Google en Dropbox crypto-kampioenen volgens EFF
Als het om het gebruik van encryptie gaat lopen Google en Dropbox voorop, zo blijkt uit onderzoek van de Amerikaanse digitale burgerrechtenbeweging Electronic Frontier Foundation (EFF). De organisatie vergeleek verschillende grote IT- en internetbedrijven op het gebruik van encryptie.
Dan blijkt dat Google, Dropbox, SpiderOak en Sonic.net vijf van de vijf "best practices" voor encryptie toepassen. Het gaat om zaken als het versleutelen van de verbindingen tussen de datacentra en het ondersteunen van HTTPS, HTTPS Strict (HSTS), Forward Secrecy en STARTTLS. Door het toepassen van deze maatregelen kunnen bedrijven hun gebruikers beter tegen het afluisteren door inlichtingendiensten beschermen.
Encryptie
De EFF wijst naar het onlangs onthulde MUSCULAR-programma van de NSA, waarbij de glasvezelkabels die de datacentra van Google en Yahoo verbinden werden afgetapt. Daarom pleit de burgerrechtenbeweging voor het gebruik van sterke encryptie. Als een inlichtingendienst dan gegevens wil moet het dit bij de bedrijven in kwestie vragen, waarvoor het een gerechtelijk bevel nodig heeft.
In het overzicht van de EFF is verder te zien dat Facebook op weg is om ook de vijf best practices toe te passen. Dat kan echter niet van Microsoft worden gezegd, dat slechts twee punten heeft geïmplementeerd.
Het betreft hier dus voornamelijk maatregelen die bedoeld zijn om data in-transit te beschermen (en deze reeds verzonden data in de toekomst, Forward Secrecy). Er zijn nog veel meer aspecten op dit gebied die ik in oogschouw zou nemen voordat ik een bedrijf een crypto-kampioen zou noemen (een titel die de auteur van Security.nl heeft verzonnen).
We kennen allemaal wel het voorbeeld van de deduplicatie van Dropbox. Bestanden worden gescanned bij uploaden om te kijken of deze zich al niet op één van de Dropbox servers bevind, om dan (als dit het geval is) als het ware gelinkt te worden in plaats van het aangeboden bestand uniek te accepteren. Op die manier is veilige opslag met persoonlijke sleutels (per user) dus nooit mogelijk.
De onderzoekers waarderen overigens het initiatief van de bedrijven die bezig zijn met de implementatie van maatregelen ook met een mooie groene box, mijns inziens een gevalletje dwaling.
Goed dat het onderzoek is uitgevoerd en deze organisaties de informatie hebben aangeleverd (direct of indirect), maar houd dus de scope in het achterhoofd bij het interpreteren van de resultaten. :)
Ik ga er vanuit dat als een bestand met een persoonlijke sleutel is versleuteld, het anders is en dus niet te dedupliceren is. Of bedoel je hier iets anders?
Hier had een grijs vlak met een groen kruis beter op zijn plaats geweest.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
