Blackphone moet privacy en encryptie kinderspel maken
De beveiligde Blackphone die KPN binnenkort zal aanbieden moet privacy en encryptie kinderspel maken zodat straks meer mensen hun communicatie en data kunnen beschermen. Dat stelt de Amerikaanse beveiligingsexpert Jon Callas, tegenwoordig CTO van beveiligingsbedrijf Silent Circle.
In het verleden was Callas betrokken bij de oprichting van de PGP Corporation en het opstellen van verschillende Internet Engineering Task Force (IETF) standaarden, waaronder OpenPGP, DKIM en ZRTP. De software van Silent Circle zal op de Blackphone worden gebruikt. Als besturingssysteem gebruikt de telefoon het op Android-gebaseerde PrivatOS, voorzien van allerlei applicaties om versleuteld te bellen en chatten.
"Er zijn veel mensen die privacy en security willen doen, maar niet weten waar ze moeten beginnen. Daarom hebben we een telefoon ontwikkeld die goede beveiliging en privacy biedt", aldus Callas in een interview met Tek Tok dat tijdens de One Conferentie van het Nationaal Cyber Security Centrum (NCSC) in Den Haag werd gehouden.
Encryptie
Gebruikers die de data op het toestel zelf willen beschermen zullen wel de encryptie moeten inschakelen waarschuwt Callas, wat dezelfde encryptie is die Android standaard gebruikt. Alleen met een passcode is de data dan nog te achterhalen, merkt de expert op. "We ontwikkelen deze telefoon voor iedereen die privacy nodig heeft. We organiseren ons leven niet rondom politierechercheurs. De telefoon is zo ontworpen dat die de privacy en de security van miljoenen mensen kan beschermen die hun zaken privé willen houden."
Logistieke keten
De software mag dan veilig zijn, in theorie zou het nog steeds mogelijk zijn dat de chips die de Blackphone gebruikt van een backdoor worden voorzien. Callas merkt op dat de telefoon door een fabriek in Zuidoost-Azië wordt geproduceerd die ook allerlei andere toestellen maakt. Deze fabriek zou ook veel samenwerken met Nvidia, de chipfabrikant die ook voor de Blackphone wordt gebruikt.
"Ze krijgen de software van ons. De software die wij naar de fabriek sturen is gesigneerd. Alle ROMs zijn gesigneerd. We weten vrij goed waar ze vandaan komen. Realistisch gezien hebben we een goede logistieke keten die door onze eigen mensen in de gaten wordt gehouden." De chips die de Blackphone gebruikt zijn afkomstig van Nvidia, die ze ook in Zuidoost-Azië laat ontwikkelen.
Snowden
De onthullingen van klokkenluider Edward Snowden over de surveillance van de NSA hebben de ontwikkeling en aandacht voor de Blackphone een boost gegeven, gaat Callas verder. "De onthullingen hebben geholpen en ook de Chinezen." En daarmee heeft de lancering van de telefoon het momentum mee, want beveiligingssystemen zijn altijd lastig te verkopen. Veel mensen vragen zich altijd of ze de systemen echt nodig hebben, laat Callas weten. Daarbij moet het systeem ook toegankelijk zijn.
Veel experts stellen dat encryptie nooit bij het grote publiek is doorgebroken omdat het te lastig is om te gebruiken. "Gebruiksgemak is wat mensen willen", benadrukt Callas. De beveiligingsexpert vergelijkt het met koken. Mensen kunnen allerlei kookboeken lezen om een goede maaltijd te bereiden of gewoon naar een goed restaurant gaan. "Je kunt het zelf doen als je de tijd en moeite wilt doen om het te leren. Maar de meeste mensen willen het niet leren, ze willen het gewoon hebben."
Dit onderwerp is nooit beantwoord in het artikel, alleen genoemd. Kortom, het houd deze mogelijkheid open of hoe zit het?
"Ze krijgen de software van ons. De software die wij naar de fabriek sturen is gesigneerd. "
Lijkt me een vrij normale procedure?
"We weten vrij goed waar ze vandaan komen"
'vrij goed' klinkt als een 'we zijn niet zeker maar hebben een redelijk assumptie dat dit zo is.'
"Realistisch gezien hebben we een goede logistieke keten die door onze eigen mensen in de gaten wordt gehouden."
Want mensen maken geen fouten, zijn niet beinvloedbaar en worden niet omgekocht, toch?
Voor een gewone doorsnee gebruiker lijken mij de opslag en doorgifte van locatiegegevens elke 5 / 10 / 15 minuten de grootste privacy dreiging. Tel daarbij op de wet dataretentie en weg is je privacy.
Daarnaast is een grote privacy dreiging het gebruik van apps die je locatiedata opvragen of uit metadata als gemaakte foto's locatiedata distilleren.
Dat is aan de gebruiker zelf om dat te monitoren. Gebeurt niet want EULA's lezen is niemands hobby, ongelezen ja en voor akkoord is en blijft de norm.
De hele riedel aan security en privacy maatregelen die hierboven beschreven komen pas daarna.
Privacy gaat in de eerste plaats over doorgifte van locatiedata. Gaat deze telefoon die spoofen? Lijkt me sterk.
Telefoon wat vaker thuislaten, batterij eruit of beter in een mooi stralingsvrij hoesje of doosje zijn ook een oplossing.
Gaat weinigen ook doen want niet praktisch. Privacy verliest het altijd van comfort, gemak en goedkoop gratis.
Blackphone, mooi product voor een niche markt.
Biedt geen echte soelaas voor het terugkrijgen van je privacy.
Als het gebruikers al interesseert, doorsnee niet.
Gaat weinigen ook doen want niet praktisch. Privacy verliest het altijd van comfort, gemak en goedkoop gratis.
Blackphone, mooi product voor een niche markt.
Biedt geen echte soelaas voor het terugkrijgen van je privacy.
Als het gebruikers al interesseert, doorsnee niet.
Nou ik denk dat je een paar goede features noemt die toegevoegd kunnen worden. KPN is niet de enige die ze levert.....
"gebrek aan apparaten die dat aanbieden"
en daar lijkt het op het gebied van privacy met dit apparaat nog steeds op.
Je primaire privacy gaat over het tegengaan van continue doorgifte van je locatiedata.
De secundaire privacy betreft meteen ook de security die het apparaat biedt, namelijk de beveiliging van en toegang tot het apparaat zelf.
Kan je het eerste (Primaire privacy) niet bieden maar het tweede wel (Security), dan zou ik het apparaat onder de noemer (nogal) "Secure" verkopen maar zeker niet onder de "Privacy" noemer.
Dat zou dan toch echt wat misleidendend zijn, mits de aanname aangaande blijvende continue doorgifte locatiedata klopt. Misschien is er aan gedacht (?).
Wanneer dat nog niet zo is, dan zijn daar voor een deel vast weer oplossingen voor te bedenken (neem dan de "anti-my.com" plaatsbepaling optie standaard ook even mee), als dat 'alles' is opgelost verkoop het dan ook onder de "Sterke Privacy" noemer.
Privacy? Wat is dat?
Vraag voor het inzicht dan bij je mobile provider je mobile- locatiedata op van de afgelopen maand per 10 minuten à een kwartier met vermelding op postcode gebied.
Krijg je een beetje een beeld wat anderen ook over je weten, dat is niet alleen je provider!
Heeft niets met paranoia te maken, dat is puur feitelijk zoals het ervoor staat, een database van jouw verblijfplaatsen 24 uur per dag. Elke dag ge-(mega-)üpload naar een centrale database waarin weer continue door overheid, politie en andere bibliotheekpashouders wordt geneusd.
Een naargeestig idee.
Als je (meer dan een beetje) onder die continue plaatsregistratie uit kan komen zullen sommigen zeggen, "nou ja best heel graag"!
Komt een telefoon die dat kan, schitterend!
Is het niet waar? Dan is dat een domper,
adverteer het dan ook niet zo.
Ben (nee, KPN) benieuwd.
"gebrek aan apparaten die dat aanbieden"
en daar lijkt het op het gebied van privacy met dit apparaat nog steeds op.
Je primaire privacy gaat over het tegengaan van continue doorgifte van je locatiedata.
De secundaire privacy betreft meteen ook de security die het apparaat biedt, namelijk de beveiliging van en toegang tot het apparaat zelf.
Kan je het eerste (Primaire privacy) niet bieden maar het tweede wel (Security), dan zou ik het apparaat onder de noemer (nogal) "Secure" verkopen maar zeker niet onder de "Privacy" noemer.
Dat zou dan toch echt wat misleidendend zijn, mits de aanname aangaande blijvende continue doorgifte locatiedata klopt. Misschien is er aan gedacht (?).
Wanneer dat nog niet zo is, dan zijn daar voor een deel vast weer oplossingen voor te bedenken (neem dan de "anti-my.com" plaatsbepaling optie standaard ook even mee), als dat 'alles' is opgelost verkoop het dan ook onder de "Sterke Privacy" noemer.
Privacy? Wat is dat?
Vraag voor het inzicht dan bij je mobile provider je mobile- locatiedata op van de afgelopen maand per 10 minuten à een kwartier met vermelding op postcode gebied.
Krijg je een beetje een beeld wat anderen ook over je weten, dat is niet alleen je provider!
Heeft niets met paranoia te maken, dat is puur feitelijk zoals het ervoor staat, een database van jouw verblijfplaatsen 24 uur per dag. Elke dag ge-(mega-)üpload naar een centrale database waarin weer continue door overheid, politie en andere bibliotheekpashouders wordt geneusd.
Een naargeestig idee.
Als je (meer dan een beetje) onder die continue plaatsregistratie uit kan komen zullen sommigen zeggen, "nou ja best heel graag"!
Komt een telefoon die dat kan, schitterend!
Is het niet waar? Dan is dat een domper,
adverteer het dan ook niet zo.
Ben (nee, KPN) benieuwd.
ik bedoel dat er ALTIJD een 'reden' is om het apparaat te wantrouwen ,is het niet om de fabrikant,dan is het wel om het land of bestuurder of link met een land,of gebruikte os.
het zal nooit goed genoeg zijn voor de politiek correcten die zich op sites als deze ophouden.
een reden zal gevonden worden ,hoe absurd ook.
als iemand dan zo paranoide is KOOP dan geen apparaten die je kunnen volgen ,we hebben er miljoenen jaren zonder gekund.
en nee ik heb geen smart phone,ik heb niet zo'n klere ding nodig.
wie wel eigenlijk..want d meesten gebruiken het om idiote berichtjes te sturen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
