image

Telegram moet decryptiesleutels aan Russische FSB afstaan

dinsdag 20 maart 2018, 13:50 door Redactie, 53 reacties
Laatst bijgewerkt: 20-03-2018, 14:39

De versleutelde chatdienst Telegram moet decryptiesleutels aan de Russische geheime dienst FSB afstaan zodat de inhoud van versleutelde berichten gelezen kan worden, dat laat persbureau TASS weten op basis van een beslissing van de Russische mediatoezichthouder Rospotrebnadzor.

Telegram moet de FSB binnen 15 dagen van de noodzakelijke informatie voorzien om elektronische berichten te ontsleutelen die zijn ontvangen of verstuurd, aldus de toezichthouder. Vorig jaar oktober kreeg Telegram nog een boete van zo'n 12.000 euro opgelegd wegens het niet verstrekken van decryptiesleutels. Telegram ging tegen dit vonnis in beroep, maar dit werd afgewezen. Als het de decryptiesleutels niet verstrekt kan de chatdienst in Rusland worden geblokkeerd, zo meldt persbureau AP.

Update

Oprichter en ceo van Telegram Pavel Durov laat via Twitter weten dat de chatdienst zich niet laat bedreigen en geen privégegevens van gebruikers zal verstrekken. "Telegram staat voor vrijheid en privacy", aldus de tweet van Durov.

Image

Reacties (53)
20-03-2018, 13:59 door Anoniem
Ik ben benieuwd wat Telegram gaat doen.
20-03-2018, 14:00 door Bitwiper
Vroeger of later gaat dit ook in Nederland gebeuren.
20-03-2018, 14:01 door Anoniem
Ik dacht dat Telegram end-to-end encryption had?
20-03-2018, 14:05 door karma4
Door Bitwiper: Vroeger of later gaat dit ook in Nederland gebeuren.
Alleen als je eerste de democratie opheft dat is de gangbare volgorde en die is niet andersom.
20-03-2018, 14:12 door Anoniem
Alleen als je eerste de democratie opheft dat is de gangbare volgorde en die is niet andersom.

Klinkt leuk, verder volstrekt zonder inhoud. Natuurlijk kan de overheid hier, zonder de democratie op te heffen, ook dergelijke eisen gaan stellen.
20-03-2018, 14:12 door Anoniem
Door Bitwiper: Vroeger of later gaat dit ook in Nederland gebeuren.

... en daarom is er dus end-to-end encryption.
20-03-2018, 14:16 door meinonA
Door karma4:
Door Bitwiper: Vroeger of later gaat dit ook in Nederland gebeuren.
Alleen als je eerste de democratie opheft dat is de gangbare volgorde en die is niet andersom.
Met de WIV/Sleepnet wordt daar al een belangrijke stap in gezet. Begin van het einde, als je het mij vraagt.
20-03-2018, 14:17 door Anoniem
Door karma4:
Door Bitwiper: Vroeger of later gaat dit ook in Nederland gebeuren.
Alleen als je eerste de democratie opheft dat is de gangbare volgorde en die is niet andersom.
Men is anders hard op weg met de huidige gang van zaken
20-03-2018, 14:26 door karma4
Door meinonA:
Met de WIV/Sleepnet wordt daar al een belangrijke stap in gezet. Begin van het einde, als je het mij vraagt.
Eerder andersom als je je eigen democratie wil beschermen zul je de vijanden moeten kennen.
Als je er voor bent om die niet hun werk te laten doen geeft je nieuwe krachten alle ruimte.
Genoeg voorbeelden in geschiedenisboeken het is altijd die volgorde ... macht grijpen met onvrede in het volk via het volk dan restrictief bewind. Daar is het volk dan veel slechter mee af, maar die doorzien dat niet.

Ook in Rulsand is het eerst Putin die alle inspraak wegwerkt en pas nu hier mee komt. Let op die volgorde.
Hadden eerde machtshebbers voldoende waarborgen voor spreiding van macht ingebracht dan was de voormalige staatsveiligheidsofficier nu niet zo alleen heersend.
20-03-2018, 14:27 door Bitwiper
Door karma4:
Door Bitwiper: Vroeger of later gaat dit ook in Nederland gebeuren.
Alleen als je eerste de democratie opheft dat is de gangbare volgorde en die is niet andersom.
Als je denkt dat onze "democratie" dit gaat voorkomen, beantwoord dan eerst maar eens zelf de vragen die je aan mij stelde in https://www.security.nl/posting/554129/AIVD-directeur%3A+Kijk+wat+Facebook+en+Google+over+je+weten#posting554213:

Vraag 1: Zijn handhavers nodig ja/nee
Ofwel geloof jij dat er geen criminelen misdadigers zijn.

Vraag 2: Kun je onderscheid maken in Politie en veiligheidsdiensten ja/nee
Ofwel welke taken met handhaving zijn er en wille we die gescheiden houden in verantwoordelijkheden

Vraag 3: Welke technologie zet je op welke manier in
Ofwel geef handvatten hoe de handhavers hun werk moeten doen. Zonder werk je naar een politiestaat
20-03-2018, 14:30 door johanw
Het is sowieso verstandiger om berichtendiensten te gebruiken waar dit helemaal niet bij kan omdat het bedrijf die sleutels niet heeft. WhatsApp en Signal bijvoorbeeld. Maar dan zeuren veel ITers weer dat de webclient onhandig werkt omdat de telefoon steeds aan moet staan.
20-03-2018, 14:55 door karma4
Door Bitwiper: s je denkt dat onze "democratie" dit gaat voorkomen, beantwoord dan eerst maar eens zelf de die je aan mij stelde
UItdaging aangenomen.


Vraag 1: Zijn handhavers nodig ja/nee
Ofwel geloof jij dat er geen criminelen misdadigers zijn.
]https://www.amnesty.nl/encyclopedie/universele-verklaring-van-de-rechten-van-de-mens-uvrm-volledige-tekst
Het staat bol van allerlei "rechten op" bescherming hulp etc. Dat je zoiets opstelt geeft aan dat er
a/ criminelen en misdadigers zijn
b/ je handhavers en rechtsspraak met wetgeving nodig hebt (trias politicas)
Enig mogelijke antwoord: handhavers zijn nodig = ja


Vraag 2: Kun je onderscheid maken in Politie en veiligheidsdiensten ja/nee
Ofwel welke taken met handhaving zijn er en wille we die gescheiden houden in verantwoordelijkheden
[/quote
De moet zo simpel als wat zijn
- Politie 50000 fte is voor de goed vast te stellen wettelijke overtredingen waarna er een rechterlijke procedure (OM) kan gaan lopen.
- De veiligheidsdiensten zijn er voor screening van mensen onderzoek naar nog onbekende bedreigingen. Dat gaat niet zo maar naar het OM. Een verkeersovertreding of zelfs normale inbraak insluiping zullen ze weinig mee doen. Een agressief drugskartel met doel als wijkkoningen gaat wel als informatie door naar andere overheidstakken.

Hier wringt de vraag die een ieder voor zich moet maken.
Wil je beschermd worden door de overheid en een burger zijn, dan zul je er ook consequenties aan moeten zetten.
Dat staat los van het recht om politiek actief bezig te zijn.

Vraag 3: Welke technologie zet je op welke manier in
Ofwel geef handvatten hoe de handhavers hun werk moeten doen. Zonder werk je naar een politiestaat

"Big data" tools zijn gewoon open source zaken en de hardware is goedkoop.
https://www.kdnuggets.com/tutorials/index.html je zult de veranderingen niet tegen kunnen houden. Je kunt er wel wat mee doen om het ethisch in te zetten. Dat is de hele achtergrond van het WRR rapport big data in de vrije samenleving uit 2016. Je moet de handvatten geven wat wel en wat niet via toetsingscommissies. Je kan vooraf zoals bij het uitkomen van dat rapport via discussies adviezen er wat sturing aan geven. Dat is democratie.

Als je er enkel op uit bent om de boel tegen te houden dan zal het behoorlijk lastig worden.
-Ja-
= AIVD / Mivd mogen computers gebruiken.
= AIVD / Mivd mogen datanalyses doen
= AIVD / Mivd mogen data verzamelen in voor hun werk.

En dat is niet hetzelfde als dat ze alles van iedereen gaan verzamelen. Dat lukt ze technisch niet eens, moet je enkel de hoeveelheid eens gaan bevatten.
20-03-2018, 15:27 door Anoniem
Door johanw: Het is sowieso verstandiger om berichtendiensten te gebruiken waar dit helemaal niet bij kan omdat het bedrijf die sleutels niet heeft. WhatsApp en Signal bijvoorbeeld. Maar dan zeuren veel ITers weer dat de webclient onhandig werkt omdat de telefoon steeds aan moet staan.

Het is heel leuk en aardig dat Whatsapp mijn sleutels niet heeft, maar is de source code van Whatsapp openbaar? Hoe weet ik zeker dat ze niet alle data opslaan voordat deze uberhaupt word versleuteld?

Signal is de enige mogelijkheid voor wat je hier beschrijft. End to End + open Source.
20-03-2018, 16:13 door Anoniem
Door johanw: Het is sowieso verstandiger om berichtendiensten te gebruiken waar dit helemaal niet bij kan omdat het bedrijf die sleutels niet heeft. WhatsApp en Signal bijvoorbeeld. Maar dan zeuren veel ITers weer dat de webclient onhandig werkt omdat de telefoon steeds aan moet staan.
Dat maakt niks uit want als men de sleutels echt niet zou hebben dan wordt de hele dienst verboden en geblokkeerd.
Dat staat er ook: of de sleutels overhandigen, of je wordt geblokkeerd. Als je dan de sleutels niet KUNT overhandigen
dan is het einde verhaal met je bedrijf.
Wat dat betreft is het dus maar zeer de vraag of het slim is je protocol zo in elkaar te zetten dat je zelf de sleutels niet
hebt.
20-03-2018, 16:21 door [Account Verwijderd]
Door meinonA:
Door karma4:
Door Bitwiper: Vroeger of later gaat dit ook in Nederland gebeuren.
Alleen als je eerste de democratie opheft dat is de gangbare volgorde en die is niet andersom.
Met de WIV/Sleepnet wordt daar al een belangrijke stap in gezet. Begin van het einde, als je het mij vraagt.

Vergeleken met Rusland valt het hier nog reuze mee hoor al is het niet ideaal.
20-03-2018, 16:23 door [Account Verwijderd]
Door johanw: Het is sowieso verstandiger om berichtendiensten te gebruiken waar dit helemaal niet bij kan omdat het bedrijf die sleutels niet heeft. WhatsApp en Signal bijvoorbeeld. Maar dan zeuren veel ITers weer dat de webclient onhandig werkt omdat de telefoon steeds aan moet staan.

WhatsApp is closed source dus je weet nooit of een achterdeurtje in zit. Signal is 100% transparant en te auditen. En Facebook vrij als bijkomend voordeel.
20-03-2018, 16:25 door Anoniem
Door Anoniem: Ik dacht dat Telegram end-to-end encryption had?

Dat hebben ze ook, alleen niet als default en niet voor de groeps apps. (dat was tenminste tot een paar maanden geleden zo, ben inmiddels geen Telegram gebruiker meer).
20-03-2018, 16:26 door Anoniem
Door johanw: Het is sowieso verstandiger om berichtendiensten te gebruiken waar dit helemaal niet bij kan omdat het bedrijf die sleutels niet heeft. WhatsApp en Signal bijvoorbeeld. Maar dan zeuren veel ITers weer dat de webclient onhandig werkt omdat de telefoon steeds aan moet staan.

Bij Signal hoef de telefoon niet aan te staan of in de buurt te zijn, wel éénmalig om het account te koppelen.
20-03-2018, 16:26 door [Account Verwijderd]
Door karma4:
Door Bitwiper: Vroeger of later gaat dit ook in Nederland gebeuren.
Alleen als je eerste de democratie opheft dat is de gangbare volgorde en die is niet andersom.

Daar zijn D66 en trawanten al mee begonnen.
20-03-2018, 16:43 door karma4
Door Linux4: Daar zijn D66 en trawanten al mee begonnen.
Ik dacht meer aan de reeks: PVV FVD VVD
20-03-2018, 16:46 door karma4
Door Bitwiper: ....
Vraag 3: Welke technologie zet je op welke manier in
Ofwel geef handvatten hoe de handhavers hun werk moeten doen. Zonder werk je naar een politiestaat
Aanvulling, dit geeft een aardig idee. https://www.linkedin.com/pulse/advanced-national-security-intelligence-systems-newone-luis-martín/ Typisch dat het 9 vlaks Model R Maes ook hier weer te zien is in de organisatieboom.
20-03-2018, 17:01 door Anoniem
Door karma4:
Door Bitwiper: Vroeger of later gaat dit ook in Nederland gebeuren.
Alleen als je eerste de democratie opheft dat is de gangbare volgorde en die is niet andersom.

Dat begin is allang gemaakt met de sleepwet... En zonder privacy geen democratie, vergeet dat niet!
20-03-2018, 17:15 door Anoniem
Door Linux4:
Door karma4:
Door Bitwiper: Vroeger of later gaat dit ook in Nederland gebeuren.
Alleen als je eerste de democratie opheft dat is de gangbare volgorde en die is niet andersom.

Daar zijn D66 en trawanten al mee begonnen.

D66 wou graag meedoen aan de coalitie.
Dat mocht van rutte, op voorwaarde dat het d66 zou zijn die de mogelijkheid tot referendum zou innemen.
Dit alles om te voorkomen dat de vvd in een slecht daglicht zou komen te staan.

Bedenk wel dat we tegenwoordig heel erg gehaaide politici hebben,
welke hun best doen om pak 'em beet 15 jaar vooruit te kijken.

En ik hoop oprecht dat ik het het bovenstaande fout heb, alhoewel ik dat ten zeerste betwijfel.
Let op mijn woorden, we gaan het wel merken in de komende 20 jaar.
20-03-2018, 17:20 door Bitwiper - Bijgewerkt: 20-03-2018, 17:22
Ook al zouden de huidige versies van Telegram, Signal, WhatsApp en andere "end-to-end encrypted" chat-apps jouw private key op jouw smartphone laten (en niet naar de ontwikkelaar sturen), wie kan controleren dat dit bij de eerstvolgende update nog zo is?

Hoe weet je of de versies die in verschillende landen en/of met verschillende talen worden aangeboden op dit punt niet verschillen?

Hoe weet je zeker dat de versie op jouw smartphone niet afwijkt van wat gangbaar is bijv. omdat jij een verdachte (of een om andere redenen een interessant target) bent?

Hoe weet je zeker dat de private key op jouw smartphone volstrekt random is gegenereerd, of mogelijk toch niet?
20-03-2018, 17:21 door Anoniem
Met nieuwe WIV moet je ook sleutels afstaan. Niet meewerken is gevangenisstraf of boete.

Niet meewerken met verstrekken informatie (klikken) is ook strafbaar nu. Nu is het nog vrijwillig.
20-03-2018, 18:02 door Anoniem
Door Anoniem: Met nieuwe WIV moet je ook sleutels afstaan. Niet meewerken is gevangenisstraf of boete.

Niet meewerken met verstrekken informatie (klikken) is ook strafbaar nu. Nu is het nog vrijwillig.

Dat is aan de rechter, en die heeft al aangegeven dat dat niet gaat gebeuren. Niet bang maken waar het onnodig is. Geen stemmingmakerij aub.
20-03-2018, 18:22 door Anoniem
Door Anoniem:
Bedenk wel dat we tegenwoordig heel erg gehaaide politici hebben,
welke hun best doen om pak 'em beet 15 jaar vooruit te kijken.

Je de meeste politici die regeringsmacht hebben die kijken vooruit na het eind van hun carriere, en zorgen ervoor
dat ze dan weer commisariaatjes en/of een baantje bij de EU kunnen krijgen.
Door nu bepaalde dingen door te drukken kunnen ze later makkelijker binnenkomen bij een bedrijf of de EU.
20-03-2018, 18:25 door Anoniem
Door Anoniem: Met nieuwe WIV moet je ook sleutels afstaan. Niet meewerken is gevangenisstraf of boete.
Niet meewerken met verstrekken informatie (klikken) is ook strafbaar nu. Nu is het nog vrijwillig.

Zolang politici en hoge ambtenaren bij een parlementair onderzoek onder ede kunnen verklaren dat ze zich iets niet kunnen herinneren kan ik het er wel op wagen om een wachtwoord te "vergeten". Een vingerafdruk kan je niet vergeten dus voor mij liever wachtwoorden en langere pincodes dan een vingerafdruk die onder druk/geweld afgestaan moet worden.
20-03-2018, 18:28 door Anoniem
Maar is de gang de verkeerde kant op niet al ingezet in USA met recentelijk het loslaten van de netneutraliteit?
Providers en telco's mogen ook met de big data "sjacher macher" gaan maken.

EU doet ook mee om data delen vrijer te maken, uw verzekering bij voorbeeld mag meekijken met uw betalingsverkeer.

"Sjacher macher" op grote schaal noemen we monopoliseren en monoplolisten worden niet opgesplitst of opengebroken of geremd als ze maar 100% in het geheim meewerken met de surveillancestaat (voor wat voor uiteindelijke agenda dan ook).

Dat staat bij de burgers van deze staat en geaffilieerde staten niet voldoende op het netvlies en daarom gaan we op termijn met zijn allen daarmee "de bietenbrug op". Commercie en Deep State gaan steeds hand in hand en Big Data is voor beide entiteiten iets waar ze op draaien als een Tyrannosaurus Rex. Stop de Snake Oil Sellers.

We kunnen maar beter met zijn allen wat voorzichtiger zijn met het opbouwen van een psychotronisch te analyseren profiel, of zorgen dat die opbouw wat stokt gelijk op met onze verkokerde visie te doorbreken. Maak je niet afhankelijk van deze hufters en gooi wat zand tussen de tandraderen van dit digi-monster van rupsje nooit genoegs.

Jodocus Oyevaer
20-03-2018, 18:33 door Anoniem
Door Anoniem: Met nieuwe WIV moet je ook sleutels afstaan. Niet meewerken is gevangenisstraf of boete.

Ik kan dat in de wettekst niet terug viinden, zou je een linkje willen plaatsen waar dat staat?
https://www.aivd.nl/binaries/aivd_nl/documenten/kamerstukken/2017/08/17/publicatie-in-staatsblad-van-wiv-2017/20170817+Publicatie+Wiv+2017+in+Staatsblad.pdf
20-03-2018, 19:43 door Roger63
Encryptie is principieel lek als een derde partij de sleutel beheert. End-to-end encryptie lost dit niet op (tenzij je zelf je sleutels beheert natuurlijk).
20-03-2018, 20:04 door Bitwiper
Door Roger63: Encryptie is principieel lek als een derde partij de sleutel beheert. End-to-end encryptie lost dit niet op (tenzij je zelf je sleutels beheert natuurlijk).
Encryptie is principieel lek als je software gebruikt waarvan je niet weet of de makers daarvan 100% betrouwbaar zijn en/of door een overheid gedwongen kunnen worden om onbetrouwbaar te zijn (en daarover te zwijgen).
20-03-2018, 20:05 door Anoniem
Door Roger63: Encryptie is principieel lek als een derde partij de sleutel beheert. End-to-end encryptie lost dit niet op (tenzij je zelf je sleutels beheert natuurlijk).

E2E lost dit wél op aangezien de sleutel niet bekend is bij de dienst.
20-03-2018, 20:10 door Anoniem
Door Bitwiper:
Door Roger63: Encryptie is principieel lek als een derde partij de sleutel beheert. End-to-end encryptie lost dit niet op (tenzij je zelf je sleutels beheert natuurlijk).
Encryptie is principieel lek als je software gebruikt waarvan je niet weet of de makers daarvan 100% betrouwbaar zijn en/of door een overheid gedwongen kunnen worden om onbetrouwbaar te zijn (en daarover te zwijgen).

Alweer iemand die denkt het te weten, Karma5 of zo?
https://en.wikipedia.org/wiki/End-to-end_encryption

Goed lezen en het dan nog snappen ook.
20-03-2018, 20:36 door Anoniem
Ik kan mij voorstellen dat het in veel gevallen wenselijk is dat encryptie gewaarborgd is, maar in heel veel meer gevallen bestaan de berichten uit niet meer dan : Wat eten we vanavond en Yo man :-)
20-03-2018, 20:48 door johanw
Door Bitwiper: Ook al zouden de huidige versies van Telegram, Signal, WhatsApp en andere "end-to-end encrypted" chat-apps jouw private key op jouw smartphone laten (en niet naar de ontwikkelaar sturen), wie kan controleren dat dit bij de eerstvolgende update nog zo is?
Ik lees de commits en bouw Signal altijd zelf vanuit de sourcecode. Dus daar ben ik vrij zeker van.
20-03-2018, 20:49 door johanw
Door Roger63: Encryptie is principieel lek als een derde partij de sleutel beheert. End-to-end encryptie lost dit niet op (tenzij je zelf je sleutels beheert natuurlijk).
De definitie van end to end encryptie is nu juist dat de sleutels alleen bekend zijn bij de ontvanger en verzender en niet bij een tussenliggende partij.
20-03-2018, 20:54 door karma4
Door Anoniem:
Alweer iemand die denkt het te weten, Karma5 of zo?
https://en.wikipedia.org/wiki/End-to-end_encryption
Goed lezen en het dan nog snappen ook.
Voel me vereerd dat je geloofd dat ik alles zou weten. Ik zoek juist informatie voor een aantal vragen.
Helaas schijnt bashen en af...n een populairdere bezigheid te zijn dan sociaal elkaar te willen helpen.

Bitwiper heeft gewoon gelijk, lees je link en dan snappen: "In an E2EE system, encryption keys must only be known to the communicating parties".
En met de communicating parties wordt niet Telegram Apple een VPN dienst of wat dan ook bedoeld.
Zou telegram niet de sleutels hebben maar de gebruikers dan konden ze eisen wat ze wilden. Je kunt niet overhandigen wat je niet hebt. De andere zwakte is de software als jij prachtig verzonnen sleutels gebruikt maar in de software zit een achterdeur dan wel onbedoelde zwakte, dan heb je nog geen zekerheid. Je moet de hele keten overzien en doorgronden.
Ooit van Prism gehoord?
20-03-2018, 21:24 door Anoniem
Door karma4:
Door Anoniem:
Alweer iemand die denkt het te weten, Karma5 of zo?
https://en.wikipedia.org/wiki/End-to-end_encryption
Goed lezen en het dan nog snappen ook.
Voel me vereerd dat je geloofd dat ik alles zou weten. Ik zoek juist informatie voor een aantal vragen.
Helaas schijnt bashen en af...n een populairdere bezigheid te zijn dan sociaal elkaar te willen helpen.

Bitwiper heeft gewoon gelijk, lees je link en dan snappen: "In an E2EE system, encryption keys must only be known to the communicating parties".
En met de communicating parties wordt niet Telegram Apple een VPN dienst of wat dan ook bedoeld.
Zou telegram niet de sleutels hebben maar de gebruikers dan konden ze eisen wat ze wilden. Je kunt niet overhandigen wat je niet hebt. De andere zwakte is de software als jij prachtig verzonnen sleutels gebruikt maar in de software zit een achterdeur dan wel onbedoelde zwakte, dan heb je nog geen zekerheid. Je moet de hele keten overzien en doorgronden.
Ooit van Prism gehoord?

Je hoeft je niet vereerd te voelen, je denkt alles te weten en als het tegendeel bewezen wordt reageer je niet meer op een posting. Of je knipt selectief (zoals nu ook weer) in een tekst. Het is niet een kwestie van bashen maar kotsen van iemand die er een levenswerk (bijna 6000 reacties) van maakt om hier de zaak te verstieren.

Daarnaast, ooit van controleerbare sourcecode gehoord? Nee, opensource is een vies woord bij je maar b.v. Signal is opensource, controleerbaar en te auditten dat geeft meer zekerheden dan elke andere software dan ook. De zwakte van Telegram is al lang bekend maar we hebben het nu over software die standaard E2EE toepast.

Ja, het klopt dat er in opensource software fouten zitten, maar deze zijn in principe zichtbaar voor iedereen.
Natuurlijk moet er geen backdoor in de gebruikte software zitten maar ook dat is controleerbaar. 100% zekerheid krijg je niet, je OS zit er nog tussen net zo goed als wat hardware die niet opensource is. Ja er bestaan ook nog idealisten die de mensheid een dienst willen bewijzen en dit soort software gratis ter beschikking stellen, zonder dat je met je privacy betaald.
20-03-2018, 22:30 door Anoniem
Door Linux4:
Door johanw: Het is sowieso verstandiger om berichtendiensten te gebruiken waar dit helemaal niet bij kan omdat het bedrijf die sleutels niet heeft. WhatsApp en Signal bijvoorbeeld. Maar dan zeuren veel ITers weer dat de webclient onhandig werkt omdat de telefoon steeds aan moet staan.

WhatsApp is closed source dus je weet nooit of een achterdeurtje in zit. Signal is 100% transparant en te auditen. En Facebook vrij als bijkomend voordeel.
Hoe weet je of de binaire code van Signal op jouw mobiel overeenkomt met de sourcecode? En heb jij de sourcecode ook ga-audit?
20-03-2018, 22:33 door Anoniem
Al je gegevens , bulk etc, zullen/zal vanaf (nu al ...) de zomer (legaal) aan partners ! Dat is bijvoorbeeld de : Fiod ! doorgegeven worden !
Advertentie plaatsen op Marktplaats ... kinderfietsje verkopen ?
Keiharde boete ! Betalen betalen betalen betalen.
Winst maken ?
De Fiod, diensten kijken mee !
Alles . Elke data . Alles . Wat je doet . Opgeslagen tot minima 7 jaar !!! (Belastingeisen)
U zult boeten !
Boeten voor leven , vrijheid ! ! !
Wij zijn de overheid en je zal boeten voor vrijheden op internet.
Cryptocurrency winst ?
Wij kijken mee !
Betalen.
Privacy.
Facetime met vriendin ?
Fiod kijkt mee !
Alles !
Alles !
Metadata slaan ze al jaren op !
Alles !
20-03-2018, 22:38 door Bitwiper
Door johanw:
Door Bitwiper: Ook al zouden de huidige versies van Telegram, Signal, WhatsApp en andere "end-to-end encrypted" chat-apps jouw private key op jouw smartphone laten (en niet naar de ontwikkelaar sturen), wie kan controleren dat dit bij de eerstvolgende update nog zo is?
Ik lees de commits en bouw Signal altijd zelf vanuit de sourcecode. Dus daar ben ik vrij zeker van.
Ik vermoed dat maar weinigen dit doen, maar chapeau voor jou!

Neemt niet weg dat het knap lastig kan zijn om een backdoor in een CSPRNG (Cryptographically Secure Pseudo Random Number Generator) te herkennen [*], gebruikt voor het genereren van jouw initiële asymmetrische sleutelpaar en -indien van toepassing- Diffie-Hellman parameters.

En hoe weet je zeker dat de door jou gebruikte compiler, linker en evt. andere build tools niet gebackdoored zijn (ook dat is niet theoretisch, Microsoft deed (doet?) dat gewoon [3]). Zie ook "Reflections on Trusting Trust" door Ken Thompson uit 1984, o.a. in [4].

Daarnaast, ook als jouw app niet "gebackdoored" is, kan jouw informatie alsnog in onbedoelde handen vallen als dat niet geldt voor degene(n) met wie jij communiceert.

[*] Denk bijv. aan de "dubbelspion" CSPRNG [1] waar de Juniper ontwikkelaars overheen keken en de buggy Debian CSPRNG die anderhalf jaar onontdekt bleef [2].
[1] https://www.schneier.com/blog/archives/2016/04/details_about_j.html
[2] https://www.schneier.com/blog/archives/2008/05/random_number_b.html
[3] https://www.infoq.com/news/2016/06/visual-cpp-telemetry
[4] https://www.win.tue.nl/~aeb/linux/hh/thompson/trust.html
21-03-2018, 00:15 door Anoniem
Eens met Bitwiper, de malafide update is de "royal way in" van de veiligheidsdiensten naar je device om deze te compromitteren. Onverdachte code injectie - altijd al geweest.

In Turkije worden bij voorbeeld reguliere avast free downloads van staatstrojanen voorzien.

Als we thans al weten wat de leuke app van Cambridge Analytica uitrichtte. Wat kun je dan eigenlijk in de grond van de zaak nog vertrouwen? Alles is een kwestie van "trust". WOT viel door de mand toen alle user data werden versjacherd door een tijdelijk zaakwaarnemer en durfkapitalist uit Helsinki. Vertrouwen is nooit meer teruggekeerd, want wie een keer liegt en daarna honderd keer de waarheid spreekt, vertrouwt men niet meer, zegt het Duitse gezegde.

Kijk van de cybercrimineel die een domeintje draait via ProtectGuard in Panama om te phishen weet je waar ie mee bezig is en dat is ook gemakkelijk via AI technologie uit te vinden. Ik hoop dat AI ons ook nog eens voor de escapade's van drie- en vierletterdiensten kan gaan waarschuwen. Zou wel zo eerlijk zijn en de infrastructuur voor iedereen op deze planeet heel wat veiliger maken. Ze zullen zich er wel zo lang mogelijk tegen willen verzetten, neem ik aan, stelletje luizenstruiken!

Het zal wel nog lang een illusie blijven dus, dat we dat met zijn allen eens gaan flikken. Alhoewel ik aan de goede kant van het spectrum blijf staan, jullie toch ook?

Jodocus Oyevaer
21-03-2018, 01:11 door Anoniem
NSA en consorten kunnen naar het schijnt op afstand de microfoon aan te kunnen zetten dus ook al heb je end to end encrytpie wat maakt het dan nog allemaal uit?

Je gesprek kan dan nog worden af(mee)geluisterd.

Tja.... ik zie het nut dan niet van End to End.

Bij Telegram hebben ze een Masterkey die de FSB willen hebben dus ook ik ben benieud wat ze bij Telegram gaan doen.
21-03-2018, 06:42 door Anoniem
Door Bitwiper:
Door johanw:
Door Bitwiper: Ook al zouden de huidige versies van Telegram, Signal, WhatsApp en andere "end-to-end encrypted" chat-apps jouw private key op jouw smartphone laten (en niet naar de ontwikkelaar sturen), wie kan controleren dat dit bij de eerstvolgende update nog zo is?
Ik lees de commits en bouw Signal altijd zelf vanuit de sourcecode. Dus daar ben ik vrij zeker van.
Ik vermoed dat maar weinigen dit doen, maar chapeau voor jou!

Neemt niet weg dat het knap lastig kan zijn om een backdoor in een CSPRNG (Cryptographically Secure Pseudo Random Number Generator) te herkennen [*], gebruikt voor het genereren van jouw initiële asymmetrische sleutelpaar en -indien van toepassing- Diffie-Hellman parameters.

En hoe weet je zeker dat de door jou gebruikte compiler, linker en evt. andere build tools niet gebackdoored zijn (ook dat is niet theoretisch, Microsoft deed (doet?) dat gewoon [3]). Zie ook "Reflections on Trusting Trust" door Ken Thompson uit 1984, o.a. in [4].

Daarnaast, ook als jouw app niet "gebackdoored" is, kan jouw informatie alsnog in onbedoelde handen vallen als dat niet geldt voor degene(n) met wie jij communiceert.

100% veiligheid krijg je nooit, wie zegt dat er geen keylogger in mijn toetsenbord zit.
21-03-2018, 12:15 door Anoniem
Door Anoniem:
Alleen als je eerste de democratie opheft dat is de gangbare volgorde en die is niet andersom.

Klinkt leuk, verder volstrekt zonder inhoud. Natuurlijk kan de overheid hier, zonder de democratie op te heffen, ook dergelijke eisen gaan stellen.

Als NL met RU gaat vergelijken ben je echt niet goed snik...
21-03-2018, 13:25 door Anoniem
Door karma4:
Door Linux4: Daar zijn D66 en trawanten al mee begonnen.
Ik dacht meer aan de reeks: PVV FVD VVD
Vreemde collectie. Ben je in de war?
(als in: in de war zijn, niet als zonder motief buiten-spel wegzetten).

Voor: VVD, D66, CDA, CU, SGP (waarbij de laatste twee niet helemaal blij waren met de illegale omzeiling van de wet)
Tegen: SP, GL, FvD, PVV, PvdA, PvdD, 50plus, DENK
Dus eigenlijk zou elke fractie 1 stem moeten hebben...

100% veiligheid krijg je nooit, wie zegt dat er geen keylogger in mijn toetsenbord zit.
Je hebt meegekregen dat niet verstuurde formulier meegelezen worden - inclusief alle muteringen?
Da's dus eigenlijk al hetzelfde.
21-03-2018, 13:27 door Anoniem
Door Anoniem:
Door Anoniem:
Alleen als je eerste de democratie opheft dat is de gangbare volgorde en die is niet andersom.

Klinkt leuk, verder volstrekt zonder inhoud. Natuurlijk kan de overheid hier, zonder de democratie op te heffen, ook dergelijke eisen gaan stellen.

Als NL met RU gaat vergelijken ben je echt niet goed snik...

Klopt, in de RU heb je tenminste privacy.
21-03-2018, 16:48 door Bitwiper - Bijgewerkt: 21-03-2018, 16:53
Door Anoniem: 100% veiligheid krijg je nooit, wie zegt dat er geen keylogger in mijn toetsenbord zit.
Dat sluit ik niet uit als jij een ernstige verdachte bent, of een interessant doelwit voor criminelen of paparazzi, maar anders verwacht ik dat niet. Wie komt die data uit jouw keyboard ophalen?

Waar ik me zorgen over maak zijn clubs zoals Cambridge Analytica die veel geld over hebben voor grote hoeveelheden gebruikersgegevens met misbruik als doel (niet van een enkel keyboardloggertje).

In elk geval bedrijven met een onduidelijk inkomstenmodel zijn bij uitstek potentiële "handelspartners" voor dat soort clubs: waar verdienen WhatsApp, Microsoft's Outlook, Yahoo, GMail etc. hun geld aan (o.a. voor infrastructuur en personeel) als zij geen gebruikersgegevens met derden (zouden) mogen delen?

Voor die bedrijven wordt het risico (boetes) en de pakkans steeds groter als zij zich niet aan de wet houden (denk aan GDPR), maar of foute beheerders en/of criminele hackers zich daar veel van aantrekken betwijfel ik. Als zij bijv. sources voor Apps zo weten te wijzigen dat zij (of direct derde partijen) die grote hoeveelheden gebruikersgegevens in handen kunnen krijgen, gaat dat -vroeger of later- gewoon gebeuren.

En: zodra geheime diensten achterdeursleutels in handen krijgen, kun je erop wachten tot iemand met toegang tot die sleutels zwicht onder de druk van clubs zoals Cambridge Analytica.

En dat is meteen ook een van de redenen dat ik tegen de "sleepwet" heb gestemd. Want die gaat ervoor zorgen dat mensen die strafbare feiten te verbergen hebben, meer en sterker gaan versleutelen. En dat zal er, ook in Nederland, toe leiden dat er verboden komen op bepaalde soorten encryptie. Niet dat dit helpt, want foute mensen gaan dan gewoon over op andere soorten encryptie (maar politici zullen blijven weigeren om dat in te zien).

Het gevolg van dit alles is dat foute clubs (zoals Cambridge Analytica) in de toekomst nog makkelijker aan grote hoeveelheden gegevens van mensen zullen kunnen komen. Van mensen die denken dat ze niets te verbergen hebben, maar ook van hen die wel beter weten (zonder dat zij strafbare feiten plegen).
21-03-2018, 17:16 door Anoniem
Als je je wilt "wapenen" tegen instanties zoals overheden, veiligheidsdiensten en multinationals, haalt end-to-end encryptie en/of encryptie in het algemeen geen fu&%,.. snars uit wanneer "ze" al in het "device" zitten (side-channel-attacks eg: shouldersurfing, windows-update,etc. in simpele vorm)wat bij non-opensource hardware/software nagenoeg niet is te verifiëren en je er daarom vanuit moet gaan dat dit al het geval is. Maar je maakt het wel lastiger voor ze,.... mischien!
21-03-2018, 19:29 door karma4

...Daarnaast, ooit van controleerbare sourcecode gehoord? Nee, opensource is een vies woord bij je maar ......
Het open source zijn is voir mij geen vies woord. Het zijn de oss fanaten die het vies maken. In hun geloofsbelijdenis van het enige ware gaan ze aan alle basis zaken van informatiicts voorbij. Ooit van Edsger Dijkstra gehoord?
22-03-2018, 10:00 door Anoniem
Door karma4:

...Daarnaast, ooit van controleerbare sourcecode gehoord? Nee, opensource is een vies woord bij je maar ......
Het open source zijn is voir mij geen vies woord. Het zijn de oss fanaten die het vies maken. In hun geloofsbelijdenis van het enige ware gaan ze aan alle basis zaken van informatiicts voorbij. Ooit van Edsger Dijkstra gehoord?

Daar heb je haar ook weer met zijn Edsger Dijkstra.
Jij verwart opensource software met het door jou gehate Linux.
22-03-2018, 18:21 door Anoniem
Door Bitwiper: Vroeger of later gaat dit ook in Nederland gebeuren.
Maar we mochten wel eerlijk voor of tegen stemmen.

Maar de Patriot Act van 2001 is toch al actief in alle landen die verbonden zijn en vallen onder de noemer 'Het Westen'. Ook Nederland hoort daarbij. Eigenlijk is de sleepwet meer een soort Nederlandse vertaling dan feitelijk de werkwijze veranderen. Het gebeurde toch al, maar dan onder de Patriot Act 2001/9/11. Net zoals vroeger mensen in de jaren 80 met opzet woorden zeiden over de telefoon, zullen nu vast ook er mensen zijn die bewust ruis en overvloed van informatie proberen te geven.

Het voordeel is dat ik iemand die bang was voor 'een operator' op de zolder van de Bijlmer flats, makkelijk kon uitleggen, dat nu het eerlijk is dat iedereen onder de tap zit, en dat hij niet meer bang hoeft te zijn de 'enige' te zijn. Hij komt uit een land waar je alleen mag communiceren op door overheid goedgekeurde computers. In dat land wordt het merendeel van onze electronica gemaakt omdat het zo goedkoop is daar in arbeidsloon. Ze hebben daar 1 partij. Ik denk dat hij bang is omdat hij heeft gezien dat anderen in zijn voormalig land bang zijn. Wel was hij ook bang dat hij misschien in zijn nakie op internet komt, daarbij is het advies geweest een slider te bestellen die op alle laptops bijna past, maar hem verteld wel de slider dicht doen als je 'vul maar in .... ' omdat ie geen vriendin heeft en hij zichzelf moet helpen laat maar zeggen, zoals zo veel eenzame mensen. ( Ook vrouwen hoor ! )
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.