Nieuws
image

iPhone app maakt afluisteren onmogelijk

woensdag 29 juni 2011, 06:49 door Redactie, 15 reacties

Een nieuwe iPhone app maakt het onmogelijk om telefoongesprekken af te luisteren. "Cellcrypt Mobile for iPhone" is ontwikkeld door het Amerikaanse bedrijf Cellcrypt en gebruikt de beschikbare verbinding, zoals WiFi of GPRS, om een versleuteld gesprek op te zetten. Hiervoor is wel vereist dat de gebelde partij dezelfde software gebruikt.

"Cyberaanvallen op overheidsinstanties en bedrijven komen steeds vaker voor en deze aanvallen kunnen ook uit het onderscheppen van gesprekken bestaan, wat vaak niet wordt opgemerkt omdat het meestal geen sporen achterlaat", zo waarschuwt het bedrijf, dat verder laat weten dat afluisterapparatuur steeds toegankelijker en goedkoper wordt.

Versleuteling
De software gebruikt public key cryptografie, en elke telefoon waarop de software is geïnstalleerd, beschikt over een eigen opgeslagen privésleutel. Bij het opzetten van een gesprek wordt een geheime sessiesleutel uitgewisseld, die na het gesprek wordt verwijderd. Het gesprek wordt vervolgens dubbel versleuteld. Eerst via een 256-bit RC4 algoritme, gevolgd door een 256-bit AES algoritme. Door de versleuteling kan er op tragere GPRS-netwerken anderhalve seconde vertraging ontstaan, afhankelijk van beschikbare bandbreedte en netwerkverkeer.

De software ondersteunt iOS 4 op iPhone 3GS en iPhone 4 en is interoperabel met Cellcrypt op andere apparaten, zoals Nokia, Android en BlackBerry smartphones. Volgens Cellcrypt wordt de software door zowel overheden als bedrijven over de hele wereld gebruikt. De gebruikte beveiliging is daarnaast FIPS 140-2 gecertificeerd.

Reacties (15)
29-06-2011, 08:14 door Anoniem
en wie beheert de sleutels?
neem aan dat er een rootca oid is.

dus het is nogal zinloos.
29-06-2011, 10:09 door Anoniem
Er is geen reden dat er een rootca zou zijn. Public key kun je vaak zelf aanmaken denk maar aan PGP/GPG.
Je suggestie is dus wat te vroeg omdat je nog wat kennis mist...
29-06-2011, 11:00 door Anoniem
Waarom wordt dit speciaal voor iPhone gemeldt?
Omdat die nu ook eindelijk bij zijn?
Volgens het bericht bestaat de software al voor Nokia, Android en Blackberry toestellen....
Daar heb ik echter nooit een bericht over gezien...beetje selectieve nieuwsgeving
29-06-2011, 12:04 door Jacob Boersma
Cellcrypt kan ik niet vinden in de Nederlandse appstore (zoeken op cellcrypt levert de melding 'bedoelde u decrypt?').
Alleen voor Amerika, of kijk ik niet goed?
29-06-2011, 13:57 door Anoniem
Zit niet in de nederlandse appstore, en je moet een zogenaamde "Cellcrypt Encrypted Voice Service(tm) customer" zijn.
Die licence is te koop bij: sales-ios@cellcrypt.com
29-06-2011, 14:02 door Anoniem
Bij het starten maakt hij zijn eigen crypto materiaal aan.
Het bevat verder software uit het OpenSSL project en bevat software geschreven door Eric Young, eay@cryptsoft.com
Bij hem zou je dus na kunnen vragen hoe het precies werkt. :-)
29-06-2011, 14:07 door Anoniem
"iPhone app maakt afluisteren onmogelijk"

De keys worden opgeslagen op de telefoon. Eenieder die zich toegang tot de telefoon weet te verschaffen, kan ook bij de keys komen ? Bovendien bevat de software de mogelijkheid om remote de encryptie uit te schakelen, bijvoorbeeld in geval van diefstal (zie privacy policy CellCrypt). Dergelijke functionaliteit kan eventueel door derden worden misbruikt. Daarnaast is afluisteren natuurlijk wel degelijk mogelijk indien CellCrypt medewerking verleent (i.e. ten behoeve van opsporing).

Moet in dit soort artikelen geen onderscheid gemaakt worden tussen lawful interception en non-lawful interception ?
29-06-2011, 14:11 door Anoniem
"Er is geen reden dat er een rootca zou zijn. Public key kun je vaak zelf aanmaken denk maar aan PGP/GPG."

In hoeverre is de key die opgeslagen is op het toestel voor derden toegankelijk ? I.e. voor de telecom provider of de fabrikant van je smartphone OS ? Immers kunnen ze ook remote software updates uitvoeren op je toestel. Bestaat er 'privacy' ten opzichte van de opslag op je mobiel ?
29-06-2011, 15:48 door spatieman
maar je hebt wel een actieve internet verbinding nodig.,
29-06-2011, 17:02 door SirDice
Door Anoniem: en wie beheert de sleutels?
neem aan dat er een rootca oid is.
Het enige wat je aan moet nemen is geld, verder niets.

Assumption is the mother of all fuck-ups.
29-06-2011, 19:19 door Anoniem
Alle smartphones zouden encryptie en dergelijke allang standaard aan boord moeten hebben.Nu geblekenis dat gsm's ook makkelijk afgeluisterd en gehacked kunnen worden is dat in deze tijd een must!En ook antivirus en antispyware alsmede een firewall zouden standaard aan boord moeten zijn.Een smartphone is in feite gewoon een pc.maar dan in mini-vorm.
29-06-2011, 20:16 door cryptomannetje
Door Anoniem: "iPhone app maakt afluisteren onmogelijk"

De keys worden opgeslagen op de telefoon. Eenieder die zich toegang tot de telefoon weet te verschaffen, kan ook bij de keys komen ? Bovendien bevat de software de mogelijkheid om remote de encryptie uit te schakelen, bijvoorbeeld in geval van diefstal (zie privacy policy CellCrypt). Dergelijke functionaliteit kan eventueel door derden worden misbruikt. Daarnaast is afluisteren natuurlijk wel degelijk mogelijk indien CellCrypt medewerking verleent (i.e. ten behoeve van opsporing).

Moet in dit soort artikelen geen onderscheid gemaakt worden tussen lawful interception en non-lawful interception ?
Bij de betere producten voor spraakbeveiliging wordt gebruik gemaakt van een smart card om de sleutels in op te slaan. Verder gaat het om een softwarematig product uit de V.S. en zal de NSA een back-door hebben ingebouwd/laten inbouwen. De latency in de gesprekken zal idd afhankelijk zijn van de netwerkverbinding en die zal bij 3G internet beter zijn van bij 2,5G GPRS.
30-06-2011, 01:42 door Anoniem
Kost nogal wat.

Word tijd dat er eens een goede en makkelijke open-source app komt, die voor iedereen te gebruiken is, en op
iedere mobiel o.s. kan draaien.
Nu weer alleen voor mensen met een dikke beurs.

Er moet nog veel gebeuren op het gebied van privacy in 2011
02-07-2011, 01:04 door Anoniem
Ik begrijp hier iets niet helemaal.
Er was geroepen dat gpg/gpg wel een veilige oplossing biedt.
Dat is toch ook kwetsbaar voor mitm?
de keys worden immers gegenereerd op het moment dat de sessie tot stand komt.
Er is geen 3e device wat aangeeft dat pcx pcx is. Hierdoor kan ik dmv mitm ook zeggen dat ik pcx ben.

Hierdoor heb je toch geen veilige encryptie oplossing. Tenzij je vooraf handmatig de keys gaat verspreiden oid.
07-07-2011, 10:59 door Jacob Boersma
Door Anoniem: Ik begrijp hier iets niet helemaal.
Er was geroepen dat gpg/gpg wel een veilige oplossing biedt.
Dat is toch ook kwetsbaar voor mitm?
de keys worden immers gegenereerd op het moment dat de sessie tot stand komt.
Er is geen 3e device wat aangeeft dat pcx pcx is. Hierdoor kan ik dmv mitm ook zeggen dat ik pcx ben.

Hierdoor heb je toch geen veilige encryptie oplossing. Tenzij je vooraf handmatig de keys gaat verspreiden oid.

Je verwart de symmertrische session-key (die per sessie wordt gegenereerd) met de asymmetrische public-private keypair. De public key moet je bij PGP/GPG van tevoren uitwisselen langs een vertrouwde weg (zodat degene die jouw key ontvangt er op kan vertrouwen dat het inderdaad jouw key is). Bij opzetten van een sessie worden de tijdelijke session keys encrypted met de public key en uitgewisseld. Een mitm kan daar niks mee omdat hij de private key niet heeft.
Het vooraf handmatig of anderszins je keys verspreiden is dus inderdaad nodig en is procedureel de zwakke plek van PGP. PKI lost dit op door trusted third parties die als onafhankelijke partij de publieke sleutels verifieren. PKI heeft echter weer zijn eigen drempels met verspreiding van stamcertificaten, tijdige intrekking van gecompromitteerde certificaten e.d.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure