Nieuws
image

"VS wil geen sterke encryptie voor netwerken"

donderdag 16 juni 2011, 11:53 door Redactie, 6 reacties

De Amerikaanse overheid wil niet dat netwerken over sterke encryptie beschikken, omdat ze dan niet meer te bespioneren zijn, aldus beveiligingsexpert Robert Cringely. Hij reageert op het datalek bij beveiligingsbedrijf RSA. Volgens Cringely spelen ook leugens onderdeel van het spel. "Gebaseerd op recente gebeurtenissen bij RSA, Lockheed Martin en andere plekken, denk ik niet dat liegen een onderdeel van het spel moet zijn."

De beveiligingsexpert merkt op dat het publiek nog altijd niet weet wat er precies gestolen is of waar de aanvallers toegang toe hadden. "Veel van dit is marketing, een combinatie van 'we zijn onkwetsbaar' en 'wees bang, wees erg bang', maar veel is bedoeld om ons aan een bepaalde technologie vast te laten zitten."

Geheim
De meeste beveiligingssystemen zijn gesloten en geheim. Als een algoritme publiek, gestolen of reverse-engineered wordt, zou dat niet mogen uitmaken. "Waarom is zulke architecturale geheimzinnigheid vereist als die 1024- of 2048-bit codes echt duizend jaar nodig hebben om te kraken. Is encryptie gecombineerd met een vaste limiet op het aantal inlogpogingen niet goed genoeg?"

Het antwoord is volgens Cringely nee. "Er zijn verschillende redenen hiervoor, maar de voornaamste is dat de Amerikaanse overheid niet wil dat we echt veilige netwerken hebben." De overheid is volgens de expert meer geïnteresseerd in het bespioneren van de overige onveilige netwerken in de wereld. Dat de Amerikaanse consument af en toe door een beveiligingsincident geraakt wordt, zou de overheid accepteren als dit betekent dat het het wereldwijde verkeer kan afluisteren. "Dit is nationale veiligheid, wat betekent dat ethiek en gezond verstand niet meer gelden."

Backdoor
Volgens Cringely hebben RSA, Cisco, Microsoft en vele andere bedrijven de Amerikaanse overheid toegang tot hun ontwerp gegeven. Iets wat niet de schuld van de bedrijven is, omdat ze anders de cel in moesten, aldus de expert. "Bouw een sterke 4096-bit AES sleuteldienst en voor je het weet staat Justitie voor de deur."

De Amerikaanse overheid voelt zich in dit "ethisch-gehandicapt" landschap op z'n gemak, zegt Cringely. "Voornamelijk omdat het de grootste werkgever is, aan beide kanten." Daarbij verwijst hij naar een eerdere uitspraak dat een kwart van alle hackers informant van de FBI is. Toch is er ook goed nieuws, omdat IPv6 en open source sommige van deze achterdeuren aan het sluiten zijn. "De open source gemeenschap bouwt businessmodellen die eindelijk wat security aan data security toevoegen."

Reacties (6)
16-06-2011, 12:59 door Anoniem
Volgens mij klopt dit toch echt niet. Ik kan zo een twee drie geen voorbeelden noemen, maar ik meen me toch wel te herinneren dat de NSA in een aantal gevallen geadviseerd heeft een code te wijzigen op een manier waarvan later bleek dat zo zwakheden omzeild werden.

Ook zijn dingen als een beperking tot 40-bits symmetrische encryptie ruimschoots verleden tijd, en komen belangrijke standaarden zoals AES van plaatsen die niet gelieerd zijn aan de Amerikaanse overheid.

RSA heeft gewoon een dom systeem gemaakt waarbij de seeds online beschikbaar moeten zijn. Ze weten daar ook wel beter, niet voor niks is de bedrijfsnaam gelijk aan een publieke-sleutelencryptiesysteem.
16-06-2011, 14:11 door Martijn Brinkers
Een mooi "complot theorie" verhaaltje van iemand die niet gehinderd is door enige kennis van het onderwerp. "4096-bit AES sleuteldienst"? Er zijn geen 4096-bit AES keys. Hij haalt eea een beetje door elkaar. Sowieso is het lastig voor te stellen dat de VS zelf gebruik maakt van AES als ze zouden weten dat het algoritme niet veilig is. Bovendien is AES ontwikkeld door Belgen en niet door de VS. Ze hebben het juist gekozen omdat het een veilig en snel algoritme is.
16-06-2011, 16:42 door spatieman
Gij zult geen zware encryptie toepassen.,
Want de US overheid kan dan uw netwerk niet meer hacken....
16-06-2011, 17:19 door Anoniem
Ik heb er lak aan,als ik mijn netwerk wil encrypten dan doe ik dat gewoon.
Punt uit.
Niemand heeft zich te bemoeien met wat ik op mijn computer doe.
16-06-2011, 19:04 door anoniem lafbekje
ondertussen op Reuters: http://www.reuters.com/article/2011/06/16/us-usa-cybersecurity-idUSTRE75F4YG20110616
27-06-2011, 11:00 door Anoniem
jammer dat ze het verkeerde soort mensen blijven nemen voor beveiliging. een mono cultuur die steeds weer op z'n bek struikeld en dan roept "Maar nu gaan we 't echt goed doen! [met nog meer poen!]"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search