Backdoor in beveiliging radioverkeer opgelegd door Nederlandse overheid
De backdoor die recentelijk werd ontdekt in de Terrestrial Trunked Radio (TETRA) standaard, gebruikt voor het beveiligen van radioverkeer van hulpdiensten, is dertig jaar geleden opgelegd door de Nederlandse overheid. Dat laat Gert Roelofsen, die destijds verantwoordelijk was voor de beveiliging van TETRA, aan de Volkskrant weten.
De backdoor in het TEA1-algoritme van de TETRA-standaard, aangeduid als CVE-2022-24402, zorgt ervoor dat de originele 80-bits key gebruikt voor het versleutelen van het radioverkeer wordt teruggebracht naar een sleutellengte van slechts 32-bits. Daardoor is de sleutel volgens onderzoekers binnen enkele minuten op "consumentenhardware" te kraken. Vervolgens kan het versleutelde verkeer worden afgeluisterd en aangepast.
"De zwakke beveiliging van TEA1 is door de overheid opgelegd. De sleutellengte moest worden beperkt", aldus Roelofsen. Hij merkt op dat de ontdekking van de backdoor voor een "heel klein deel van de Nederlandse overheid" geen verrassing kan zijn. Het TEA1-algoritme was bedoeld voor het beveiligen van het radioverkeer van politiediensten buiten Europa. De apparatuur die zij ontvingen was slechter beveiligd dan die van West-Europese landen.
Roelofsen, die vanaf 1991 bij de beveiliging van TETRA betrokken was, herinnert zich nog een 'vergadering in Den Haag'. Daar waren allerlei Nederlandse overheidsdiensten aanwezig, waaronder mensen van het Nationaal Bureau voor Verbindingsbeveiliging (NBV), dat zich bij de AIVD bezighoudt met de beveiliging van overheidsinformatie. Tijdens de vergadering werd het Nederlandse standpunt duidelijk gemaakt. "Er was intern ook wel discussie bij de overheid, maar dit was uiteindelijk de voorwaarde", aldus Roelofsen over het verzwakken van het algoritme.
Volgens Roelofsen had de beslissing te maken met het Akkoord van Wassenaar, waarin Europese landen afspraken maakten over de export van zogeheten dual-use-technologieën. Technologieën die ook militair te gebruiken zijn. Het sterkere TEA2-algoritme, waar ook het Nederlandse C2000-systeem op is gebaseerd, was voor West-Europese politiediensten. TEA1 wordt echter wel in de Nederlandse vitale infrastructuur gebruikt, zoals de Rotterdamse haven. De AIVD wil geen antwoord geven hoelang het van de backdoor afwist. Roelofsen merkt op dat het voor experts eenvoudig is om de backdoor te ontdekken. "Dat is niet heel moeilijk om te achterhalen."
Reacties (47)
Eerder zagen we al dat de Amerikaanse inlichtingendienst NSA een vergelijkbare tactiek heeft toegepast bij de ontwikkeling en verplichte implementatie van Dual_EC_DRBG (https://en.wikipedia.org/wiki/Dual_EC_DRBG).
We kunnen er helaas niet vanuit gaan dat de overheid altijd het beste voor heeft met de samenleving, zelfs niet in onze westerse samenleving. Transparantie van standaarden en implementaties blijft essentieel. Samen met onafhankelijke expert en een kritische blik lijkt dat de enige manier om dit soort gevaarlijke praktijken te voorkomen.
Ik moet gelijk denken aan de E2EE backdoor waar het kabinet nog steeds voorstander van is. Andere zullen waarschijnlijk refereren aan de eID-enabled identiteitsbewijzen, met eigenaardige zelf ontwikkelde crypto-standaarden. Of aan de Digid app, waar de broncode nog steeds niet van beschikbaar is. Of aan de Elliptic Curve cryptostandaarden van de NSA, die dagelijks gebruikt worden voor het opzetten van beveiligde TLS/IPSec verbindingen.
Ik zit zelf niet in het anti-overheid kamp, maar door dit soort onthullingen snap ik wel dat de samenleving steeds kritischer kijkt naar de overheid. En terecht, want als eenmaal de achterdeurtjes gevonden worden zit de rest van de samenleving met een enorme kostenpost voor het vervangen hiervan. In specifieke situaties komt er naast vervanging ook nog schade bij. Bijvoorbeeld als gevolg van misbruik door criminelen, zoals we gezien hebben bij het NSA/Shadow Brokers verhaal. Het achterhouden van een kwetsbaarheid in Windows heeft de samenleving 4 miljard euro heeft gekost...
We kunnen er helaas niet vanuit gaan dat de overheid altijd het beste voor heeft met de samenleving, zelfs niet in onze westerse samenleving. Transparantie van standaarden en implementaties blijft essentieel. Samen met onafhankelijke expert en een kritische blik lijkt dat de enige manier om dit soort gevaarlijke praktijken te voorkomen.
Ik moet gelijk denken aan de E2EE backdoor waar het kabinet nog steeds voorstander van is. Andere zullen waarschijnlijk refereren aan de eID-enabled identiteitsbewijzen, met eigenaardige zelf ontwikkelde crypto-standaarden. Of aan de Digid app, waar de broncode nog steeds niet van beschikbaar is. Of aan de Elliptic Curve cryptostandaarden van de NSA, die dagelijks gebruikt worden voor het opzetten van beveiligde TLS/IPSec verbindingen.
Ik zit zelf niet in het anti-overheid kamp, maar door dit soort onthullingen snap ik wel dat de samenleving steeds kritischer kijkt naar de overheid. En terecht, want als eenmaal de achterdeurtjes gevonden worden zit de rest van de samenleving met een enorme kostenpost voor het vervangen hiervan. In specifieke situaties komt er naast vervanging ook nog schade bij. Bijvoorbeeld als gevolg van misbruik door criminelen, zoals we gezien hebben bij het NSA/Shadow Brokers verhaal. Het achterhouden van een kwetsbaarheid in Windows heeft de samenleving 4 miljard euro heeft gekost...
30-07-2023, 11:36 door
AceHighness
Correctie, de Source code van de Digid app van september 2022 is wel gepubliceerd
https://github.com/MinBZK/woo-besluit-broncode-digid-app
https://github.com/MinBZK/woo-besluit-broncode-digid-app
Door Redactie: Volgens Roelofsen had de beslissing te maken met het Akkoord van Wassenaar, waarin Europese landen afspraken maakten over de export van zogeheten dual-use-technologieën.
Het Wassenaar Arrangement over exportcontroles voor conventionele wapens en goederen en technologieën voor tweeërlei gebruik (dual-use) is een multilateraal exportcontroleregime (MECR) met 42 deelnemende staten, waaronder veel voormalige Comecon-landen (Warschaupact), dat in 1996 werd opgericht.
https://en.wikipedia.org/wiki/Wassenaar_Arrangement
Door Anoniem: Eerder zagen we al dat de Amerikaanse inlichtingendienst NSA een vergelijkbare tactiek heeft toegepast bij de ontwikkeling en verplichte implementatie van Dual_EC_DRBG (https://en.wikipedia.org/wiki/Dual_EC_DRBG).
Het beleid was standaard en bekend voor iedereen die in de security/crypto geinteresseerd was in de jaren 80,90 .
DES was gestandaardiseerd op een 56 bit key , zonder (verdere) backdoor , maar als afweging dat dat goed genoeg was voor commercieel gebruik - en kraakbaar , met voldoende inzet, als het echt zou moeten .
De jaren 80/90 disk encryptors - 'Norton Diskreet' hadden een "export versie" van effectief 40 key , en een "domestic (aka USA) versie met volledig DES.
"Gewone" GSM had ook een serie algorithmen met beperkte sterkte . Ook daarin een fors gevecht tussen oa UK (wilde makkelijk kunnen afluisteren) , - toen nog - West Duitsland - dat wat sterkers wilde zodat communistisch Oost-Duitsland niet massaal en makkelijk kon meeluisteren.
https://en.wikipedia.org/wiki/A5/1
De hele rechtszaak/export saga van PGP/Phil Zimmerman (en ook Dan Bernstein) werd uiteindelijk het einde van een niet langer houdbaar beleid.
(Sterke) encryptie werd geklassificeerd als 'wapens en munitie' en viel onder dezelfde export beperkingen.
Met PGP - en open source - werd het tezeer onhoudbaar . De source van PGP is nog op papier gedrukt , gexporteerd (freedom of speech namen ze echt serieus in de VS) , ingescand - en ja, wat dan .
Uiteindelijk heeft Dan Bernstein (DJB) een rechtzaak gevoerd en gewonnen over zijn recht om wiskunde en code te onderwijzen - en lecture notes te publiceren .
https://en.wikipedia.org/wiki/Bernstein_v._United_States
https://en.wikipedia.org/wiki/Phil_Zimmermann
Met die kennis is het helemaal logisch dat een communicatie systeem ontwikkeld in/voor die tijd dezelfde beperkingen heeft - juist in de 'export' versie van de algorithmen.
Een verschil tussen 'vrij kleine key' en iets als Dual-EC_DRBG , (of Skipjack/clipper) is dat de laatste twee een NOBUS - Nobody But Us' aspect hebben. Zonder kennis van de embedded key in Dual-EC_DRBG kan niemand ermee afluisteren.
Een algorithme met een vrij kleine key is door "iedereen" met kennis en resources te kraken.
We kunnen er helaas niet vanuit gaan dat de overheid altijd het beste voor heeft met de samenleving, zelfs niet in onze westerse samenleving. Transparantie van standaarden en implementaties blijft essentieel. Samen met onafhankelijke expert en een kritische blik lijkt dat de enige manier om dit soort gevaarlijke praktijken te voorkomen.
Het was niet _helemaal_ onlogisch om het Evil Empire niet al te hard te helpen met niet-afluisterbare crypto.
Maar iedereen die de crypto wereld wat langer kent (of gewoon zich ingelezen heeft) weet wat de omstandigheden in de jaren 80/90 waren [ITAR/Wassenaar] , en kan niet verbaasd zijn dat een systeem/standaard dat in die tijd ontwikkeld werd voor brede inzet/export daaraan (moest) voldoen .
Wat dat betreft is het een beetje een hype trein - mooie analyse, maar verbazing zou je niet mogen verwachten bij 'experts'.
Door AceHighness: Correctie, de Source code van de Digid app van september 2022 is wel gepubliceerd
https://github.com/MinBZK/woo-besluit-broncode-digid-app
https://github.com/MinBZK/woo-besluit-broncode-digid-app
Die ontwikkeling heb ik waarschijnlijk gemist. Op mijn eigen WOB verzoek, toen dat nog een ding was, werd aangegeven dit absoluut niet kon om veiligheidsredenen. Ik kan wel speculeren waarom het nu opeens wel kan - over achterdeurtjes die er inmiddels uit gehaald zijn - maar waarschijnlijk heeft het onderwerp inmiddels genoeg aandacht gehad zodat het ministerie besefte dat dit toch nodig was.
Binnenkort maar eens kijken of ik er soep van kan maken.
30-07-2023, 14:05 door
johanw
Door AceHighness: Correctie, de Source code van de Digid app van september 2022 is wel gepubliceerd
https://github.com/MinBZK/woo-besluit-broncode-digid-app
Denk je? Probeer daar zelf eens een DigiD app mee te compileren en kijk of dat lukt.https://github.com/MinBZK/woo-besluit-broncode-digid-app
Door Anoniem:
Die ontwikkeling heb ik waarschijnlijk gemist. [...] Binnenkort maar eens kijken of ik er soep van kan maken.
Door AceHighness: Correctie, de Source code van de Digid app van september 2022 is wel gepubliceerd https://github.com/MinBZK/woo-besluit-broncode-digid-app
Die ontwikkeling heb ik waarschijnlijk gemist. [...] Binnenkort maar eens kijken of ik er soep van kan maken.
Overheid maakt broncode van DigiD-app openbaar - update
maandag 16 januari 2023, 15:12 door Redactie
https://www.security.nl/posting/781582/Overheid+maakt+broncode+van+DigiD-app+openbaar+-+update
30-07-2023, 14:08 door
johanw
Conclusie: zoals al vaak gezegd in de open source wereld: closed soirce crypto is gewoon NIET te vertrouwen. Punt.
Door johanw: Conclusie: zoals al vaak gezegd in de open source wereld: closed soirce crypto is gewoon NIET te vertrouwen. Punt.
Of opensource wel te vertrouwen is, kuch...Door Anoniem: Wederom: de overheid is de vijand. Elke keer weer.
Onzin.
Wat te denken van mensen die een uitkering krijgen?
Zonder overheid gaat dit niet goed lukken.
Zie maar hoe het in de VS gaat en wat Trump eigenlijk wil: vernietiging van de overheid.
Weg met regels,eerlijke verdeling van geld en goederen.
Recht van de sterkste.
Wilt U dit?
Zou toch wat doordenken als ik U was
Niet zo raar dat inmiddels 10.000 Nederlanders zichzelf autonoom noemen.
Zij laten zich niet langer piepelen door de overheid, deze autonomen.
Zij laten zich niet langer piepelen door de overheid, deze autonomen.
Door Anoniem: Niet zo raar dat inmiddels 10.000 Nederlanders zichzelf autonoom noemen.
Zij laten zich niet langer piepelen door de overheid, deze autonomen.
Dan ook geen uitkeringen meer accepteren.Zij laten zich niet langer piepelen door de overheid, deze autonomen.
30-07-2023, 22:14 door
Hyper
Grappig hoe de overheid zichzelf hier in de voet schiet.
Door Anoniem: Wederom: de overheid is de vijand. Elke keer weer.
En elke keer dat de overheid iets wel goed doet doe jij alsof jou niets opvalt.Door Anoniem:
Onzin.
Wat te denken van mensen die een uitkering krijgen?
Zonder overheid gaat dit niet goed lukken.
Zie maar hoe het in de VS gaat en wat Trump eigenlijk wil: vernietiging van de overheid.
Weg met regels,eerlijke verdeling van geld en goederen.
Recht van de sterkste.
Wilt U dit?
Zou toch wat doordenken als ik U was
Door Anoniem: Wederom: de overheid is de vijand. Elke keer weer.
Onzin.
Wat te denken van mensen die een uitkering krijgen?
Zonder overheid gaat dit niet goed lukken.
Zie maar hoe het in de VS gaat en wat Trump eigenlijk wil: vernietiging van de overheid.
Weg met regels,eerlijke verdeling van geld en goederen.
Recht van de sterkste.
Wilt U dit?
Zou toch wat doordenken als ik U was
Deze mensen hebben een uitkering DOOR de overheid: De overheid is er de oorzaak van
De Staat veroorzaakt met haar beleid en technologieen, oorlogen namelijk nogal wat mentale en lichamelijke (mentaal = lichamelijk) ziekten
En, die C2000 dat is Motorola, hebben vele politiediensten over de wereld en wel met AMERIKAANSE backdoor.
Door Anoniem: Niet zo raar dat inmiddels 10.000 Nederlanders zichzelf autonoom noemen.
Zij laten zich niet langer piepelen door de overheid, deze autonomen.
Zij laten zich niet langer piepelen door de overheid, deze autonomen.
Je bedoelt die asocialen die wel van de voorzieingen gebruik maken, maar er niet voor willen betalen.
Heel autonoom dat.
Als ze zo nodig autonoom willen zijn, laat ze dan een eigen onbewoond eilandje vinden en daar op gaan "leven".
Er schijnt over niet al te lange tijd nog wat land ijsvrij te komen op Antarctica. Op en bij Groenland is dat nu al het geval.
Daar heb je geen "last' van de overheid.
Na juist veel nadenken verliezen steeds meer mensen vertrouwen in overheden,
die zich vooral laten leiden door de interesses van de grootste investeerders op aarde.
die zich vooral laten leiden door de interesses van de grootste investeerders op aarde.
Door Anoniem:
Onzin.
Wat te denken van mensen die een uitkering krijgen?
Zonder overheid gaat dit niet goed lukken.
Zie maar hoe het in de VS gaat en wat Trump eigenlijk wil: vernietiging van de overheid.
Weg met regels,eerlijke verdeling van geld en goederen.
Recht van de sterkste.
Wilt U dit?
Zou toch wat doordenken als ik U was
Dit is wel wat kortzichtig. U suggereert dat de overheid enkel het goede met de mensen voor heeft. Ik zal u even uit die droom helpen. Zoals met alles, is er een kern van waarheid waar een hoop leugens omheen verzonnen zijn. Vertrouw ze niet, want daar waar het om een hoop geld gaat, is het vullen van zakken prioriteit en beland het welzijn van mensen op de achtergrondDoor Anoniem: Wederom: de overheid is de vijand. Elke keer weer.
Onzin.
Wat te denken van mensen die een uitkering krijgen?
Zonder overheid gaat dit niet goed lukken.
Zie maar hoe het in de VS gaat en wat Trump eigenlijk wil: vernietiging van de overheid.
Weg met regels,eerlijke verdeling van geld en goederen.
Recht van de sterkste.
Wilt U dit?
Zou toch wat doordenken als ik U was
Zo jammer dat die autonomen wel gebruik maken van alle diensten die de overheid levert. De overheid is niet perfect maar anarchie is zo veel slechter. Misschien kunnen we een stuk land vrij zetten en ze daar loslaten... Laat ze alvast warm draaien in Zimbabwe of een ander land daar in de buurt.
Door Hyper: Grappig hoe de overheid zichzelf hier in de voet schiet.
Als de overheid aan de zijdes A en B zit, wie heeft dan die backdoor nodig?Door Anoniem: Na juist veel nadenken verliezen steeds meer mensen vertrouwen in overheden,
die zich vooral laten leiden door de interesses van de grootste investeerders op aarde.
die zich vooral laten leiden door de interesses van de grootste investeerders op aarde.
Kolder. Deze lui denken superslim te zijn met pseudo-juridische kwatsch en laten zich leiden door kortzichtigheid en eigenbelang. Schoon drinkwater? Frequenties voor hun mobieltje? Hulp na een inbraak of verkrachting van je dochter? Studiemogelijkheden waar de overheid voor betaalt? Rechten bij aankoop van producten? Rechtszaken? Verkeersregels om je normaal door het verkeer te begeven? Oh nee, dat moeten we niet hebben. De overheid is niet perfect, maar het egocentrisme en de domheid van die lui slaan echt alles. Maar laat ze het maar voelen wanneer ze op straat staan na een huisuitzetting wanneer ze weigeren belasting te betalen. Wie niet horen wil moet maar voelen.
Al dit soort devices hebben een mogelijkheid tot Legal Interception.
http://www.wirelesscommunication.nl/reference/chaptr01/fcs_sum.htm
Clearly the use of especially encryption increases the difficulty of this task. For that reason there is desire to control the use of cryptography techniques and limit the proliferation of the knowledge of cryptographic techniques.
http://www.wirelesscommunication.nl/reference/chaptr01/fcs_sum.htm
Clearly the use of especially encryption increases the difficulty of this task. For that reason there is desire to control the use of cryptography techniques and limit the proliferation of the knowledge of cryptographic techniques.
Door Anoniem:
En, die C2000 dat is Motorola, hebben vele politiediensten over de wereld en wel met AMERIKAANSE backdoor.
En, die C2000 dat is Motorola, hebben vele politiediensten over de wereld en wel met AMERIKAANSE backdoor.
Nee dat was de 1e generatie. Inmiddels is het Hytera. Chinees, met een Duitse brievenbusfirma ertussen.
Door Anoniem: Wederom: de overheid is de vijand. Elke keer weer.
Ben ook geen liefhebber van doorgeschoten regelgeving en maatregelen zonder effect of met averechts effect. Maar dat wil niet zeggen dat er geen goede intenties achter zitten. Polarisatie / meningsverschillen uitvergroten is regelmatig een groter probleem. Zeker op fora zoals deze.Het valt in het patroon van de verzwakte DES encryptie en het Dual_EC_DRBG debacle.
Door Anoniem:
Door Hyper: Grappig hoe de overheid zichzelf hier in de voet schiet.
Als de overheid aan de zijdes A en B zit, wie heeft dan die backdoor nodig?De korte sleutel zit ook niet in de algorithmen bij gebruik door een Westerse overheid , alleen in de versies naar andere overheden of niet-overheid .
Door Anoniem:
De korte sleutel zit ook niet in de algorithmen bij gebruik door een Westerse overheid , alleen in de versies naar andere overheden of niet-overheid .
De korte sleutel was voor alle overheden die geen onderdeel van de USA zijn.Door Anoniem:
Door Hyper: Grappig hoe de overheid zichzelf hier in de voet schiet.
Als de overheid aan de zijdes A en B zit, wie heeft dan die backdoor nodig?De korte sleutel zit ook niet in de algorithmen bij gebruik door een Westerse overheid , alleen in de versies naar andere overheden of niet-overheid .
Door Anoniem:
Open source heeft niks te verbergen. Punt. Closed source is niet voor niks gesloten, blijkt telkens weer.Door johanw: Conclusie: zoals al vaak gezegd in de open source wereld: closed soirce crypto is gewoon NIET te vertrouwen. Punt.
Of opensource wel te vertrouwen is, kuch...Door Anoniem:
Door Anoniem:
De korte sleutel zit ook niet in de algorithmen bij gebruik door een Westerse overheid , alleen in de versies naar andere overheden of niet-overheid .
De korte sleutel was voor alle overheden die geen onderdeel van de USA zijn.Door Anoniem:
Door Hyper: Grappig hoe de overheid zichzelf hier in de voet schiet.
Als de overheid aan de zijdes A en B zit, wie heeft dan die backdoor nodig?De korte sleutel zit ook niet in de algorithmen bij gebruik door een Westerse overheid , alleen in de versies naar andere overheden of niet-overheid .
Die melding is in tegenspraak met het artikel dat één van de ontwerpers citeert .
Verder was onder ITAR een export(vergunning) van sterke encryptie naar Westerse overheden wel degelijk mogelijk , net zo goed als export van (andere/echte) wapens en munitie.
Je zult je stelling dat het voor TETRA anders uitviel wat meer moeten onderbouwen.
Door Anoniem:
Ehm dat kun je zelf onderzoeken op fouten.Door johanw: Conclusie: zoals al vaak gezegd in de open source wereld: closed soirce crypto is gewoon NIET te vertrouwen. Punt.
Of opensource wel te vertrouwen is, kuch...Door Anoniem:
Dat wordt altijd beweert, maar niemand doet het. Het is gewoon een wassen neus, dat argument.Door Anoniem:
Ehm dat kun je zelf onderzoeken op fouten.Door johanw: Conclusie: zoals al vaak gezegd in de open source wereld: closed soirce crypto is gewoon NIET te vertrouwen. Punt.
Of opensource wel te vertrouwen is, kuch...TETRA was niet alleen bedoeld voor en wordt niet alleen gebruikt door "overheden".
In diezelfde periode dat de politie naar C2000 overstapte zijn er heel wat analoge mobilofoonnetten overgestapt naar digitaal, vaak alleen om bijvoorbeeld dekkingsproblemen makkelijker op te kunnen lossen of om al-te-gemakkelijk meeluisteren een beetje tegen te werken. Taxi's, stadsbussen, etc.
Voor die diensten was TEA1 natuurlijk prima. Er is nu zo'n soort cultuurtje van dat alles wat beveiligd is en waarvan de beveiliging met wat moeite doorbroken kan worden ineens "onveilig! schandaal!" is, maar er is altijd een afweging rond wat voor beveiliging er nou echt nodig is en die bepaal je niet als hackertje, of dat zou in ieder geval niet zo moeten zijn.
Er zijn miljoenen houten huisdeuren met een raam erin en een 1-ster of 2-ster slot. "allemaal hardstikke onveilig" want een inbreker loopt er zo doorheen. Maar stalen deuren met professionele sloten zijn niet overal nodig of financieel te verantwoorden.
In diezelfde periode dat de politie naar C2000 overstapte zijn er heel wat analoge mobilofoonnetten overgestapt naar digitaal, vaak alleen om bijvoorbeeld dekkingsproblemen makkelijker op te kunnen lossen of om al-te-gemakkelijk meeluisteren een beetje tegen te werken. Taxi's, stadsbussen, etc.
Voor die diensten was TEA1 natuurlijk prima. Er is nu zo'n soort cultuurtje van dat alles wat beveiligd is en waarvan de beveiliging met wat moeite doorbroken kan worden ineens "onveilig! schandaal!" is, maar er is altijd een afweging rond wat voor beveiliging er nou echt nodig is en die bepaal je niet als hackertje, of dat zou in ieder geval niet zo moeten zijn.
Er zijn miljoenen houten huisdeuren met een raam erin en een 1-ster of 2-ster slot. "allemaal hardstikke onveilig" want een inbreker loopt er zo doorheen. Maar stalen deuren met professionele sloten zijn niet overal nodig of financieel te verantwoorden.
Door Anoniem:
Natuurlijk gebeurd dat wel anders zou open source niet bestaan.Door Anoniem:
Dat wordt altijd beweert, maar niemand doet het. Het is gewoon een wassen neus, dat argument.Door Anoniem:
Ehm dat kun je zelf onderzoeken op fouten.Door johanw: Conclusie: zoals al vaak gezegd in de open source wereld: closed soirce crypto is gewoon NIET te vertrouwen. Punt.
Of opensource wel te vertrouwen is, kuch...Waar denk je dat veel security clubs mee bezig zijn in opdracht van de klant? Veel gebeurd trouwens machinaal mbv AI. Zelfs Microsoft doet dat.
Door Anoniem:
Spreek voor je zelf zonder onderbouwing. Dit is een onprofessionele uitspraak. Zelfs Microsoft doet het.Door Anoniem:
Dat wordt altijd beweert, maar niemand doet het. Het is gewoon een wassen neus, dat argument.Door Anoniem:
Ehm dat kun je zelf onderzoeken op fouten.Door johanw: Conclusie: zoals al vaak gezegd in de open source wereld: closed soirce crypto is gewoon NIET te vertrouwen. Punt.
Of opensource wel te vertrouwen is, kuch...Dat wordt altijd beweert, maar niemand doet het. Het is gewoon een wassen neus, dat argument.
Gezien de overtuiging waarmee je je punt brengt, weet je ongetwijfeld heel goed waar je over praat. Even om richting te geven aan een simpele sterveling zoals ik, geef je alsjeblieft even een voorbeeld van een bewust verzwakt open-source versleutelingsalgoritme dat 25 jaar onopgemerkt is gebleven? Één voorbeeld zou al enorm helpen. Alvast heel erg bedankt :)
Deze backdoor, bedoeld om Westerse inlichtingendiensten en politiekorpsen 'vrije doorgang' te geven, kan ook gemakkelijk door criminelen en staatshackers worden misbruikt. Drie decennialang wist Etsi deze backdoor te verhullen, aldus Midnight Blue, dat het onderzoek uitvoerde met een subsidie van NLnet.
https://www.computable.nl/artikel/nieuws/security/7540340/250449/etsi-komt-verder-onder-vuur-in-tetra-zaak.html
https://www.computable.nl/artikel/nieuws/security/7540340/250449/etsi-komt-verder-onder-vuur-in-tetra-zaak.html
Door Anoniem:
Gezien de overtuiging waarmee je je punt brengt, weet je ongetwijfeld heel goed waar je over praat. Even om richting te geven aan een simpele sterveling zoals ik, geef je alsjeblieft even een voorbeeld van een bewust verzwakt open-source versleutelingsalgoritme dat 25 jaar onopgemerkt is gebleven? Één voorbeeld zou al enorm helpen. Alvast heel erg bedankt :)
Heb jij een voorbeeld, dat een onderzoeker iets gevonden heeft in een opensource software. Meestal zijn het hackers, die door te proberen iets vinden en DAN pas wordt er serieus uitgezocht.Dat wordt altijd beweert, maar niemand doet het. Het is gewoon een wassen neus, dat argument.
Gezien de overtuiging waarmee je je punt brengt, weet je ongetwijfeld heel goed waar je over praat. Even om richting te geven aan een simpele sterveling zoals ik, geef je alsjeblieft even een voorbeeld van een bewust verzwakt open-source versleutelingsalgoritme dat 25 jaar onopgemerkt is gebleven? Één voorbeeld zou al enorm helpen. Alvast heel erg bedankt :)
Door Anoniem:
Hij vroeg jou om een voorbeeld want wie iets beweerd bewijst, niet andersom. Je bent ook duidelijk niet op de hoogte anders had je wel geweten dat dit proces 24/7 plaatsvindt op bv github en gitlab. Waarschijnlijk ben je alleen een jaloerse verdiener van een closed source oplossing.Door Anoniem:
Gezien de overtuiging waarmee je je punt brengt, weet je ongetwijfeld heel goed waar je over praat. Even om richting te geven aan een simpele sterveling zoals ik, geef je alsjeblieft even een voorbeeld van een bewust verzwakt open-source versleutelingsalgoritme dat 25 jaar onopgemerkt is gebleven? Één voorbeeld zou al enorm helpen. Alvast heel erg bedankt :)
Heb jij een voorbeeld, dat een onderzoeker iets gevonden heeft in een opensource software. Meestal zijn het hackers, die door te proberen iets vinden en DAN pas wordt er serieus uitgezocht.Dat wordt altijd beweert, maar niemand doet het. Het is gewoon een wassen neus, dat argument.
Gezien de overtuiging waarmee je je punt brengt, weet je ongetwijfeld heel goed waar je over praat. Even om richting te geven aan een simpele sterveling zoals ik, geef je alsjeblieft even een voorbeeld van een bewust verzwakt open-source versleutelingsalgoritme dat 25 jaar onopgemerkt is gebleven? Één voorbeeld zou al enorm helpen. Alvast heel erg bedankt :)
Door Anoniem:
Opensource vereist een andere manier van werken en denken. Jij bent er duidelijk niet aan toe en ik heb het gevoel dat dat ook niet gaat gebeuren ivm mogelijke belangen, maar je bent welkom: https://www.computable.nl/artikel/nieuws/overheid/7482712/250449/bzk-richt-open-source-program-office-op.htmlDoor Anoniem:
Gezien de overtuiging waarmee je je punt brengt, weet je ongetwijfeld heel goed waar je over praat. Even om richting te geven aan een simpele sterveling zoals ik, geef je alsjeblieft even een voorbeeld van een bewust verzwakt open-source versleutelingsalgoritme dat 25 jaar onopgemerkt is gebleven? Één voorbeeld zou al enorm helpen. Alvast heel erg bedankt :)
Heb jij een voorbeeld, dat een onderzoeker iets gevonden heeft in een opensource software. Meestal zijn het hackers, die door te proberen iets vinden en DAN pas wordt er serieus uitgezocht.Dat wordt altijd beweert, maar niemand doet het. Het is gewoon een wassen neus, dat argument.
Gezien de overtuiging waarmee je je punt brengt, weet je ongetwijfeld heel goed waar je over praat. Even om richting te geven aan een simpele sterveling zoals ik, geef je alsjeblieft even een voorbeeld van een bewust verzwakt open-source versleutelingsalgoritme dat 25 jaar onopgemerkt is gebleven? Één voorbeeld zou al enorm helpen. Alvast heel erg bedankt :)
Het radioverkeer kan nu al Cyber Quantum Proof worden gemaakt:
https://www.vanillaplus.com/2022/11/10/74212-etsi-secures-critical-infrastructures-against-cyber-quantum-attacks-with-new-tetra-algorithms/
https://www.vanillaplus.com/2022/11/10/74212-etsi-secures-critical-infrastructures-against-cyber-quantum-attacks-with-new-tetra-algorithms/
03-08-2023, 12:32 door
ErikBrown
"Gewone" GSM had ook een serie algorithmen met beperkte sterkte . Ook daarin een fors gevecht tussen oa UK (wilde makkelijk kunnen afluisteren) , - toen nog - West Duitsland - dat wat sterkers wilde zodat communistisch Oost-Duitsland niet massaal en makkelijk kon meeluisteren.
In de jaren 80 was het ook algemeen bekend bij werknemers van Philips TDS dat ISDN telefoons een optie moesten hebben om op afstand de microfoon aan te kunnen zetten. Als die 'feature' niet ingebouwd werd dan mocht de apparatuur niet in de VS verkocht worden.
Door ErikBrown:
In de jaren 80 was het ook algemeen bekend bij werknemers van Philips TDS dat ISDN telefoons een optie moesten hebben om op afstand de microfoon aan te kunnen zetten. Als die 'feature' niet ingebouwd werd dan mocht de apparatuur niet in de VS verkocht worden.
Dat gold ook voor telefooncentrales. Arabieren (sa) moesten kunnen afluisteren anders werd het niet gekocht."Gewone" GSM had ook een serie algorithmen met beperkte sterkte . Ook daarin een fors gevecht tussen oa UK (wilde makkelijk kunnen afluisteren) , - toen nog - West Duitsland - dat wat sterkers wilde zodat communistisch Oost-Duitsland niet massaal en makkelijk kon meeluisteren.
In de jaren 80 was het ook algemeen bekend bij werknemers van Philips TDS dat ISDN telefoons een optie moesten hebben om op afstand de microfoon aan te kunnen zetten. Als die 'feature' niet ingebouwd werd dan mocht de apparatuur niet in de VS verkocht worden.
Door Anoniem:
We hebben gelukkig niet allemaal jouw mindset.Door Anoniem:
Hij vroeg jou om een voorbeeld want wie iets beweerd bewijst, niet andersom. Je bent ook duidelijk niet op de hoogte anders had je wel geweten dat dit proces 24/7 plaatsvindt op bv github en gitlab. Waarschijnlijk ben je alleen een jaloerse verdiener van een closed source oplossing.Door Anoniem:
Gezien de overtuiging waarmee je je punt brengt, weet je ongetwijfeld heel goed waar je over praat. Even om richting te geven aan een simpele sterveling zoals ik, geef je alsjeblieft even een voorbeeld van een bewust verzwakt open-source versleutelingsalgoritme dat 25 jaar onopgemerkt is gebleven? Één voorbeeld zou al enorm helpen. Alvast heel erg bedankt :)
Heb jij een voorbeeld, dat een onderzoeker iets gevonden heeft in een opensource software. Meestal zijn het hackers, die door te proberen iets vinden en DAN pas wordt er serieus uitgezocht.Dat wordt altijd beweert, maar niemand doet het. Het is gewoon een wassen neus, dat argument.
Gezien de overtuiging waarmee je je punt brengt, weet je ongetwijfeld heel goed waar je over praat. Even om richting te geven aan een simpele sterveling zoals ik, geef je alsjeblieft even een voorbeeld van een bewust verzwakt open-source versleutelingsalgoritme dat 25 jaar onopgemerkt is gebleven? Één voorbeeld zou al enorm helpen. Alvast heel erg bedankt :)
Door Anoniem:
Slap bla bla verhaal. Gaat totaal niet over het onderzoeken op fouten.Door Anoniem:
Opensource vereist een andere manier van werken en denken. Jij bent er duidelijk niet aan toe en ik heb het gevoel dat dat ook niet gaat gebeuren ivm mogelijke belangen, maar je bent welkom: https://www.computable.nl/artikel/nieuws/overheid/7482712/250449/bzk-richt-open-source-program-office-op.htmlDoor Anoniem:
Gezien de overtuiging waarmee je je punt brengt, weet je ongetwijfeld heel goed waar je over praat. Even om richting te geven aan een simpele sterveling zoals ik, geef je alsjeblieft even een voorbeeld van een bewust verzwakt open-source versleutelingsalgoritme dat 25 jaar onopgemerkt is gebleven? Één voorbeeld zou al enorm helpen. Alvast heel erg bedankt :)
Heb jij een voorbeeld, dat een onderzoeker iets gevonden heeft in een opensource software. Meestal zijn het hackers, die door te proberen iets vinden en DAN pas wordt er serieus uitgezocht.Dat wordt altijd beweert, maar niemand doet het. Het is gewoon een wassen neus, dat argument.
Gezien de overtuiging waarmee je je punt brengt, weet je ongetwijfeld heel goed waar je over praat. Even om richting te geven aan een simpele sterveling zoals ik, geef je alsjeblieft even een voorbeeld van een bewust verzwakt open-source versleutelingsalgoritme dat 25 jaar onopgemerkt is gebleven? Één voorbeeld zou al enorm helpen. Alvast heel erg bedankt :)
Vandaag tijdens de BlackHat sessies worden de details vrijgegeven.
https://www.blackhat.com/us-23/briefings/schedule/index.html#all-cops-are-broadcasting-breaking-tetra-after-decades-in-the-shadows-31807
https://www.blackhat.com/us-23/briefings/schedule/index.html#all-cops-are-broadcasting-breaking-tetra-after-decades-in-the-shadows-31807
The European Telecommunications Standards Institute (ETSI) disclosed a data breach, threat actors had access to a database of its users.
https://securityaffairs.com/151845/data-breach/etsi-data-breach.html
The organization focuses on developing global standards for information and communications technology (ICT) and telecommunications, such as: GSM™, TETRA, 3G, 4G, 5G, DECT™.
Nu maar hopen dat ze niet de nieuwe TETRA encryptie updates onderdeel zijn van deze Data Breach.
https://securityaffairs.com/151845/data-breach/etsi-data-breach.html
The organization focuses on developing global standards for information and communications technology (ICT) and telecommunications, such as: GSM™, TETRA, 3G, 4G, 5G, DECT™.
Nu maar hopen dat ze niet de nieuwe TETRA encryptie updates onderdeel zijn van deze Data Breach.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
