Rol NSA bij opstellen encryptiestandaarden ingeperkt
Een comité van de Amerikaanse overheid heeft deze week de rol van de NSA bij het opstellen van encryptiestandaarden ingeperkt. Het House Science and Technology Comité bepaalde dat het National Institute for Standards and Technology (NIST) niet langer verplicht is om bij het opstellen van encryptiestandaarden de NSA te consulteren.
Het NIST heeft een voortrekkersrol bij het ontwikkelen van standaarden en richtlijnen en doet dit in nauw overleg en in samenwerking met standaardisatieorganisaties, het bedrijfsleven en andere belanghebbenden. Onder die laatste categorie valt ook de NSA. Het NIST is zelfs sinds 1987 wettelijk verplicht om met de NSA samen te werken. Iets wat in 2002 middels nieuwe wetgeving nog eens werd versterkt.
Vorig jaar september werd via klokkenluider Edward Snowden bekend dat de NSA opzettelijk backdoors aan encryptiestandaarden had toegevoegd. Het zou in ieder geval om de Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) gaan, waarmee willekeurige getallen worden gegenereerd.
Door de backdoor zouden de gegenereerde getallen helemaal niet willekeurig zijn en was het mogelijk om versleutelde informatie te ontsleutelen. Volgens documenten van Snowden was de NSA erin zijn geslaagd om het algoritme door het NIST goedgekeurd te krijgen. Onlangs verwijderde het NIST het algoritme al van de advieslijst. Nu hoeft het orgaan ook niet meer bij de NSA langs te gaan voor het opstellen van nieuwe standaarden, aldus Access, een organisatie die zich inzet voor digitale vrijheid.
Uhm...? Dus omdat de NIST niet meer langs de NSA hoeft zijn we ineens veilig? Wie zegt dat die NIST mannetjes niet stiekem door de NSA betaald worden? Is er niet een echt onafhankelijke organisatie die ook mensen van buiten de VS in dienst heeft die dit kan regelen? Een soort van VN voor ICT zeg maar?
Uhm...? Dus omdat de NIST niet meer langs de NSA hoeft zijn we ineens veilig? Wie zegt dat die NIST mannetjes niet stiekem door de NSA betaald worden? Is er niet een echt onafhankelijke organisatie die ook mensen van buiten de VS in dienst heeft die dit kan regelen? Een soort van VN voor ICT zeg maar?
En jij vertrouwd de VN wel? ;-)
Open source and audit is key here. En vooral de audit dan, hebben we recent geleerd door Heartbleed.
Uhm...? Dus omdat de NIST niet meer langs de NSA hoeft zijn we ineens veilig? Wie zegt dat die NIST mannetjes niet stiekem door de NSA betaald worden? Is er niet een echt onafhankelijke organisatie die ook mensen van buiten de VS in dienst heeft die dit kan regelen? Een soort van VN voor ICT zeg maar?
"We" ? Waarom zijn "we" gebonden aan NIST of wat dan ook ? En waarom zouden mensen in _dienst_ van een organisatie moeten zijn om een organisatie geschikte adviezen te laten geven ?
De N van NIST staat voor National (institute of standards and technology). National slaat hier op de VS.
Letterlijk is deze aankondiging een puur binnenlandse aangelegenheid voor de VS.
Voorheen was NIST verplicht de NSA te 'consulteren' over encryptie zaken, en die verplichting is vervallen. Het is volkomen logisch dat alleen de Amerikaanse overheid wettelijke plichten voor een Amerikaans instituut kan wijzigen.
NIST heeft een stuk geloofwaardigheid en vertrouwen ingeleverd sinds de NSA onhullingen, wat ook schadelijk is het bedrijfsleven in de VS.
Het opheffen van de formele verplichting de NSA te consulteren is een nuttig (en noodzakelijk) symbool om te beginnen dat te repareren.
Het is vanwege de grote economie van de VS dat NIST standaarden ook ver buiten de VS keuzes beinvloeden.
Overigens zijn veel van de NIST standaarden tot stand gekomen vanuit competities en reviews met externe (buitenlandse ) experts. Die allemaal in dienst zijn van hun eigen werkgever (universiteiten, bedrijven, overheden) .
Gelukkig wat dat betreft ( en deels om die reden) was het winnende AES design (Rijndael) van twee Belgen.
En jij vertrouwd de VN wel? ;-)
Open source and audit is key here. En vooral de audit dan, hebben we recent geleerd door Heartbleed.
De NSA zoekt toch altijd mogelijkheden om ergens in te kunnen infiltreren.
De NSA zoekt toch altijd mogelijkheden om ergens in te kunnen infiltreren.
Wel duh. Een open standaard kan natuurlijk door iedereen _bekeken_ worden.
Ze kunnen er ook nog commentaar op geven, net als iedereen.
Wat veranderd is, is dat NIST niet meer _verplicht_ is om de NSA te 'consulteren'. Hoe zwaar op grond van die verplichting een NSA advies/opinie woog bij NIST is niet bekend. Maar de verplichting is er dus niet meer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
