Samsung: Knox is wel veilig

De encryptiesleutels die Samsungs beveiligingsplatform Knox genereert zijn wel degelijk veilig. Dat beweert althans het Zuid-Koreaanse bedrijf. Vorige week beweerde een Duitse beveiligingsonderzoeker nog van niet.

Een beveiligingsonderzoeker beweerde vorige week dat de encryptiesleutels van Samsung Knox niet volledig willekeurig worden gegenereerd, maar zijn gebaseerd op een hardcoded-string en het device-id. Dat is niet zo, claimt Samsung. In de eerste versie van Knox werd volgens Samsung al een volledig willekeurige sleutel gegenereerd op basis van het wachtwoord van de gebruiker en een willekeurig gegenereerd nummer. In de nieuwe versie van Knox zou de sleutelsterkte bovendien verder zijn verhoogd.

Samsung bevestigt wel dat de encryptiesleutel lokaal wordt opgeslagen, zoals de beveiligingsonderzoeker beweerde. Dat gebeurt onder meer om een geheugensteuntje te geven als een gebruiker zijn wachtwoord is vergeten. De elektronicagigant beweert echter dat de sleutel wel degelijk veilig is opgeslagen, anders dan de beveiligingsonderzoeker beweerde.

Tot slot slaat de zakelijke versie van Knox de pincode van gebruikers niet in plaintext op, beweert Samsung. Die pincode is nodig om het geheugensteuntje te kunnen krijgen. De zakelijke versie vereist echter dat een systeembeheerder het wachtwoord van een gebruiker reset, benadrukt Samsung. Het bedrijf laat zich echter niet uit over de consumentenversie van Knox.

Samsung prijst Knox aan als een platform voor bedrijven, waarmee ze bijvoorbeeld privégegevens van zakelijke data kunnen scheiden. Onlangs heeft de NSA Knox goedgekeurd voor gebruik door de Amerikaanse overheid. Eerder dit jaar deden geruchten de ronde dat Samsung met het beveiligingsplatform zou stoppen, maar daar is niets van waar, verzekerde Samsung later.

IT-banen

Reacties (46)

Anoniem: 601896 27 oktober 2014 09:42

Knox is relatief jong...
Dus men mag misschien hier en daar een schoonheidfoutje vergeven...
Maar de fouten en lekken, die in Knox gevonden worden zijn zo vaak gevolgen van het niet een aantal basis-principes om digitale 'veiligheid' te bewerkstelligen dat ik er 0 vertrouwen in zou hebben als int. concurrerend bedrijf.

Je kan in ieder geval zeggen, dat samsung persreacties verbeteren, vorige keer toen uit onderzoek van israelische student/onderzoeker bleek dat zelfs het installeren van een simpele kinderapp toegang tot de informatie binnen knox, was de eerste reactie, het ligt niet aan ons, maar aan android. Terwijl dat het gebrek van een simpele encryptie van de verstuurde data door Knox, toegang tot alle gegevens al had kunnen voorkomen. Nu blijkt ook de encryptie zwak, en codes in plain-text besschikbaar.

Fawn 27 oktober 2014 09:33

Tja, echt overtuigend klinkt het nog niet.
Erger dan beveiligingsfouten maken, is ontkennen dat iets onveilig is.

Tjolk @Fawn • 27 oktober 2014 09:39

Ik ben volledig met je eens dat het niet erg overtuigend is (klinkt als Wij van WC eend), maar dit volg ik niet:

Erger dan beveiligingsfouten maken, is ontkennen dat iets onveilig is.

Als iets gewoon veilig IS, maar je wilt (om veiligheidsredenen) geen volledige openheid geven, wat moet je dan? Zeggen dat het ONveilig is?

Fawn @Tjolk • 27 oktober 2014 09:42

Ik denk dat je vertrouwen moet winnen doen openheid te geven. Dus dat je in de reactie aangeeft wat je al wel veilig acht en wat je gaat verbeteren.
Wat Samsung doet is de paar dingen die niet heel onveilig zijn opnoemen om daarmee aan te geven dat je wel kunt vertrouwen op het producten, terwijl de zwakke onderdelen worden genegeerd in de reactie.

watercoolertje

Samsung

@Fawn • 27 oktober 2014 09:48

Ze hebben anders precies gereageerd op de punten die in het artikel wat ik hier gister kon lezen werd beschreven (het plain text opslaan, en het generen van de encryptiesleutel)...

Dus noem die onderdelen die ze ontwijken is bij naam als je wilt?

Ik weet trouwens niet wat ik wel en niet moet geloven, eerlijk gezegd maakt het mij niet uit, heb knox voor zover mogelijk uitgeschakeld en verwijderd

[Reactie gewijzigd door watercoolertje op 24 juli 2024 23:46]

Fawn @watercoolertje • 27 oktober 2014 10:10

De zwaktes in plaintext keys bij particuliere gebruikers. Daarnaast wordt er niets gedaan met het probleem dat de key lokaal opgeslagen wordt, omdat dit een handige feature zou kunnen zijn, maar wordt er wel geroepen dat het veilig is.

Durandal @Tjolk • 27 oktober 2014 13:24

Als iets gewoon veilig IS, maar je wilt (om veiligheidsredenen) geen volledige openheid geven, wat moet je dan? Zeggen dat het ONveilig is?

Als je om veiligheidsredenen geen volledige openheid wilt geven dan rust je 'security' dus op obscurity. Daarmee geef je al aan dat het niet veilig is.

Als iets echt veilig is kan je gerust precies uitleggen hoe het werkt, want het is dan inherent veilig.

Puc van S. @Fawn • 27 oktober 2014 09:35

Tja wat moet je dan= Als het wel veilig is "liegen" dat het niet veilig is?

TheKmork @Puc van S. • 27 oktober 2014 13:09

Nee, maar je kunt wel onderbouwd aantonen waarom de aantijgingen onjuist zijn.

paulklooster @Fawn • 27 oktober 2014 09:37

T probleem bij dit soort zaken is dar ze dit wel moeten zeggen. Wij weten nu niet hoe het zit: is het nou wel of niet veilig? Samsung zal in beide gevallen dit beweren, en wij moeten maar afwachten wat de waarheid is

Durandal @paulklooster • 27 oktober 2014 13:22

Nee, je moet niet afwachten. Je moet aannemen dat Knox onveilig is en op zoek gaan naar iets veiligs.

Blaise 27 oktober 2014 09:42

Samsung bevestigt wel dat de encryptiesleutel lokaal wordt opgeslagen [...]. Dat gebeurt onder meer om een geheugensteuntje te geven als een gebruiker zijn wachtwoord is vergeten. De elektronicagigant beweert echter dat de sleutel wel degelijk veilig is opgeslagen [...]

Zijn daar details van beschikbaar? Bestaat hiervoor een veilig algoritme of concept? Ik geloof best dat de encryptie sterk is, maar als er een zwakheid zit in het bewaren van de sleutel dan is het natuurlijk alsnog onveilig (nog afgezien van de geheugensteun).

OddesE @Blaise • 27 oktober 2014 10:45

Wellicht gekoppeld aan de sim code van je telefoon?
Details zouden welkom zijn idd.

[Reactie gewijzigd door OddesE op 24 juli 2024 23:46]

Isheara @Blaise • 27 oktober 2014 18:30

Niet om te bashen.....

Apple doet dit wel veilig in OSX: je kan een encryptie sleutel van je filevault laten bewaren door Apple. Dit is een KEUS, je kan er ook voor kiezen om de sleutel zelf te bewaren, maar dan bewaart Apple deze niet, en ben je dus alles kwijt als je de sleutel niet meer hebt.

Dit zouden meer bedrijven toch kunnen doen?

Zie hier:

http://support.apple.com/kb/ht4790

En voor iCloud:

http://support.apple.com/kb/ht4865

[Reactie gewijzigd door Isheara op 24 juli 2024 23:46]

SherlockHolmes 27 oktober 2014 09:30

Damage control...

DigitalExorcist @SherlockHolmes • 27 oktober 2014 10:22

En slim bedacht ook. Samsung heeft het over de zakelijke versie van Knox. De consumentenversie is dus zo lek als een vergiet. Het gaat er niet om wat ze wél zeggen, het gaat erom wat ze juist niet zeggen in dit verhaal.

MicGlou @DigitalExorcist • 27 oktober 2014 11:18

De derde alinea haalt alleen de extra functionaliteit aan voor zakelijke gebruikers mbt pincodes, Knox = Knox en technisch werkt het op de achtergrond hetzelfde, het verschil zit em in de opties en ondersteuning als je voor de zakelijke versie gaat. Jij insinueert nu iets wat niet zo wordt besproken en ook niet zo wordt bedoelt... Samsung pareert er niet omheen door dingen ´niet te zeggen´.

Grrrrrene

@DigitalExorcist • 27 oktober 2014 20:33

Dat staat er dus niet. Dat is wat jij er nu van maakt. Wat die beveiligingsonderzoeker en Samsung zeggen kan natuurlijk nooit allebei waar zijn, maar het is wel erg voorbarig om hier te concluderen dat Samsung aan het liegen is en die beveiligingsonderzoeker voor de volle 100% gelijk heeft. Dit soort mensen wordt ook nog wel eens ingehuurd door een concurrent. Niets is beter voor je verkopen als je concurrent problemen heeft. Het leed is voor Samsung nu al geschied: er heerst op z'n minst twijfel over de beveiliging van Knox en dat wil de consument niet.

[Reactie gewijzigd door Grrrrrene op 24 juli 2024 23:46]

DigitalExorcist @Grrrrrene • 30 oktober 2014 10:15

Samsung liegt niet; Samsung vertelt niet de hele waarheid. Dat is wat anders. Dat is impliceren..

Airbus zegt: "Wij bouwen veilige vliegtuigen, want de A380 is nooit neergestort". Waarmee ze dus zeggen dat hun andere typen vliegtuigen wél vaker neerstorten.. misschien een krom voorbeeld, maar zo werkt marketing. Duracell gaat gemiddeld 80% langer mee. (En dan in minuscule, onleesbare lettertjes: 'vergeleken met gewone nicad-batterijen', waarbij ze niet vermelden dat die al 100 jaar niet meer gebruikt worden...)

De zakelijke versie bevat <dit of dat> niet. Maar ze zeggen niet dat de consumentenversie dat óók niet bevat; ze impliceren daarmee dat de consumentenversie die gegevens wél plaintext opslaat. Anders hadden ze kunnen zeggen "al onze Knox versies, zakelijk en particulier, slaan de gegevens versleuteld op".

OddesE @SherlockHolmes • 27 oktober 2014 10:39

De encryptiesleutels die Samsungs beveiligingsplatform Knox genereert zijn wel degelijk veilig. Dat beweert althans het Zuid-Koreaanse bedrijf.

Wij van WC eend...

Ik geloof toch liever die onafhankelijke beveiliging onderzoeker... Hoewel die er natuurlijk weer baat bij heeft om een sensationeel verhaal te hebben over een beveiligingslek, laten we dat niet vergeten. Als hij meldt dat het veilig is komt het niet op de nieuwssites natuurlijk...

dimitrimissinne @OddesE • 27 oktober 2014 11:33

Hoewel die er natuurlijk weer baat bij heeft om een sensationeel verhaal te hebben over een beveiligingslek, laten we dat niet vergeten. Als hij meldt dat het veilig is komt het niet op de nieuwssites natuurlijk...

Tsja, hij heeft er natuurlijk ook geen baat bij om een 'sensationeel' verhaal te brengen die langs geen kanten klopt, want dan gaat zijn geloofwaardigheid de dieperik in en kan hij het wel schudden bij een volgende aankondiging.
Wie ik persoonlijk wil geloven laat ik in het midden, ze hebben misschien allebei op bepaalde punten gelijk...

Eén zinnetje viel me wel op in de tekst:

We analyzed these claims in detail and found the conclusions to be incorrect for KNOX enterprise solutions.

Het lijkt erop dat ze willen beweren dat het met de enterprise versie wel snor zit maar dat de consumenten versie toch wat haken en ogen heeft...

OddesE @dimitrimissinne • 27 oktober 2014 12:56

Tuurlijk het moet wel kloppen... Ik probeer maar te zeggen dat beide partijen er baat bij hebben het verhaal wat in hun richting te 'buigen'

teek2

27 oktober 2014 09:50

Dat de NSA het goedkeurt zegt al genoeg: Het is op de een of andere manier te breken.

Anoniem: 125509 @teek2 • 27 oktober 2014 11:27

Ik denk eerder omgekeerd, aangezien de NSA aanbevelingen doet voor de overheid. De NSA zal dus niet zomaar beweren dat iets veilig is als ze er op afgerekend kunnen worden als de privé mail van de president opeens op straat ligt.

Het is natuurlijk populair om lekker op de NSA te kakken, maar het lijkt steeds vaker alsof mensen er daadwerkelijk in geloven.

teek2

@Anoniem: 125509 • 27 oktober 2014 13:23

Dat is dus precies wat ze willen dat jij denkt. Dat je denk, ah het is goed genoeg voor de Amerikaanse overheid dan is het veilig. Maar de NSA raad echt niet iets aan wat ze niet kunnen hacken of geen voor hen bekende achterdeur in zit.
Dat soort programma's, zonder achterdeur, verdwijnen zomaar... zoals Truecrypt.

Prulleman 27 oktober 2014 09:34

zakelijke en consumenten versies van knox??? ik dacht dat knox "in general" bedoelt
was om zakelijk en privé te scheiden

Anoniem: 125509 27 oktober 2014 11:23

Het bedrijf laat zich echter niet uit over de consumentenversie van Knox.

Ik heb daar sowieso geen beeld bij. Waarom zou je een klein stukje van je telefoon met Knox willen beveiligen? Dan zou ik toch eerder een app zoeken die de hele telefoon wist bij diefstal en een eigen gekozen methode om de encryptie van de gegevens te regelen.

reyals @Anoniem: 125509 • 27 oktober 2014 18:30

Misschien omdat je geen zin hebt om steeds een wachtwoord in te voeren voor je persoonlijke omgeving en wel voor je zakelijke Exchange Server?

Isheara 27 oktober 2014 17:47

Even heel eerlijk: is het enige verweer van Samsung dat het niet zo is, dat het meevalt en dat het wel veilig wordt opgeslagen?

Waarom komen ze niet met details om het verhaal van de onderzoeker te weerleggen?

In het rapport staat gedetailleerd aangegeven waar de files staan, (bv de encryptiesleutel, het wachtwoord en de id string) dan kan Samsung er toch niet mee wegkomen door alleen maar te zeggen dat het wel mee valt?

Aangezien de onderzoeker nog niet van Samsung heeft gehoord welke devices nou aangepast worden kan hij nog steeds niet testen.

Echter nu een recente update: Samsung komt na de blog van de onderzoeker met een "verbeterde" versie 'my knox' maar alleen voor de S5 en de note 4!!!

http://mobilesecurityares...snt-really-fort-knox.html

[Reactie gewijzigd door Isheara op 24 juli 2024 23:46]

B00st3r 27 oktober 2014 09:34

Wordt Knox überhaupt gebruikt door mensen/bedrijven? Dit lijkt me typisch zo'n app dat je door je strot wordt gedouwd door Samsung terwijl er genoeg goede alternatieven zijn.

Chotto Toire @B00st3r • 27 oktober 2014 09:38

KNOX wordt nota bene gebruikt door de Amerikaanse overheid. Op Tweakers verschijnen alleen, heel arbitrair, negatieve berichten over KNOX. Je krijgt echt een heel ander beeld als je ook alternatieve media volgt over dit onderwerp.

[Reactie gewijzigd door Chotto Toire op 24 juli 2024 23:46]

r-vos @Chotto Toire • 27 oktober 2014 09:54

Als er staat:

Onlangs heeft de NSA Knox goedgekeurd voor gebruik door de Amerikaanse overheid.

Dan lees ik eerder dat de NSA heeft bevestigd dat Samsung de vereiste NSA-backdoors na tevredenheid heeft ingebouwd.

NLxAROSA @r-vos • 27 oktober 2014 10:16

'gebruik door de Amerikaanse overheid': daar heeft de NSA geen backdoors voor nodig. Sterker nog, voor eigen gebruik hebben ze natuurlijk liever geen backdoors.

r-vos @NLxAROSA • 27 oktober 2014 10:34

Het gaat er natuurlijk niet zozeer om wat de Amerikaanse overheid er zelf mee doet, maar waar de software nog meer dienst doet!

Anoniem: 601896 @Chotto Toire • 27 oktober 2014 10:37

KNOX wordt nota bene gebruikt door de Amerikaanse overheid. Op Tweakers verschijnen alleen, heel arbitrair, negatieve berichten over KNOX. Je krijgt echt een heel ander beeld als je ook alternatieve media volgt over dit onderwerp.

Als je alleen het weblog volgt van samsung dan lijkt alles koek en ei qua veiligheid bij samsung inderdaad. Maar je sneer naar de redactie slaan nergens op. Tweakers bericht bij andere 'grote' veiligheids problemen van andere software ook.

Wat arbitrair zou zijn, is als je vermeld dat de software door de Amerikaanse overheid gebruikt, en daarbij niet verteld dat dat alleen voor de lagere veiligheids-niveaus geldt, zo is voor eigen gebruik van die diensten die knox gecontroleerd hebben knox als eerste(en vrij snel) afgekeurd voor de aanvraag voor 'full operatie capebileties' voor het amerikaanse ministerie van defensie. En daarom niet gebruik zal worden in essentiële communicatie in het Witte huis, en fort Knox of het pentagon.

MaxterR @Chotto Toire • 27 oktober 2014 09:59

Het bericht verteld dat ze het mogen gebruiken, niet dat het daadwerkelijk gebruikt wordt.

watercoolertje

Samsung

@MaxterR • 27 oktober 2014 10:22

Klopt maar het komt op hetzelfde neer toch, mbt het idee of ze het veilig (genoeg) vinden of niet.

Frustus Maximus 27 oktober 2014 09:49

Samsung kennende zal de software niet zo veilig zijn als ze doen lijken. Op software vlak is samsung behoorlijk bagger.

RaJitsu @Frustus Maximus • 27 oktober 2014 10:49

Als ze door de NSA-keuring hen komen en elementen van dat systeem geïmplementeerd worden in Android L, zal er toch wel wat goed aan zijn zou je zeggen...

Weliswaar niet perfect en misschien zelfs met de het artikel betreffende zwakheden, maar een andere noemer dan 'bagger' lijkt me wat KNOX betreft wel op zijn plaats gezien de legitimatie vanuit Google en de NSA.

Op dit item kan niet meer gereageerd worden.

Samsung: Knox is wel veilig

Lees meer

IT-banen

Reacties (46)

Sorteer op:

Weergave: