FBI roeptoetert weer om backdoors in encryptie

Och och och daar gaan we weer. FBI-directeur en professioneel boeman Jim Comey onheilspelt verijdelde aanslagen op 4 juli en grijpt de gelegenheid weer eens aan om te waarschuwen voor.. encryptie! Want dat mensen hun eigen gegevens en communicatie kunnen versleutelen, dat moeten we toch niet willen met zijn allen. Om zijn punt kracht bij te zetten roept Comey iets over 'tientallen' extremisten van Islamitische Staat die van de radar zouden zijn verdwenen dankzij het gebruik van versleutelde verbindingen. Want niets werkt zo goed om mensen bang te maken als een moslimterrorist die u komt halen met een versleutelde iPhone 6. De oplossing, volgens Jim? Simpel. De FBI wil tech-bedrijven helemaal niet dwingen om hun versleuteling te verzwakken door een backdoor voor de Amerikaanse inlichtingendiensten in te bouwen. Maar ze moeten het wel doen. Daarbij laat die goeie ouwe Jim zich bovendien niet hinderen door technische bezwaren. Wetenschappers zeggen dan wel dat dergelijke backdoors technisch onmogelijk zijn, maar dat komt gewoon doordat ze niet hard genoeg hun best doen. Zelfs Senatoren gaan zich inmiddels met de discussie bemoeien en eisen een backdoor voor de FBI, CIA, NSA en al die andere drieletterige Amerikaanse engerds. Kortom. FBI: Bring Us A Unicorn. Techies: They Don't Exist. Senator: Stop Complaining & Tell Us Where The Unicorn Is.

Reaguursels

Inloggen

Houd maar op.
In NL zetten internet (en e-mail) provders nu al TLS uit: zodat je inlog inclusief wachtwoord onversleuteld over het internet gaat, bij SMTP of POP3 e-mail.
Dat is dus het "overleg" van de NSA. Nu al in NL.
Dat wordt dus e-mail buiten de EU en five Eyes.

Raider Twix | 10-07-15 | 19:40 | + 0 -

For Better Intrusions.

"I do believe our work disrupted efforts to kill people, likely related to the Fourth of July"

Ongezien de speculatyfus.

hallevvezool | 10-07-15 | 18:17 | + 0 -

Maar moet ik nu voor oom agent de sleutel van mijn achterdeur ook onder de deurmat gaan leggen?

iMachia | 10-07-15 | 15:51 | + 3 -

@Verwilder(s)t Niet | 10-07-15 | 14:00 |
Nee U zit ernaast. Dat werkt alleen als de "verdachte" al eerder met dezelfde browser / machine met de betreffende server verbinding heeft gemaakt. Als het zijn eerste verbinding is, is een enkele corrupte root-CA die het systeem van de afgeluisterde accepteert al genoeg.

Het hebben van een eigen root-CA is dus alleen zinnig als je ALLE andere root-CA's uitschakelt. Zie bijvoorbeeld de gmail-hack van een paar jaar geleden waar o.a. diginotar bij betrokken was. Het certificaat van gmail is niet door diginotar ondertekend, maar het certificaat dat werd gebruikt bij de MITM aanval was dat wel en die werd zonder problemen geaccepteerd.

@panadol | 10-07-15 | 14:47 |
Tevens incorrect.
Het algoritme waar wij voor versleuteling naartoe gaan is ECDSA. ECDSA werkt met behulp van elliptic curves (EC's). Om dit te kunnen gebruiken dient de gebruikte curve bij iedereen die deze wilt gebruiken, aanwezig te zijn. Als iemand de curve kent, maar niet de wiskundige parameters (lees: getallen) die eraan ten grondslag liggen, dan is het praktisch bijna onmogelijk om de boel te kraken.

Maar als iemand de getallen die bij de creatie van de curve zijn gebruikt WEL kent, dan is het ineens relatief eenvoudig om te achterhalen wat er in een bericht stond. En de curve die iedereen gaat gebruiken, is natuurlijk die ene curve die afkomstig is van het NIST in de V.S. Deze jongens hebben ergens in de kluis die parameters gewoon liggen en dus kunnen de geheime diensten van de VS deze ook benutten om vervolgens alles te lezen. Mede om deze reden staat er in het patent op ECDSA ook dat het om een ESCROW-constructie gaat.

ECDSA geeft dus wel degelijk een backdoor die wel voor de Amerikaanse geheime diensten bruikbaar is, maar waar een slimme hacker nooit gebruik van gaat kunnen maken.

De oplossing is dat iedere groep zijn eigen ECDSA curve gaat genereren en gebruiken. Echter is dit net zo ingewikkeld als het regelen van een eigen root-CA en dus zijn we weer terug bij af.

TLDR: Technologie is leuk, maar zodra je de makers ervan tegen je krijgt, heb je een probleem. Daarnaast zijn de makers ervan, vaak ook de hackers ervan.

Tel Aziaat | 10-07-15 | 15:40 | + 3 -

harry21 | 10-07-15 | 13:36 |

Het klinkt als een hersenspinsel van Dianne Feinstein (zie haar maar als de Amerikaanse opa Opstelten, maar dan nog senieler), die gelooft dat als je iets verbiedt voor normale burgers misdadigers het ook niet meer kunnen bemachtigen. Als ze door de Holocaust te ontkennen een verkiezing zou winnen zou ze dat doen. Enge vrouw, en hele goede vriendjes met de andere enge vrouw: Hillary Clinton.

Min-of-meer | 10-07-15 | 14:59 | + 1 -

Mja, en het verbieden van encryptie gaat ze ook niet echt helpen - kwaadwillenden trekken zich er niks van aan en het zou een doodsvonnis voor Silicon Valley zijn als de IT producten die daar gemaakt worden geen encryptie meer mogen bevatten. Bovendien zit encryptie in veel apparaten al embedded ingebakken. Gaan we alle laptops, mediaspelers, smartcards etcetera maar op de brandstapel gooien? Denk 't niet...

Wat die root CA's betreft: Die vertrouw ik al lang niet meer voor het soort encryptietaken die een globale impact kunnen hebben. Single point of failure principe - ik neem aan dat de NSA, KGB en hoe de chinese geheime dienst ook heet daar al lang binnen zijn gedrongen. Dergelijke encryptie moet je met een self-signed certificaat of CA doen - een authority die alleen aan beide kanten (zender en ontvanger) vertrouwd wordt, en nog het liefst per offline media overgedragen wordt van zender naar ontvanger, zodat je -echt- zeker bent dat die certificate authority vertrouwd is.

Net als met cloud oplossingen - als je het niet zowel beheert als bezit KAN je nooit de integriteit van een systeem garanderen. Je vertrouwt een ander, dat vertrouwen kan geschonden worden.

Aetje | 10-07-15 | 14:57 | + 2 -

Ten eerste: Het verbieden van encryptie is gewoon fascistisch. Als je iedereen aan een enkelband onder constant toezicht zet voorkom je ook dat mensen stiekem stoute dingen doen, maar dat maakt het nog geen geoorloofd middel van criminaliteitsbestrijding.
Ten tweede: hiermee benadeel je iedereen behalve de echte kwaadwillenden, die natuurlijk gewoon wel een encryptie zonder backdoors gebruiken.
Ten derde: als de FBI de encryptie via een backdoor kan breken, dan kan een slimme hacker daar ook gebruik van maken.

panadol | 10-07-15 | 14:47 | + 5 -

Encryptie heeft geen enkel nut als er backdoors in zitten.

hStripe | 10-07-15 | 14:29 | + 1 -

Wel..... Met wat er in september in nederland op stapel staat is dit nog wel het minste om je druk over te maken.
Gelukkig dat de AIVD niet mee mag doen (4 letters)

@Tel Aziaat
Dit werkt alleen als de certificaten die nodig zijn om te ontsleutelen getekend zijn door die root-ca (of dochter ervan), anders niet. Daarom is het hebben van een eigen Root-ca ook de oplossing om daartegen te beschermen.

Verwilder(s)t Niet | 10-07-15 | 14:00 | + 1 -

@Aetje | 10-07-15 | 13:00 |
@harry21 | 10-07-15 | 13:36 |

Was het allemaal maar waar en zo gemakkelijk.
Organisaties als de NSA enzovoorts hebben maar 1 corrupte root-CA nodig om alsnog al het verkeer te kunnen onderscheppen. Verdere informatie is de vinden op DefCon en BlackHat.

De enige oplossing voor mensen die iets te verbergen hebben, is dus het starten van een eigen root-CA en daar controle op behouden. Maar hoeveel mensen zullen dit doen? Praktisch niemand.

Tel Aziaat | 10-07-15 | 13:49 | + 3 -

Als ze het eerlijk zouden vragen zouden we erover na kunnen denken, maar om het via leugens en angstzaaierij te doen, daar pas ik voor.

The Intercept geeft wel een aardig voorbeeld van hoe we telkens voor de gek gehouden worden:
firstlook.org/theintercept/2015/03/16...

Mark_Pugner | 10-07-15 | 13:38 | + 1 -

@sinar2 | 10-07-15 | 13:19

Zo werkt dat dat niet helemaal. Dat klinkt als "Security By Obscurity" en is niet secure.

Hoe het wel werkt: Zodra je "bedrijven" gaat verplichten om "Backdoors" in te bouwen, gaan alle Boefjes gebruik maken van Open Source producten. Zodra je die vervolgens gaat verbieden helpt het nog niets, want wat ze doen is toch al illegaal en de enige overgebleven optie is dan om alle niet-leesbare SSL te gaan blocken op centrale punten. Ook dat helpt niet, men kan altijd nog P2P gaan netwerken of zelfs via Sneakerware. Of ze gaan over op steganografie

en.wikipedia.org/wiki/Steganography

Dan is het nog lastiger.

Ergo - (Open source) encryptie en hashing is Pandoras doos - die kunt je niet meer sluiten.

harry21 | 10-07-15 | 13:36 | + 8 -

Zo een backdoor is ook te omzeilen. Stel je hebt een bepaalde encryptie waarvan je weet dat er een backdoor is. Het enige wat je hoeft te doen is met de ontvanger af te spreken dat je bijvoorbeeld van de encrypted file elke 10e byte met 1 cijfer ophoogt en dan verstuurd. De ontvanger zet die byte weer terug en kan het decrypten. Anderen die deze afspraak niet kennen zullen de encrypted file nooit kunnen decrypten want de decryptie software zal de file als corrupt zien.

sinar2 | 10-07-15 | 13:19 | + -6 -

Dit plan staat gelijk aan een enorme betonnen vesting tegen indringers met een klein gat waar een struikje voor staat om het aan het zicht te onttrekken.

Dhr. de Wit | 10-07-15 | 13:12 | + 9 -

Mja, en dat is waarom ik opensource encryptieprojecten zoals OpenSSL een goed iets vind. Zitten wel bugs in, maar als je daar een backdoor in implementeert kan iedere kneus die zo in de source terugvinden. Het maakt het de corporate espionage tak van de NSA wat lastiger natuurlijk, vandaar er weer "terrorisme" geroepen wordt.
*zucht*
In ieder geval is het een geruststelling dat IT incompetentie bij politici niet alleen een Nederlands iets is.

Aetje | 10-07-15 | 13:00 | + 5 -

Vooral doen. Het probleem van backdoors is dat ze niet alleen door overheden misbruikt kunnen worden. Maar gelukkig heeft de Amerikaanse overheid zelf ook al zo'n geweldig trackrecord als het op data beveiliging aankomt.
tweakers.net/nieuws/104157/hackers-sta...

Prof. Prutser | 10-07-15 | 12:57 | + 11 -

Geachte FBI,

Nee.

MvG,

Het volk.

Balsaq | 10-07-15 | 12:54 | + 36 -

REAGEER OOK

Linktip: Energie vergelijken