image

Vraagtekens over encryptie Skype blijven bestaan

dinsdag 11 november 2014, 15:25 door Redactie, 9 reacties

Het is nog altijd onduidelijk of Microsoft de inhoud van Skype-gesprekken en berichten kan monitoren. Onlangs presenteerde de Amerikaanse digitale burgerrechtenbeweging EFF een overzicht waarin de veiligheid van tientallen chat, webmail en VoIP-applicaties op zeven punten werd beoordeeld.

Skype wist slechts twee van de zeven punten te halen, namelijk voor het versleutelen van verkeer in "transit" en voor het onderdeel of de uitgewisselde berichten en gesprekken zo versleuteld waren dat de provider, in dit geval Microsoft, de inhoud niet kon lezen. Het gaat in dit geval om end-to-end encryptie, waarbij de informatie alleen voor de afzender en ontvanger toegankelijk is. Dit zorgde voor de nodige discussies op internet.

Na de lancering van het overzicht nam de EFF daarom contact op met Microsoft. De burgerrechtenbeweging wilde weten of Microsoft in staat is om de inhoud van Skype-gesprekken en berichten te bekijken. Daarop stelde Microsoft dat het overzicht, zoals het in eerste instantie was gepubliceerd, juist was. Een verder antwoord op de vraag of Microsoft de inhoud van Skype-communicatie kan lezen werd niet gegeven.

Volgens de EFF is het daardoor onduidelijk of Skype geen end-to-end encryptie doet of van een implementatie is voorzien waarbij Microsoft de end-to-end encryptie in bepaalde gevallen kan compromitteren. "Gegeven het verschil tussen de publieke verklaringen van Microsoft, de verklaringen tegenover ons en berichten over de mogelijkheden van Microsoft in de media, hebben we de score van Skype voor end-to-end encryptie verwijderd", aldus de EFF. Daardoor houdt Skype nog maar één punt over. Alleen Mxit en QQ doen het slechter. Deze producten weten helemaal geen punten te halen.

Image

Reacties (9)
11-11-2014, 15:43 door Anoniem
Apple's iMessage is ook niet zo privé als lijkt:
http://blog.quarkslab.com/imessage-privacy.html
11-11-2014, 16:00 door Anoniem
Of het uitmaakt, niet alles gaat over poort 443, deze verbindingen gingen enige tijd geleden in ieder geval nog over poort 80

ui.skype.com
(Forced check update channel)

dsn0.d.skype.net
dsn1.d.skype.net
...
dsn16.d.skype.net
(..?)
11-11-2014, 17:03 door Anoniem
Volgens de EFF is het daardoor onduidelijk of Skype geen end-to-end encryptie doet of van een implementatie is voorzien waarbij Microsoft de end-to-end encryptie in bepaalde gevallen kan compromitteren.

Skype is redelijk groot geworden door zijn bruikbaarheid, decentralisatie en vercijfering. Sinds de overname door Microsoft gaan alle Skype gesprekken via de supernodes, gezien de NSA onthullingen de laatste tijd, kan je het vercijferingsgedeelte ook weggooien. Volgens mij is Jitsi nu een beter alternatief op dat gebied.
11-11-2014, 17:17 door Anoniem
maar als je openvpn en skype samen gebruikt wat gebeurd er dan?.
Dan zit je toch ook al in een tunnel?.
11-11-2014, 17:25 door Anoniem
Door Anoniem: Volgens mij is Jitsi nu een beter alternatief op dat gebied.

Jitsi = Java Application!

Ene ellende voor andere grote ellende inruilen?
No way, daar schieten we niets mee op, laat maar.
11-11-2014, 18:35 door Anoniem
Door Anoniem: maar als je openvpn en skype samen gebruikt wat gebeurd er dan?.
Dan zit je toch ook al in een tunnel?.

Die tunnel beveiligt je niet echt. Jouw gesprek gaat via een supernode, eenmaal daar en je kan het wel vergeten. Afzender is misschien moeilijker te achterhalen, maar je logt ook in met een naam, eenmaal een fingerprint van je stem en je bent klaar.


Jitsi = Java Application!

Ene ellende voor andere grote ellende inruilen?
No way, daar schieten we niets mee op, laat maar.

Wanneer een applicatie in Java is geschreven dan is het gelijk onveilig? Grappig, dat sommige mensen zo kortzichtig denken.
11-11-2014, 19:55 door Anoniem
Door Anoniem: maar als je openvpn en skype samen gebruikt wat gebeurd er dan?.
Dan zit je toch ook al in een tunnel?.
En die tunnel loopt van jouw apparaat tot aan je VPN provider. Vanaf gaat je verkeer weer onbeschermd verder naar de bestemming. Bovendien gaat het erom dat Microsoft de end-to-end encryptie die via hun servers loopt kan compromitteren. Als je een dienst gebruikt die je niet kan vertrouwen kan niets je daarmee helpen.
Een VPN helpt alleen maar met het feit als iemand direct jouw internetverbinding afluistert. Tegen een organisatie als de NSA helpt dat ook niet, die kunnen waarschijnlijk jouw VPN verkeer correleren aan het onbeschermde verkeer wat de VPN servers verlaat.
12-11-2014, 07:32 door Anoniem
Als je bij skype oftewel microsoft je creditcart gegevens geeft ,dan is het bekent waar je woont.Ook met wie je chat kan bevestigegn wie je bent.(patriot act etc)
Als je redelijk prive wilt communiseren ,zal je een chat programma moeten gebruiken zoals jabber en chatsecure in combinatie met ottr of pgp.Verder anonimiseren,kan je met een vpn-provider (airvpn.org) of tor-netwerk.
12-11-2014, 14:24 door johanw
Door Anoniem:Volgens mij is Jitsi nu een beter alternatief op dat gebied.
Qua encryptie misschien wel, maar zolang ze alleen versies voor PC's aanbieden en niet voor Android en iOS is het veel minder bruikbaar. Redphone is veel flexibeler, werkt onder Android en iOS (daar bekend als Silent).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.