het 'systeem' waar die Kerckhoffs het over had omvat in dit geval volgens mij de twee partijen + het hele internet. Al met al is ervoor zorgen dat dat systeem zichzelf volledig kent dus niet haalbaar. De enige manier om daaraan te ontkomen is door voor elke communicatie-sessie apart en in het geheim een nieuwe methode te ontwikkelen die geen geen gebruik maakt van protocollen die in het openbaar beschreven zijn. Risico wat je dan nog over houdt is dat iemand je verbinding niet kan afluisteren maar wel waarnemen. De fysieke afstand tussen twee partijen die meestal duizenden kilometers bedraagt is voor burgers simpelweg niet te beveiligen. De lijnen liggen er al en worden door derden beheerd. Er is dus altijd te zien wie met wie communiceert en de hoeveelheid data die daarbij wordt uitgewisseld.
add: Wat OSS betreft heb je zeker gelijk. Het dwingt integriteit af die noodzakelijk is in een tijdperk waarin overheden en de 'internet-onderwereld' partijen van hetzelfde kaliber lijken te zijn. Veel mensen moeten alleen nog wakker worden.

[Reactie gewijzigd door blorf op 21 december 2013 10:09]

Nu we toch aardig hypothetisch bezig zijn, misschien dat 9P wel een antwoord zou kunnen zijn. Dat is namelijk een filesysteem waarmee je o.a. verbinding kan maken tussen computers, onafhankelijk van welk protocol dan ook (TCP / UDP / IL / ...). En het mooie van 9P is dat, omdat het een filesystem is, je het mount commando gebruikt, waarmee je bovenop 9P iedere encryptie kan toepassen die je maar wilt, zolang beide partijen het ondersteunen natuurlijk.

[Reactie gewijzigd door ksinix op 21 december 2013 10:25]

Nog niets over gehoord. Wel over Plan9 en hun alternatieve OS-architectuur, waar 9P op voortgeborduurd lijkt te zijn. Maar ik denk dat de hardwaremarkt hier niet op zit te wachten en het puur theorie blijft. Hiervoor moet alles "legacy-hardware" worden zonder poespas en alleen zuivere functionaliteit. die zich uiterst strak aan open industriele standaarden vasthoudt. Helaas heeft dat geen commerciele perspectieven. Alles moet telkens in een ander jasje. 802.11q verkoopt nou eenmaal beter dan 802.11p. Maar als je OS niet verder gaat dan p blijf je ermee zitten. Ongeacht op welke level in het systeem je de ondersteuning implementeert, de extra functionaliteit die q biedt moet ergens ingebouwd worden om er gebruik van te kunnen maken. Nu is dat bij wifi voor de gemiddelde gebruiker niet zo heel boeiend, maar wel als het om bijv. een geluids- of videochip gaat waarvan het nieuwste type serieus merkbaar meer kan. Voor zoiets moet tot op user-level alsnog ondersteuning ontwikkeld worden en krijg je weer je oude machine afhankelijkheid terug.

[Reactie gewijzigd door blorf op 21 december 2013 10:51]

In feite is FUSE de Linux variant van 9P. Dat gezegd hebbende, 9P is een centraal onderdeel van Plan9. Heel Plan9 is opgebouwd uit 9P. Alle drivers werken met 9P, zoals bij een microkernel. Maar het leuke is dat 9P ook, zoals eerder vermeld, gebruikt kan worden voor communicatie tussen machines. In het geval van de geluidskaart zou de driver dus als filesysteem ook op een andere computer kunnen staan, alhoewel je dat natuurlijk niet echt wilt.
Wordt de NIC-driver niet lastig? Ik bedoel, als die er niet is op systeem-level heb je ook geen netwerk op user-level tenzij een legacy rtl8139 of 3c509 drivertje oid in de eerste instantie voldoet. Maar bij een laptop met de nieuwste gigabit-netwerkchip is het maar afwachten of die backward compatible is met die antieke meuk. Anyway, hier komen we bij de kern van de oorlog: wie ownt de hardware? Helaas vooralsnog niet de eigenaar en/of de eindgebruiker.

[Reactie gewijzigd door blorf op 21 december 2013 13:23]

Ik heb daar ook geen antwoord op. En het klopt helemaal wat je zegt.
Dat ís hier het geval. Het algoritme is bekend. Je moet alleen wel de kennis hebben om het algoritme volledig te doorzien om in te kunnen zien dat het kwetbaar is, en dat kunnen maar heel weinig mensen. En laat NSA nu net een van de grotere werkgevers voor cryptoexperts zijn...
[..] een systeem pas veilig is als alles over het systeem behalve de sleutel bekend is en gaat dus nooit op voor closed-source software.
Wat jij propageert is security through obscurity en dat is per definitie niet veilig.
Klopt bijna helemaal. Als je je systeem beschermt met software van een ander waar je de source niet van hebt dan heb je zelf niet de volledige kennis van je eigen systeem en dat is inderdaad niet veilig. Maar het omgekeerde is misschien ook waar. Gesteld dat je in staat bent een algoritme te ontwikkelen dat vergelijkbaar is met RSA of AES etc maar je maakt dit niet openbaar. Het zou wel eens kunnen dat je dan een voorsprong hebt op aanvallers omdat ze eerst helemaal moeten uitzoeken hoe je algoritme überhaupt werkt voordat ze kunnen gaan zoeken naar gaten er in.

Het is toch ook een algemeen bekend beveiligingsprincipe dat je gewoon zo min mogelijk informatie moet geven aan potentiële aanvallers. Niet melden 'Het wachtwoord was niet juist', of 'Gebruikersnaam bestaat niet', maar het neutralere 'Aanmelden mislukt' zodat de aanvaller niet weet welke van de twee velden hij moet aanpassen. Niet melden op welke versie van welke server de website draait, zodat het lastiger is een 0-day te gebruiken. Gevonden gaten pas wereldkundig maken nadat ze gedicht zijn etc.
De beschuldigingen aan het adres van Huawei staan nu in een iets ander daglicht.... Lekker hypocriet die Amerikanen.
Kom je er nu pas achter. Was het niet duidelijk dat die campagne tegen Huawei voornamelijk (zo niet volledig) door econimische motieven gedreven wordt? Die zogenaamde backdoor in Huawei producten is nooit aangetroffen, terwijl ze in Cisco spullen al lang bekend is.

Hoezo doorzichtig?
Het hypocriete deel begint pas als je realiseert dat Amerikanen niet bespioneerd mogen worden. De hele nsa heeft dus als enig doel de buitenlanders bespioneren.
Het hypocriete deel begint pas als je realiseert dat Amerikanen niet bespioneerd mogen worden. De hele nsa heeft dus als enig doel de buitenlanders bespioneren.
De NSA mag wel degelijk ook Amerikanen bespioneren hoor, dat heeft Obama in 2011 voor elkaar gekregen, zie dit artikel bijvoorbeeld.
Deze redenatie is toch pas geleden in een rechtszaak van de tafel geveegd? De NSA legitimeert zijn handelen met een Executive Order waarvan deze rechter beweert dat die hoogstwaarschijnlijk ongrondwettig is.
Waarom denk je dat Amerikanen zelf niet bespioneerd worden door de NSA?
Met het idee dat er een evtuele bedreiging uit het buitenland zou moeten komen. Nou die stelling is in de laatste jaren ook wel onderuit gehaald, ik zou toch zeker mijn oren ook een keer naar het eigen USA keren. Maar oja, dat mag niet ivm privacy wat de rest van de wereld onder druk van diezelfde USA heeft moeten opgeven.
Ze nemen hiermee eigenlijk iedere internetgebruiker in de backdoor.
En die was nog wel speciaal ingebouwd door ons moederbedrijf.
Maar als er al een backdoor in verwerkt is moet dat toch nu te achterhalen zijn door cryptografie experts?
Toen ik bij de rijksoverheid werkte (tot 4 maanden terug) had ik een RSA-token om vanuit huis in te kunnen loggen. Benieuwd of ze wat met deze informatie gaan doen.
Benieuwd of ze wat met deze informatie gaan doen.

De NSA of de rijksoverheid? :+
Dual_EC_DRBG is ontwikkeld door de NSA zelf
Ook een kwestie van gezond verstand gebruiken. Als je iets wilt kraken, lever je gewoon zelf de versleuteling.

Het is wel vervelend dat de totale versleuteling op het internet (vrijwel) in handen is van Amerikaanse bedrijven (RSA en dus NSA in het bijzonder). Het wordt tijd dat een onafhankelijke (niet Amerikaanse) organisatie het voortouw gaat nemen op het gebied van versleuteling. Volgens mij is het asymmetrische algoritme wel goed maar heeft de NSA bewust de implementatie verprutst.

Daarnaast zijn de random number generators ook aanwezig in vrijwel alle hardware. Dus, zelfs als je de bovenstaande library niet gebruikt, kan het zijn dat je versleuteling niet veilig is vanwege de gebruikte (Intel/AMD/Amerikaanse?) hardware.
Die onafhankelijke bedrijven worden dan zo onder druk gezet of het land waarvan uit ze opereren dat het uiteindelijk ook weer zwicht...
Ik weet niet of het ooit weer gaat lukken om een 99.9% (want 100% redt je schijnbaar nooit) beveiliging te hebben en dan ga ik er vanuit dat die 0.1% niet in handen is van de NSA.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True