Nieuws
image

Britse Royal Society pleit voor end-to-end-encryptie

woensdag 13 juli 2016, 14:59 door Redactie, 2 reacties
Laatst bijgewerkt: 13-07-2016, 16:48

De Royal Society, de Britse Academie voor Wetenschappen, heeft een rapport gepubliceerd waarin het onder andere pleit voor end-to-end-encryptie en stelt dat overheden het gebruik hiervan juist moeten aanmoedigen. Niet alle aanbevelingen in het rapport kunnen echter op goedkeuring rekenen.

Het rapport genaamd "Progress and research in cybersecurity" richt zich op de cybersecurity-uitdagingen en de onderzoeksuitdagingen van de komende vijf tot tien jaar. Het behandelt verschillende thema's, zoals vertrouwen, weerbaarheid en onderzoek in de digitale wereld. Volgens de Royal Society is encryptie een essentiële technologie om vertrouwen in digitale systemen te realiseren.

"Nu digitale technologieën een steeds grotere rol in ons leven spelen, wordt encryptie steeds belangrijker en eventuele zwakheden in de implementatie een groter risico. Overheden moeten zich dan ook inzetten voor de robuustheid van end-to-end-encryptie en het wijdverbreid gebruik ervan aanmoedigen", aldus het rapport. Volgens de onderzoekers die aan het rapport meewerkten brengt het verzwakken van encryptie juist allerlei risico's voor burgers met zich mee.

Ross Anderson, hoogleraar aan de Universiteit van Cambridge, werkte mee aan het rapport. Hij is tevreden over de steun voor sterke encryptie, maar heeft ook kritiek op andere aanbevelingen. Zo pleit de Royal Society ook voor het niet inlichten van slachtoffers van een datalek, zoals de Britse geheime dienst GCHQ wil. Daarnaast wordt in het rapport gesteld dat de Britse overheid de richting van cybersecurity-onderzoek moet sturen. Iets waar Anderson het niet mee eens is, omdat er al teveel geld naar gericht onderzoek gaat in plaats van onderzoek dat door nieuwsgierigheid wordt gedreven.

Brexit

Het rapport is volgens Anderson al ingehaald door nieuwe ontwikkelingen, zoals Brexit en de aanstelling van Theresa May als nieuwe Britse premier. Volgens de hoogleraar is dit slecht voor het vestigingsklimaat van Groot-Brittannië voor it-bedrijven. May is altijd voorstander geweest van vergaande bevoegdheden voor de opsporingsdiensten. Bevoegdheden die door Brexit niet meer aan het Europees Hof van Justitie moeten worden voorgelegd.

Volgens Anderson krijgen opsporingsdiensten zo de bevoegdheid om bedrijven in Groot-Brittannië te dwingen gegevens af te staan en GCHQ te helpen bij het hacken van hun klanten. Dit maakt het weer lastiger voor Britse bedrijven om aan de Europese databeschermingswetgeving te voldoen. Deze samenloop kan ervoor zorgen dat it-bedrijven niet in het Verenigd Koninkrijk zullen investeren, aldus Anderson.

Reacties (2)
14-07-2016, 09:21 door Anoniem
End-to-end encryptie is een goed streven. Helaas is het *waardeloos* zonder end-to-end Authenticatie.

Stel ik wil een berichtje sturen naar een kennis. Hoe kom ik aan zijn sleutel? Ik vraag het op bij Allo/Facetime/Skype/Telegram/etc. Met die sleutel vercijfer ik mijn bericht en geef de ciphertext aan hetzelfde platform.

Dat is dus een Man-in-the-Middle waiting to happen.

De oorzaak is drieledig:
1. Het adresboek met namen en sleutels is in beheer bij Google/Apple/Microsoft/etc;
2. We gebruiken dat platform voor zowel voor sleutels als voor berichtenverkeer;
3. Wie controleert de lokale software - dat de versleuteling doet - dat dit correct gebeurd.

Er is in dit huidige model geen controle mogelijk dat de sleutel die ik krijg van het platform ook de sleutel is die mijn kennis heeft gegenereerd. We moeten maar vertrouwen dat de platformen dat niet misbruiken.


De uitdaging is om een eenvoudig protocol te bedenken waarmee gebruikers (lees: client software) de authenticiteit van sleutels kunnen controleren alvorens gebruik.

mvg, Guido.
14-07-2016, 12:34 door Anoniem
Door Anoniem: De uitdaging is om een eenvoudig protocol te bedenken waarmee gebruikers (lees: client software) de authenticiteit van sleutels kunnen controleren alvorens gebruik.
Het protocol is op zich uitermate eenvoudig: wissel fingerprints van sleutels rechtstreeks uit, face-to-face als het kan, telefoonisch als je de ander goed genoeg kent om te weten dat je echt met hem praat, desnoods via een derde die je allebei vertrouwt. De sleutels zelf kan je dan via een onveilig kanaal uitwisselen, je hoeft alleen de fingerprint te controleren. Die kan bijvoorbeeld als een reeks woorden worden weergegeven, zie bijvoorbeeld de PGP word list (https://en.wikipedia.org/wiki/PGP_word_list), wat over de telefoon goed werkt.

Ik zie niet in hoe je het verificatieproces simpeler en meer low-tech kan krijgen dan het vergelijken van een rijtje woorden.

Helaas is er een grote groep voor wie dingen "gewoon" moeten werken zonder dat ze er iets voor moeten doen, ik ben in mijn leven de nodige mensen tegengekomen die onmiddelijk afhaken als iets waarvan ze vinden dat het vanzelf moet werken een kleine inspanning vereist, vaak met een "kom nou, dat is toch niet meer van deze tijd"-achtige houding. Die mensen zijn op de een of andere manier wel in staat om SSID's en WiFi-wachtwoorden uit te wisselen en draadloze verbindingen te leggen. Het lijkt meer te gaan om met welke verwachtingen ze rondlopen dan om waar ze intellectueel toe in staat zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure