De Amerikaanse autoriteiten zouden providers om de encryptiesleutel van hun SSL-certificaten vragen, zodat ze afgetapt versleuteld verkeer kunnen ontsleutelen. Dat beweert een anonieme bron tegenover CNET. Grote internetbedrijven zouden volgens de bron de verzoeken weigeren, maar kleinere bedrijven zouden mogelijk eerder geneigd zijn om gehoor te geven.
Google en Microsoft willen niet zeggen of ze ooit zo'n verzoek hebben ontvangen, maar zeggen dat ze de sleutels nooit zullen prijsgeven. Een voormalige functionaris van het Ministerie van Justitie zegt dat de verzoeken komen omdat het internet zeer snel in een versleuteld model verandert.
"SSL heeft echt de mogelijkheden van Amerikaanse opsporingsdiensten beïnvloedt. Ze gaan nu naar de ultieme applicatielaagaanbieder."
Encryptie
Eerder dit jaar liet NSA-directeur Keith Alexander nog weten dat 'sterk versleutelde gegevens' zo goed als onmogelijk te lezen zijn. Dat gaat niet op als de NSA de privésleutel van het SSL-certificaat bemachtigt dat Facebook bijvoorbeeld gebruikt voor het aanbieden van een HTTPS-verbinding.
Dan zou het versleutelde verkeer toch kunnen worden gelezen. Dit zou echter weer via perfect forward secrecy (PFS) kunnen worden voorkomen. Hierbij beschikt elke HTTPS-sessie over een eigen sleutel. Zelfs als de privésleutel wordt gecompromitteerd, zouden deze sessies geen gevaar lopen. Google is op dit moment de enige grote provider die PFS aanbiedt.
Deze posting is gelocked. Reageren is niet meer mogelijk.