En KPN bakt alvorens het aan te bieden niet eerst een paar backdoors in?
het is tenslotte een overheids bedrijf.

De gratis app telegram doet dat ook. Zie telegram.org

Bij mij weten is KPN al jarenlang geen overheidsbedrijf meer.

die zitten er dan al standaard in...

Tja - beetje jammer inderdaad... Een Amerikaans bedrijf, opgericht door voormalig medewerkers van een Amerikaanse overheidsdienst, biedt een service aan enkel voor Amerikaanse telefoons. Nee - we slaan geen metadata op. Wacht maar tot de NSA daar voor de deur staat...

Het is niet dat het bedrijf kwaadwillend is, maar dat je simpelweg geen keus hebt wanneer de NSA o.i.d. voor de deur staat. Echter zijn er amper alternatieven die niet onder een overheid vallen waar dit soort wetgeving niet van toepassing is. Zo het een Nederlands bedrijf zijn dan hoeft het niet mee te werken aan een Amerikaans onderzoek, maar wel als de Nederlandse Justitie het onderzoek overneemt.

Wat ik niet begrijp in het gros van de reacties is dat de bedrijven die zich hebben te houden aan wetgeving en handhavers/uitvoerders (Politie/Justitie) de schurken zijn terwijl we juist de wetgevers hier aansprakelijk voor moeten houden. Dat je een boete krijgt voor het rijden door rood is niet de schuld van de verkeerslichtenfabrikant en niet de schuld van de politieagent maar van de wetgever in combinatie met jouw keuze.

Laat verdorie dan ook je stem eens horen bij de verkiezingen! De meerderheid van Nederland stemt VVD of PvdA en kap daar nou eens mee of ga eens bij jouw partij na waar ze nou werkelijk staan op dit gebied.

Wat is het verschil met deze betaalde service en iemand die Redphone en SecureText gratis download en gebruikt? Het enige nieuwe dat ik zie is dat ze nu ook iOS versies hebben maar als je al een Android telefoon hebt zie ik niet in waarom ik hiervoor zou gaan betalen.

En ook als de NSA een achterdeurtje heeft kan het nog heel bruikbaar zijn om de Nederlandse politie buiten te houden. De NSA zal niet voor elk wissewasje van de Nederlandse politie willen laten uitlekken dat ze toegang heeft (als dat al zo is).

Lastig, er zijn tegenwoordig maar weinig partijen die tegen de tijdgeest ingaan en oproepen tot lichtere straffen en minder overheidscontrole. Hooguit verschillen ze van mening waar die strengere straffen en extra controle ingezet moet worden.

Het bedrijf is opgericht door Phil Zimmermann, niet iemand die veel liefde heeft voor de Amerikaanse overheid. Hetzelfde geld voor rest van het Silenct Circle team. Ik kan deze ontwikkeling van KPN alleen maar aanmoedigen. Een van de weinige providers (zo niet de enige) die daadwerkelijk iets doet om afluisteren tegen te gaan. Overigens is Silent Circle geregistreerd in Zwitserland!

NSA heeft veel negativiteit/scepticisme m.b.t. beveiligingsproducten veroorzaakt, maar probeer het wel een beetje objectief te bekijken. Veel (zo niet alle) beveiligingsproducten werken op basis van vertrouwen, persoonlijk denk ik dat KPN de beste keuze heeft gedaan, ook al ben ik geen fan van KPN als bedrijf.

"Om privacy te garanderen, slaan de apps en diensten van Silent Circle geen metadata op "

Maar dat is dan toch illegaal? Volgens mij zijn aanbieders van telecomdiensten VERPLICHT om metadata op te
slaan als ze hun diensten hier willen aanbieden.
Als iedere zomaar kon besluiten dat niet te gaan doen dan waren er wel meer aanbieders die geen metadata opslaan.

Het zomaar roepen, dat kan natuurlijk wel. Of je je daarmee geliefd maakt bij de klanten weet ik niet.

De data wordt niet opgeslagen bij het bedrijf maar bij KPN. Het bedrijf levert slechts de technologie om data en communicatie te versleutelen. Als bijvoorbeeld de NSA bij de gegevens bij KNP wil dan zou dat via de Nederlandse Justitie moeten lopen en aangezien onze overheid wordt erkend door de VS en we goede betrekkingen met hen hebben zal de NSA eerder willen samenwerken met de Nederlandse overheid dan inbreken bij KPN.

In theorie is het mogelijk dat er (stiekem) toch bijvoorbeeld metadata wordt verzameld en naar de VS wordt gestuurd. De wetgeving over metadata is op z'n best vaag omdat het niet valt onder persoonsgegevens en dus ook niet als zodanig worden beschermd. Mocht de overheid dan die gegevens willen inzien dan is er weinig wat ze kan tegenhouden.

Aan de andere kant is elke vorm van versleuteling beter dan geen versleuteling. KPN wil slim inspelen op een groeiend wantrouwen op het digitaal domein en doet dit best goed door deze technologie te implementeren. E-mail is natuurlijk zelden veilig en het grote probleem van versleuteling is dat de ontvanger het moet kunnen ontcijferen. Het gros van de e-mail zal dus openlijk over het internet blijven vliegen. Het lijkt mij niet handig om gevoelige zaken en bedrijfsgeheimen per e-mail te bespreken... Maar om toch gebruik te kunnen maken van het gemak van e-mail in een veilige omgeving is Silent Circle soort van ideaal.

Ik vraag mij toch af hoe deze versleuteling stand zal houden tegenover de tapplicht die providers hebben. Als dit een dienst is die KPN gaat aanbieden, dan moeten zij er ook voor zorgen dat de dienst aftapbaar is voor de Nederlandse politie en veiligheidsdiensten.

Het klinkt dus lekker veilig en geheim, maar uiteindelijk zal er wel een methode zijn waardoor politie en de veiligheidsdiensten alsnog achter de metadata en de daadwerkelijke inhoud van de communicatie kunnen komen.
Ik verwacht binnenkort nog wel meer nieuws hierover waarin de kleine lettertjes omtrent de tapplicht naar boven zullen komen, of waarin KPN aankondigt het toch niet te kunnen doen vanwege diezelfde tapplicht.

Ah zo zit dat. Daarom hebben ze die inbraak bij Belgacom dus uitbesteed aan de Britten.

Ik snap ook niet waarom de Belgische overheid dat pikt.

Anoniem 10:45: "Ik kan deze ontwikkeling van KPN alleen maar aanmoedigen. Een van de weinige providers (zo niet de enige) die daadwerkelijk iets doet om afluisteren tegen te gaan."

Wat hebben we toch een slecht geheugen.

"Dutch telecom company KPN Thursday admitted scanning customers’ mobile-data traffic, a move that has fired up concerns over privacy issues.
KPN said it uses deep packet inspection, or DPI, to determine data traffic of its customers."

Bron: http://zivva.nl/kpn-admits-to-using-deep-packet-inspection/

Deze `tapplicht` zoals jij het noemt, geldt voor providers, niet voor dat bedrijf. Als het bedrijf garandeert dat de versleuteling op het device plaatsvindt, o.b.v. lokaal aangemaakte sleutels, waarvan de privésleutel ook nog eens vernietigd wordt na gebruik, dan betekent dat, dat de provider uitsluitend versleutelde data ziet, evenals het bedrijf.

De provider zal mogelijk niet eens zien met wie je belt (afhankelijk van wat er precies wordt versleuteld). Mogelijk ziet het bedrijf dat dan weer wel, aangezien er toch een verbinding op zal moeten worden gezet, maar dat bedrijf heeft die bewaarplicht weer niet, dus als dat niets logt, kan een overheid ook niets opeisen.

Natuurlijk moet je eerst iets meer onderzoek doen, voordat je ervan uit kunt gaan dat al mijn beweringen hierboven echt kloppen, maar in principe is dit wel mogelijk.

Verder stelde iemand hierboven dat dit bedrijf in Zwitserland is geregistreerd. Dat betekent dan weer dat de overheid waarschijnlijk weinig zal opvragen, denk maar aan de privacy-wetgeving m.b.t. bankieren. Het valt, dacht ik, ook niet onder de EU, dus dat betekent dat er nog minder loggingseisen hoeven te worden gesteld.

Dus, eerst uitzoeken, dan pas concluderen.
En... Uiteindelijk is het ook dan nog gewoon een kwestie van of je het bedrijf vertrouwt.

Als ik het goed begrijpt kan je wel tappen maar dat is dan versleutelde data dat zal best wel te kraken zijn met een super computer maar dat neemt ook veel tijd in beslag.
Een andere optie is een geheime backdoor of sleutel dat zou best kunnen maar dan komt het aan op vertrouwen en Amerikaanse bedrijven moeten zich aan de Amerikaanse wet houden dus het antwoord van vertrouwen is eigenlijk simpel

Amerikaans bedrijf.. patriot act.. need I say more?

Zoals al eerder aangegeven, waterdicht zal het niet zijn maar het maakt het een stuk lastiger voor oa. Ivo zn inlichtingen leger en alleen daarom gebruik ik het al langere tijd naar tevredenheid.

Absoluut mee eens, helaas denken mensen met hun portefeuille. Centjes eerst, de rest komt later wel.


Silent Circle is geen ISP / Provider, en hoeft dus geen data op te slaan. KPN slaat wel degelijk de metadata op, maar de inhoud van de berichten zou niet te ontcijferen moeten zijn. Snap je?


Beetje jammer, reageren hier heeft meer nut wil je zeggen? Juist door mensen met jouw instelling blijven die grote jongens aan de macht. Je snapt het wel maar je doet er niets mee...


Dat vraag ik me dus ook af, maar vooralsnog blijf ik vertrouwen houden in het feit dat je in Nederland wel degelijk versleutelde informatie mag versturen en ontvangen. Het lijkt mij dat de providers deze versleutelde data dan ook als zodanig overhevelen en vervolgens laten zij het kraken aan de eiser over.


Maar uiteindelijk blijft het onzin, iedereen die gevoelige data op een smartphone heeft e/o benaderd is al matig bezig IMHO. Helaas is dat een (logisch) gevolg van onze 24u-economie.

Even hier kijken allemaal http://en.wikipedia.org/wiki/ZRTP

ga even naar de sectie : Authentication

SAS
The Diffie–Hellman key exchange by itself does not provide protection against a man-in-the-middle attack. To ensure that the attacker is indeed not present in the first session (when no shared secrets exist), the Short Authentication String (SAS) method is used: the communicating parties verbally cross-check a shared value displayed at both endpoints. If the values do not match, a man-in-the-middle attack is indicated. (In late 2006 the US NSA developed an experimental voice analysis and synthesis system to defeat this protection,[3] but this class of attack is not believed to be a serious risk to the protocol's security.[1]) The SAS is used to authenticate the key exchange, which is essentially a cryptographic hash of the two Diffie–Hellman values. The SAS value is rendered to both ZRTP endpoints. To carry out authentication, this SAS value is read aloud to the communication partner over the voice connection. If the values on both ends do not match, a man-in-middle attack is indicated; if they do match, a man-in-the-middle attack is highly unlikely. The use of hash commitment in the DH exchange constrains the attacker to only one guess to generate the correct SAS in the attack, which means the SAS may be quite short. A 16-bit SAS, for example, provides the attacker only one chance out of 65536 of not being detected.
Key continuity[edit]
ZRTP provides a second layer of authentication against a MitM attack, based on a form of key continuity. It does this by caching some hashed key information for use in the next call, to be mixed in with the next call's DH shared secret, giving it key continuity properties analogous to SSH. If the MitM is not present in the first call, he is locked out of subsequent calls. Thus, even if the SAS is never used, most MitM attacks are stopped because the MitM was not present in the first call.

Ik ben even zo vrij geweest om even op de website te kijken. Op de pagina: https://silentcircle.com/web/privacy/ staat:
Euh, hoe weten ze dat, dat ik stoute dingen doe? Dan moet er toch iets worden gelogd? Of men kan inzien, wat er wordt gecommuniceerd? Dan mogen ze daarboven stellen, dat:
maar dat stelt mij niet verder gerust. Ik krijg achteraf te horen, dat de AIVD mijn communicatie met X heeft opgevraagd.
Daar heb ik niets aan, want dan zit ik allang in een ondervragingskamertje, of heb ik dat stadium inmiddels ver achter mij.

Alleen in geval van het feit, dat ik zelf de sleutels samenstel en beheer zou ik een klein beetje vertrouwen hebben in de gebruikte software. Daarnaast zou ik die software eerst willen reverse engineeren en regel voor regel uitpluizen, wat het precies doet, of dat laten doen, door iemand die ik vertrouw.

Vertrouwen is het sleutelwoord in deze kwestie en dat heb ik zeker niet in dit bedrijf. Zeker niet, als dat wordt gerund door een paar ex-staatsterroristen en iemand, die zich wel eens laatdunkend uitlaat over een bepaalde overheid. Voor mij zijn dat praatjes voor de bühne van een paar gasten, die er alleen maar geld aan willen verdienen en handig inspelen op de huidige toestand.

Hetzelfde geldt voor KPN, die inspeelt op een toenemend gevoel van onbehagen bij een hoop mensen door de onthullingen van Snowden en daarmee de boer opgaat, om het zoveelste "product in de markt te zetten" onder het motto: "Wie het eerst komt, verdient de meeste poen eraan", terwijl ze zelf in het verleden te kennen hebben gegeven niet te vertrouwen te zijn. (Deep Packet Inspection)

Succes met reverse engineeren, maar dit is makkelijker: https://github.com/SilentCircle . Ik wens je dan ook heel veel succes met het analyseren en testen van de code.

Een bedrijf dat inspeelt op een markt, ja dat is inderdaad heel vreemd? Wat betreft het DPI verhaal, alle providers gebruiken DPI of een variant ervan om (meta)data te analyseren, niks nieuws, juist een reden om dit soort applicaties te gebruiken? Zoveelste product? Silent Circle bestond al ver voor de Snowden onthullingen.

Aan het einde van de dag blijft het een kwestie van vertrouwen, misschien is https://whispersystems.org/ iets meer voor jou, ook daar heel veel succes met uitpluizen van de code, eventueel door iemand die denkt er verstand van te hebben.

ik geloof groenlinks en partij voor dee dieren?