"VS wil geen sterke encryptie voor netwerken"
De Amerikaanse overheid wil niet dat netwerken over sterke encryptie beschikken, omdat ze dan niet meer te bespioneren zijn, aldus beveiligingsexpert Robert Cringely. Hij reageert op het datalek bij beveiligingsbedrijf RSA. Volgens Cringely spelen ook leugens onderdeel van het spel. "Gebaseerd op recente gebeurtenissen bij RSA, Lockheed Martin en andere plekken, denk ik niet dat liegen een onderdeel van het spel moet zijn."
De beveiligingsexpert merkt op dat het publiek nog altijd niet weet wat er precies gestolen is of waar de aanvallers toegang toe hadden. "Veel van dit is marketing, een combinatie van 'we zijn onkwetsbaar' en 'wees bang, wees erg bang', maar veel is bedoeld om ons aan een bepaalde technologie vast te laten zitten."
Geheim
De meeste beveiligingssystemen zijn gesloten en geheim. Als een algoritme publiek, gestolen of reverse-engineered wordt, zou dat niet mogen uitmaken. "Waarom is zulke architecturale geheimzinnigheid vereist als die 1024- of 2048-bit codes echt duizend jaar nodig hebben om te kraken. Is encryptie gecombineerd met een vaste limiet op het aantal inlogpogingen niet goed genoeg?"
Het antwoord is volgens Cringely nee. "Er zijn verschillende redenen hiervoor, maar de voornaamste is dat de Amerikaanse overheid niet wil dat we echt veilige netwerken hebben." De overheid is volgens de expert meer geïnteresseerd in het bespioneren van de overige onveilige netwerken in de wereld. Dat de Amerikaanse consument af en toe door een beveiligingsincident geraakt wordt, zou de overheid accepteren als dit betekent dat het het wereldwijde verkeer kan afluisteren. "Dit is nationale veiligheid, wat betekent dat ethiek en gezond verstand niet meer gelden."
Backdoor
Volgens Cringely hebben RSA, Cisco, Microsoft en vele andere bedrijven de Amerikaanse overheid toegang tot hun ontwerp gegeven. Iets wat niet de schuld van de bedrijven is, omdat ze anders de cel in moesten, aldus de expert. "Bouw een sterke 4096-bit AES sleuteldienst en voor je het weet staat Justitie voor de deur."
De Amerikaanse overheid voelt zich in dit "ethisch-gehandicapt" landschap op z'n gemak, zegt Cringely. "Voornamelijk omdat het de grootste werkgever is, aan beide kanten." Daarbij verwijst hij naar een eerdere uitspraak dat een kwart van alle hackers informant van de FBI is. Toch is er ook goed nieuws, omdat IPv6 en open source sommige van deze achterdeuren aan het sluiten zijn. "De open source gemeenschap bouwt businessmodellen die eindelijk wat security aan data security toevoegen."
Ook zijn dingen als een beperking tot 40-bits symmetrische encryptie ruimschoots verleden tijd, en komen belangrijke standaarden zoals AES van plaatsen die niet gelieerd zijn aan de Amerikaanse overheid.
RSA heeft gewoon een dom systeem gemaakt waarbij de seeds online beschikbaar moeten zijn. Ze weten daar ook wel beter, niet voor niks is de bedrijfsnaam gelijk aan een publieke-sleutelencryptiesysteem.
Want de US overheid kan dan uw netwerk niet meer hacken....
Punt uit.
Niemand heeft zich te bemoeien met wat ik op mijn computer doe.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
