Duits wetsvoorstel verplicht end-to-end encryptie voor chat- en clouddiensten
Het Duitse ministerie voor Digitalisering en Transport heeft een wetsvoorstel geïntroduceerd dat end-to-end encryptie voor chatdiensten, cloudaanbieders en e-mailproviders in de toekomst verplicht. Het 'recht op encryptie' voorstel is een aanvulling op de Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) en geldt voor communicatiediensten zoals WhatsApp en Signal, maar ook voor e-maildiensten en cloudproviders waar gebruikers data kunnen opslaan (pdf).
Gebruikers moeten straks 'waar het technisch mogelijk is' end-to-end encryptie kunnen gebruiken. Dat is op dit moment niet het geval. "Hoewel end-to-end encryptie nu de industriestandaard is, maken individuele chatdiensten geen gebruik van end-to-end encryptie of gebruiken het alleen voor bepaalde functies, wat niet door technische beperkingen is te rechtvaardigen." Het gaat dan bijvoorbeeld om Telegram dat geen end-to-end encryptie voor groepschats biedt.
Volgens advocaat Dennis-Kenji Kipker van de Universiteit van Bremen is het wetsvoorstel 'meer een PR-stunt' dan een daadwerkelijke versterking van de cybersecurity voor iedereen. Hij merkt op dat het voorstel vooral gaat over technische maatregelen die gebruikers zelf moeten uitvoeren. Versleutelde e-maildienst Tuta is blij met het wetsvoorstel.
Netzpolitik.org meldt dat nog onduidelijk is of het wetsvoorstel daadwerkelijk een wet wordt. Het federale kabinet moet er nog een akkoord over bereiken, waarna het voorstel naar de Bundestag gaat. Netzpolitik denkt dat de Duitse minister van Binnenlandse Zaken Faeser roet in het eten kan gooien. Zij pleitte eerder nog voor een verbod van Telegram.
Laten eerst een zorgen van interoperabiliteit tussen alle chat platformen, voor dat we over end-to-end versleuteling praten.
De welingelichte Signal gebruiker ziet geen heil in interoperabiliteit, omdat de contacten met Facebook worden gedeeld.
Signal gaat telefoonnummers van gebruikers standaard afschermen
woensdag 21 februari 2024, 09:20 door Redactie
https://www.security.nl/posting/830460/Signal+gaat+telefoonnummers+van+gebruikers+standaard+afschermen
Dan kun je alleen nog e-mailen met een app, van een bepaalde leverancier. Trekt die de stekker eruit dan heb je geen toegang meer tot je mail.
Het zou misschien wel handig zijn als men partijen die gevoelige data verwerken (zorg, banken, overheid, etc) en via e-mail met klanten of patiënten communiceren, verplicht worden om compatibel te zijn open source protocollen (en dus niet met 3e partijen zoals b.v. Zivver) m.b.t het versleutelen van e-mail en de versleuteling alleen mogen toepassen indien het bericht vertrouwelijk is ( i.v.m. maximale comptabiliteit).
Maar het slaat natuurlijk helemaal nergens op om nieuwsbrieven van een of ander restaurant te gaan versleutelen; in dit geval heeft het juist weer allemaal nadelen omdat je b.v. niet even snel een alias kan aanmaken voor een reservatie die je daarna weer weggooit. Hetzelfde geld met HTTPS dat nu op statische websites wordt gebruikt met publieke informatie: grote onzin om op die webservers OpenSSL te draaien en met CA's te gaan werken.
En deze wet, de volgende stap is een backdoor voor de Staat verplicht stellen?
Wissel schijfjes uit met mensen waar je contact mee wilt, en de random data die op die schijven staat gebruik je dan om XOR encryptie mee te doen.
Is dan ook meteen 100% Post-Quantum. ;)
Dan kun je alleen nog e-mailen met een app, van een bepaalde leverancier. Trekt die de stekker eruit dan heb je geen toegang meer tot je mail.
Het zou misschien wel handig zijn als men partijen die gevoelige data verwerken (zorg, banken, overheid, etc) en via e-mail met klanten of patiënten communiceren, verplicht worden om compatibel te zijn open source protocollen (en dus niet met 3e partijen zoals b.v. Zivver) m.b.t het versleutelen van e-mail en de versleuteling alleen mogen toepassen indien het bericht vertrouwelijk is ( i.v.m. maximale comptabiliteit).
Maar het slaat natuurlijk helemaal nergens op om nieuwsbrieven van een of ander restaurant te gaan versleutelen; in dit geval heeft het juist weer allemaal nadelen omdat je b.v. niet even snel een alias kan aanmaken voor een reservatie die je daarna weer weggooit. Hetzelfde geld met HTTPS dat nu op statische websites wordt gebruikt met publieke informatie: grote onzin om op die webservers OpenSSL te draaien en met CA's te gaan werken.
Je vergeet dat http verkeer on the fly dynamisch aangepast kan worden zonder dat ditbop te merken valt...
Bij versleuteld verkeer kun je dat niet doen. Dus ook statische data versleutelen is een MUST HAVE.
Bij versleuteld verkeer zal ook spam makkelijker voorkomen kunnen worden, of anders is in elk geval de afzender bekend...
Wissel schijfjes uit met mensen waar je contact mee wilt, en de random data die op die schijven staat gebruik je dan om XOR encryptie mee te doen.
Is dan ook meteen 100% Post-Quantum. ;)
Beschrijf je hier niet encryptie met een one time pad/key? ;) Dan kun je er maar beter voor zorgen dat je one time pad oneindig lang is en volledig random, anders niet 100% veilig.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
