iPhone app maakt afluisteren onmogelijk
Een nieuwe iPhone app maakt het onmogelijk om telefoongesprekken af te luisteren. "Cellcrypt Mobile for iPhone" is ontwikkeld door het Amerikaanse bedrijf Cellcrypt en gebruikt de beschikbare verbinding, zoals WiFi of GPRS, om een versleuteld gesprek op te zetten. Hiervoor is wel vereist dat de gebelde partij dezelfde software gebruikt.
"Cyberaanvallen op overheidsinstanties en bedrijven komen steeds vaker voor en deze aanvallen kunnen ook uit het onderscheppen van gesprekken bestaan, wat vaak niet wordt opgemerkt omdat het meestal geen sporen achterlaat", zo waarschuwt het bedrijf, dat verder laat weten dat afluisterapparatuur steeds toegankelijker en goedkoper wordt.
Versleuteling
De software gebruikt public key cryptografie, en elke telefoon waarop de software is geïnstalleerd, beschikt over een eigen opgeslagen privésleutel. Bij het opzetten van een gesprek wordt een geheime sessiesleutel uitgewisseld, die na het gesprek wordt verwijderd. Het gesprek wordt vervolgens dubbel versleuteld. Eerst via een 256-bit RC4 algoritme, gevolgd door een 256-bit AES algoritme. Door de versleuteling kan er op tragere GPRS-netwerken anderhalve seconde vertraging ontstaan, afhankelijk van beschikbare bandbreedte en netwerkverkeer.
De software ondersteunt iOS 4 op iPhone 3GS en iPhone 4 en is interoperabel met Cellcrypt op andere apparaten, zoals Nokia, Android en BlackBerry smartphones. Volgens Cellcrypt wordt de software door zowel overheden als bedrijven over de hele wereld gebruikt. De gebruikte beveiliging is daarnaast FIPS 140-2 gecertificeerd.
neem aan dat er een rootca oid is.
dus het is nogal zinloos.
Je suggestie is dus wat te vroeg omdat je nog wat kennis mist...
Omdat die nu ook eindelijk bij zijn?
Volgens het bericht bestaat de software al voor Nokia, Android en Blackberry toestellen....
Daar heb ik echter nooit een bericht over gezien...beetje selectieve nieuwsgeving
Alleen voor Amerika, of kijk ik niet goed?
Die licence is te koop bij: sales-ios@cellcrypt.com
Het bevat verder software uit het OpenSSL project en bevat software geschreven door Eric Young, eay@cryptsoft.com
Bij hem zou je dus na kunnen vragen hoe het precies werkt. :-)
De keys worden opgeslagen op de telefoon. Eenieder die zich toegang tot de telefoon weet te verschaffen, kan ook bij de keys komen ? Bovendien bevat de software de mogelijkheid om remote de encryptie uit te schakelen, bijvoorbeeld in geval van diefstal (zie privacy policy CellCrypt). Dergelijke functionaliteit kan eventueel door derden worden misbruikt. Daarnaast is afluisteren natuurlijk wel degelijk mogelijk indien CellCrypt medewerking verleent (i.e. ten behoeve van opsporing).
Moet in dit soort artikelen geen onderscheid gemaakt worden tussen lawful interception en non-lawful interception ?
In hoeverre is de key die opgeslagen is op het toestel voor derden toegankelijk ? I.e. voor de telecom provider of de fabrikant van je smartphone OS ? Immers kunnen ze ook remote software updates uitvoeren op je toestel. Bestaat er 'privacy' ten opzichte van de opslag op je mobiel ?
neem aan dat er een rootca oid is.
Assumption is the mother of all fuck-ups.
De keys worden opgeslagen op de telefoon. Eenieder die zich toegang tot de telefoon weet te verschaffen, kan ook bij de keys komen ? Bovendien bevat de software de mogelijkheid om remote de encryptie uit te schakelen, bijvoorbeeld in geval van diefstal (zie privacy policy CellCrypt). Dergelijke functionaliteit kan eventueel door derden worden misbruikt. Daarnaast is afluisteren natuurlijk wel degelijk mogelijk indien CellCrypt medewerking verleent (i.e. ten behoeve van opsporing).
Moet in dit soort artikelen geen onderscheid gemaakt worden tussen lawful interception en non-lawful interception ?
Word tijd dat er eens een goede en makkelijke open-source app komt, die voor iedereen te gebruiken is, en op
iedere mobiel o.s. kan draaien.
Nu weer alleen voor mensen met een dikke beurs.
Er moet nog veel gebeuren op het gebied van privacy in 2011
Er was geroepen dat gpg/gpg wel een veilige oplossing biedt.
Dat is toch ook kwetsbaar voor mitm?
de keys worden immers gegenereerd op het moment dat de sessie tot stand komt.
Er is geen 3e device wat aangeeft dat pcx pcx is. Hierdoor kan ik dmv mitm ook zeggen dat ik pcx ben.
Hierdoor heb je toch geen veilige encryptie oplossing. Tenzij je vooraf handmatig de keys gaat verspreiden oid.
Er was geroepen dat gpg/gpg wel een veilige oplossing biedt.
Dat is toch ook kwetsbaar voor mitm?
de keys worden immers gegenereerd op het moment dat de sessie tot stand komt.
Er is geen 3e device wat aangeeft dat pcx pcx is. Hierdoor kan ik dmv mitm ook zeggen dat ik pcx ben.
Hierdoor heb je toch geen veilige encryptie oplossing. Tenzij je vooraf handmatig de keys gaat verspreiden oid.
Je verwart de symmertrische session-key (die per sessie wordt gegenereerd) met de asymmetrische public-private keypair. De public key moet je bij PGP/GPG van tevoren uitwisselen langs een vertrouwde weg (zodat degene die jouw key ontvangt er op kan vertrouwen dat het inderdaad jouw key is). Bij opzetten van een sessie worden de tijdelijke session keys encrypted met de public key en uitgewisseld. Een mitm kan daar niks mee omdat hij de private key niet heeft.
Het vooraf handmatig of anderszins je keys verspreiden is dus inderdaad nodig en is procedureel de zwakke plek van PGP. PKI lost dit op door trusted third parties die als onafhankelijke partij de publieke sleutels verifieren. PKI heeft echter weer zijn eigen drempels met verspreiding van stamcertificaten, tijdige intrekking van gecompromitteerde certificaten e.d.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.