image

Geheim-extensie voor Chrome versleutelt reacties op websites

maandag 14 mei 2018, 14:26 door Redactie, 8 reacties

De Nederlandse beveiligingsonderzoeker Sjoerd van der Hoorn, die onlangs in het nieuws kwam met zijn onderzoek naar openbare beroepsregisters, heeft een Chrome-extensie ontwikkeld die reacties en andere ingevoerde tekst op websites versleutelt.

"Zo kan bijvoorbeeld op een openbaar forum een gecodeerd bericht worden achtergelaten", aldus Van der Hoorn tegenover Security.NL. Ook wanneer gebruikers op locaties zijn waar andere beveiligde kanalen niet beschikbaar zijn wordt het gebruik van "Geheim", zoals de extensie heet, aangeraden om een versleuteld bericht via een openbaar kanaal achter te laten.

De nieuwste versie van Geheim ondersteunt standaard AES (symmetrische) en RSA (asymmetrische) encryptie en kan door de gebruiker zelf worden uitgebreid met andere coderingsmethoden en sleutels. Alle encryptie en decryptie vindt plaats op de computer van de gebruiker. Van der Hoorn stelt dat hij geen toegang tot de gegevens van gebruikers heeft noch wachtwoorden en encryptiemethodes. De Geheim-extensie is open source.

Voor de toekomst wil Van der Hoorn ondersteuning voor One-time pad sleutels toevoegen. "De enige 100 procent onbreekbare vorm van encryptie, waarbij alleen sleuteluitwisseling en -beheer mogelijkheid biedt om dit te kraken", zo merkt hij op. Daarnaast staat er een eenvoudigere methode om veilig sleutels en encryptiemethoden te kunnen importeren, exporteren, en delen in de planning.

Reacties (8)
14-05-2018, 14:39 door Anoniem
Daar heb ik als moderator van een openbaar (maar privé beheerd) technisch forum een hele eenvoudige oplossing voor:

Elk bericht dat niet voor anderen leesbaar is, wordt direct verwijderd. Zonder aanziens des persoons. Er kan wel een oproep in staan om een of andere terroristische daad te verrichten. Of gewoon een felicitatie. Het maakt niet uit, dergelijke troep hoort gewoon niet thuis op het forum en dus is het meteen weg. Lijkt me niet eens nodig dat in de forumregels te vermelden, want is oneigenlijk gebruik van het forum.

Eventueel maak ik een forumscript dat dergelijke rommel detecteert en automatisch verwijdert, net als nu al het geval is voor spambot-berichten. Zal niet heel moeilijk zijn lijkt me.

En leden die bij herhaling dergelijke berichten proberen te plaatsen, krijgen een permanente ban.

Er zijn echter fora en reviewsites die vol staan met spambotberichten en waar niemand iets aan doet. Die zullen een dankbaar medium worden voor dit soort berichten.
14-05-2018, 14:57 door Anoniem
Leuk idee maar van een snelle kijk door de broncode laat de uitwerking wat te wensen over.

1. base64 is geen crypto, waarom word dit aangeboden?
2. Je standaard input voor de key generation is math.random() wat in javascript een PRNG is geen CSPRNG (xorshift* meen ik te weten in Chrome) dit verkleint je keyspace enorm.
3. Je pakt 2x 36 bytes van math.random() en filtert alles eruit wat niet a-z is en pakt dan de eerste 8 bytes (twee keer weer). Geen garantie dat je uiteindelijke key 16 bytes is, waarom. Waarom geen PBDKF2 of een andere key deriviation?
4. RSA mag niet meer dan de keysize aan plaintext encrypten. Hoe ga je hiermee om?
5. Ik mis iets van MAC? Hoe ga je om met bitflippen en andere aanvallen?

Daarnaast is natuurlijk leuk dat je zegt dat 'key uitwisselen' zelf maar moet gebeuren, en zeker dat je ze zelf moet kiezen (de implementatie is brak) maar dat is nou juist het hele eieren eten met elk crypto systeem.

Ja een OTP is het 'veiligste' maar wat als ik 500 MB aan data wil encrypten of wat dan ook en wat als ik die key dan toch wel wil uit wisselen over een veilig kanaal wat dit niet aanbiedt (ook niet voor AES overigens) waarom wissel ik dan niet direct mijn message daar uit?
14-05-2018, 14:59 door Anoniem
Zou zo'n extensie of de gebruikers ervan niet gelijk onder het vergrootglas van de diverse overheidsdiensten komen?

Journalisten, klokkenluiders en activisten krijgen het steeds moeilijker in de digitale ruimte.

luntrus
14-05-2018, 16:48 door Anoniem
Door Anoniem: Leuk idee maar van een snelle kijk door de broncode laat de uitwerking wat te wensen over.

1. base64 is geen crypto, waarom word dit aangeboden?
2. Je standaard input voor de key generation is math.random() wat in javascript een PRNG is geen CSPRNG (xorshift* meen ik te weten in Chrome) dit verkleint je keyspace enorm.
3. Je pakt 2x 36 bytes van math.random() en filtert alles eruit wat niet a-z is en pakt dan de eerste 8 bytes (twee keer weer). Geen garantie dat je uiteindelijke key 16 bytes is, waarom. Waarom geen PBDKF2 of een andere key deriviation?
4. RSA mag niet meer dan de keysize aan plaintext encrypten. Hoe ga je hiermee om?
5. Ik mis iets van MAC? Hoe ga je om met bitflippen en andere aanvallen?

Daarnaast is natuurlijk leuk dat je zegt dat 'key uitwisselen' zelf maar moet gebeuren, en zeker dat je ze zelf moet kiezen (de implementatie is brak) maar dat is nou juist het hele eieren eten met elk crypto systeem.

Ja een OTP is het 'veiligste' maar wat als ik 500 MB aan data wil encrypten of wat dan ook en wat als ik die key dan toch wel wil uit wisselen over een veilig kanaal wat dit niet aanbiedt (ook niet voor AES overigens) waarom wissel ik dan niet direct mijn message daar uit?

Uit alles blijkt dat Van der Hoorn een beginneling is, met duidelijke beginners fouten. Van je fouten moet je leren, maar het is niet verkeerd voor hem om eens goed in de crypto boeken te duiken.
14-05-2018, 21:27 door Anoniem
Door Anoniem: Zou zo'n extensie of de gebruikers ervan niet gelijk onder het vergrootglas van de diverse overheidsdiensten komen?

Behalve als het zo makkelijk is dat iedereen het gebruikt? Deze extensie lijkt mij een betere oplossing dan de huidige standaard waarbij de gegevens uiteindelijk weer als klare tekst op een server opgeslagen worden waar die overheidsdiensten zo ie zo bij kunnen.
15-05-2018, 09:18 door Anoniem
EnCt25d81b48335c4bfd726f5ae4b04e05361597d15815d81b48335c4bfd726f5ae4bLbHR8Pn9uAP
Jg62J+lrcxH8+PFp2lVwTiHBLIwEmS
15-05-2018, 11:54 door Anoniem
Door Anoniem: EnCt25d81b48335c4bfd726f5ae4b04e05361597d15815d81b48335c4bfd726f5ae4bLbHR8Pn9uAP
Jg62J+lrcxH8+PFp2lVwTiHBLIwEmS

nsNMDNBFUHUCNMSeiufsnjbuWGRFBwdjcnjBNDFBMNSNN98899900-0O20I43R

Oke doei!
16-05-2018, 12:48 door Anoniem
EnCt25d81b48335c4bfd726f5ae4b04e05361597d15815d81b48335c4bfd726f5ae4bLbHR8Pn9uAP
Jg62J+lrcxH8+PFp2lVwTiHBLIwEmS

Geheel mee eens, goed punt !

nsNMDNBFUHUCNMSeiufsnjbuWGRFBwdjcnjBNDFBMNSNN98899900-0O20I43R

Wijsneus.....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.