15-03-2016, 08:32 door Anoniem: Topic starter hier.
[...]
@Erik van Straten:
Als ik het goed begrijp stelt u eigenlijk dat als encryptie verzwakt wordt, het voor iedereen verzwakt wordt en dit resulteert in (onacceptabele) beveiligingsrisico's voor de consument, terwijl de waarde voor opsporingsinstanties gering is omdat de (slimme) crimineel zijn modus operandi wijzigt. Klopt dit?
Ja:
1) Onacceptabele risico's voor de consument:1a) Juniper firewalls gebruikten een stukje obscure sourcecode aangeleverd door de NSA resulterend in bewust verzwakte encryptie voor VPN verbindingen,
zodanig dat de NSA deze verbindingen kon kraken, maar andere partijen niet (de "ideale" backdoor). Helaas, hackers hebben toegang gekregen tot de sourcecode en een getalletje in dat NSA achterdeurtje
aangepast, zodanig dat
zij (i.p.v. NSA) deze VPN verbindingen relatief eenvoudig kunnen kraken (zie
https://www.security.nl/posting/457183/Juniper+gaat+NSA-algoritme+uit+ScreenOS+verwijderen?channel=rss). Wie een kuil graaft voor een ander?
1b) Bewust verzakte encryptie blijft ons achtervolgen (POODLE, DROWN, ... noem maar op). Verouderde protocollen (zoals SSLv2 en SSLv3), te korte sleutels, kraakbare ciphers en onveilige "secure" hashes lijken uitgeschakeld maar blijken vervolgens toch nog te werken, vaak doordat deze in bewust afgezwakte "export encryptie" werden gebruikt.
2) Crimineel wijzigt modus operandi:Uit
http://www.washingtontimes.com/news/2013/sep/5/terrorists-tout-new-technology-thwarts-us-intellig/ (gevonden in
http://tweakers.net/nieuws/109247/president-obama-benadrukt-noodzaak-van-een-encryptie-backdoor.html?showReaction=8318829#r_8318829):
By Cheryl K. Chumley - The Washington Times - Thursday, September 5, 2013: Terrorists and jihadists say they have a new tool to undercut American and Western intelligence — a mobile encryption software system that operates cell phone-to-cell phone, and works on even those devices that aren’t equipped with the technology.
Called the “Mobile Encryption Program,” the software was released by a group of radical Islamists — The Global Islamic Media Front — that’s known for producing propaganda for the terror groups al Qaeda, the Taliban and al Shabaab, NBC reported. The software is intended for mobile phones that run off Android and Symbian systems — but it allows for the encrypted files to be sent and read on phones with different systems.
[...]
15-03-2016, 08:32 door Anoniem: Is hier dan geen tussenweg in te vinden?
Mijn analogie tussen huizen en digitale encryptie gaat mank
zodra je de sleutel niet hebt. In een huis valt altijd wel in te breken (met brute force), en de
hoeveelheid brute force die je nodig hebt voor een bepaald soort woning verandert nauwelijks met de tijd.
Encryptie daarentegen veroudert relatief snel. Als je dat bewust iets verzwakt, zodat het veel geld kost om het te kunnen kraken (en dus voorbehouden lijkt aan geheime diensten en slechts bij zware criminaliteit en terrorisme wordt ingezet), heb je twee problemen: dat kraken kost al snel veel minder geld dan je had verwacht en tegenstanders blijken zeer inventief bij het besparen van kosten hierop (bijv. door zombie-PC's hiervoor in te zetten). Of ze ontdekken de achterdeur c.q. vervangen deze (zoals in de Juniper case). En om dit effectief te laten zijn (d.w.z. dat ook zware criminelen en terroristen verzwakte encryptie gebruiken) moet je
alle beschikbare encryptie verzwakken.
Naast dat dit een per definitie onhaalbare missie is (je kunt derden niet verbieden nieuwe encryptie uit te vinden, zie artikel van de Washington Times hierboven), verzwak je daarmee ook de encryptie van gegevens en/of verbindingen waarvan iedereen snapt dat die veilig moeten zijn (internetbankieren, defensie, zakelijke/concurrentiegevoelige informatie, updates voor jouw PC, DigiD/belasting/berichtenbox etc). Niet doen dus, voor je het weet bijt je in je eigen staart met dit soort paardenmiddelen!
Als je encryptie wilt doorbreken, blijft dus over het uitdelen van reservesleutels. Waarom je dat
ook niet moet doen heb ik al beschreven.
Mijn antwoord is dus nee (in elk geval v.w.b. encryptie). Opsporingsdiensten hebben overigens ook andere methodes om aan informatie te komen; bijv. wie met wie belt kunnen ze uit metadata halen.
De ultieme vraag is, m.i., hoe ver je moet gaan met het opofferen van privacy. Als je in alle kamers (slaap,- woon, bad,- etc) in Nederland camera's en microfoons ophangt, wordt ons land dan veiliger? En zo ja, hoeveel veiliger? Hoe verhoudt zich dit tot het aantal mensen dat door
andere oorzaken dan zware criminaliteit en terrorisme voortijdig overlijdt of ernstig gewond raakt?
15-03-2016, 08:32 door Anoniem: Apple kon blijkbaar wel in eerdere versies de encryptie ongedaan maken, en ik las dat ze dit nog steeds kunnen op iCloud. Waarom is deze methodiek van encryptie niet gehandhaafd?
De consument weet dat haar informatie versleuteld is, en bij een rechterlijk getoetst belang om de privacy te breken kan Apple de opsporingsdiensten helpen.
Apple (en andere leveranciers) hebben er
geen enkel belang bij om rechtsdienaar te spelen, integendeel (het kost ze direct geld - maar ook indirect, bijv. door imagoschade als blijkt dat devices van achteraf onschuldigen door hen zijn ontsloten, of als een corrupte werknemer iCloud data steelt). Door geen sleutels meer te hebben, vervangen ze die (grote) zorgen door de (simpele) politieke spelletjes als die nu worden gespeeld. Dat ze hun beveiliging beter op orde lijken te hebben dan Google en Microsoft, legt hen daarbij geen windeieren.