image

Klokkenluiderssysteem SecureDrop kondigt end-to-end versleuteld protocol aan

woensdag 8 mei 2024, 14:45 door Redactie, 4 reacties

Klokkenluiderssysteem SecureDrop heeft een end-to-end versleuteld protocol aangekondigd waar toekomstige versies van SecureDrop-servers gebruik van kunnen maken. SecureDrop is een systeem waarmee klokkenluiders en journalisten met elkaar kunnen communiceren en informatie uitwisselen. Uitgevers of kranten kunnen een eigen SecureDrop-server opzetten, waar klokkenluiders documenten en tips naar toe kunnen sturen. Het maakt hiervoor gebruik van het Tor-netwerk.

De ontwikkelaars van SecureDrop hebben nu een nieuw protocol gepresenteerd dat onderdeel van een herontwerp is en meer bescherming moet bieden dan het huidige model. Zo vereist het nieuwe protocol geen accounts, geen serverauthenticatie, zijn er geen berichten, blijft de 'server state' hetzelfde en wordt er geen ciphertext verzameld. Dit moet voorkomen dat een aanvaller informatie in handen krijgt waarmee de anonimiteit van de klokkenluider of vertrouwelijkheid en integriteit van inzendingen zijn te ondermijnen.

Het nieuwe SecureDrop-protocol maakt gebruik van een eenvoudige API (application programming interface) met slechts drie endpoints: send, fetch en download. De requests die klokkenluiders en journalisten naar deze endpoints sturen zijn identiek gestructureerd, wat het lastiger maakt om ze te onderscheiden als iemand de server heeft gecompromitteerd of een aanval op het netwerk uitvoert. Daarnaast is de respons van de server voor elk request uniek, zodat er geen 'server state' informatie lekt.

Het is de bedoeling dat de SecureDrop-server tot alleen minimale metadata toegang heeft, waardoor die ook in 'vijandige omgevingen' is te gebruiken. Op GitHub is inmiddels een proof-of-concept van het protocol gepubliceerd. SecureDrop waarschuwt dat het hier om een proof-of-concept gaat en de code niet bedoeld voor productie is. De details van het protocol zijn ook nog niet definitief.

Reacties (4)
08-05-2024, 15:14 door Anoniem
Eerst maar eens kijken of de EU een backdoor wettelijk verplicht gaat scannen.
Wat doet SecureDrop trouwens als de politie gegevens eist? (Zie ProtonMail).
08-05-2024, 18:13 door Anoniem
Men kan ook Nostr gebruiken... Zelfs Edward Snowden was hier erg enthousiast over.
10-05-2024, 10:02 door Anoniem
Wat doet SecureDrop trouwens als de politie gegevens eist? (Zie ProtonMail).
SecureDrop is niet een gecentraliseerde dienst. Als je een antwoord op je vraag wil, dan kan ik de site van SecureDrop aanraden. Er is een link naar de site in dit artikel.
11-05-2024, 17:37 door Anoniem
Door Anoniem:
Wat doet SecureDrop trouwens als de politie gegevens eist? (Zie ProtonMail).
SecureDrop is niet een gecentraliseerde dienst. Als je een antwoord op je vraag wil, dan kan ik de site van SecureDrop aanraden. Er is een link naar de site in dit artikel.
Klinkt goed!
Ik ga ook even een kijkje nemen!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.