Symmetrische sleutels en je geeft ze uit handen aan "de cloud"? Wat weet die gast dat wij niet weten over publieke sleutel encryptie? Of weet'ie zelf niet beter? Onwaarschijnlijk, maar niet onmogelijk. Hoe dan ook, ex-NSA, dus daar kleeft sowieso een luchtje aan.

Is bedrijf uit VS, dus VS wetten, dus niet veilig. Next.

Zolang ik afhankelijk ben van andermans servers.... is het NOOIT veilig. Ook dit lijkt leuk, maar mijn keys staan bij een externe partij in de cloud. Dat is per definitie niet veilig...

Ik wil het nog stelliger maken: Zolang het voor de massa gemaakt wordt, zal het nooit veilig worden. Want als het voor de massa gemaakt wordt, moet het makkelijk. En dat doet altijd afbreuk aan de kwaliteit/anonimiteit.
Anders zou iedereen nu wel mail PGP gebruiken of iets in die geest....

Dus we hypen lekker verder met Snowden, en slaan er een slaatje uit... Ex werknemers NSA...

TheYOSH

Ik krijg hier toch geen warm gevoel bij!

"is het idee van John en Will Ackerly."....."kregen de broers een financiële injectie van 4 miljoen dollar".

Deze injectie komt hopelijk niet vanuit de NSA ?!

Om per definitie alles uit de VS als onveilig te verklaren enkel omdat men middels de patriot act zich toegang tot informatie kan verschaffen vind ik kort zichtig.

Voor velen zal dit een goede toevoeging zijn op bestaande producten. Het kan voorkomen dat verkeerde individuen, commerciele- of criminele-organisaties gevoelige informatie in hun handen krijgen over de persoon of bedrijf in kwestie.

Liever een product wat gratis is en goede beveiliging biedt (en heel misschien door veiligheids diensten ingezien kan worden) dan producten die voor een individue misschien niet betaalbaar zijn en dus achterwege gelaten worden, wat per difinitie ontveilig is.

NSA zzp-ers?

Ook al is het geen NSA honeypot dan moet men zich toch af gaan vragen wat dat is met commerciele activiteiten van ex-NSA leden.

Ze claimen dat ze deze techniek hebben helpen ontwikkelen voor de NSA en die nu op de markt brengen.

Maar alles wat de NSA doet is toch betaald met belastinggeld? Als iemand er een commercieel product mee kan maken moet dus iedereen dat recht hebben. En anders niemand, dan is het classified. Als ik eerst betaald wordt door Ford om een auto te ontwerpen en vervolgens ga ik die zelfde auto zelf in china laten fabriceren krijg ik vast ook een process aan mijn broek. En andere optie is dat ze een licentie kunnen nemen op de technologie en andere leveranciers dus ook. Is er in ieder geval nog martkwerking.

In principe zou dit dus allemaal ge-opensourced moeten worden, er is namelijk al voor betaald door het volk.

En heeft in principe het volk ook het recht om de code te mogen bekijken en te gebruiken.

Of is het volgende verhaal alleen maar slap gelul waar eigenlijk nietmand achter staat? www.whitehouse.gov/the_press_office/TransparencyandOpenGovernment/

Je hebt tegenworodig de keuze in wie met je meekijkt: China, VS of Rusland.
Nadat je hebt besloten kies je de hard/software uit het betreffende land..

Beveiliging gemaakt door medewerkers van overheden van de eerder genoemde landen geven mij ieder geval geen goed gevoel..

Dus als ik het goed begrijp wordt per bericht een unieke sleutel gebruikt, die tussen afzender en ontvanger via een 'encryption key storage' in 'de cloud' (wat is er toch mis met het internet het internet noemen) wordt gedeeld. De toegang daartoe wordt via openid en oauth geregeld. Er kan desgewenst een alternatieve sleutelopslag worden opgezet en gebruikt.

Waar met asymmetrische encryptie het probleem van sleuteldistributie is opgelost door met sleutelparen te werken, waarvan je de ene angstvallig geheim houdt en de andere openbaar is, zodat je alleen nog te verifiëren hebt dat de signature van de sleutel wel klopt met de afzender, is hier de benadering dat je een derde partij gebruikt voor de sleuteluitwisseling en een vierde partij (openid/oauth-provider) om de authenticatie voor de toegang bij de derde partij te regelen.

Dit maakt het mogelijk, hoewel ik niet expliciet vermeld zie worden dat ze dat ook doen, om de 'encryption key storage'-provider de identiteit van de afzender te laten bevestigen aan de ontvanger, wat bij PGP uit de gebruikte sleutel zou moeten blijken. En als deze mogelijkheid niet gebruikt wordt bieden ze niets om de identiteit van de afzender te garanderen.

Het opslaan van de symmetriche encryptiesleutel door een derde partij is natuurlijk heel twijfelachtig. Het is wel zo dat die niet ook over het versleutelde bericht beschikken (dat gaat buiten hun om, dat zeggen ze althans), maar dat wil niet zeggen dat bijvoorbeeld een inlichtingen- of opsporingsdienst de sleutels en onderschepte berichten niet bij elkaar weet te brengen. En criminelen die zo'n server weten te hacken ook.

En natuurlijk is het helemaal niet nodig om de sleutels waarmee de berichten versleuteld wordt te kennen, dat probleem is al jaren geleden opgelost. Ze hadden via nagenoeg dezelfde opzet publieke PGP-sleutels kunnen transporteren tussen zender en ontvanger, om een alternatief voor web-of-trust en moeizame sleuteluitwisseling te bieden. Daarmee hadden ze kunnen garanderen dat ook een partij die de hand op de door hun opgeslagen sleutels weet te leggen de berichten niet kan lezen. Dat ze niet voor een dergelijke opzet gekozen hebben geeft te denken.

Wat me verder opvalt aan dit initiatief en enkele die ik al eerder langs heb zien komen: ze maken een website met een vormgeving die gebruikers van mobiele apparaten vermoedelijk aanspreekt, zijn oppervlakkig gezien heel open over wat ze doen, maar slaan allerlei details over die wel degelijk van belang zijn om een beeld van hun opzet te vormen. Alsof het opnemen van een voor een leek nog te behapstukken verhaal uitsluit dat je daarnaast een gedetailleerdere beschrijving opneemt voor wie verder doordenkt. Dat komt op mij over alsof beweren dat het deugt belangrijker voor ze is dan onderbouwen dat het deugt, en dat geeft mij de kriebels. Ze linken trouwens wel naar een patent dat ze hebben voor het distribueren van cryptografische data naar geauthenticeerde ontvangers. Een patent is echter niet geschreven om iets helder te maken, het is geschreven om zo veel mogelijk uit een patentconflict te kunnen slepen, wat een soort binnenstebuiten gekeerde beschrijvingen oplevert.

Oh ja?


Hoezo "misschien"..? Zoals gezegd: het is een Amerikaan met een Amerikaanse onderneming, en valt dus on de Patriot Act. Er is helemaal geen "misschien": het is gewoon "zeker".

Een voormalig NSA medewerker,bij voorbaat onbetrouwbaar.

Een veroordeelde dief geef je toch ook niet je persoonlijke dingen in bewaring ?

Helaas is het opsporen van criminelen maar een klein onderdeel van wat de NSA doet, daarnaast gaat het vooral om diplomatiek en bedrijfsspionage. De budgetten van de NSA kunnen alleen verantwoord worden door economisch belang, criminelen zijn zoveel geld bij lange na niet waard. Deze crypto dienst zal een goede toevoeging zijn voor Amerikanen, de rest van de wereld kan er beter vandaan blijven.

Tja,leuk geprobeerd van die broers,maar ja kan je hen wel vertrouwen?.
Als je bij de NSA hebt gewerkt,zit er altijd wel een luchtje aan,behalve aan meneer Snowden.
Hij heeft eerlijk de waarheid gezegd,waardoor hij nu in Amerika als gevaar wordt gezien.

16:10@anoniem

Hij heeft eerlijk de waarheid gezegd,waardoor hij nu in Amerika als gevaar wordt gezien
even voor u en de rest als eye opener

Ook de waarheid kan soms met schimmige bedoelingen naar buiten worden gebracht
Handelde de man vanwege gewetensbezwaar ?,of zit er wellicht iets heel anders achter
Je weet het niet he in deze wereld .
Ik ben bepaald niet paranoia maar weet wel dat politiek een smerig spelletje kan zijn
men kijkt niet naar waarheid of leugen maar of het doel gehaald word de middelen spelen hierbij een ondergeschikte rol
als met waarheid meer resultaat bereikt word als leugen spreek men de waarheid of ongekeerd

Dit is toch lachwekkend van onnozelheid. Welke idioot trapt hier in?

Het zou zo een plotwending kunnen zijn in een spannend boek of een film. Maar als het in de werkelijkheid gebeurd is het toch een stuk minder grappig. Ik ben namelijk bang dat je gelijk hebt. Dat is misschien nog wel enger dan de spionerende overheden.

Veel negatieve reacties dus ik ga er vanuit dat iedereen het heeft getest? Dat weet je snel genoeg door via de mail een aanval te plannen op een belangrijk gebouw in America en een duidelijke datum te bepalen. Loop je na die tijd nog vrij rond dan heeft het gewerkt.
Hun stelling is heel eenvoudig: "Hij stelt dat mensen wel om hun privacy geven, maar dat ze niet over de juiste tools beschikken om er wat aan te doen." Dit is dus niet gebouwd voor de mensen die deze site bezoeken want die hebben alles zo enorm dicht getimmerd dat het bijna onmogelijk wordt om te surfen op het www.
Ik ben voorstander van kritisch denken maar er zijn ook mensen die wroeging krijgen op hun werk. Als ze klokkenluider worden dan worden ze gelooft en als ze de bevolking helpen om er daadwerkelijk iets tegen te doen dan gelooft niemand dat.

"O, wonder! How many goodly creatures are there here! How beauteous mankind is! O brave new world, That has such people in't!" (The Tempest, Shakespeare)

tJa je kunt dit natuurlijk bezien als een doorzichtige poging van de NSA zelf. Maar zeg nou zelf hoeveel van jullie gebruiken AV-software gemaakt in het Oostblok, Israël of de VS. En dan nog maar te zwijgen over het alom vertegenwoordigde besturingssysteem.

Onze privacy is nooit meer veilig. Wen er maar aan en handel er naar.