image

Google eerder klaar met overstap op 2048-bit certificaten

dinsdag 19 november 2013, 10:32 door Redactie, 7 reacties

Google heeft de overstap naar 2048-bit SSL-certificaten eerder afgerond dan gepland, wat gebruikers beter tegen afluisteren moet beschermen. Vanwege de veiligheid en privacy van gebruikers besloot Google in mei om alle SSL-certificaten van sterkere encryptiesleutels te voorzien.

Oorspronkelijk stond deze migratie voor eind 2013 gepland, maar security-engineer Dan Dulay meldt nu dat Google alleen nog 2048-bit SSL-certificaten gebruikt en daarmee de planning eerder heeft afgerond dan verwacht. Door de migratie kan de industrie volgens Dulay volgend jaar beginnen om 1024-bit certificaten van Google niet meer te vertrouwen.

Encryptiesleutel

De security-engineer merkt op dat de vertrouwelijkheid van SSL-verbindingen met de diensten van Google nooit afhankelijk waren van de 1024-bit RSA-encyptiesleutels die het gebruikte, omdat de zoekgigant perfect forward secrecy gebruikt. Hierbij wordt voor elke sessie met een gebruiker een aparte sleutel gegenereerd en na het afgelopen van de sessie verwijderd. In het geval aanvallers de encryptiesleutel van het SSL-certificaat compromitteren hebben ze nog geen toegang tot de sessie van gebruikers.

Dulay stelt dat het verdwijnen van 1024-bit RSA-encryptiesleutels in de gehele industrie een goed iets is, mede gezien de omvangrijke overheidssurveillance die onlangs aan het licht is gekomen. Wat betreft de eigen 1024-bit certificaten zegt Google dat de hardware security module (HSM) waar de encryptiesleutel in was opgeslagen inmiddels vernietigd is.

Reacties (7)
19-11-2013, 11:30 door Anoniem
Google en gebruikers tegen afluisteren beschermen?
WHAHAHAHAHAHAHAHAHAHAHAHA

Als er een bedrijf is bij wie privacy niet bestaat is het Google wel.
19-11-2013, 12:37 door Anoniem
Door Anoniem: Google en gebruikers tegen afluisteren beschermen?
WHAHAHAHAHAHAHAHAHAHAHAHA
Als er een bedrijf is bij wie privacy niet bestaat is het Google wel.

Iedereen weet dat Google gebruik maakt van je informatie en in ruil daarvoor bepaalde diensten aanbied.
Dit accepteer je, of je maakt er geen gebruik van.
Google respecteert in elk geval je informatie en zorgt er voor dat jij jouw privacy hebt mbt je gegevens tov anderen.
19-11-2013, 12:42 door Anoniem
Door Anoniem: Google en gebruikers tegen afluisteren beschermen?
WHAHAHAHAHAHAHAHAHAHAHAHA
Als er een bedrijf is bij wie privacy niet bestaat is het Google wel.

Bij Google is de gebruiker het product, dat klopt en is ook geen geheim. Aan de eindgebruikers om dat te willen of niet.

Echter door al het gedrag van Google de laatste maanden kan je wel reverse-engineeren zijn het echt niet tof vinden dat de NSA aan hun data komt. Tevens is Google al jaaaaaren een enorme pusher van security, in de breedste zin van het woord.
De switch van 2048 keys is cryptohacking totaal niet relevalt, 1024 is nog lang niet kraakbaar.. ook niet door de NSA. Ze wilen het voor zijn en de industrie laten zien dat ze het menen.

Beetje meer credits voor Google is hier imho op zijn plek.
19-11-2013, 12:43 door Anoniem
Door Anoniem: Google en gebruikers tegen afluisteren beschermen?
WHAHAHAHAHAHAHAHAHAHAHAHA

Als er een bedrijf is bij wie privacy niet bestaat is het Google wel.


Google wil gewoon geen concurrentie voor wat betreft het verzamelen van gegevens, die zij dan weer duur kunnen verkopen.
19-11-2013, 13:52 door [Account Verwijderd]
Laat je geen zand in de ogen strooien door dit soort nieuws van Google, dit is gewoon een ordinaire afleidingsmanoeuvre.

Als ze informatie die ze verzamelen kunnen (mis)(ge)bruiken zullen ze dat zeker niet nalaten.
19-11-2013, 14:07 door Anoniem
Door Anoniem:
Door Anoniem: Google en gebruikers tegen afluisteren beschermen?
WHAHAHAHAHAHAHAHAHAHAHAHA

Als er een bedrijf is bij wie privacy niet bestaat is het Google wel.


Google wil gewoon geen concurrentie voor wat betreft het verzamelen van gegevens, die zij dan weer duur kunnen verkopen.
Ze verkopen je gegevens niet, ze verkopen gerichte gegevens gebaseerd op die gegevens. Als ze ze zouden doorverhandelen zouden ze d'r maar 1x profijt van hebben, nu veel langer.
19-11-2013, 18:52 door Mysterio
Er is een verschil tussen 'ze' en 'ze'. De eerste 'ze' is Google. Google heeft producten, diensten en gebruikers. Die gebruikers leveren geld op dus Google heeft er een belang bij om goed met hen om te gaan. Dit doen ze door data te anonimiseren en hun producten zo veilig mogelijk houden. Google valt onder de Amerikaanse wet en is verplicht mee te werken. Google doet dit ook, maar doet dit enkel en alleen zodra het via de rechter gaat.

De andere 'ze' zijn inlichtingen- en veiligheidsdiensten zoals de CIA en de NSA. Zij zien de enorme hoeveelheid data die Google van gebruikers heeft en wil daar wat mee. Wat ze precies willen of zoeken blijft een beetje vaag, maar we houden het op Nationale Veiligheid. Die inlichtingen- en veiligheidsdiensten willen nog wel eens wat bochten afsnijden als het om het verzamelen van die data gaat. Meestal gaat het braaf via de rechtbank, maar vaak ook niet.

Google en privacy. Hoe Google over privacy denkt is glashelder. Het staat beschreven in hun overeenkomsten. Of je hun producten en diensten dan nog wil gebruiken is aan jou. Hoe verschillende overheden en met name de Amerikaanse overheid over privacy denkt staat niet zo duidelijk beschreven en is wisselend. Helaas heb je daarin weinig keus en het lijkt er sterk op dat stemmen op een politieke partij weinig uithaalt. Dit omdat in de VS Republikeinen en Democraten beiden hetzelfde beleid voeren en in Nederland is er nauwelijks verschil tussen PvdA, CDA, VVD en de rest die ooit heeft geregeerd.

Mocht GroenLinks ooit aan de macht komen, dan weet ik zeker dat er ook dan bar weinig zal veranderen bij de AIVD en kornuiten.

Aangezien er een direct economisch belang is bij Google dat wereldwijd hun diensten worden gebruikt verwacht ik van hen meer respect voor mijn privacy (persoonsgebonden informatie) dan bij welke inlichtingendienst dan ook.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.