1 miljoen dollar voor kraken van onkraakbare encryptie
De aanbieder van een systeem dat vertrouwelijke gegevens beschermt, zegt dat de software niet te kraken is, en wie dit wel lukt krijgt 1 miljoen dollar. Om deel te nemen aan de "wedstrijd" van Permanent Privacy moet men eerst wel de software kopen. "Niemand kan met Permanent Privacy versleutelde bestanden of tekst ontcijferen. Er zijn echter altijd mensen die het beter denken te weten, waarom we 1 miljoen dollar uitloven aan degene die onze cyphertext kan ontsleutelen."
De 39 dollar kostende software is een hybride encryptie algoritme en gebruikt AES als basis en laat gebruikers zowel hun e-mail als bestanden versleutelen. Het idee voor Permanent Privacy is afkomstig van het versleutelen van een gedeelte platte tekst met geen enkele betekenis.
"Als de platte tekst geen betekenis heeft, is er geen begrijpbare relatie tussen de platte tekst en de cyphertekst. Als je dus een aanval op de cyphertekst uitvoert en alle combinaties van de sleutel probeert om het te ontsleutelen, zal de platte tekst uiteindelijk verschijnen. Je weet echter nooit welke van de miljarden combinaties de platte tekst is, aangezien je geen manier hebt om dit te beoordelen, dat is juist het probleem. Als de platte tekst niet uit de cyphertext te halen valt, dan kun je vanuit het oogpunt van waarschijnlijkheid zeggen dat je een onbreekbaar systeem hebt ontwikkeld."
Security through obscurity
Experts hebben hun twijfels over de aanpak van Permanent Privacy. "De enige manier om goede cryptografie te hebben is door de methode openbaar te maken. Andere onderzoekers kunnen er dan naar kijken en naar zwakheden zoeken. Het feit dat de methode hier niet wordt vrijgegeven betekent dat het hier meer om 'security through obsecurity' gaat dan daadwerkelijke veiligheid," zegt Frank van Vliet, CTO van Certified Secure, tegenover Security.NL.
Volgens van Vliet heeft elke encryptiemethode al de eigenschap dat het lastig is de daadwerkelijke platte tekst te herkennen tussen alle mogelijke oplossingen, vandaar dat (symmetrische) encryptesleutels meestal worden gekraakt wanneer zowel de platte tekst als cyphertekst bekend is. "Privacy is trouwens iets dat pas wordt verkregen als ook niet gezien kan worden wie met wie communiceert. Dit product levert alleen geheimhouding, als het al doet wat het adverteert, maar dus nog geen volledige privacy."
ook niet gezien kan worden wie met wie communiceert. Dit
product levert alleen geheimhouding, als het al doet wat het
adverteert, maar dus nog geen volledige privacy."
meer geschonden wordt, aangezien het communiceren via
gecodeerde email er toe kan leiden dat er uitgebreidere
onderzoeken gedaan worden door intanties als de AIVD ed.
Onkraakbaar = Kraakbaar
wordt, geen sprake van onkraakbare encryptie. En dus ook geen prijs voor
het kraken daarvan ;)
als het US software is, dan zit er ALTIJD een NSA backdoor
in..
Of loop je maar te blaten?
Ik zet mijn geld op optie 2 ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
