Google verplicht volledige schijfversleuteling in Android 6.0
Fabrikanten die smartphones en tablets met Android 6.0 leveren moeten ervoor zorgen dat volledige schijfversleuteling standaard staat ingeschakeld, zo blijkt uit documenten (pdf) waarover Android Police bericht. In eerste instantie zou Google "encryption by default" al in Android 5.0 Lollipop toepassen.
Later besloot de internetgigant daar toch vanaf te zien. Nu laat Google weten dat voor implementaties die volledige schijfversleuteling ondersteunen en waarbij cryptografische berekeningen met de Advanced Encryption Standard (AES) boven de 50 mebibyte per seconde uitkomen standaard volledige schijfversleuteling moet zijn ingeschakeld. Toestellen die met een oudere versie dan Android 6.0 werden gelanceerd vallen buiten de nieuwe verplichting, tenzij ze volledige schijfversleuteling al ondersteunden. Dat waren alleen de Nexus 6 en Nexus 9.
Google verplicht echter niet dat gebruikers de schermvergrendeling inschakelen. Voor deze gebruikers zal er een standaard pincode voor de schijfversleuteling worden gebruikt. Als de gebruiker uiteindelijk er toch voor kiest de schermvergrendeling in te schakelen hoeft het toestel niet opnieuw te worden versleuteld, wat lang zou kunnen duren.
Nadeel: fabriekanten maken waarschijnlijk een backupje van de originele header maken, zodat ze je bij het verlies van het wachtwoord kunnen assisteren door het wachtwoord te resetten. Dus backdoors zijn niet meer nodig. Ze hebben je sleutel al.
Nu kunnen ze gaan roepen dat ze geen backdoor hebben en dat de encryptie onbreekbaar is. En dat klopt.
Nadeel: fabriekanten maken waarschijnlijk een backupje van de originele header maken, zodat ze je bij het verlies van het wachtwoord kunnen assisteren door het wachtwoord te resetten. Dus backdoors zijn niet meer nodig. Ze hebben je sleutel al.
Nu kunnen ze gaan roepen dat ze geen backdoor hebben en dat de encryptie onbreekbaar is. En dat klopt.
Waar baseer je deze feiten op?
Ik vind dit tamelijk vervelend internet-gedrag, gewoon iets roepen en dan weglopen, ik zie mensen zoals jij al op straat rondrennen en roepen "Ja, de buurman van Nr. 35 is een pedofiel!".
Herhaal zulke acties vaak genoeg en mensen gaan je geloven zonder dat er ook maar enige discussie is geweest waardoor de geroepen conclusie is getrokken.
Nadeel: fabriekanten maken waarschijnlijk een backupje van de originele header maken, zodat ze je bij het verlies van het wachtwoord kunnen assisteren door het wachtwoord te resetten. Dus backdoors zijn niet meer nodig. Ze hebben je sleutel al.
Nu kunnen ze gaan roepen dat ze geen backdoor hebben en dat de encryptie onbreekbaar is. En dat klopt.
Waar baseer je deze feiten op?
Ik vind dit tamelijk vervelend internet-gedrag, gewoon iets roepen en dan weglopen, ik zie mensen zoals jij al op straat rondrennen en roepen "Ja, de buurman van Nr. 35 is een pedofiel!".
Herhaal zulke acties vaak genoeg en mensen gaan je geloven zonder dat er ook maar enige discussie is geweest waardoor de geroepen conclusie is getrokken.
Het is je goed recht om Amerikaanse en Chinese partijen op hun blauwe ogen te geloven dat ze die sleutel direct wegwerpen. Dat het deze keer anders is. Maar na al die berichten dat soft- en hardware fabriekanten in bed liggen met geheime diensten geloof ik daar niet meer in.
Of is die dan niet verplicht geencrypt?
En hoe moet je dan als gebruiker bij je data komen vanuit b.v. een PC?
Nadeel: fabriekanten maken waarschijnlijk een backupje van de originele header maken, zodat ze je bij het verlies van het wachtwoord kunnen assisteren door het wachtwoord te resetten. Dus backdoors zijn niet meer nodig. Ze hebben je sleutel al.
Nu kunnen ze gaan roepen dat ze geen backdoor hebben en dat de encryptie onbreekbaar is. En dat klopt.
Waar baseer je deze feiten op?
Ik vind dit tamelijk vervelend internet-gedrag, gewoon iets roepen en dan weglopen, ik zie mensen zoals jij al op straat rondrennen en roepen "Ja, de buurman van Nr. 35 is een pedofiel!".
Herhaal zulke acties vaak genoeg en mensen gaan je geloven zonder dat er ook maar enige discussie is geweest waardoor de geroepen conclusie is getrokken.
Het is je goedrecht om Amerikaanse en Chinese partijen op hun blauwe ogen te geloven dat ze die sleutel direct wegwerpen. Dat het deze keer anders is. Maar na al die berichten dat soft- en hardware fabrikanten in bed liggen met geheime diensten geloof ik daar niet meer in.
Er is een verschil tussen jezelf beschermen voor overheden of voor criminelen die je telefoon stelen.
Als de sleutel bij de overheid ligt vind ik dat minder erg dan dat deze bij criminelen liggen aangezien ik minder bang ben voor de Nederlandse overheid en al helemaal niet voor de Amerikaanse overheid aangezien ik daar nooit in mijn leven heen zal gaan.
Los daarvan, als de overheid vermoed dat jij iets illegaals doet (bijv. verdacht voor terrorisme) is het hun goed recht om in jouw mobiel te kunnen kijken, ik zal een stuk beter slapen wetende dat jij geen terrorisme kan plannen door middel van jouw telefoon, aangezien ik jou, of welke andere Android gebruiker niet door-en-door ken.
Of is die dan niet verplicht geencrypt?
En hoe moet je dan als gebruiker bij je data komen vanuit b.v. een PC?
Je telefoon is alleen encrypted wanneer deze uit staat, wanneer je de telefoon opstart wordt er om je pincode gevraagd en als je deze invoert wordt deze decrypted. Na het opstarten zal nogmaals om je ingestelde pincode worden gevraagd zoals normaal bij het unlocken van je startscherm
Daardoor kun je deze gewoon aansluiten op een PC en bij je bestanden komen. (Na het unlocken van je startscherm)
Het voordeel van een encrypted device ligt dus vooral bij het uitschakelen van het apparaat zodat de data geheel niet meer toegankelijk is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
